分析电力行业信息安全管理

康卫华 韩珺

近些年，国家电力工业体制逐渐向市场方向改革发展，很多电力企业积极配置信息系统并尝试将Internet用于業务管理实践中，驱动企业劳动生产能力与管理水平稳步提升，通过认真研读信息反馈，有针对性的整改决策计划方案，确保相关内容正确、可行及创造较高效益，增强电力企业的竞争实力。但信息安全面对的危险也渗透至电力企业生产、经营等诸多方面。解读电力系统信息安全存在的问题，不难发现其尚未建成完备的安全体系、管理规范等，很难确保电力信息传输、储存及应用安全。

一、电力信息系统的安全现状

一是尚未形成统一的电力信息安全管理规范。电力信息系统运转阶段，受多种体制性因素的约束，业内至今尚未建成能实现全面管理电力系统的网络安全规范标准，在政策层面上缺乏科学指导，以致电力信息安全管理自立门户，大量资源被重复建设，确没有取得预期成效。

二是信息安全系统和电力行业特征很难实现有机结合。虽然目前越来越多的电力企业生产经营活动中采用了信息技术，在针对维护系统运行安全性方面采用的措施并不多，资源保障力度整体薄弱化。

三是在计算机网络化发展阶段，初有局域网相互独立的格局被打破，形成了互相衔接的广域网，这在无形只能怪给电力信息系统运行安稳性构成威胁，外部安全隐患十分严峻。在网络互连互通的大格局下，系统运行阶段时刻面临着各种网络病毒与黑客的侵扰、攻击。

四是在数据库的存储及其他备份文件的选择方面尚不规范、电力系统运行阶段会形成海量数据，这些数据在电力系统实现安全运转及生产经营活动稳步推进方面均起到保障性作用。而当下电力信息系统产生的大部分信息是由数据库管护，部分工作人员操作欠缺规范性、网络病毒及黑客恶意攻击等，均可能造成企业重要信息外泄，使电力企业社会形象与经济效益均承受了不同程度的折损。

二、电力企业网络信息安全管理的方法

（一） 重视信息安全规划实际状况

网行安全合理设计规划的宗旨在于帮助相关人员更全面、深度的思考网络环境内存在的安全风险问题，进而探究相关解除方法。为提高电力信息安全管理工作水平，一定要建设一套完善的信息安全管理体系，这一点可以参照当下国际上通用的部分标准去进行，比如BS7799、ISO 15408等。

（二） 科学规划安全域

现如今，国内多数供电企业搭建的是物理式隔离网络，需配合采用适宜的方法规划内网上的安全域。实践操作中需结合安全规划、信息安全密度的所属级别，于逻辑层设计出核心重点、常规与开放型域。重点防范域的运转状态对网络安全程度会形成直接影响，普通用户不具备直接访问该区域内容的权限，这就预示着其安全等级处于较高层次上建议电力企业把各种重要数据仓库、服务器、应用系统、OA系统等布设在该区域内，从根本上使其运行安全性得到保障。

（三）加大对系统漏洞的扫描

明确要求电力企业信息安全管理人员在现实工作中认真落实电力信息系统安全脆弱性的检测工作，在全面掌握信息系统运行状态的基础上，及时探查到其内存有的安全风险问题，采用有效的方法及时解除，最后实现对系统安全漏洞的有效处理。选用适宜的漏洞扫描技术扫描系统漏洞，即确保电力企业能在复杂、庞大的计算机网络环境内有针对性的扫描网络层与操作系统，并利用安全风险测评报告的形式将扫描结果呈现出来，借此方式提高电力行业信息安全管理的综合效率。

（四）加大制度建设力度

1.日志管理和安全审计

防火墙和入侵检测系统具具备审计功能，应充分利用以上技术，进而高效率的落实电力信息网络的日志管理与安全审计工作。依照相关规范要求严格管理审计数据，人和人不许篡改、删减审计记录。

