浅析电力企业信息网络的安全运行与管理

阙建林

（重庆市电力公司信息分公司，重庆 400014）

1 概述

众所周知，信息化网络正以相当迅猛的速度进入到各种商业领域，几乎所有的行政机关、事业单位和大中企业都拥有了自己的信息化网络平台。信息化网络平台的建设对企业的发展作用越来越大，无论是网络硬件的搭建，还是网络服务的搭建都在以超常规的速度迅速发展，因此就要求相关的IT人员及管理人员应有更高的开发和管理水平。

信息化网络平台搭建是用来为企业赢利的，而不是用来作秀的。一方面企业不会眼巴巴地看着几万、几十万甚至几百万的资金设备投入不产生任何效益，另一方面，企业办公对网络的依赖越来越强，从最初的网络的方便性和可用性，到今天的网络安全性。当网络仅仅用来传送一般性信息的时候，当网络的覆盖面积仅仅限于一幢写字楼、一个小区的时候，安全问题并没有突出地表现出来。但是，当在网络上运行关键性的如银行、证券相关业务等，信息网络安全就成为一个不容忽视的问题。随着信息化网络技术的发展，网络克服了地理上的限制，把分布在一个地区、一个国家，甚至全球的分支机构联系起来。

它们使用公共的传输通道传递敏感的企业业务信息，部分企业通过一定的方式可以直接或间接地使用某个机构的私有网络。但随着企业业务的发展需要不可避免地与外部公众网直接或间接地联系起来，使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化，从而造成网络管理难度增加，安全性降低。随着机构和企业对信息化网络依赖性的增强，一个相对较小的网络也突出地表现出一定的安全问题，尤其是当机构或企业的业务越来越多需要借助网络平台处理时，机构或企业内部网络就要面对来自外部公共网络的各种安全威胁，网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全要求已经构成了对网络安全的迫切需求。

2 电力企业信息化网络安全运行的首要任务

从以上信息化网络的安全现状来看，解决电力企业网络安全运行必须要做好网络安全的防范与管理。当我们把过多的注意力投向黑客攻击和网络病毒所带来的安全问题的时候，却忽略内部管理是引发安全问题的根源，正所谓搏銎鹣羟络。据国内外多家权威安全机构统计表明，大约有80S的安全事件直接或间接地由内部管理引发。在一定程度上，外部的安全问题可以通过购置一定的安全产品设备来解决，但是，大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此，建立完善的电力企业级网络安全体系是解决电力企业网络安全运行的首要任务。

3 电力企业信息化网络安全存在的误区

3.1 过去乃至现在不少电力企业的管理者认为信息化网络只是技术部门或信息中心的事，离自己很远。而技术部门或信息中心充当的仅仅是维护中心的职能，在信息化网络运行中只有技术支持职能，而缺少信息管理与技术管理职能，技术部门或信息中心引进的人才普遍是单纯的计算机专业人才，缺乏信息管理人才和技术管理人才。再者部分电力企业由于缺少真正的信息化网络部门，没有“技术部门”或“信息中心”等专门的部门机构，信息化网络系统的运营经常缺乏周密的规划，部分电力企业各部门盲目运行信息化网络，使得部分电力企业信息化网络运营往往脱离了电力企业本身实际需求的正确轨道，不是以电力企业为主，以业务应用为本，而是被一些IT厂商牵着走，导致主次不分。

3.2 从电力企业信息化网络的管理与控制层面看，如何保证整个信息化网络系统的有效运行和管理是保证信息化网络发挥最大效用实现的关键之所在。然而，过去乃至现在在众多的电力企业管理者眼中，投资信息化和进行大量的信息化网络建设项目，是增强电力企业竞争能力、提升电力企业价值的惟一道路。将信息化网络系统看作是一个超级神化的利器，没有从根本上去了解电力企业信息化发展的内部结构与功能，只是盲目将大量资金投入，然后期盼着好的企业效益会神话般地出现。信息化网络系统内暗藏着复杂的“机关”，因此需要富有经验的管理者进行周密的计划和组织，突破层层“机关”，在运行过程中进行最有效的管理与控制，否则不管在当初建设初阶段投入了多少资金，在应用与运行阶段想实现成本的回收和企业效益的增值都变的相当艰难。

3.3 从电力企业信息化的项目建设层面分析，项目建设的成功与否关系到企业信息化的成败。目前，部分电力企业热衷于开发适用于自己的MIS系统，争相使用ERP等项目，却陷入屡遭失败而难以自拔的处境，由于ERP等信息化应用项目实施非常复杂与困难，耗费的时间长，而且项目投入巨大，很多企业缺乏有效的项目管理和过程控制是导致信息化项目失败的直接原因。信息化项目管理是一项需要很高技巧的复杂工作，需要制定合理的实施计划、良好的组织管理，员工沟通、整合、最大限度控制成本、节约时间、提高质量、将风险控制到最低。尤其是电力企业大型的信息化项目，对该项目的实施与管理更是需要一套周全的管理运行策略。如果项目在一次性投资后缺乏有效监控与管理，缺乏有效机制保障信息系统运作，项目的运营将会很难继续或陷入无法脱离的“沼泽”。

4 电力企业信息化网络安全存在的主要问题

电力企业信息化网络安全问题主要可分为内部网络安全和外部网络安全，无论是内部安全问题还是外部安全问题，归结起来一般有以下几个方面：

4.1 网络建设单位、管理人员和技术人员缺乏安全防范意识，从而就不可能采取主动防御的安全措施，完全处于被动挨打的位置。在日常业务活动中存在安全疏漏，造成不必要的信息泄露，给攻击者以可乘之机。

