国产91免费_国产精品电影一区_日本s色大片在线观看_中文在线免费看视频

　　進(jìn)入廿一世紀(jì)的中國(guó)電力正在經(jīng)歷著前所未有的巨大變革，政府在電力體制改革方面陸續(xù)出臺(tái)的各項(xiàng)政策對(duì)電力企業(yè)的運(yùn)營(yíng)提出了日益嚴(yán)格的要求，電力企業(yè)所處的客觀環(huán)境也將變得越來越錯(cuò)綜復(fù)雜。廠網(wǎng)分離及繼之出現(xiàn)的輸配獨(dú)立運(yùn)營(yíng)等重大舉措，都直接影響電力企業(yè)的生產(chǎn)和經(jīng)營(yíng)。從未來的發(fā)展態(tài)勢(shì)看，供電企業(yè)將向獨(dú)立運(yùn)作的配電公司發(fā)展，而現(xiàn)代化的信息系統(tǒng)的支撐是確保順利完成這一轉(zhuǎn)變的戰(zhàn)略性支撐手段。然而，信息化的日益深入的同時(shí)卻逐漸顯現(xiàn)出信息系統(tǒng)在某種意義上的脆弱性，由于信息系統(tǒng)遭受攻擊所發(fā)生的企業(yè)運(yùn)營(yíng)受負(fù)面影響的事件不斷出現(xiàn)。

　　供電企業(yè)建立和維護(hù)的是關(guān)系到國(guó)計(jì)民生的基礎(chǔ)性設(shè)施，其信息安全的水平不僅僅是企業(yè)本身需要重點(diǎn)關(guān)注的，而且也是社會(huì)和政府所關(guān)心的。因此，在電力體制改革和信息化的新形勢(shì)下，明確信息安全的戰(zhàn)略地位，樹立信息安全的正確認(rèn)識(shí)，建立信息安全體系的總體框架，并在企業(yè)中進(jìn)行堅(jiān)決、有力的人員、技術(shù)、政策等諸方面部署，是確保供電企業(yè)向適應(yīng)時(shí)代要求的現(xiàn)代化配電公司轉(zhuǎn)變的有力支撐。筆者將依據(jù)自身在供電企業(yè)信息安全領(lǐng)域的工作經(jīng)驗(yàn)和認(rèn)識(shí)，對(duì)供電企業(yè)信息安全的有關(guān)重大問題簡(jiǎn)要分析。由于水平和能力的限制，文中的不足肯定很多，只是希望能夠拋磚引玉，引起相關(guān)企業(yè)的領(lǐng)導(dǎo)和業(yè)務(wù)人員對(duì)信息安全工作的重視。

一、信息安全的定義

　　按照國(guó)際上的標(biāo)準(zhǔn)定義，信息安全是信息系統(tǒng)或者安全產(chǎn)品的安全策略、安全功能、管理、開發(fā)、維護(hù)、檢測(cè)、恢復(fù)和安全評(píng)測(cè)等概念的簡(jiǎn)稱。依據(jù)ISO74982中的開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)(如下圖所示)描述，信息安全應(yīng)包括：
　　●五類安全服務(wù)鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴
　　●能夠?qū)�這五類安全服務(wù)提供支持的八類安全機(jī)制和普遍安全機(jī)制加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)交換、業(yè)務(wù)流填充、路由控制、公證
　　●需要進(jìn)行的三種OSI安全管理方式

