淺析電力行業信息安全管理

摘要：信息安全已是關係電力生產存亡和發展的重要方面。加強信息安全，才能全面提高電力行業的信息化。該文總結了目前我國電力企業信息化的特徵，列舉了電力企業網絡信息存在的主要問題，對問題的成因進行深入分析，並提出了一系列可行性較強的加強電力企業網絡信息安全的建議和方法。

關鍵字：電力行業；網絡信息；安全管理；

1、前言

信息技術在電力企業發揮着重要作用，特別是隨着廠網分開、電力市場構建，電力企業已建立起龐大複雜的調度數據網和綜合信息網，計算機網絡信息系統成爲企業日益重要的技術支持系統。信息安全所面臨的危險同時滲透到電力企業生產、經營的各個方面。電力企業調度數據網和綜合信息網在物理上實現隔離，在一定程度上保證了調度數據網的安全運行，避免受到來自綜合信息網的可能的攻擊；然而，財務、營銷、客戶管理等系統的網絡信息安全還相當薄弱。網絡信息安全已成爲影響電力安全生產的重大問題。近幾年來，計算機在整個電力系統的生產、經營、管理等方面應用越來越多。但是，在計算機安全策略、安全技術和安全措施投入較少。所以，爲保證電力系統安全、穩定、高效運行，應建立一套結合電力計算機應用特點的計算機安全體系。

2、目前電力企業在網絡信息安全管理方面存在以下問題。

2.1企業管理革新滯後於信息化發展進程

相對於信息技術的發展與應用，電力企業管理革新處於落後狀況，有的企業引入了先進的業務系統、管理系統，而管理模式未能實施有效革新，最終導致了信息系統未能發揮預期的、應有的作用。

2.2網絡信息安全管理需要成爲企業安全文化的重要組成部分電力信息網絡已經深入到電力生產和管理的全過程，涉及電力生產的各個層面，電力生產與管理對其依賴性日益增大。目前，在電力企業安全文化建設中，信息安全管理仍然處於從屬地位，需要進行不斷努力，使之成爲企業安全文化的中堅力量。

2.3網絡信息安全風險的存在

電力企業網絡信息安全與一般企業網絡信息同樣具備多方面的安全風險，主要表現在以下幾方面：

（1）網絡結構不合理

電力企業依據有關規定將網絡分爲內網和外網，內外網實行物理隔離，但網絡結構都存在着一些不合理的地方。常見的有：核心交換機選擇不合理。不少企業網絡的核心交換機是一臺二層交換機，這樣，所有網絡用戶在網絡中的地位將是平等的，安全問題只有通過應用系統去解決。

（2）來自互聯網的風險

幾乎所有電力企業的網絡都是以各種方式與互聯網連接，企業用戶可以直接訪問互聯網的資源，這給企業職工帶來很大方便；同樣，任何能上互聯網的用戶也可以訪問企業網絡的資源，這對宣傳企業、擴大企業的影響和知名度很有好處。但是，在帶來方便的同時，也帶來安全風險。

（3）來自企業內部的風險

對於電力企業網絡來說，來自內部的風險是非常主要的安全風險。內部人員（特別是網絡管理人員）對網絡結構、應用系統都非常熟悉，不經意之間泄露的重要信息，都將可能成爲導致系統受攻擊的最致命的安全威脅。

（4）病毒的侵害計算機病毒對計算機網絡的影響是災難性的。電子郵件系統的廣泛使用，使計算機病毒的擴散速度大大加快，網絡成了病毒傳播的最好途徑，電力企業網絡同樣難以倖免。因此，計算機病毒成爲企業網絡最嚴重的安全風險之一。

（5）管理人員素質風險

許多電力企業網絡都存在重建設、重技術、輕管理的傾向。實踐證明，安全管理制度不完善、人員素質不高是網絡風險的重要來源之一。比如，網絡管理員配備不當、企業員工安全意識不強、用戶口令設置不合理等，都會給信息安全帶來嚴重威脅。

