关于电力企业信息安全问题的思考

李祝红++杜炳++冯绍兴++杨安东

摘 要：根据电力企业面临的安全风险和问题，本文提出了信息安全工作开展的一般原则，从信息安全技术上和安全管理上提出了解决安全问题的思路和方法，最后阐述了信息安全问题随技术和应用的发展而发展，应在发展中求安全的观点。

关键词：电力企业；信息安全；管理对策

中图分类号：F426.61 文献标识码：A 文章编号：1671-2064（2017）18-0147-01

1 电力企业信息安全风险分析

随着企业的生产指挥，经营管理等经营活动越来越依赖于计算机信息系统，如果这些系统遭到破坏，造成数据损坏，信息泄漏，不能提供服务等问题，则将对电网的安全运行，电力企业的生产管理以及经济效益等造成不可估量的损失，高技术在带来便利与效率的同时，也带来了新的安全风险[3]和问题。

信息安全包括信息软件安全和信息硬件安全，与信息安全分析和信息化应用情况密切相关，和采用的信息技术也密切相关，电力公司信息系统面临的主要风险主要存在于网络安全、物理安全、系统安全、数据安全等几个方面：

（1）电力企业信息网络安全：企业内部广域网上的用户数量多且难于进行管理，内部网、互联网上的一些用户出于好奇的心理，或者蓄意破坏的动机，对电力公司网络上连接的计算机系统和设备进行入侵，攻击等，影响网络上信息的传输，破坏软件系统和数据，盗取企业商业秘密和机密信息，非法使用网络资源等，给企业造成巨大的损失。更有极少数人利用网络进行非法的，影响国家安定团结的活动，造成很坏的影响。（2）电力企业信息物理安全：电力企业信息物理安全主要作用点是对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境方面。外在表现主要在于通信干扰、危害信息注入、信号辐射、信号替换、恶劣操作环境等。（3）电力应用系统安全：随着办公自动化，财务管理系统，用电营销系统等生产，经营方面的重要系统投入在线运行，应用系统的网络阻塞、黑客攻击、非法使用资源等行为日益突出。同时也因为各类信息应用系统的漏洞，造成计算机病毒利用系统漏洞攻击使计算机网络与计算机系统的行为也时有发生。部分应用系统的用户权限管理功能过于简单，不能灵活实现更细的权限控制，甚至简单到要么都能看，要么都不能看。二是各应用系统没有一个统一的用户管理，企业的一个员工要使用到好几个系统时，在每个应用系统中都要建立用户账号，口令和设置权限，用户自己都记不住众多的账号和口令，使用起来非常不方便，更不用说账号的有效管理和安全了。（4）电力企业数据安全：随着计算机信息系统在电力市场，用电营销，财务管理等业务中的深入应用，各类系统数据安全的重要性日益突出和重要。威胁数据安全的因素有很多，主要有以下几个比较常见：

1）硬盘驱动器损坏：一个硬盘驱动器的物理损坏意味着数据丢失。设备的运行损耗、存储介质失效、运行环境以及人为的破坏等，都能造成硬盘驱动器设备造成影响。2）人为错误：由于操作失误，使用者可能会误删除系统的重要文件，或者修改影响系统运行的参数，以及没有按照规定要求或操作不当导致的系统宕机。3）黑客：入侵者借助系统漏洞、监管不力等通过网络远程入侵系统。4）病毒：计算机感染病毒而招致破坏，甚至造成的重大经济损失，计算机病毒的复制能力强，感染性强，特别是网络环境下，传播性更快。

2 解决信息安全问题的基本原则

统筹规划，分步实施。要建立完整的信息安全防护体系，绝不能一哄而上，必须分清需求的轻重缓急，根据信息化建设的发展，结合信息系统建设和应用的步伐，统一规划，分步建设，逐步投资。

（1）信息安全规范化原则。电力企业信息网是电力信息安全的基础，也是电力信息安全的重中之重。参考国内外信息网安全的新技术，加固电力信息网安全防护体系，解决相关安全问题的信息网络安全技术的成熟度综合考虑，分步实施。技术成熟的，能快速见效的安全系统先实施，各阶段都应遵循安全规范要求，根据组织安全需求，制定安全策略。保证信息不被非授权访问。（2）信息安全均衡防护原则：对电网信息网络、信息系统进行均衡、全面的防护，提高整个系统的“安全最低点”的安全性能。同时采用法律方法、行政方法、经济方法和宣传教育方法。相互结合，形成完整的管理方法体系。（3）强调以人为本的原则：信息网安全管理中，必须做到责任分化，策略规划，政策制订，流程制作，操作审议等等。虽然信息安全"三分技术，七分管理"的说法不是很精确，但管理的作用可见一斑，安全责任人必须做好预防管理工作，提高管理人员的技术素养和道德水平，应对突击事件。

3 解决信息安全问题的思路与对策

信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。电力企业的信息安全管理相对来说还是一个较新的话题，国内其他电力企业也在积极研究和探讨，以下是一些粗浅的看法。

3.1 依据国家法律，法规，建立企业信息安全管理制度

企业首先必须遵守国家发布的对信息网络安全的法律法规和技术标准，企业也必须依据这些法律法规，来建立完善自己的管理标准，技术体系，指导信息安全工作；同时学习信息安全管理国际标准，提升企业信息安全管理水平；建立信息安全工作的组织体系和常设机构，明确领导，设立专责人长期负责信息安全的管理工作和技术工作，保证信息安全工作长期的，有效的开展，才能取得好的成绩。

3.2 加强企业信息网的网络安全工作

全面掌控主干设备的配置情况及配置参数变更情况，备份各个设备的配置文档；同时对运行关键业务网络的主干设备配备相应的备份设备，并配置为热后备设备；专人负责网络布线配线架的管理，确保配线的合理有序；掌控用户端设备接入网络的情况，以便发现问题时可迅速定位；积极采用大数据技术采集交换机syslog日志信息，分析潜在的危险；掌控和外部网络的连接配置，监督网络通信状况，发现问题后和有关机构及时联系；实时监控整个局域网的运转和网络通信流量情况，建立健全电力信息网网络安全防范体系。

3.3 开展全员信息安全教育和培训活动加强物理设备安全

开展安全教育和培训掌握企业信息安全的整体策略及目标，信息安全体系的构成，安全管理部门的建立和管理制度的制定等；负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全評估的基本方法，对安全操作和维护技术的合理运用等；用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。

3.4 构造专业信息系统和信息数据安全管理体系

对于已经投入使用的信息系统，可以通过采用增加安全访问网关的方法，来增强原有系统的用户管理和对信息资源访问的控制，以及实现单点登陆访问任意系统等功能。定期备份数据库数据，防止数据丢失。对于新建系统，采用统一身份认证平台技术，来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。

3.5 在发展中求安全

企业的信息化应用是随着企业的发展而不断发展的，信息技术更是日新月异的发展的，安全的需求也是逐步变化的，新的安全问题也不断产生，原来建设的防护系统可能不满足新形势下的安全需求，这些都决定了信息安全是一个动态过程，需要定期对信息网络安全状况进行评估，改进安全方案，调整安全策略。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。

参考文献

[1]赵伟.基于计算机网络安全防arp攻击的研究[J].信息通信，2014（2）：130-130.

[2]陈梅志.计算机网络信息安全及其应对措施浅析[J].硅谷，2014，7（2）：143-143.

[3]厉海涛.基于风险状态的安全性分析方法研究[D].国防科学技术大学，2012.endprint