络和计算机的使用已经普及到石热电厂的各个基层班组。石热电厂投入大量人力物力,建设各种安全防护设施,并在管理上先后制定各种管理标准,有效地确保了信息的安全。
首先,石热明确“一把手”为企业的信息安全第一负责人,建立发电企业信息管理系统,确立通过增强企业信息需求的能力来提高公司管理及效益的信息系统规划和目标。
2013年3月石热成立信息通讯中心,整合优质资源,进一步规范、建立健全了石热的信息管理组织机构,成立信息管理领导小组和工作执行小组,负责石热信息管理方面的决策、管理、指挥,为信息建设配备必要的人力、物力、财力,全面组织实施信息管理项目建设。
其次,制定符合实际需求的标准规章制度。标准化是工业化的基础,也是提高信息系统管理水平的基础。制定科学完善的标准,是信息安全管理的标准化管理的需求。石热制定了18个符合本企业单位规章制度及管理标准文件,涵盖了网络管理、人员管理、数据管理、运维管理等各个方面,包括信息系统使用管理办法、网络与信息安全管理规定、信息系统运行维护管理办法、信息系统实施管理办法、网络设备管理规定、网络安全设备管理规定、网络安全信息系统管理规定、服务器系统管理规定、存储、备份系统管理规定、数据库系统管理办法、生产应用系统管理办法、防病毒系统管理办法、办公软件系统管理办法、应用系统应急预案、上网行为管理规定、计算机及移动介质使用管理办法、机房管理规定、ERP信息系统运维管理办法。
第三,注重执行的标准量化。科学完善的标准化管理制度,必须由人去贯彻执行才能有实效。信息安全不仅仅是技术层面上,更重要的是人员的管理和执行,形成决策层、管理层和执行层责任落实并有力执行。
在执行层面,工作标准进行量化、细化、流程化。如明确各个岗位职责,并对专业分工进行细化,设立系统管理员A/B角,满足系统、设备对人员的需求;监督各标准制度的执行,针对执行情况对相关人员的行为、绩效、能力进行评估;对全员进行培训,提高全员对信息安全的认识和重视。日常工作标准化管理,制定维护量工作标准,限定专人负责维护,以排班制进行轮换,从而避免人力重复,管理无序的弊端。按照标准,定期对信息系统运行情况进行分析和评估,及时发现系统存在的隐患,做好应急措施。
最后,保证安全防护设施的投入。信息系统安全管理,防护设备的投入是必不可少。如防火墙、物理隔离、漏洞扫描、入侵检测、网络准入管理、杀毒软件、备份系统等等。2012年公司投入资金部署一套赛门铁克的系统数据备份系统,对重要的13个系统进行系统及数据的全盘备份,大大提高了重要系统的系统及数据的安全性。
在二次防护方面,隔离设备采用软、硬结合的安全措施。在硬件上,使用双计算机结构实现物理隔离。在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。两个接口计算机分别负责与实时系统和信息系统的接口,接口计算机A是实时网络中的一个网络结点,接口计算机B是信息网络中的一个结点,A与B之间采用高速数据总线连接,从而保证物理层网络安全。