2.构建内网的统一认证系统

认证为当下维护与巩固网络信息安全型的有效技术之一，其功能在于提供身份甄别、访问控制、机密性及不可否认性服务等。

3.构建病毒防护体系

实质上就是将防病毒体系装设到信息网络内

防病毒软件系统具备强大的远程化安装、运程预警及集中化管控等功能。在该防护体系运行阶段，也要建设相配套的管理体制，即防病毒管理制度，明确要求企业员工针对从互联网上下载的数据信息，不可随意将其拷贝到内网主机上，针对始源不明确的移动存储设备也禁止用于联网计算机设备上。加强电力企业职员防病毒意识与能力的培养，这样他们在实践中若察觉到网络病毒，便能快速、娴熟的采用相关处理方法。

4.构建网络管理制度

首先，电力企业高层领导者应从思想上重视网络信息的安全性问题，不能信息安全管理与制度建设均交由技术部门单独执行。电力企业应主动建设信息安全领导小组，指派分管领导严抓网络安全工作，清晰设定其职责与需落实的工作制度，编制行之有效的安全事故处置流程、应急预案等。

其次，做好基础设施与运行环境的管理建设工作。具体是加大对企业网络信息中心的机房、配电房等重要基础设施的管理力度，及时引进防盗、防火、防水等设施，装设监控系统、报警装备等。建立严格的设备操作、管理及维护日志，规范软、硬件的操作规程，进而从多个方面确保计算机相关设备运行过程的安稳性。

再者，建设相配套的安全管理体制。不论是电力企业的中心机房，还是各业务部门计算机系统，均要建设完善的计算机规范化使用管理制度，网络管理员、安全员、各个业务部门主管与计算机设备操作人员的密码管理规则等内控制度。有关人员需有修改计算机应用系统重要数据的需求，则要将书面申请材料提交给相关部门，经授权后由专人负责完成该种工作。建设备份制度，针对核心流程及数据均要做到严格保密，推行专人专管机制。严肃性、权威性、强制性均是管理制度的特征，制度一旦建成就要严格实施。电力企业要指派专人定其检查督导制度的实施情况，确保其能真正落实到位。

最后，建立保密制度。以是创设保密委员会，全面落实和电力信息保密工作相关的法律条文，执行国家电网、省委省政府下达的要求。加大保密机构与队伍的建设，督导各单位在实践中积极完善保密工作体制，将各项防范控制措施落到实处。针对工作用计算机登录互联网，要加大保密管理力度，严禁出现通过互联网传送涉密电力信息的违规行为，不可以在未配置保密措施的计算机系统内处理、存储于传送企业秘密。针对加密机及其秘钥，均要有专人管理，并建设相配套的审批、登记、管理制度。明确要求任何单位与个人不可在电子公告系统、聊天室内发布、讨论与传播国家秘密信息，企业在网络上采用电子函件进行信息交流时，一定要严格遵守现行的国家相关保密规定。

（五）建设安全长效机制

为了能从根源上解除电力系统网络安全问题，科学技术是实现安全的主体，管理则是安全的魂魄。通过建设安全长效机制，进一步提升信息资源管理的安全性，以下几种因素决定了其建设与实施的必然性：电力企业形成的安全文化对社会能形成一定辐射作用;新时期下落实安全生产要求的有效办法;满足电网科学技术快速发展的主观需求;以人为本的现代化管理模式是企业安全文化体系的核心构成管理。

电力企业积极建设现代化、先进的安全文化，对本企业安全生产、运用起到凝聚、调控等诸多作用，引导全体员工形成积极向上的职业观念、规范化行为追责，最后增强员工的自我管理与自我协调能力。

三、结束语

网络安全管理属于社会性问题的范畴，网络中存在的一个细小缺陷均可能引起全网络的安全问题，我们应主动站在系统安全的视角，采用相关方法去剖析网络的安全风险问题，在此基础上实施有效措施，结合有关规定制定出高度合理的网络安全体系结构，这样方能确保整个网络系统的安全、稳定。