试论火力发电企业信息安全管理问题与措施

郑雪菲

[摘    要] 随着信息系统在火力发电企业的应用范围不断增大，信息安全越来越得到重视，火力发电企业作为国民经济支撑力量，一旦在网络、信息安全方面出现问题，所造成的损失将无法估量。本文将以火力发电企业信息安全为研究对象，结合企业逐年开展信息安全等级保护工作，对其信息安全管理常见问题进行分析，从而提出改善措施，最终达到企业生产经营业务安全运行的目的。

[关键词] 火力发电企业;信息安全管理;问题与措施

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 17. 075

[中图分类号] C931.6    [文献标识码]  A      [文章编号]  1673 - 0194（2020）17- 0174- 03

0      前    言

信息安全管理是管理体系中的一个重要部分，企业要积极地加强信息安全环境建设，逐步建立统一的信息安全管理体系，解决信息安全隐患，发挥信息系统的效率，通过逐年加强等级保护的建设，建立科学地从“防护”到“检测”再到信息安全管控体系，不断识别企业在信息安全技术层面和管理层面的不足和差距，设计更加合理的符合发电企业特点的安全管理措施和技术措施，才能进一步保障企业信息安全，提高和抵御外部非法的窃听和攻击行为，因此，研究火力发电企业网络安全管理问题与措施具有一定的现实意义。

1      信息安全管理存在的问题

火力发电企业主要依靠安装、升级信息安全的产品和技术、等级保护测评等解决信息安全初期的问题，一定程度上解决了部分信息安全问题，即使采购和使用了通过国家认证的信息安全产品，如防病毒、防火墙、入侵检测、安全审计等，仍然无法避免一些安全事件的发生。例如发电机组工业控制类系统按国家发改委第14号令要求每年开展三级信息系统等级保护测评，有些工控系统因开发平台是国外产品，国产化推进进程缓慢，整改的措施及效果并不理想。

由于管理、人员的复杂性，即便是熟悉信息技术的人根据国家标准制定管理制度，很难系统、全面地概括信息安全管理的方方面面。如依据电力行业信息系统安全等级保护基本要求，信息载体的物理平台、系统平台、通信平台、网络平台和应用平台的安全管理要求在日常管理中难快速达标。

据统计，人为因素造成的信息安全问题达70%以上，但这些问题大部分可以通过有效的管理方法来避免，因此，管理已成为安全保障能力的重要基础。

2      信息安全管理目的、系统设计规划与管理的基本原则

2.1   信息安全管理目的

具体来说，火力发电企业信息安全管理目的有：

（1）將制度、技术规范、软件设置等方法结合起来，构成严密的安全策略，阻击非法用户进入，减少计算机系统受破坏的可能。

（2）通过审计非法登录、使用的记录，信息系统管理者将系统重新恢复到破坏前的状态，减少损失。

（3）分析安全设备的审计、日志等，完善信息安全技术层面和管理层面的不足。

2.2   系统设计规划与管理的基本原则

（1）规范设计、预防为主原则

针对企业不同业务领域的信息系统，设计多个安全方案时，尽可能保持各种方案的整体性与一致性，信息系统的规划、设计、实现、运行要有安全规范要求，选用必要的安全设备，不盲目开发、自由设计;安装中同步考虑安全策略的可行性，对待信息安全问题，不存侥幸心理，预防为主，需要涉及监测、防护以及恢复等各种机制。

（2）均衡保护、分权制衡原则

有必要根据企业实际情况、经营特点、实际经营能力等方面，在信息系统的规划、设计过程中努力消除安全保护的薄弱环节;重要环节涉及的管理权限，人员使用A、B角，避免权限集中，分权可以相互制约，提高系统安全性。

（3）应急响应、灾难恢复原则

越是重要的信息系统，越要重视灾难恢复。建立信息安全应急响应预案，按半年或年进行应急演练。有条件的企业，可以在本地场外、异地设立灾备中心，保持重要系统本地和异地灾备中心数据一致性，一旦遇到灾难，立即恢复数据，或启动备份系统，保证系统的连续工作。

（4）动态调整、简化易操原则

企业信息安全管理并非一成不变，需要结合企业生产规模、信息业务不断变化的实际情况，对信息安全管理进行及时更新与调整，从而满足新需求。更新与调整时，注重简化复杂的安全操作过程，结合操作人员实际技能，外聘专家指导信息安全管理，提高安全管理的有效性。

（5）定期评价、持续改进原则

建立信息安全风险评估制度，定期对各种威胁和薄弱方面开展自评价和第三方评估工作，同时对已存在的安全策略进行评估，分析潜在后果做好正确的防范措施。

3      信息安全管理的措施

3.1   梳理技术层面的信息安全策略并实施

（1）完善信息系统安全要求。企业在开发信息系统中建立安全机制，明确身份验证、数据验证等方面的安全措施，采取有效的密码、密钥管理、数字签名等技术，保护信息系统数据库的安全，在发生变更后，对系统漏洞进行充分的测试，避免后门程序。

（2）设立网络“安全区域”，同时做好域边界防护。设立“安全区域”的目的是防止信息系统受到未经授权的物理访问、损害和干扰。基于安全区域的划分，实现域与域之间的安全隔离，同时做好域自身内部的安全加固，使得域无论内外的非法攻击都不可能打破域的安全设计，可在网络结构上划分为几个安全域：核心接入域、终端接入域和应用管理域，在各个域的边界加入防火墙来实现基于硬件角度上的区域划分和安全管理以及控制。

