應急預案保障網絡信息系統建設的幾點思考

歐陽圣君　張艷

摘 要 文章主要對于系統信息化過程中出現的問題進行分析，提出信息系統安全中最不可控的因素就是突發事件，則應該進一步加強應急預案，因為通過預案和演練盡量做到最小損失，最后就相關保障措施進行分析，希望對于相關部門的信息化發展具有一定幫助。

關鍵詞 應急預案；網絡信息系統；預案演練、保障

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）14-0171-01

當前，我國各個地方的信息化發展十分迅速，已經大幅度提高了信息技術基礎條件，相關的信息網絡系統、綜合業務數據網、通信網都已具規模，信息化的應用廣度和深度都達到了前所未有的高度。在不斷進步的信息化過程中，盡管人們已經越來越重視網絡信息系統安全問題，但是，它的脆弱性往往在突發事件面前就顯露無疑。在任何原因下，信息系統安全中最不可控的因素就是突發事件[1]。所以，為了更加有效應對突發事件，應該通過各種積極有效措施，盡量最小化突發事件所帶來的影響和損失，這也是在行業信息管理中重要問題。

1 應急預案應該進一步加強

為了能夠更好的保障網絡信息系統安全，更好處理好相應的突發事件，就應該做好防備，做好相關的應急預案的制定工作。這里所謂的應急預案，則是在風險評估和安全評價的基礎上，參考具體的信息設備和機房環境的特點，對于事故發生以后的相關的條件、設施、設備、數據、應急人員，以及相關的行為的綱領、控制事故的方法等方面進行有效的科學化安排和制定，目的則是盡量能夠降低突發事件造成的損失。通過實現制定的應急預案和措施，針對不可控的突發事件來說，能夠沉著應對突發事件的到來，使得損失盡量減少[2]。

在相關的信息化工作要求下，結合本單位的實際信息系統運行環境的情況，相應的一系列的應急預案由公司進行文件形式進行明確并發布，其則包括數據庫系統、業務應用系統、網絡設備等。對于日常信息系統來說，應該把應急預案做到全生命周期管理各環節中去，并且能夠不斷使得硬件設備進一步完善，業務系統環境進一步提高，這樣能夠更為有效防范突發事件的發生，并能準備好做好的處理手段。

2 通過預案和演練盡量做到最小損失

要想把應急預案從書本上走到實踐中去，就一定要通過應急預案的演練來實現，這樣可以對于檢驗應急預案編制的可操作性和科學性進行有效檢驗，也能不斷地完善電力系統中的網絡信息化預案，能更為有效提高預案減災功能。通過有效編寫演練方案，能夠把應急預案的指導性進行實踐化，體現出來演練的實戰性和可操作性。

1）在應急預案中，指導性的描述往往應用在事件的相關的處置方式、性質、發生規模方面，更為豐富的信息則需要提供給演練，這樣才能提高救援恢復行動的針對性。為了更為有效的開展針對性的工作，編制演練方案過程中，則需要考慮哪些設備需要進行配置，哪些地方的業務則會受到影響，哪些人員和部門會受到網絡中斷的影響，哪些需要進行調試程序等方面。

2）為了更好落實各種應急救援恢復任務，以及保證其實施質量，具體化一定要體現在執行演練的過程中，明確應急響應程序的可操作化。進行量化相關的反應程序，比如，包括工具箱、水晶頭是否到位，多模淡抹光模塊型號是否正確、筆記本及調試線是否夠用、備件備品是否齊全、備份數據是否完整，這些相關的細節問題都應該在事前進行相應的縝密設計。

3）步驟流程化。通過對于演練各個程序的銜接機型優化，合理有序地組合演練各個環節的響應程序，通過演練程序流程表的編制來實現。這樣能夠有效提高應急反應反應效率，并且提高演練的流暢性。同時，應急演練的進展也可以被參與人員所更加了解。

3 預防為主的基礎上進行監控的進一步加強

預防為主的思想肆意一定要在單位的各個環節中進行強調，在準備應急預案和實戰演練的基礎上，還應該充分做好相關的信息網絡系統突發事件的機制準備、思想準備和工作準備，使得防范意識不斷提高，同時，也應提高信息安全綜合保障水平。通過對于信息安全隱患進行一定的日常監測，能夠對于重大信息安全突發事件進行有效防范和及時發現，為了盡量使得損失最小化，則應該通過及時的可控措施來有效控制事件影響范圍。

公司的日常工作已經建立起有效長效機制，主要包括信息系統安全保障重點措施、信息安全隱患排查和治理、信息安全風險評估以及信息安全等級保護方面。在相關的檢查結果基礎上，對于應用系統安全管理、信息設備安全使用、信息機房值班等問題進行進一步加強管理，嚴格要求并執行國家電網公司信息規定，對于內外網計算機和外設管理需要進一步加強，只有這樣，才能有效使得監測防控能力不斷增強，使得信息系統安全得以保障。

4 保障措施分析與思考

在信息安全管理中，除了要保障一定的技術先進性，更為重要的則體現在管理方面。在實際工作中，我們一定要充分考慮到這一點，不斷加強“人防、制防、技防、物防”工作，對于信息安全統一管理進一步加強。

4.1 應急隊伍建設問題思考

在信息安全管理方面，有安全工作小組和網絡信息安全領導小組，前者主要是由信息技術人員骨干、各部門信息員組成，后者則是各部門的主要負責人組成。通過這樣的分工，就可以從決策、監督和具體執行三個層面，立體化對于網絡信息安全提供有力保障。另外，還應該對于信息安全專業人才培養進行重視，相關的信息安全技術培訓可以定期或者不定期展開，相應的信息安全應急處理知識就能夠讓不同崗位的人員進行掌握。

4.2 需要有一定的制度保障

只有通過嚴格的管理制度才能有效保障良好的網絡信息安全，本公司在此方面制定了相應的21管理標準、10個制度，以及一系列的規范。這樣能夠保障網絡信息安全工作能夠有章可循，有案可稽。對于不同工作職責的小組來說，應該劃分具體的安全工作的執行情況，為了更好能夠保障網絡基礎、系統運行維護以及開發建設等方面的安全，應該做好相關的分工合作、整體統一、分級處理等問題。

4.3 做好技術保障工作

為了保障網絡信息安全，這里采用相關的較為先進的技術工具和手段，包括：1）更新專業的防病毒軟件，有效防治計算機病毒影響；2）旁路監聽技術的設備進行過濾處理，能有效限制訪問不良網絡信息；3）使用雙層FWSM防火墻防護托管服務器群；4）定期對于系統進行漏洞掃描；5）建立異地數據的容災方案以及數據備份方案，還有相關的NTP服務器、LogServer日志記錄等。

5 結束語

信息化建設的大潮中，應該不斷完善系統的應急預案，應該盡量挖掘出系統的無故障、高效、安全的網絡環境，通過不斷探索有效保障網絡安全、應用系統數據等方面的措施，才能促進網絡信息系統建設。

參考文獻

[1]尚金成，黃永皓，黃勇前，等.市場技術支持系統網絡信息安全技術與解決方案[J].電力系統自動化，2003，27（9）.

[2]賀潔.談電力網絡信息安全[J].技術與市場，2012，19（7）.

作者簡介

歐陽圣君（1974-），男，湖南永順縣人，湖南湘西民族職業技術學院教師，主要從事計算機軟硬件及計算機網絡安全維護研究。endprint