浅谈县级供电企业信息安保人因风险及应对措施

(整期优先)网络出版时间:2019-11-04
/ 2

浅谈县级供电企业信息安保人因风险及应对措施

王永亮李润芳

国网邯郸市永年区供电分公司057150

摘要:随着信息网络技术的飞速发展和各种信息系统深化应用,信息网络安全越来越重要。影响信息网络安全的不仅有技术问题,更重要的是人的因素,了解人的心理对信息安全的影响是非常重要的。本文从介绍信息网络安全定义入手,列出常见威胁种类及防控措施,具体分析了人的心理因素造成的信息安全风险,并结合日常工作探讨解决措施。

关键词:信息安全;人因风险;解决措施

1引言

随着日常信息系统的深入应用,为供电企业生产经营服务提供了便利的同时,信息网络安全问题也日益重要。信息网络安全事关国家的安全、企业的机密、个人的隐私等诸多方面,影响信息网络安全的因素很多,电力企业非常重视信息安全管理,采取多种技术措施和管理措施来保障信息网络安全稳定运行,但在实际工作中还有很多问题需要解决,其中最突出的就是人的因素对信息安全的影响。据调查统计,已知的信息安全事件中有80%的是由于人的原因引起的,因为无论技术发展如何完善,也离不开人的操作和执行。本文从人的角度进行分析探讨,为做好信息安保工作提供参考。

2信息网络安全风险和防范措施问题

信息网络安全不仅指“信息的安全”,还包括“网络系统的安全”。信息的安全是指保护基础运行信息、服务器信息、用户信息、网络资源等数据或信息的机密性、完整性和可用性。网络系统的安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。信息安保是指保障信息网络设备中的硬件、软件和系统的安全稳定运行状态,不发生泄密事件。

影响信息安保工作的隐患风险多种多样,既有信息网络设备硬件缺陷,也有操作系统和应用系统软件漏洞,更有外界黑客攻击、木马植入、病毒入侵和社会工程学攻击等。现在几乎每天都有媒体在提醒又有新的高危漏洞,又出现了新的病毒,各种各样的威胁充斥网络,提醒人们小心、小心、再小心。对此,县级供电企业的信息安保采用网络隔离、防火墙、入侵检测、入侵防御、数据加密和安装应用防护、漏洞补丁、杀毒软件等多方面技术防护。一方面是信息安全运维保障人员提心吊胆、如履薄冰,怕发生信息安全事件;另一方面,还存在部份员工漠不关心、我行我素。他们的言行为对信息安全产生直接或间接的影响,充分了解他们的心理,对提高企业信息安全水平非常必要。

3人的心理因素对信息安全的威胁

企业信息系统的安全防御是一个错综复杂的系统,不仅涉及技术要素,更重要的是人为因素。人为失误会造成信息安全风险,基层供电企业人员技能水平也会对信息安全工作造成风险;而人处在一定的社会环境中,自身如何看周围事物,其心理行为对信息安全造成威胁:

3.1心怀不满

从目前的情况看,对所有的信息网络系统来说,内部心怀不满的员工威胁是最为严重的,可能造成巨大的损害。比如插拔一根网线,开关一路电源,都能给企业信息网络正常运行造成重大影响。

3.2动机不纯

员工动机不良,很容易造成企业敏感信息外泄,为企业带来社会影响、损害企业利益。

3.3求快心理

信息安全规章制度和保障措施,要求行为遵守安全规则,规则造成了不便,为方便违反了规则就会发生信息安全事件。如规定“忘记口令需交信息维护部门进行处理”,有的基层人员忘了开机密码,因工作着急使用计算机,就到附近电脑维修门市请人通过工具清除密码,虽然较快完成了工作任务,但是发生了弱口令报警事件。

3.4侥幸心理

如为防止发生病毒接触和感染事件,规定内网微机不能使用移动介质。有的人认为只是用U盘拷贝个文件,不会感染病毒,实际上却发生病毒木马接触感染事件,其病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。

4减少人为因素风险措施

人的因素对信息安全影响重大,不能只是把“信息安全与生产安全同样重要”停留在口头上,应该从组织、管理等多方面入手,不断完善组织机构、健全管理制度、加强宣传培训,多方位齐抓共管,切实解决人的因素对信息安全的影响。

4.1健全组织机构

信息安全在本质上是多学科、多部门和多组织共同作用的结果,不可忽视其它部门影响因素,欲达到一个理想的信息安全水平,需各个部门的支持和合作。而县级供电企业信息运维人员少、岗位不明确,组织机构不健全,基层兼职信息安全员变动大,时有时无形同虚设。要建立健全自上而下的信息安全领导机构,由企业负责人直接牵头,各个层级都有相应的负责人,认真负责地发挥带头作用,以带点面,多级层人员共同贯彻落实信息安保措施,及时发现信息安全隐患,避免从众、无知、习惯、侥幸心理造成的安全风险。

4.2强化制度落实

信息安全不只是一个技术问题,还需要有效的规章制度、标准规程管理,绩效考核制度约束,保障信息安全措施落实到位、违反规定受到处罚。虽然目前电力企业信息安全相关制度标准比较完备,但是在具体落实上还存在差距,上有政策,下有对策,这需要加强督导检查、调研暗访、通报考核等管理力度,消除心怀不满、恶意破坏和推诿塞责等信息安全隐患。

4.3确保培训效果

目前信息安全存在的主要问题就是人员的信息安全意识问题,特别是县级供电企业员工文化素质和知识技能水平有限,需要开展长期有效的信息安全宣传培训,不断提高全员信息安全意识水平。一是通过张贴标签标识、设置屏保、制作展板、图书、网页、微信等多种形式加强信息安全宣传,使员工在工作环境中耳熏目染提高信息安全意识;二是针对不同级别和岗位的员工,开展集中、现场、网上等多种形式的培训,对信息安全中重点难点进行培训;三是通过考试、竞赛、比武等方式,表彰先进,鞭策落后,巩固学习培训成果,提高员工的参与程度和数量,形成人人讲安全的浓厚文化氛围,达到提高信息安全水平效果。

总之,要做好信息安保工作很难也很简单,说难是因为一不小心就会发生信息安全事件,说简单是因为只要做好一点,就是每个人脑子里都时刻绷紧信息安全这根弦,按信息安全保障要求做好该做的事情,禁止的事情坚决不做,就可以避免大多数的信息安全事件。

5结束语

信息安全保障不仅是技术问题,再完善有效的技术不能确保信息安全,还需要人在信息安全中发挥作用。态度决定成败,只有企业全体员工端正态度,从思想上重视信息安全,不断提高安全意识和技术水平,充分发挥每个人的主观能动性,认真负责地落实每项信息安全要求,才能保障信息网络设备系统安全稳定运行,让企业信息化水平再上一个新台阶。

参考文献:

[1]潘静,王朝阳.信息安全防护措施在供电公司的应用研究[J].企业改革与管理,2017(14):220.

[2]吴金文,程丽琴.浅析供电企业信息安全管理[J].科技与创新,2015(11):50-51.

[3]罗银艳,韩晓伟.县级供电公司信息安全风险和防护对策解析[J].中国新通信,2015,17(18):55.

作者简介:

王永亮(1972年4月),男,河北省邯郸市永年区,国网河北省电力公司邯郸市永年区供电分公司,网络工程师,信息网络运维。

李润芳(1984年5月),女,河北省邯郸市永年区,国网河北省电力公司邯郸市永年区供电分公司,电力工程师,纪检监察初级师。