（3）加装硬件、软件安全平台，强化内网安全。安装安全控制、检查和防御设备，如入侵检测设备、防病毒网关、综合审计设备和堡垒机设备;部署安全管理平台、日志审计软件实现信息安全控制处理。

防病毒网关能够将需要杀死的病毒数据进行有效检测与删除，提升病毒防御的效率，从而降低清除病毒的难度。设置VPN网关对用户通过远程登录身份合法性进行明确，保护企业的网络安全。入侵防御网关能够对链路上所传输的数据进行不间断的分析，实现深度防御以及准确阻塞。反垃圾邮件网关能够对病毒邮件与垃圾邮件进行快速识别，将这类邮件进行快速隔离，并保障正常的邮件能够及时进入到邮件系统之中。

加强对入侵威胁的监测与管理，对企业内部网络的数据量进行实时监测，及时防御以及发现黑客的攻击，从而及时提出解决措施，防止数据被破坏或者是篡改;对企业非正常的活动进行统计与分析，帮助企业网络管理人员对入侵行为的规律进行总结，并为制定防范措施提供有效的参考依据;当检测到入侵行为之后会及时发出预警，并进行阻断;可以详细记录非正常行为以及正常的关键事件，对其进行跟踪管理。

通过内网安全软件以及相关技术从而解决内网存在的安全问题。第一，采用内网安全软件，及时提示并及时打好补丁。第二，通过内网安全软件进行过滤检查，并设定机制，未经允许的设备不能随意接入内网，有效消除非法接入威胁。第三，当网络出现入侵等安全事件后，无法快速找到起源及定位时，可通过内网软件产品进行阻断隔离操作。同时，借助内网软件设置安全预警机制，从而及时发现问题及时提出预警，并制定解决对策。

3.2   整理管理层面的信息安全制度并落实

（1）建立制度成为信息安全的“宪法”。企业要高度重视网络安全管理，根据企业特点与实际需求构建信息安全体系，建立信息系统的建设、使用、管控的制度;制订操作规程，包括权限申请单、操作票、变更记录、保密协议等。

制度和操作规程、实施细则在企业内正式颁布实施，让员工充分了解和接受，并将制度纳入正式的制度变更、配置和发布管理过程中，定期的、持续性的评审的检查，与其他的各种规定制度不冲突，确保在安全管理制度被获知的同时，处于良好的管理维护之下。

（2）落实分级管控机制中的安全责任。信息系统分级设置管理人员、运维人员、专职安全管理人员，取得国家相应资质持证上岗。管理人员对信息系统规划、設计进行管理，降低系统故障的风险;运维人员采取有效措施减少人员失误、盗窃、欺诈以及对设施的滥用，对安全事件和故障造成的损害降低到最低水平;专职安全管理人员是保卫网络中的信息，防止信息在交流过程中丢失、被修改或者被误用，防止资产受到破坏，防止企业经济利益受损。不断提高专职安全管理人员能识别信息系统开发、运行、维护中的安全风险，或与信息安全专业指导团队合作，发现隐患及时整改、控制安全风险。

信息系统的最终用户是员工，通过宣传发动、员工参与培训等多种方式，加强各级员工网络安全保护意识，提升员工个人信息保护能力，牢固树立“预防为主、安全第一”的思想，理解安全策略、制度等，明确滥用信息的安全责任，确保信息安全防护体系能够在企业内部能够全面执行。

（3）建立监管制度强化信息安全监管。建立用户身份注册、权限管理、口令管理以及访问控制审查手段，分别从网络层、应用层提出要求，建立安全保护手段，保证企业信息可以被记录、追踪，防止信息设施滥用、证据收集等，保护各种关键敏感数据。

（4）定期开展信息安全风险评估。风险的评估是信息安全管理的基础，可以说，信息安全管理实际上是风险管理的过程。通过定期开展信息安全风险评估，可全面地了解信息系统的安全现状，找出正在使用的安全策略和现状的差距;建立良好的评价风险、处置风险的工作流程，为决策者制定安全策略，选择可靠的安全产品、设计积极防御的技术体系，针对性地采取安全措施，将风险控制在可接受的范围内。

信息安全建设是一项系统工程，需要完善的信息安全管理体系推动火力发电企业管理流程信息化。第一，完善顶层设计，明确信息安全建设的总体思路，细化信息安全的标准、规范，建立信息安全框架。第二，构建科学规划，理顺技术和管理的关系，明确各级人员信息安全职责，确保全员参与。

4      结    语

综上所述，本文以火力发电企业信息安全管理为研究对象，基于企业信息安全现状，对信息安全管理问题进行了深入分析，并结合企业网络安全管理的基本原则，提出了加强火力发电企业信息安全管理的对策。通过理论与实践相结合的方式，以期望能够帮助火力发电企业提升信息安全管理的整体水平。

主要参考文献

[1]国家能源局.电力行业信息系统安全等级保护基本要求[M].北京：电子工业出版社，2014.

[2]张泽虹，赵冬梅.信息安全管理与风险评估[M].北京：电子工业出版社，2010.