二、信息安全環(huán)境的演變及衍生要求

　　信息安全是一個(gè)社會(huì)技術(shù)系統(tǒng)，其與所處的環(huán)境有重大而密切的聯(lián)系。環(huán)境的變化必然會(huì)導(dǎo)致對(duì)信息全的要求的調(diào)整，而信息安全的水平也能反動(dòng)于周邊的環(huán)境，以下試舉數(shù)例說明:
　　●2001年中發(fā)生的911事件，不但是國(guó)際政治、經(jīng)濟(jì)領(lǐng)域的一大沖擊，而且對(duì)信息安全也意義深遠(yuǎn)。入駐于世界貿(mào)易中心的跨國(guó)集團(tuán)中由于此前信息安全體系的水準(zhǔn)不一而形成了業(yè)務(wù)恢復(fù)時(shí)間的極大差異，平素重視信息安全工作的企業(yè)可以在數(shù)小時(shí)內(nèi)通過異地?cái)?shù)據(jù)中心快速恢復(fù)業(yè)務(wù)的運(yùn)營(yíng)，而信息安全基礎(chǔ)差的企業(yè)則由于恐怖襲擊而陷入業(yè)務(wù)停頓和紛繁的糾紛當(dāng)中，兩相比較，高低立現(xiàn)，也充分證明了信息安全與環(huán)境的互動(dòng)性及信息安全的重要性。目前，在美國(guó)企業(yè)的IT投資中信息系統(tǒng)安全部分已占12%的分額，預(yù)期在今后5年中還將有平均15%的年增長(zhǎng)率。
　　●2001年的中國(guó)九運(yùn)會(huì)網(wǎng)站在運(yùn)行期間受到將近90萬次的攻擊，而2001年上半年的中美黑客大戰(zhàn)除輕微的政治影響外，倒是對(duì)雙方的信息系統(tǒng)的安全進(jìn)行了真實(shí)的考驗(yàn)，然而事實(shí)證明，大家的信息系統(tǒng)在黑客的攻擊下，顯得風(fēng)雨飄搖，暴露出許多的安全漏洞。
　　●自2002年起，連續(xù)發(fā)生的鑫諾衛(wèi)星信息干擾、北京機(jī)場(chǎng)和上海市第一人民醫(yī)院信息系統(tǒng)癱瘓等事件在社會(huì)上產(chǎn)生了極其惡劣的影響，也說明了信息安全的對(duì)手絕不僅僅是一般的網(wǎng)絡(luò)黑客，而是包括以法輪功為代表的國(guó)內(nèi)外反動(dòng)勢(shì)力在內(nèi)的敵對(duì)力量，他們利用高新技術(shù)手段發(fā)動(dòng)的攻擊較之以前的方式更加隱蔽，破壞程度也更加嚴(yán)重。
　　●從政府對(duì)信息系統(tǒng)安全等級(jí)的劃分標(biāo)準(zhǔn)看，一般將電力企業(yè)作為公用事業(yè)的一部分放置于與銀行、證券等行業(yè)相同的級(jí)別上，國(guó)家和地方政府已經(jīng)或即將出臺(tái)的各項(xiàng)政策法規(guī)也正在逐步加強(qiáng)對(duì)重要企業(yè)的信息系統(tǒng)安全的監(jiān)管。僅在2002年,就有國(guó)家經(jīng)委第30號(hào)令、上海市信息化辦公室的《關(guān)于保障重要信息系統(tǒng)安全運(yùn)行的通知》（滬信息辦安[2002]223號(hào)文）等重要文件對(duì)電力企業(yè)的信息安全工作進(jìn)行了指示和布置。因此，建立和完善企業(yè)信息系統(tǒng)安全體系，不但是企業(yè)自身的需求，而且也逐漸成為政府和社會(huì)對(duì)企業(yè)的迫切要求。
　　從動(dòng)態(tài)變化的周邊環(huán)境看，信息安全的對(duì)手可能來源于道德、意識(shí)形態(tài)、政治、經(jīng)濟(jì)等各個(gè)領(lǐng)域，應(yīng)對(duì)的難度也更高，從因此對(duì)企業(yè)信息安全的衍生要求看，主要包括以下幾個(gè)方面：
　　●對(duì)信息安全的認(rèn)識(shí)必須上升到“講政治”的高度，信息安全不但關(guān)系企業(yè)的正常運(yùn)營(yíng)，也同時(shí)對(duì)國(guó)計(jì)民生會(huì)產(chǎn)生重大影響，如果忽視這一點(diǎn)，將可能造成對(duì)人民、社會(huì)甚至是國(guó)家安全的不利影響。
　　●信息安全必須標(biāo)準(zhǔn)化，保證縱向和橫向的統(tǒng)一和規(guī)范化，做到標(biāo)準(zhǔn)由上而下的逐層貫徹和細(xì)化，以政府標(biāo)準(zhǔn)為綱，以行業(yè)標(biāo)準(zhǔn)為目，在此基礎(chǔ)上結(jié)合企業(yè)的實(shí)際狀況與要求，制訂兼具適用性、先進(jìn)性的企業(yè)信息安全準(zhǔn)則，并結(jié)合該準(zhǔn)則的內(nèi)容進(jìn)行分解，確立各領(lǐng)域和模塊的實(shí)施細(xì)則。
　　●信息安全體系要具有開放性和適應(yīng)性，由于企業(yè)內(nèi)外部環(huán)境的變化致使對(duì)企業(yè)的信息安全體系的要求也有持續(xù)不斷的變化，如果信息安全體系不具備動(dòng)態(tài)適應(yīng)能力，則其必然不能適應(yīng)多變的環(huán)境，隨之而來的就是信息系統(tǒng)的整體脆弱性和易受攻擊性。
.
三、信息安全的認(rèn)識(shí)誤區(qū)

