◆王皓然

管理与技术并重的信息安全综合治理

◆王皓然

（贵州电网有限责任公司信息中心 贵州 550002）

对于管理与技术并重信息安全的综合治理，本文首先是分析了目前电力行业常见的信息安全的问题，然后分析了已有的各个方面的信息安全管理实践，最后提出了当下如何综合性治理信息安全工作的思路。

管理；技术；信息安全；综合治理

0 前言

众所周知，当前在信息技术应用和推广当中存在最为广泛并且普遍的问题就是信息安全的问题。如今飞速发展和应用广泛应用的信息技术，由于信息安全管理人员工作不到位又或信息安全体制建设不够全面而引发的安全事件层出不穷。如何有效的预防和治理新形式下的信息安全问题已然成为当前信息安全管理人员的重要挑战。

随着电力行业信息化建设的稳步发展，中国南方电网公司下属的贵州电网有限责任公司在国家相关政策和中国南方电网公司的指导下，围绕公司信息安全管理体系完成了贵州电网有限责任公司信息安全管理制度的制定、修编和落实工作。但随着信息安全工作的深入开展，如全省信息安全检查、信息系统一体化风险评估、信息系统入网安全测试发现,日常安全管理中还是存在管理制度落实不到位或者技术规范落实不到位的情况发生。在信息安全问题日益严峻的今天,如何在新形势、新环境、新挑战下完成信息安全保障工作是每一个信息安全管理人员需要面临的问题。

1 产生信息安全风险的来源

1.1 关于信息安全风险的根源性问题

每个事情的发生觉得不是单向的，而是众多东西作用与合力的结果，比如说事故的意外发生、自然灾害的出现以及泄露的信息和对信息的不当使用。但是主要的还是技术和管理机制的缺陷才导致了安全的风险。其实这种风险在一定程度上都可以规避，主要还是在细节上。

我们从技术方面进行分析，主要是缺陷性的技术和不正当使用技术。但是不断发展和进步的技术也有着各种各样的问题，这些问题持续性的存在并发展着，在不断克服旧问题的时候又会产生新的问题。在应用技术的时候应该充分的认识这些问题，并且正确的使用技术，要不然就很容易引起风险性的问题，从而发生一系列的安全风险。

而信息技术安全问题则是一直存在的，技术风险是并没有永久性根除性解决方式，我们虽然无法找到一劳永逸的解决方式，但是我们可以不断的进化这些解决方式，从而更好的解决问题。

不够健全的管理体制是管理方面重要的风险来源。这些包括很多方面，或者是架构组织的问题，或者是分工职责的问题。没有落实的管理要求，也就出现在了执行上，所以应该好好的执行这些问题，才能够保证安全。

1.2 关于信息安全风险的类别性问题

电力行业中的信息技术和产品的应用规模已经相当的庞大，能够将信息技术广泛的应用则是一个很好的方式。对于电力行业的信息安全风险则是主要体现在以下几个方面。首先是生产安全风险，对于部分电力系统来说，系统的可持续运行显得非常重要，需要有所保障，而不间断的服务也是如此。其次则是信息安全风险的问题，面临的风险不仅有敏感的信息，也有安全保护重要交易所面临的风险，具有保密性，可以访问性并且可以防止抵赖性的重要交易，以及加密、电子签名还有身份认证的问题等等。

当然，这些风险仅仅是主要风险，其它的风险也不可忽视，例如外包的风险，也是一个很重要的考虑方面作为信息安全管理中的问题。集中性的外包是否可靠，以及一个外包公司应该具有的运营性问题，我们都不能忽视这些问题，因为越是细节就越是会出现问题。

1.3 安全信息管理需要考题的其它问题

管理和技术是信息安全管理中两者都需要兼顾的方面，两者都起到相辅相成的作用。首先是对于信息的安全管理，需要具备合理的法规和合理的进行，并且作为指导思想应该围绕着整个信息安全区开展。对于落实信息安全的规章制度能够及时的提出、修改并且落实下去，不断的完善并且进行信息管理。第三则是安全可以控制，它不仅作为一种国家战略存在，也是企业的一种安全所需，所以安全策略必须是有效可以实施的。