（6）系統的安全風險系統的安全風險主要指操作系統、數據庫系統和各種應用系統所存在的安全風險。目前不少企業網絡使用的操作系統仍然是以Windows系列操作系統爲主。不管使用哪一種操作系統都存在大量已知和未知的漏洞，這些漏洞可以導致入侵者獲得管理員的權限，可以被用來實施拒絕服務攻擊。

3、電力企業網絡信息安全管理問題的成因分析

3.1安全意識淡薄是網絡信息安全的瓶頸企業人員忙於利用網絡工作學習，對網絡信息的'安全性無暇顧及，安全意識相當淡薄。電力企業注重的是網絡效應，對安全領域的投入和管理遠遠不能滿足安全防範的要求，網絡信息安全處於被動的封堵漏洞狀態。從上到下普遍存在僥倖心理，沒有形成主動防範、積極應對的全民意識，更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。

3.2運行管理機制的缺陷和不足制約了安全防範的力度從目前的運行管理機制來看，有以下幾方面的缺陷和不足：

（1）網絡安全管理方面人才匱乏由於技術應用的擴展，技術的管理也應同步擴展，但從事系統管理的人員卻往往並不具備安全管理所需的技能、資源和利益導向。

（2）安全措施不到位配置不當或過時的操作系統、郵件程序和內部網絡都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無法發現和及時查堵安全漏洞。當廠商發佈補丁或升級軟件來解決安全問題時，許多用戶的系統不進行同步升級，原因是管理者未充分意識到網絡不安全的風險所在，未引起重視。

（3）缺乏綜合性的解決方案

大多數用戶缺乏綜合性的安全管理解決方案，稍有安全意識的用戶依賴升級防火牆和加密技術，產生虛假的安全感。實際上，一次性使用一種方案並不能保證系統永遠安全，網絡安全問題遠遠不是防毒軟件和防火牆能夠解決的，也不是大量標準安全產品簡單堆砌就能解決的。

4、加強電力企業網絡信息安全管理的建議

4.1重視安全規劃

企業網絡安全規劃的目的就是要對網絡的安全問題有一個全面的思考，要以系統的觀點去考慮安全問題。要進行有效的安全管理，必須建立起一套系統全面的信息安全管理體系。這可以參照國際上通行的一些標準來實現，如：BS7799、ISO17799、ISO15408等。

4.2合理劃分安全域

電力企業是完全實行物理隔離的企業網絡，在內網上仍然要合理劃分安全域。要根據整體的安全規劃和信息安全密級，從邏輯上劃分核心重點防範區域、一般防範區域和開放區域。重點防範的區域是網絡安全的核心，這部分區域是一般用戶不能直接訪問的區域，有很高的安全級別。各種重要數據、服務器、數據庫服務器應當放置在該區域，各種應用系統、OA系統等在該區域運行。

4.3加強安全管理，重視制度建設爲保證企業網絡信息安全，要把企業網絡信息安全作爲一個系統工程來考慮。因此，企業網絡的安全問題，安全管理和制度建設非常重要（特別是內網）。現提出如下建議：

（1）加強日誌管理與安全審計一般的防火牆與入侵檢測系統都具備審計功能，要充分利用它們的審計功能，做好網絡的日誌管理和安全審計工作。對審計數據要嚴格管理，不允許任何人修改、刪除審計記錄。

（2）建立內網的統一認證系統

認證是網絡信息安全的關鍵技術之一，其目的是實現身份鑑別服務、訪問控制服務、機密性服務和不可否認服務等。

（3）建立病毒防護體系

在企業網絡上安裝防病毒體系。防病毒軟件系統要具有遠程安裝、遠程報警、集中管理等多種功能。其次，要建立防病毒的管理制度。不能隨意將互聯網上下載的數據往內網主機上拷貝，來歷不明的移動存儲設備不能隨意在聯網計算機上使用，職員應熟練掌握髮現病毒後的處置辦法。

（4）重視網絡管理制度建設嚴格的管理制度，是保證企業信息網絡安全的重要措施之一。

1）領導應當高度重視網絡信息安全問題。企業領導要高度重視安全管理和安全制度的建設問題，不能把安全管理和制度建設看成是技術部門的事。企業應當成立信息安全領導小組，由分管領導抓網絡安全工作，並明確其職責和工作制度。要制訂安全事故處理程序、應急計劃等。

