1 信息安全建設的目標

    呂梁供電公司信息安全建設的目標是：基于安全基礎設施、以安全策略為指導，提供全面的安全服務內容，覆蓋從物理、網絡、系統、直至數據和應用平臺各個層面，構建全面、完整、高效的信息安全體系，從而提高公司信息系統的整體安全等級。為公司的業務發展提供堅實的信息安全保障。

    1．1信息安全管理的理念或策略

    從宏觀的、整體的角度出發，系統的建設公司信息安全體系，不僅僅局限于技術層面，而是全面構架信息安全技術體系，覆蓋從物理安全、網絡安全、主機系統安全、到數據和應用系統安全各個層面。同時，建立全面有效的安全管理體系和運行保障體系。技術和管理并重，突出安全管理在信息安全體系中的重要性，僅僅憑借安全技術體系，無法解決所有的安全問題，安全管理體系和技術防護相互配合，增強技術防護體系的效率和效果，同時也彌補當前技術無法完全解決的安全缺陷，使得安全技術體系發揮最佳的保障效果。

    1．2信息安全管理的范圍和目標

    呂梁供電公司信息安全防護的總體目標是為了貫徹和落實公安部、國家保密局、國家密碼管理局、電監會等國家有關部門信息安全工作要求，全面完善公司信息安全防護體系，落實國網公司“雙網雙機、分區分域、等級防護、多層防御”的安全防護策略，確保信息系統持續、穩定、可靠運行，確保信息內容的機密性、完整性、可用性，防止因信息系統本身故障導致信息系統不能使用和系統崩潰，抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞，防止信息內容及數據丟失和失密，防止有害信息在網上傳播，防止公司對外服務中斷和由此造成的一次系統事故。確保信息安全工作在公司的順利開展，逐步提高公司信息安全整體防護水平。對呂梁供電公司信息系統進行安全風險評估，涵蓋管理與技術兩部分，其中管理包括管理機構、管理制度、系統運維、人員安全和系統建設五個方面，技術則包括物理安全、網絡安全、主機安全、應用安全和數據安全五個方面。通過評估的實施，不僅可以進一步提高信息系統安全保護符合性要求，而且可以將整個信息系統的安全狀況提升到一個較高的水平，并盡可能地消除或降低信息系統的安全風險。

    1．3信息安全管理的指標體系及目標值

    1．3．1分區分域

    依據國家電網公司安全分區、分級、分域及分層防護的原則，呂梁供電公司信息網絡已劃分為信息內網和信息外網。

    信息內網依據總體方案“二級系統統一成域，三級系統獨立分域”方法，結合公司實際，信息內網系統可分為：營銷系統二級域；財務系統二級域；公共服務域(WWW 、DNS、辦公自動化系統等)；桌面終端域。

    信息外網的系統可分為：對外應用系統域：桌面終端域。安全域的具體實現采用物理防火墻、虛擬防火墻或VLAN、VPN等隔離方法。基本實現目標為劃分的各域邊界可進行訪問控制。

    進行安全域劃分后，公司內網二級域3個，桌面終端域1個：外網服務域1個，桌面終端域1個。

    1．3．2控制指標

    公司同業對標指標目標值：信息安全次數為0次，信息系統可用率為100％ ，信息系統應用指標為100％。

2專業管理的主要做法

    2．1主要做法說明

    2．1．1物理安全

    物理安全主要是網絡設備及主機安全，呂梁供電公司網絡設備及系統服務器存放在專門的計算機機房，首先通過門禁系統保證這些設備自身的安全性，并建立了專門的人員出入訪問控制機制，嚴格控制人員出入計算機機房和其他重要安全區域，便于檢查和分析。其次，指定專門的人員，負責計算機機房地建設和管理工作，建立了計算機機房管理制度，對設備安全管理、介質安全管理、人員出入訪問控制管理等作出了詳細的規定，并定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查，發現問題，及時整改。

    2．1．2運行安全

    為了保證信息網絡的安全運行，呂梁供電公司開展了雙網雙機建設，也就是內網和外網物理邏輯隔離，內網用計算機與外網用計算機物理分開的建設。

    2．1．3信息安全

    呂梁供電公司要求每位員工有效利用各種口令，每臺機器都設置有開機口令，確保口令長度至少8個字符，并且是大小寫字母、數字和特殊字符中的三種組合，并要求至少3個月更換一次口令。

    關于信息加密方面，公司要求重要信息、文件等不能在外網傳送，必須在內網發送，并且要加密發送，并要求關閉計算機文件共享，確保信息不會泄露。

    每臺計算機必須安裝省公司統一推廣的趨勢殺毒軟件及啟用防火墻，發現有未安裝殺毒軟件的機器立即短網，防止外部用戶非法進入。

    2．2確保流程正常運行的人力資源保證

    根據省公司對于信息安全的總體部署，為切實做好信息系統安全工作，我公司成立了以公司經理為組長，分管科技信息工作的副經理為常務副組長，各部門和所屬單位一把手為成員的“網絡與信息安全領導小組”，全面負責公司的信息安全工作。領導組下設辦公室，由科信部全體成員和所屬各單位專責人共同組成，負責信息安全方面的有關技術保障、事故應急處理以及信息風險和事故評估等具體工作。

    公司要求所屬各單位、各部門要認真按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”和屬地化管理的要求，認真履行信息系統安全職責，嚴格按照“三個百分之百”要求，落實公司信息系統與保密工作的制度和規定，執行“雙網雙機、分區分域、等級防護、多層防御”的信息安全總體防護策略，切實抓好信息系統安全責任和制度的落實，確保完成了雙網隔離、等級保護，確保了信息系統安全建設，安全運行，安全應用。

    組織所屬各單位的信息專責人進行了信息安全學習和警示教育，組織學習公司信息化規章制度，重點學習電監會《關于開展電網企業信息安全檢查的通知》(電監信息[2009]3號，國網公司《關于進一步加強網絡和信息系統安全的緊急通知》(辦信息[2009]3號)，以及《信息化“SG186”工程安全防護總體方案(試行)》(國家電網信息f20081316號)，深入了解公司面臨的嚴峻的信息系統安全形勢，全面掌握公司部署的應對措施，結合工作實際，借鑒信息安全保電經驗，對曾經出現的信息系統安全事件與薄弱環節進行匯總、分析，普及信息系統安全警示教育，整肅安全管理作風。

    整理完成了包括電監辦、國網公司、省公司、公司規章制度在內的《網絡與信息系統規章制度匯編》，修訂下發了《呂梁供電公司信息系統安全管理辦法》、《呂梁供電公司信息安全總體防護方案》。進一步完善了專項應急預案的制訂和審查備案等工作。

3 評估與改進

    通過在管理方面和技術方面采取的有效措施，使公司同業對標信息化指標上半年完成情況：信息安全次數為為0次，信息系統可用率為100％，信息系統應用指標為100％。

    但在信息中心機房的物理安全等方面仍存在一些問題，比如電源室空調制冷效果，監控等問題，我們仍然要不斷加強管理，在網省公司的指導下采取有效措施，進行整改，把呂梁供電公司的信息安全防護水平提高到一個新的階段。

4 結束語

    信息安全是一個相對的概念，我們只能使系統越來越安全，而做不到絕對的安全。為了保護計算機系統里各種信息，我們必須時刻保持高度的警惕，做到對自己的系統安全情況始終有一個清醒的認識。只有這樣才能使你的信息系統受到最大程度的保護，從而保障單位及個人信息的安全。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：電力企業信息安全建設的重要性

本文網址：http://www.guhuozai8.cn/html/consultation/1083952655.html