　　信息安全體系的建立和完善是一項(xiàng)長(zhǎng)期的系統(tǒng)工程，它牽涉到企業(yè)內(nèi)外各方面的資源的優(yōu)化和整合，而做好這項(xiàng)工作的重要前提就是大家對(duì)信息安全能有統(tǒng)一、明確的認(rèn)識(shí)。在上文中，我們多次論述到信息安全的系統(tǒng)性、整體性、重要性和緊迫性，但在實(shí)踐工作中還是容易產(chǎn)生認(rèn)識(shí)上的誤區(qū)，因此有必要在本節(jié)中進(jìn)行專門的論述：
　　●提供全面解決方案（totalsolution）從實(shí)際狀況看，對(duì)于動(dòng)態(tài)變化的信息安全問題，人們還沒有一個(gè)全面的、完整的認(rèn)識(shí)和解決方法，因此不存在一個(gè)能夠覆蓋信息安全的所有領(lǐng)域和方面的全面解決方案，說白了，TotalSolution只不過是用戶的美好愿望和廠家的廣告說詞而已。
　　●確保100%的安全性–就如電網(wǎng)不可能達(dá)成100%的可靠性一樣，再完善、可靠的信息系統(tǒng)也不能確保100%的安全系數(shù)，只是我們能通過各方面的管理和技術(shù)手段去努力加強(qiáng)安全，進(jìn)而逐步逼近100%，但也永遠(yuǎn)只能是接近，而并不能達(dá)到。
　　●外防重于內(nèi)防–實(shí)際情況恰恰相反，企業(yè)信息系統(tǒng)遭受的攻擊90%以上來自于內(nèi)部，而這些攻擊中90%以上能取得不同程度的效果，對(duì)信息系統(tǒng)造成損害。
　　●信息安全就是網(wǎng)絡(luò)安全–事實(shí)上，信息系統(tǒng)安全的范圍要廣泛的多，除網(wǎng)絡(luò)安全外，信息安全和系統(tǒng)安全都具有同等或更高的重要性，僅僅通過架設(shè)Firewall就能實(shí)現(xiàn)信息系統(tǒng)安全的想法有些幼稚。
　　●技術(shù)措施解決一切問題–誠(chéng)然，利用各種先進(jìn)技術(shù)手段可以幫助加強(qiáng)和鞏固信息系統(tǒng)安全，但信息系統(tǒng)安全工作的成功關(guān)鍵在于建立一套完整的信息系統(tǒng)安全體系，以管理、制度、人員、技術(shù)等全方位的要素配合推動(dòng)，偏廢任何一項(xiàng)都不可能成功。
　　●信息系統(tǒng)安全純粹是信息部門的工作–就如真正成功的信息系統(tǒng)必定是信息部門與業(yè)務(wù)部門良好協(xié)作的結(jié)晶一樣，信息系統(tǒng)安全工作的成功也無法脫離業(yè)務(wù)部門的配合和支持，從廣義的角度看，信息系統(tǒng)安全必須考慮業(yè)務(wù)的需要和企業(yè)文化，并贏得企業(yè)各級(jí)人員的支持才能見效。
　　以上列出的是在信息安全領(lǐng)域最容易產(chǎn)生的思想上的誤區(qū)，可以說，消除上述的誤區(qū)并不能確保信息安全工作的順暢進(jìn)行，但存在上述誤區(qū)必定會(huì)實(shí)實(shí)在在地產(chǎn)生阻礙。

