伴随信息技术的发展,电力企业的信息化程度越来越高。网络与信息系统有效支撑了公司各项业务的开展,全面提高了电网安全、生产效率和服务质量,其基础性、全局性、全员性作用日益增强。信息安全作为信息化深入推进的重要保障,与电网安全生产密切相关,对公司生产、经营、管理工作有重要意义,对电网安全有着重大影响,面临的形势严峻。
培育全员安全文化,要坚持“安全第一,预防为主,综合治理”的方针,牢固树立安全发展、健康发展的理念。在信息安全管理中要坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,坚决执行各项规章制度,不断提升人员信息安全和保密意识,全面保障电力企业信息安全。
1 影响信息安全的人为因素分析 1.1 员工岗位调动带来的信息安全风险
由于工作需要,经常发生人员岗位调动的情况,尤其是在“三集五大”体系建设过程中,员工岗位调动较多。一方面,岗位的调动必然带来相关信息系统权限的变更,但在实际操作中,往往是信息系统权限的变更远远滞后于岗位变动,给信息系统带来安全风险。另一方面,岗位交接过程如不严格把关,会产生企业生产、管理等信息丢失的风险。
1.2 未严格执行信息安全规章制度
企业员工信息安全意识淡薄、疏于防范,对已知的信息安全风险存在侥幸的心理,一些人员不遵循企业的信息安全规章制度,出现如计算机弱口令、无屏保或屏保时间过长、未关闭不必要的服务等现象,信息安全保密意识淡薄,对违规操作明知故犯。
1.3 员工抵触情绪产生的计算机“裸奔”隐患
企业要求必须安装指定的防病毒软件和桌面管控系统,因此会造成计算机运行速度变慢,使用性能下降,部分员工主观上不愿接受技术防范安全管理,造成部分安全产品客户端软件安装不全,甚至出现没有安装的现象,使得计算机出现“裸奔”现象,成为计算机病毒、木马等各种黑客软件攻击的对象。更为严重的是,这会给整个电力系统内网带来安全威胁。
1.4 内网计算机存在违规外联隐患
部分员工通过USB接口将手机接入内网计算机,给手机充电或将手机上的照片导入计算机,导致违规外联;还有极个别员工企图用内网计算机插入无线网卡或直接接入互联网下载资料、升级软件等,同样导致违规外联。目前还存在对外来人员和新进人员的宣传教育不足,造成这些人员使用内网计算机时构成违规外联的安全隐患。
1.5 安全移动存储介质使用中的安全隐患
部分员工在使用安全移动存储介质时,未按要求进行注册或未修改初始密码,在企业信息内外网间及因特网数据交换的过程中,未将涉及企业秘密的信息放在保密区。同时还存在将安全移动存储介质随意乱放,安全移动存储介质的维修工作由非专业技术人员负责,出现故障报废的存储介质未及时销毁等现象。
1.6 笔记本电脑使用中的安全隐患
部分员工由于工作需要在笔记本电脑上处理、存储工作信息,在用完后未及时删除重要信息,造成信息泄露,或笔记本电脑故障外送维修时,未考虑到是否存有涉密或工作信息,忽略监督维修过程,从而构成了泄密隐患。
1.7 员工的无意失误
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强、用户口令选择不慎、用户将自己的帐号密码随意转借他人等都会给网络信息安全带来威胁。
2 培育全员安全文化的途径
2.1 加强机构变动及人员岗位调动后信息安全管理
严格做好机构变动、人员岗位调动后的信息安全管理工作,确保信息网络设备安全运行。一方面加强对制度的宣贯。机构变动后要及时组织全员学习相关信息网络安全管理制度,要求全员严格遵守信息安全相关规定。另一方面及时梳理更新用户。根据人员调动情况,对内网终端计算机用户进行排查,及时增加新用户,删除岗位调离的用户,在新计算机入网前,要按照计算机管理办法履行接入申请手续后方可接入信息内网,并按照计算机管理办法和计算机加固指南,对原有用户或原计算机先进行注销,后进行注册,确保信息安全管理规范、有序进行。