2 电力方面的信息安全管理实践

信息技术一直是电网行业非常重要的一个内容，在公司“十二五”期间，完成了公司网络重要节点的相关安全设备如入侵防御（IPS）、应用防火墙（WAF）、防病毒网关的部署和建设工作；通过信息安全工作的深入开展，各类业务系统的安全问题逐渐暴露出来如SQL注入、XSS跨站脚本攻击、未授权访问等等，面对日益繁多的安全问题，贵州电网从实际出发，结合已有的安全手段和技术力量，基本完成了信息系统的安全保障工作。尽管这样，我们还是无法忽视现阶段电力系统面临的严峻的安全问题；“居安思危”、“危机意识”、“时刻准备着”才是一个合格的信息安全管理人员应用的态度和意识。

纵观信息安全行业的发展趋势，结合已有的安全工作经验，加强内部信息安全管理制度落实、强化员工信息安全防范意识、常态化开展信息安全巡检工作是目前增强企业内部网络安全防护能力行之有效的方式和方法。但说到如何将管理与技术有效的结合起来，综合治理当前企业遇到的各类信息安全问题依然是眼下很长一段时间作为信息安全管理人员的首要任务。

3 综合性治理信息安全工作

3.1 综合性的治理信息安全

兼顾住管理与技术，并有拥有较硬的思路:两手抓两手。这些都是很重要的信息安全工作。而综合管理信息安全和综合运用信息安全技术都是综合治理主要表现的两个方面。

首先是综合管理信息安全。信息科技部门以及风险管理部分还有稽查检查部门都是信息安全管理涉及的一个个部门，这些部门有着各自的职责，并且它们的管理应该具有独立性。想要有效的将风险降低就应该让各部门之间显得独立但是又具有合作性，这样才能更好的管理各个信息部门。比较好的方式是将联席会议建立起来，联合工作组也是一个比较好的方式，这样就能更好的沟通信息并且将工作做以更好的总结和改善。当然信息部门也要建立一个加好的合作机制，将工作研讨与交流放在固定的时间内进行，这样就能够更好的改进工作。

其次则是综合运用的信息安全技术。良好的运用信息安全技作为一种重要的手段能够跟更好的提高信息安全的保障能力。不过更加复杂和多样的金融服务导致后后来的信息技术安全也有其它的特点，例如多样化。不同的信息安全保障手段和不同的手段间的不同特点都需要一定的应用和保障。所以说，按照统一的信息安全策略进行综合的使用是信息安全技术的良好手段。

3.2 关于信息安全工作的运用的重要方针

信息安全工作的首先应该具有能合理实施性的基本方针，而主要体现在以下几个方面。首先是依据法律并且符合规范，核心是国家的法律，而依据则是政策法规，抓手是内控制度，基础又是标准规范。其次是综合治理，应该兼得技术和管理，达到相辅相成的结果。第三是对于落实的狠狠掌控，制度的建设和落实需要重要制度的掌握，而技术的体系设计与实施也很重要。最后则是可以控制的安全范畴，应该很好的结合引进吸收和自主研发，并且更好的结合起来外购产品与国产化。

具有方法性的做好信息安全工作非常重要，而其中体现在一下四个方面。首先是管理，落实是管理的重点，将风险意识有所强化，并且将规章条例严格执行，从而采取不同角度的多方位管理。其次则是技术，将技术有所保障，有效的规范这些行为，并且达到安全可以控制的方面，采用更多的手段进行整治，能够看到一定的前瞻性。第三则体现在技术方面，能够将此分类分级，针对不同的信息安全等级与要求能够进行不同实施性质的安全措施。最后一点是策略，应该制定具有可行性和合理性的方针政策。综合评估一些时间、成本和利益与代价方面的东西，能够选择较为合适的并且实施下去。

4 结束语

“三分技术，七分管理”，做好信息安全工作的前提就是强烈的安全意识，没有基本的安全意识，一切就都是空谈。通过不断的实践和例子，可以明显的看出缺乏安全意识就会导致很多安全问题的产生，也就会产生众多的安全问题。而本文谈到的综合性治理信息安全工作，综合性的治理信息安全和关于信息安全工作的运用的重要方针。安全工作需要努力，否则一切就是空谈。

[1]陈荣卓.“草根”法律服务组织:属性变迁与进路选择[D].华中师范大学，2008.

[2]张化冰.互联网内容规制的比较研究[D].中国社会科学院研究生院，2011.

[3]李鹰.行政主导型社会治理模式之逻辑与路径[D].武汉大学，2012.

[4]闫辰.现代国家治理视野下中国执政党决策机制的变革与优化[D].吉林大学，2015.

[5]胡鞍钢，王亚华.如何看待黄河断流与流域水治理——黄河水利委员会调研报告[A].国情报告第五卷2002年（上）[C]，2012.

[6]赵大鹏.中国智慧城市建设问题研究[D].吉林大学，201 3.