四、信息安全標(biāo)準(zhǔn)

　　信息安全標(biāo)準(zhǔn)是我國(guó)信息安全保障體系的重要組成部分，是政府進(jìn)行宏觀管理的重要依據(jù)。信息安全標(biāo)準(zhǔn)化是一項(xiàng)艱巨、長(zhǎng)期的基礎(chǔ)性工作。我國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)已批準(zhǔn)成立全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，它將協(xié)調(diào)各有關(guān)部門，本著平等、公開、協(xié)商的原則組織提出一套系統(tǒng)、全面、分布合理的信息安全標(biāo)準(zhǔn)體系，以信息安全標(biāo)準(zhǔn)體系為工作依據(jù)有步驟、有計(jì)劃地進(jìn)行信息安全標(biāo)準(zhǔn)的制定工作。
　　在國(guó)家標(biāo)準(zhǔn)的基礎(chǔ)上，國(guó)家電力公司有關(guān)部門正在逐步制訂和完善行業(yè)內(nèi)標(biāo)準(zhǔn)，對(duì)電力企業(yè)信息系統(tǒng)進(jìn)行了安全層次的劃分，明確了不同的防護(hù)級(jí)別和防護(hù)策略，尤其強(qiáng)調(diào)要以管理和技術(shù)為抓手，掌握“三七”原則（三分技術(shù)，七分管理），逐步完善企業(yè)信息安全體系。各網(wǎng)級(jí)、省級(jí)電力公司也依據(jù)上級(jí)有關(guān)標(biāo)準(zhǔn)進(jìn)行了細(xì)化和分解，制訂了實(shí)施細(xì)則。供電企業(yè)作為電力公司下屬單位，將嚴(yán)格遵循國(guó)家、行業(yè)和上級(jí)單位的相關(guān)標(biāo)準(zhǔn)。同時(shí)，供電企業(yè)也將結(jié)合本企業(yè)的實(shí)際狀況制訂和豐富具體相關(guān)的標(biāo)準(zhǔn)，形成縱橫貫通、完整有序的標(biāo)準(zhǔn)體系，以更科學(xué)和合理地指導(dǎo)企業(yè)信息安全工作。

五、信息安全框架

　　我們考慮用WPDRRC這六個(gè)環(huán)節(jié)和人、政策（包括法律、法規(guī)、制度、管理）和技術(shù)三大要素來構(gòu)成宏觀的信息網(wǎng)絡(luò)安全保障體系結(jié)構(gòu)的框架。該框架反映六項(xiàng)能力：預(yù)警能力、保護(hù)能力、檢測(cè)能力、反應(yīng)能力、恢復(fù)能力、反擊能力，其核心是實(shí)現(xiàn)企業(yè)信息安全資源的綜合管理，即EISRM(EnterpriseInformationSecurityResourceManagement)。EISRM的重點(diǎn)是兩大主要特征：其一，信息安全是非常重要的企業(yè)基礎(chǔ)資源，信息安全得不到保障，企業(yè)的信息化管理就是空中樓閣，從而影響到整個(gè)企業(yè)管理水平的提升，甚至是對(duì)生產(chǎn)經(jīng)營(yíng)造成危害，對(duì)國(guó)民經(jīng)濟(jì)具有重要意義的企業(yè)更是帶來極其嚴(yán)重的社會(huì)影響。其二，信息安全是一種綜合資源，而非單一的技術(shù)系統(tǒng)，包括企業(yè)能力、人、技術(shù)、政策都是其密不可分的組成部分，只有將這些相關(guān)資源整合成一套體系，才是真正意義上的信息安全。以上兩點(diǎn)是區(qū)分傳統(tǒng)信息安全觀念的根本特征，也是本問描述的信息安全體系框架的基石。