2.2 加强安全组织管理,提高全员信息安全意识
要切实提高对信息安全管理工作的认识,充分发挥安全组织机构的管理作用,进一步强化三级安全生产责任制度,安全生产工作做到逐级负责、落实到人,提高全员信息安全意识。首先,要成立信息安全领导小组,根据工作需要及岗位的变化,适时调整小组成员,定期召开领导小组会议,解决信息安全工作中遇到的问题。其次,要设立信息安全专职管理员,规定相应的岗位职责,明确信息安全工作要求,为信息安全管理提供制度保障。最后,要明确各级员工的信息安全职责,并由信息部门定期开展信息安全检查,促使其规范地使用计算机。
2.3 重视信息安全管理制度的完善与落实
企业管理制度是基于企业组织结构之下的,企业为求得利益最大化,在生产与经营实践活动中制定的强制性规范。信息安全管理制度是电力企业管理制度的重要组成部分,是实现企业安全目标的强制性措施,是员工从事安全生产的行为规范。重视企业信息安全文化建设就要重视信息安全管理制度的完善与落实。
2.4 定期开展信息安全检查,促进企业信息安全
定期开展信息安全检查是促进企业信息安全管理的有效途径之一。在信息安全管理中要加强日常检查和指导,并定期地开展各项综合检查和专项检查,使各项规章制度渗透到日常的工作中,从而强化规章制度的约束力。通过检查,及时发现信息安全隐患,积极采取有效措施,及时清除安全隐患,促使员工不断提高信息安全的意识,自觉有效地降低人为的信息安全风险,将可能出现的信息安全事件消灭在萌芽状态。
2.5 建立信息安全培训长效机制
信息安全管理应建立信息安全培训的长效机制,保证信息安全管理的动态推进和持续改进。每年要制定切合实际的信息安全培训计划,并把安全培训与技能培训结合起来,以安全培训为契机,提高员工队伍的整体安全文化意识。培训内容除有关安全知识和技能外,还应包括对严格遵守安全规范的理解以及个人安全职责的重要意义等。
2.6 加强宣传,营造“保障信息安全人人有责”的良好氛围
信息运维人员在日常运维工作中,要坚持服务与传授计算机应用知识相结合,不断提高全员计算机操作水平。另外还可以利用公告、网站、协同办公平台、手机短信等多种方式加强宣传,有针对性地宣传上级有关信息安全的工作方针、政策;有选择性地公告一些安全技术、安全常识、事故案例等,供企业员工讨论学
习,使员工真正认识到信息安全的重要性,努力营造“保障信息安全人人有责”的良好氛围,让全员为信息安全风险防范构筑一道坚实的职业道德防护屏障。
2.7 加强计算机实体安全管理
加强对计算机实体的管理,防止涉密信息资料的泄露。加强密码与口令管理,密码设置必须符合安全要求并定期更换,确保口令、密码的有效性。注重计算机病毒的检测与防治,及时安装操作系统和应用程序漏洞补丁程序,安装桌面管控、防病毒等必需的信息安全产品,坚决杜绝内网计算机以任何形式的违规外联。
3 结语
建立信息安全文化意味着每一个员工都是保证安全的重要执行者,要增强网络与信息系统的安全,知道相关的安全风险和防范措施,并承担责任和采取措施。不能仅仅把信息安全视为技术层面的概念,而应当把它深化到全员意识中,将信息安全文化融入到员工的日常工作中,全面普及信息安全文化,只有这样才能为电力安全文化建设打下坚实的基础。
参考文献
[1] 刘燕辉,李南阳.全员安全文化是保障信息安全的有效手段[J].金融科技时代,2011,(10):72-74.
[2] 王淑英.加强安全文化建设 提升安全管理水平[J].企业研究,2011,(8):61-63.
因篇幅问题不能全部显示,请点此查看更多更全内容