窟明星辰 — 一蠹 河南省电力信息安全现状分析 及管理决策 张歆艳’,范文红 (1.安阳供电公司,河南安阳455000;2.商丘供电公司,河南商丘476000) 摘 要:在深入调查河南省电奶系统各地市缀 司信息安全管理现状的基础上 通过对调查缝 总研究,分析了河南省电力信息安全现状,指 息安全管理中存在的共性问题和改进方法,对 电力信息安全工作开展具有较强的指导作用。 关键词:信息安全;统计;分析 0引言 按照国家电网公司对信息安全 工作精神和河南省电力公司(简称 “省公司”) 关于开展信息安全检查 工作的通知 要求,河南省公司科技 信息部组织人员对河南省各地市级 供电公司(简称“各单位”)的信息安 息安全的重视程度得到了明显提 高,组织管理、资金支持、人员投入 等方面基本趋十完善,形成了良好 的企业信息化建设氛围;省电力系 息安全意识和重视程度相对不足, 在检查中也发现了一些比较突出的 全工作进行了全面的检查,并重点 对中心机房环境、重点设备、重点部 共性问题,这些问题的存在有管理 上原因,也有技术上的原因,但均不 利于信息安全工作的开展和信息安 全的可控、在控、能控。 位、重要环节的安全指标进行了认 真核查与评分,较为全面地掌握了 统信息网络建设主干广域网已经覆 盖全省各单位,基本形成了省、市、 县3级信息网络系统,各项业务数据 已经实现了上下级之间的 络信息 传递;通过几年的建设、运行、管理, 河南省电力信息安全现状的基本情 况。通过对检查评分结果的统计分 析,总结经验,发现不足,针对存在 的问题探讨解决的思路和方法,为 电力信息安全的健康发展提供有效 2存在的问题 检查依据《省公司网络与信息 安全检查细则 的评分标准进行检 查和评分,项目由7个大项、28个 整体的技术装备水平和人员技术素 质得到有效提高,积累了较多的实 践经验,具有一定的信息安全防护 的数据参考。 分项、93个细项组成。7个大项各 项得分率分别为:规章制度与组织 管理S2%、网络与系统安全79%、 网络服务与应用系统76%、安全技 1总体现状 近几年,在省公司的统一领导 和部署下,河南省电力系统信息化 建设取得了快速发展,各单位对信 措施和手段。 同时由于信息安全工作相对于 电网安全工作,起步晚,发展快,各 项规范、标准出台晚,各级领导的信 术管理与设备运行状况60%、存储 ■ 2008年第6卷第4期 ELECTRIC POWER IT 维普资讯 http://www.cqvip.com 露8羁星震 。 夏‘ ’瑟 ∞ ∞ ∞ ∞ ∞备份81%、介质及物理环境安全72 %、应急处置79%。28个分项的平均 得分率为:74.72%,最高得分率为 100%,最低得分率为1 5.56%。8个 分项超过85%(优秀),1 7个分项介于 60%~85%之间(及格),3个分项低 于60%(不及格),如图1所示。 周期设定不合理等现象。大多数单 位没有很好地使用网络版防病毒系 统:客户端覆盖率过半的单位不到 20%。 导致网络风暴和恶意攻击的蔓延等 问题。 大部分单位计算机操作系统、 数据库系统等系统的安全配置设置 各单位理规程制度在执行中均 存在一定程度的不严格现象;工作 票、机房进出记录、机房巡检记录存 不严格,关键 域或设备未关闭 IITTP、FTP、TFTP等服务、SNMP 社区串、本地用户口令不强健(大于8 字符,数字、字母混杂)、与互联网连 接的日志记录不完整。 各单位均有补丁管理的手段(或 管理制度)、Windows系统主机补丁 从7个大项得分情况看,各单位 大部分主要指标基本满足国家电网 在填写不完整的现象;普遍存在弱 口令现象、账户变更后的无控制记 录等。 公司及省公司的有关要求。但从28 个分项统计分析中可以看出,各项 得分参差不齐,存在很多问题。 2.2网络与系统安全 近半单位局域刚核心交换设 安装基本齐全。除少数单位在内部 架设了补丁服务器外,多数单位都 存在补丁安装不及时、无补丁安装 的测试记录。 2.1规章制度与组织管理 部分单位信息管理人员设置不 备、城域网核心路由设备无设备冗 余或没有备用设备。部分单位存在 不经过防火墙的外联链路(包括拨号 外联)。大部分单位网络关键点设备 没有双电源,主设备区还处于单电 源运行方式,存在较大安全隐患。除 合理:信息专责在生产技术部,且均 是兼职,而信息运行人员在另外部 2.3网络服务与应用系统 各单位均存在部分www服务 门,导致信息专责由于是兼职而不 能深入了解信息工作的实际情况, 不利于信息化工作的统一管理和运 用户账户/口令不健壮现象;信息发 布无分级审核记录的现象,所有信 息发布的审核卡义限都在网站程序中 分配,却没有设计自动登记审核记 录的功能。 