2）加強基礎設施和運行環境的管理建設。企業網絡的管理機構（信息中心）的機房、配電房等計算機系統重要基礎設施應嚴格管理，配備防盜、防火、防水等設施，應當安裝監控系統、監控報警裝置等。建立嚴格的設備運行日誌，記錄設備運行狀況。要規範操作規程，確保計算機系統的安全、可靠運行。

3）建立必要的安全管理制度。企業網絡的中心機房和各業務部門計算機系統都要建立計算機系統使用管理制度，網絡系統管理員、安全員、各業務部門主管和計算機操作人員的計算機密碼管理規定等內控管理制度，對應用系統重要數據的修改要經過授權並由專人負責，登記日誌。建立健全數據備份制度，核心程序及數據要嚴格保密，實行專人保管。

4）堅持安全管理原則。多人負責原則：兩人或多人互相配合、互相制約。從事每項安全活動，應至少兩人在場，做好工作情況記錄。任期有限原則：任何人不長期擔任與安全有關的職務。當人員離任時，應立即對系統進行授權調整。職責分離原則：不要打聽、瞭解或參與職責以外的任何與安全相關的事情，除非系統主管領導批准。最小權限原則：只授予用戶和系統管理員所需要的最基本權限，並且超級用戶的權限也應該越小越好。

5）制度的定期督導檢查。管理制度具有嚴肅性、權威性、強制性，管理制度一旦形成，就要嚴格執行。企業應組織有關人員對管理制度進行定期督導檢查，保證制度的落實。

4.4加強企業員工和網絡管理人員安全意識教育對於網絡信息安全，企業員工和網絡管理人員的素質非常重要。

（1）在安全教育具體實施過程中應該有一定的層次性。

1）對主管信息安全工作的高級負責人或各級管理人員，重點是瞭解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制訂等。

2）對負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。

3）對企業全體職員，重點是學習各種安全操作流程，瞭解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。

（2）對於特定的人員要進行特定的安全培訓對於關鍵崗位和特殊崗位的人員，通過送往專業機構學習和培訓，使其獲得特定的安全方面的知識和技能。通過安全培訓，確保在電力信息安全保障體系逐步建立的過程中，各類人員的安全意識和技術能力獲得提高，各崗位人員的技術能力和管理能力與安全保障體系的運行和維護相適應。

5、建立安全長效機制

解決網絡信息安全問題，技術是安全的主體，管理是安全的靈魂。加強信息安全管理，建立安全長效機制，成爲電力企業安全文化的重要組成部分，企業安全文化對企業安全生產工作起凝聚、協調和控制的作用。積極向上的共同價值觀、信念、行爲準則是一種內部黏結劑，是人們意識的一部分，可以使員工自覺地行動，達到自我控制和自我協調只有將有效的安全管理實踐自至終貫徹落實於信息安全當中，網絡安全的長期性和穩定性纔能有所保證。在企業中建立安全文化，並將網絡信息安全管理容納到整個企業文化體系中才是最根本的解決辦法。

6、結束語

網絡安全是一個系統的、全局的管理問題，網絡上的任何一個漏洞，都會導致全網的安全問題，我們應該用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合應用的結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。這樣才能真正做到整個系統的安全。

參考文獻：

［1王瑞軍，冼沛勇。實現企業網絡信息安全的具體方法［J］。計算機與網絡，20xx，（3）。

［2朱貴強。論企業網絡信息安全管理［J］。中國科教博覽，20xx，（6）。

［3閆斌，曲俊華，齊林海。電力企業網絡信息安全系統建設方案的研究［J］。現代電力，20xx，（1）。

［4楊贊國。論企業網絡信息安全與防範策略［J］。集團經濟研究，20xx，（6）。

［5郭護林。企業網絡信息安全分析［J］。西北電力技術，20xx，（6）。

［6王迎新，牛東曉。中國管理信息化（綜合版），20xx年第3期。