六、信息安全策略

　　根據(jù)企業(yè)信息安全資源管理的體系框架，企業(yè)可以結(jié)合WPDRRC能力模型，從人員、技術(shù)、政策幾方面考慮信息安全資源管理的實(shí)施，主要包括組織機(jī)構(gòu)的建立、人員的配備、管理制度的制定、安全流程的明確等，并切實(shí)做好物理安全管理、中心機(jī)房管理、主機(jī)安全管理、數(shù)據(jù)庫(kù)安全管理、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)終端管理、軟件安全管理，確保日常和異常情況下的信息安全工作持續(xù)、有序地開展。為便于實(shí)施，筆者總結(jié)了以下一般性安全策略供參考：
　　1、各部門(單位)樣采用共享的、可靠且可信的系統(tǒng)運(yùn)行環(huán)境來保護(hù)個(gè)人隱私和業(yè)務(wù)交易數(shù)據(jù)的安全。部門(單位)不應(yīng)損害本企業(yè)或經(jīng)由本企業(yè)信息系統(tǒng)所保存、處理和傳送的數(shù)據(jù)的機(jī)密性、完整性和可靠性，并以關(guān)鍵性業(yè)務(wù)為基礎(chǔ)，與企業(yè)業(yè)務(wù)持續(xù)性計(jì)劃相結(jié)合。
　　2、各部門(單位)采用已制定的企業(yè)信息安全策略，標(biāo)準(zhǔn)、過程和程序，加強(qiáng)培育信息安全文化，加強(qiáng)員工的安全意識(shí)，確保員工在信息安全程序中具備正確態(tài)度，使員工意識(shí)到信息安全的必要性，并進(jìn)行必要的培訓(xùn)，以便于實(shí)行責(zé)任范圍內(nèi)的安全程序。
　　3、各部門(單位)應(yīng)定期(每年至少一次)地對(duì)信息安全的處理、程序及實(shí)施進(jìn)行評(píng)價(jià)，或在商業(yè)、計(jì)算或通信環(huán)境有重大變動(dòng)后進(jìn)行評(píng)價(jià)，并進(jìn)行正確的調(diào)整。企業(yè)信息安全主管部門和人員必須提供適當(dāng)?shù)闹笇?dǎo)和檢查列表以幫助完成評(píng)價(jià)，各部門應(yīng)提供相應(yīng)的評(píng)價(jià)文檔。首次評(píng)價(jià)應(yīng)在評(píng)價(jià)指南和檢查列表公布后的半年內(nèi)，而審計(jì)和考核則應(yīng)在其他主管主持下進(jìn)行。
　　4、各部門(單位)要遵守安全審計(jì)，以與其它企業(yè)策略、標(biāo)準(zhǔn)、過程和程序相符。
　　5、各部門(單位)要定期(每年至少一次)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)風(fēng)險(xiǎn)評(píng)估。評(píng)估結(jié)果應(yīng)用于識(shí)別、優(yōu)先級(jí)區(qū)分、計(jì)劃以及實(shí)施附加的安全防護(hù)措施。信息技術(shù)部門安全人員可進(jìn)行隨機(jī)的抽查來作出評(píng)價(jià)，并對(duì)評(píng)估和建議修正后的安全風(fēng)險(xiǎn)負(fù)責(zé)。
　　6、各信息系統(tǒng)在投運(yùn)前須通過企業(yè)信息安全的認(rèn)證和鑒定,而對(duì)信息系統(tǒng)的監(jiān)測(cè)由信息技術(shù)部門來進(jìn)行。
　　7、企業(yè)在信息安全方面的舉措應(yīng)嚴(yán)格遵守政府的法規(guī)，尤其注意根據(jù)保護(hù)個(gè)人隱私。
　　8、企業(yè)信息安全策略的制訂并非一勞永逸，在未來應(yīng)根據(jù)內(nèi)外部環(huán)境的變化進(jìn)行動(dòng)態(tài)調(diào)整，以具備良好的適應(yīng)性。 正成功的信息系統(tǒng)必定是信息部門與業(yè)務(wù)部門良好協(xié)作的結(jié)晶一樣，信息系統(tǒng)安全工作的成功也無法脫離業(yè)務(wù)部門的配合和支持，從廣義的角度看，信息系統(tǒng)安全必須考慮業(yè)務(wù)的需要和企業(yè)文化，并贏得企業(yè)各級(jí)人員的支持才能見效。