各单位的应用系统角色、权限 了OA系统、营销系统、财务系统外, 各单位大部分重要系统未采用双机 备份。 行维护工作的开展;部分单位信息 人员的岗位待遇偏低(接近所在单位 最低岗),不利于调动信息工作人员 的积极性。 各单位对防病毒管理存在病毒 库定期升级不及时、病毒扫描策略 各单位均在生产控制大区和管 理信息大区之间部署了专用隔离装 置,VLAN间的访问控制基本合理, 但个别单位VLAN ̄J分过于简单,易 分配均无审批记录,用户账户的变 更、修改、注销部分系统有记录、对 _ _ ¨l 鬻 - 嚣 m t H 鞭 瓣 f_==_! 蕊 筏 嚣 鬻 } H 鬻 麓 嚣 £ 撼 一嚣 q _ 组织病毒运 账 网} 号络网 网I P 补系 络 络管 丁统 机构管善 与理 架分 设理 管安 区 备 理全 配 置 口构令 管 主 W应 防 机W用 火 备W系 墙 份服统 务 防病毒系统入 侵 检 测 系 统 安 全 技 术 管 理 备份策略r恢 复 预 案 介 质 管 理 图1 28分项得分。睛况分析 2008年第6卷第4期 ELECTRIC POWER IT 维普资讯 http://www.cqvip.com 宣鳗星基 电力信息安全专家 关键应用系统的数据操作均未进行 审计,尚处于粗放型管理阶段。 大部分单位有针对关键应用系 统的应急预案,关键应用系统管理 员账户、用户账户口令定期进行了 的运行状况进行专业检测。部分单 故。在安全技术管理手段和工具方 位冲放电记录不详细,缺少放电深 度等记录。部分单位没有机房专业 面存在较大缺陷,如:漏洞扫描、网 络管理、安全监控系统、身份认证系 统、防火墙Et志服务器、补丁服务 器、必要的存储备份系统等,没有进 行信息安全风险评估、关键应用系 防雷措施,机房设备接地电阻不满 足要求,接地线不牢固可靠。 机房温度均能控制在l8~25℃ 变更。新系统上线前大多是按照厂 家的安全性测试情况进行,未进行 以内。但近半数单位机房使用普通家 统的数据操作没有审计。 专业上线前的安全性测试。 2.4安全技术管理与设备运行状况 个别单位存在不经过防火墙的 外联链路。防火墙规则配置均无记 录和说明,也没有规范的申请、审 核、审批流程。各单位防火墙系统硬 件性能参差不齐,有些单位没有专 用的防火墙日志服务器,只依靠防 火墙自身存放日志,不能满足日志 存放的期限要求,个别单位甚至没 有对防火墙日志进行备份。 部分单位由于使用了单机版防 病毒客户端,因此自动升级病毒代 码库的功能不能实现。部分单位没 有配备入侵检测系统,无法对网络 边界与主要服务器和定期对审计信 息进行分析及定期更新入侵检测的 规则与升级。 各单位均未部署身份认证系 统、安全管理平台和漏洞扫描系统, 重要系统大多未进行信息安全风险 评估。 2.5存储备份 各单位均建立了备份策略和明 确的恢复预案,并严格按照备份策 略对系统数据进行备份,但检查策 略文件时发现部分单位备份策略存 在不明确、不合理的现象。但恢复预 案的操作性和有效性均存在较大不 足。各类预案存在演练过程简单,流 于形式,演练记录不翔实等问题。 2.6介质及物理环境安全 个别单位未将机房供电系统动 力、照明用电与计算机系统供电线 路分开。大部分单位未定期对UPS ● 2008年第6卷第4期 ELECTRIC POWER lT 用空调,机房湿度无法控制。市电掉 电恢复后不能自动启动空调。 2.7应急处置 建立了及时的信息安全通报机 制、故障通信联动机制和重要信息 系统的应急预案,并对应急预案进 行了定期演练。但部分单位通报环 节有不足,t:lc ̄n没有向单位主管领 导、当地公安机关通报的启动条件 及内容等。应急资源基本都能到位。 但是大事故的抢修处理能力明显不 足。应急预案均存在内容不完善、可 操作不强的问题,这种现象不利于 故障情况下的应急处理,部分预案 在应急处理时可能会由于步骤缺 失、操作不明确等原因影响应急处 理时间和效果。 3问题分析及管理对策 信息安全基础工作已经初具成 效,但具体环节还存在着一定问题, 这些问题分为2个层面:各单位自身 层面和省电力系统整体层面,需要2 个层面的管理者共同努力,以深入贯 彻“安全第一、预防为主、综合治理” 的方针,居安思危,采取解决措施。 3.1信息安全投入 近年来,省公司在重点设备和 关键环节的信息化投入方面不断增 加,但按照国家电网公司信息安全 的要求,多数单位还未实现重要设 备、关键环节的设备冗余,如:中心 交换机、核心服务器、核心路由器、 双机备用等。