4.2 信息中心和技术部门的有关人员对信息网络的运行安全现状不明确，不了解甚至根本不知道信息网络目前存在的安全隐患，从而失去了防御隐患的最佳时机。

4.3 信息中心和技术部门的计算机网络安全防范没有形成完整的、组织化的体系结构，其安全漏洞缺陷给网络黑客以可乘之机。

4.4 信息中心和技术部门的计算机网络没有建立完善的管理体系，从而导致安全体系和安全控制措施不能充分有效地发挥，无章可依。

4.5 网络安全管理人员和技术人员缺乏专业安全知识匮乏，不能安全地维护网络安全运行，不能及时发现已存在的和随时可能出现的新安全问题，对突发的网络安全事件不能作出积极、有序和有效的补救。

5 电力网络安全管理体系的建立，运行与管理

电力企业信息化网络体系建立、运行与管理是一个系统工程，涉及到电力企业生产、经营、管理等各个方面，一般来说，包括以下几个方面的基础内容：

5.1 日常办公自动化管理

电力企业日常业务文件资料日积月累堆积如山，给文件资料保管、日后查询带来极大难度。在过去传统的办公程序，从文件起草、传阅、审批、归档、借阅等各个环节，常常存在浪费纸张，或由于时间较久造成文字不清，或保管不当文件意外受潮、火灾等导致文件丢失：在日常办公常常由于传阅不及时、文件去向不明等现象造成工作效率下降。而信息化网络下的办公自动化.只要通过公司计算机网络，将所有文件输入进去，无论何时何地，均可通过网络邮件或电力企业OA系统进行文件资料的制定、修改、转发、查阅。做到既安全、省时、准确，能够极大地提高工作效率。

5.2 企业业务管理信息化

电力企业信息化不只是单纯计算机硬件设备、软件应用的代名词，更为重要的是要与企业内部管理有机结合。电力企业信息化除了硬件、软件环境的改变之外，最重要的在于电力企业内部各类管理的信息化，如生产管理、信息资源管理，后者更为重要。管理领域的信息化是企业利用现代信息技术，建立信息管理系统。要在信息化网络使用过程中通过转变过去传统的管理观念，提高全体员工的整体素质，建立良好的管理制度和管理流程，构建扎实的切实有效的企业管理基础，实行科学管理，从而提高电力企业的整体管理水平。

5.3 业务决策网络化

在完善的信息网络化具备的条件下，充分发挥网络的作用，在信息化网络条件下，电力企业的业务从调研、签约、履约到后期的数据报表、经济活动分析等服务，都可以进行信息化管理。同时通过信息化网络及时了解各地市场信息，从而对预期业务做出科学的预测和分析。利用目前掌握的数据包括往年数据等各种业务数据建立信息数据库，利用对比、深层分析，实现日常业务管理、数据综合分析和未来预测。改进业务流程和管理模式，最大限度开发利用信息资源，通过计算机网络系统进行采集、存储、处理和优化企业发展所需要的多方面信息，提高电力企业运行效率和决策水平。

6 保障信息化网络安全运行策略

电力行业信息化网络安全体系具有网络体系结构普遍存在内在外在安全问题，同时又存在自身企业特点的信息网络安全问题。要实施一个完整的网络安全系统，至少要注意三类措施：①社会的法律、法规以及电力企业的规章制度和安全教育等外部软件环境。②技术方面措施，如网络防毒、信息加密、授权、认证以及防火墙技术。③审计和管理措施，这方面措施同时也包含了技术与社会措施。因此对待电力企业网络体系要从以下措施策略做起。

6.1 电力企业网络安全体系现状分析。只有明确自己的安全需求才能有针对性地构建适合于电力企业的安全体系结构，从而有效地保证电力企业网络系统的安全。

6.2 网络安全性方法全面制度化、方法多样化。如修补系统漏洞、病毒检查、加密、执行身份鉴别、防火墙、捕捉闯入者、空闲机器守则、废品处理守则及口令守则。

6.3 制定安全措施制度。根据信息中心和技术部门的安全需求和风险评估的结论，制定信息中心和技术部门的计算机网络安全制度。

6.4 定期网络体系安全检查。安全检查的首要任务是检查企业的安全策略是否被有效地和正确地执行。其次，由于网络安全是一个动态的过程，信息中心和技术部门的计算机网络的配置可能经常变化，因此信息中心和技术部门对安全的需求也会发生变化，组织的安全策略需要进行相应地调整。为了在发生变化时，安全策略和控制措施能够及时反映这种变化，必须进行定期安全检查。

6.5 外部技术支持。计算机网络安全同必要的外部支持是分不开的。通过专业的安全技术服务机构的支持，将使网络安全体系更加完善，并可以得到最新的安全资讯，为计算机网络体系安全提供安全预警。

结语

电力企业信息网络仅仅依靠单一的技术或安全产品设备无法满足网络运行对安全的要求，只有将技术和管理手段有机结台起来，从控制整个电力企业网络安全建设、运行和维护的全过程角度入手，才能提高电力企业网络的整体安全水平。

[1]党林.电力企业网络信息安全的防护措施[J].科技传播 ，2012（04）.

[2]李仲伟，张建立.电力企业网络信息安全管理研究[J].科技风，2012（01）.