简论电力企业信息安全策略选择

吴明珠 魏鹏飞

[摘要]随着电力企业信息化应用的深化，信息安全问题也迫切地摆在电力信息管理部门的面前，信息安全成为电力企业健康发展的一个重要因素。探讨目前电力企业信息化建设的现状，分析在信息化应用中的安全隐患，并提出相应的安全策略选择。

[关键词]电力信息安全现状策略

中图分类号：TM7文献标识码：A文章编号：1671—7597(2009)1020088--01

伴随网络技术和通信技术的发展，企业信息网络的电力控制及业务应用系统越来越多。特别是随着电力企业业务不断精细化以及电力市场的不断扩大，信息化在电力企业不断深化，要求在调度中心与电厂、营销中心与用户、各部室之间等进行的数据交换也越来越频繁，特别是已经使用的办公自动化系统、农网生产管理系统、营销系统、财务系统及即将上线运行的ERP推广使用后，信息安全越来越重要。

一、电力企业信息网络系统的安全主要表现

目前我国电力企业信息网络系统的安全主要表现在四个层面，即物理安全、网络安全、信息安全、用户安全。

物理安全风险。物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有：水灾、火灾、雷击等自然灾害，人为的破坏或误操作，外界的电磁干扰，设备固有的弱点或缺陷等。

网络安全风险。开放的网络容易受到来自外网的各种攻击和威胁。入侵者可以利用各种工具扫描网络及系统中存在的安全漏洞，并通过一些攻击程序对网络进行恶意攻击，这样的危害可以造成网络的瘫痪，系统的拒绝服务，信息的被窃取、篡改等。

系统安全风险。在电力企业的信息系统中，包含的设备主要有各类服务器系统和路由器／交换机系统。在服务器上主要有操作系统、数据库系统和其他应用系统。这些系统都或多或少地存在着各种各样的“后门”和漏洞，这些都是重大的安全隐患。一旦被利用并攻击，将带来不可估量的损失。

用户安全风险。用户安全是指如何防止内部人员对网络和系统的攻击及误用等。

二、电力系统的信息安全策略

信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完整性、可用性、真实性、可靠性、责任性等几个方面。

(一)设备安全策略

这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止意外损坏。对于终端设备，如工作站、小型交换机、集线器和其它转接设备要落实到人，进行严格管理。

(二)安全技术策略

为了达到保障信息安全的目的，要采取各种安全技术，其不可缺少的技术层措施如下：

1、防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问。

2、病毒防护技术。为免受病毒造成的损失，必须在信息系统的各个环节采用全网全面的防病毒策略。在计算机病毒预防、检测和病毒库的升级分发等环节统一管理，建立较完善的管理制度，才能有效的防止和控制病毒的侵害。

3、数据与系统备份技术。电力企业的数据库必须定期进行备份，按其重要程度确定数据备份等级，配置数据备份策略，建立企业数据备份中心，采用先进灾难恢复技术，对关键业务的数据与应用系统进行备份。制定详尽的应用数据备份和数据库故障恢复预案，并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统，从而保证信息系统的可用性和可靠性。

4、安全审计技术。随着系统规模的扩展与安全设施的完善，应该引入集中智能的安全审计系统，通过技术手段，实现自动对网络设各日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

另外，虚拟局域网技术(VLAN技术)及建立信息安全身份认证体系也同样重要。

(三)组织管理策略

信息安全是技术措施和组织管理措施的统一，“三分技术、七分管理”。据统计，在所有的计算机安全事件中，属于管理方面的原因比重高达70％以上。

1安全意识与安全技能。通过普及安全知识的培训，可以提高电力企业职员安全知识和安全意识，使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能，然后再配合第三方安全技术和产品，将使信息安全保障工作得到提升。

2安全策略与制度。电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导，制定一套指导性的、统一的安全策略和制度。没有标准，无法衡量信息的安全；没有法规，无从遵循信息安全的制度；没有策略，无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化，是法规与管理的接口和信息安全得以实现的重要保证。

3安全组织与岗位。电力企业的组织体系应实行“统一组织、分散管理”的方式，建立一个有效、独立的信息安全部门作为企业的信息安全管理机构，全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构，根据系统安全需要设定的负责某一个或某几个安全事务的职位，岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作，使各级信息技术部门也因此会很好配合信息安全推行工作。

三、结束语

安全是一个相对的概念，计算机及信息网络系统和计算机应用实时控制系统的作用主要是使企业高效运作，优化运行，可根据实际需要，确定合理的信息安全措施。要妥善处理好安全与运行质量性能的关系，规范、标准、合理的安全措施可提高系统的运行效果。电力系统信息安全是一个系统的、全局的管理问题，我们应该用系统工程的观点、方法，分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果，只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即信息安全应遵循整体安全性原则，根据规定的安全策略制定出台理的信息安全体系结构，这样才能真正做到整个系统的安全。