一旦重点设备出现问 题,就可能造成较大的信息安全事 由于以上设备和工具的投资比 较大(一般单项均为几十万元),各单 位在资金的筹措方面存在较大困 难,要搞好这项工作,就需要和电 网建设一样,在省公司层面建立一 个规范的、常态的信息化建设投入 机制。 3.2组织机构和岗位管理 信息技术相对电力技术是一个 新兴的专业,由于时间短、发展快、 规范少、认识不足等客观原因,各单 位虽然均建立了相应的信息化领导 小组,但具体的管理环节的落实中 还不到位,信息管理和运行维护岗 位待遇参差不齐,普遍存在岗位偏 低、人员不足的现象,不利于信息安 全的整体防范和人员工作积极性的 提高。 为了保障信息化建设及信息安 全工作的有序开展,在信息管理机 构和人员岗位设定方面,需要有一 个相对完善科学的规范管理,国家 电网公司和省公司应出台相应的信 息岗位管理标准,在此之前,各单位 也应为信息管理人员创造一个合理 的工作环境。 3.3规章制度和操作规范 由于管理水平、理解能力的差 异,各单位在管理制度、操作流程、 El常记录等方面的管理参差不齐, 各有优点也各有不足,缺乏统一的 规范和要求。一些制度的制定不合 理、一些流程的设置不合理、一些记 录的填写不规范、关键应用系统的 应急预案和存储备份恢复预案操作 维普资讯 http://www.cqvip.com 启明星辰 西要 性较差。 的设计、新系统上线前的安全性测 试、操作系统等的补丁测试等方面。 因此,需要在令省范围内加人信息 管理技术的培训力度,特别是检查 巾遇到的这些问题,可邀请一些技 术支持 家或者相关专家进行集中 培训,以提高全省信息安全管理的 统信息安全检查工作是一个良好的 开端。检查工作有力地提高了各单 位主管领导和信息人员对信息安全 重要性的认识,打破了多年来“安 目前,除少数单位有自己的运 维管理系统外,大多数单位没有建 立专用的运维管理系统,各类记录 手工填写,格式迥异,手续繁琐,同 时考虑到“SG1 86”工程中包含运维 =牟=”特指“电网安全”的传统思维, 也深入掌握了当前河南省电力系统 部分,各单位也未进…步开展工作。 信息安全工作经验和存在的薄弱环 鉴于全省系统内该项业务和技 术的相同性特点,省系统内应借鉴 金融系统信息管理的经验,统一组 织人员制定规章制度、操作流程、日 常记录等标准规范,并推出统一的 运维管理系统,实施标准化管理,为 单位提供标准化指导。 3.4机房运行环境 随着近2年省公司和各单位对 机房运行环境重视力度的提高,多 数单位机房环境日益改善,基本达 到国家电网公司的有关要求,但部 分配套项目还存在问题:人多数单位 单UPS和UPS带病运行状况较多,部 分单位UPS负荷较高,主机房供电可 靠性较差;防雷措施、接地电阻、空 调系统、机房火火系统的检测不规 范;机房监控报警系统部署不完整。 由于信息中心机房是信息网络 核心设备、重要应用系统和重要数 据的集中地,必须投入足够容量的 UPS双备系统、装设机房专用防雷 系统、布设合格的接地网、建立负荷 标准温湿度控制和消防灭火系统, 并建立机房监控报警系统。防雷设 备、接地电阻、精密空训、UPS设备、 机房灭火等系统的检测也应由专>lk 部门定期进行检测。 3.5技术培训 信息技术发展迅猛,各单位管 理和技术人员在_-一些问题的判断和 处理方面存在小同程度的疑惑和不 知所措,如防火墙、入侵检测、存储 备份、应急恢复等策略设置的合理 性判断、操作系统的安全设置策略 整体管理水平和技术水平。同时,培 节,对信息安全现状有了全面的认 训过程也是各单位信息人员集中交 识,为进一步开展信息安全工作明 流的良好机会。 确了方向和重点。 责任编辑王思宁 4结语 收稿日期:2008-01-18 网络环境的复杂性、多变性以 及信息系统的脆弱性,决定了网络 安全威胁的客观存在,随着河南电 力信息 络覆盖范围的日益扩展和 张歆艳(1 972一),女,河南 安阳人,高级工程师,科技信息 络用户的日益增加,加强信息安 部副主任,从事电力系统自动 全管理和建立保护屏障势在必行且 化、科技、信息工作; 意义重大。 范文红(1 975--),男,河南 目前,国家电网公司已经将“信 平顶山人,高级工程师,科技信 息安全”提高到与“电刚安全”同等 息中心副主任,从事电力科技、 重要的地位,2007年河南省电力系 信息工作。 2008年第6卷第4期 ELECTR】C POWER IT
因篇幅问题不能全部显示,请点此查看更多更全内容