淺析電力企業信息網絡的安全運行與管理

闕建林

（重慶市電力公司信息分公司，重慶 400014）

1 概述

眾所周知，信息化網絡正以相當迅猛的速度進入到各種商業領域，幾乎所有的行政機關、事業單位和大中企業都擁有了自己的信息化網絡平臺。信息化網絡平臺的建設對企業的發展作用越來越大，無論是網絡硬件的搭建，還是網絡服務的搭建都在以超常規的速度迅速發展，因此就要求相關的IT人員及管理人員應有更高的開發和管理水平。

信息化網絡平臺搭建是用來為企業贏利的，而不是用來作秀的。一方面企業不會眼巴巴地看著幾萬、幾十萬甚至幾百萬的資金設備投入不產生任何效益，另一方面，企業辦公對網絡的依賴越來越強，從最初的網絡的方便性和可用性，到今天的網絡安全性。當網絡僅僅用來傳送一般性信息的時候，當網絡的覆蓋面積僅僅限于一幢寫字樓、一個小區的時候，安全問題并沒有突出地表現出來。但是，當在網絡上運行關鍵性的如銀行、證券相關業務等，信息網絡安全就成為一個不容忽視的問題。隨著信息化網絡技術的發展，網絡克服了地理上的限制，把分布在一個地區、一個國家，甚至全球的分支機構聯系起來。

它們使用公共的傳輸通道傳遞敏感的企業業務信息，部分企業通過一定的方式可以直接或間接地使用某個機構的私有網絡。但隨著企業業務的發展需要不可避免地與外部公眾網直接或間接地聯系起來，使得網絡運行環境更加復雜、分布地域更加廣泛、用途更加多樣化，從而造成網絡管理難度增加，安全性降低。隨著機構和企業對信息化網絡依賴性的增強，一個相對較小的網絡也突出地表現出一定的安全問題，尤其是當機構或企業的業務越來越多需要借助網絡平臺處理時，機構或企業內部網絡就要面對來自外部公共網絡的各種安全威脅，網絡黑客的攻擊、網絡病毒的泛濫和各種網絡業務的安全要求已經構成了對網絡安全的迫切需求。

2 電力企業信息化網絡安全運行的首要任務

從以上信息化網絡的安全現狀來看，解決電力企業網絡安全運行必須要做好網絡安全的防范與管理。當我們把過多的注意力投向黑客攻擊和網絡病毒所帶來的安全問題的時候，卻忽略內部管理是引發安全問題的根源，正所謂搏銎鶼羥絡。據國內外多家權威安全機構統計表明，大約有80S的安全事件直接或間接地由內部管理引發。在一定程度上，外部的安全問題可以通過購置一定的安全產品設備來解決，但是，大多數的外部安全問題是由內部管理不善、配置不當和不必要的信息泄露引起的。因此，建立完善的電力企業級網絡安全體系是解決電力企業網絡安全運行的首要任務。

3 電力企業信息化網絡安全存在的誤區

3.1 過去乃至現在不少電力企業的管理者認為信息化網絡只是技術部門或信息中心的事，離自己很遠。而技術部門或信息中心充當的僅僅是維護中心的職能，在信息化網絡運行中只有技術支持職能，而缺少信息管理與技術管理職能，技術部門或信息中心引進的人才普遍是單純的計算機專業人才，缺乏信息管理人才和技術管理人才。再者部分電力企業由于缺少真正的信息化網絡部門，沒有“技術部門”或“信息中心”等專門的部門機構，信息化網絡系統的運營經常缺乏周密的規劃，部分電力企業各部門盲目運行信息化網絡，使得部分電力企業信息化網絡運營往往脫離了電力企業本身實際需求的正確軌道，不是以電力企業為主，以業務應用為本，而是被一些IT廠商牽著走，導致主次不分。

3.2 從電力企業信息化網絡的管理與控制層面看，如何保證整個信息化網絡系統的有效運行和管理是保證信息化網絡發揮最大效用實現的關鍵之所在。然而，過去乃至現在在眾多的電力企業管理者眼中，投資信息化和進行大量的信息化網絡建設項目，是增強電力企業競爭能力、提升電力企業價值的惟一道路。將信息化網絡系統看作是一個超級神化的利器，沒有從根本上去了解電力企業信息化發展的內部結構與功能，只是盲目將大量資金投入，然后期盼著好的企業效益會神話般地出現。信息化網絡系統內暗藏著復雜的“機關”，因此需要富有經驗的管理者進行周密的計劃和組織，突破層層“機關”，在運行過程中進行最有效的管理與控制，否則不管在當初建設初階段投入了多少資金，在應用與運行階段想實現成本的回收和企業效益的增值都變的相當艱難。

3.3 從電力企業信息化的項目建設層面分析，項目建設的成功與否關系到企業信息化的成敗。目前，部分電力企業熱衷于開發適用于自己的MIS系統，爭相使用ERP等項目，卻陷入屢遭失敗而難以自拔的處境，由于ERP等信息化應用項目實施非常復雜與困難，耗費的時間長，而且項目投入巨大，很多企業缺乏有效的項目管理和過程控制是導致信息化項目失敗的直接原因。信息化項目管理是一項需要很高技巧的復雜工作，需要制定合理的實施計劃、良好的組織管理，員工溝通、整合、最大限度控制成本、節約時間、提高質量、將風險控制到最低。尤其是電力企業大型的信息化項目，對該項目的實施與管理更是需要一套周全的管理運行策略。如果項目在一次性投資后缺乏有效監控與管理，缺乏有效機制保障信息系統運作，項目的運營將會很難繼續或陷入無法脫離的“沼澤”。

4 電力企業信息化網絡安全存在的主要問題

電力企業信息化網絡安全問題主要可分為內部網絡安全和外部網絡安全，無論是內部安全問題還是外部安全問題，歸結起來一般有以下幾個方面：

4.1 網絡建設單位、管理人員和技術人員缺乏安全防范意識，從而就不可能采取主動防御的安全措施，完全處于被動挨打的位置。在日常業務活動中存在安全疏漏，造成不必要的信息泄露，給攻擊者以可乘之機。

4.2 信息中心和技術部門的有關人員對信息網絡的運行安全現狀不明確，不了解甚至根本不知道信息網絡目前存在的安全隱患，從而失去了防御隱患的最佳時機。

4.3 信息中心和技術部門的計算機網絡安全防范沒有形成完整的、組織化的體系結構，其安全漏洞缺陷給網絡黑客以可乘之機。

4.4 信息中心和技術部門的計算機網絡沒有建立完善的管理體系，從而導致安全體系和安全控制措施不能充分有效地發揮，無章可依。

4.5 網絡安全管理人員和技術人員缺乏專業安全知識匱乏，不能安全地維護網絡安全運行，不能及時發現已存在的和隨時可能出現的新安全問題，對突發的網絡安全事件不能作出積極、有序和有效的補救。

5 電力網絡安全管理體系的建立，運行與管理

電力企業信息化網絡體系建立、運行與管理是一個系統工程，涉及到電力企業生產、經營、管理等各個方面，一般來說，包括以下幾個方面的基礎內容：

5.1 日常辦公自動化管理

電力企業日常業務文件資料日積月累堆積如山，給文件資料保管、日后查詢帶來極大難度。在過去傳統的辦公程序，從文件起草、傳閱、審批、歸檔、借閱等各個環節，常常存在浪費紙張，或由于時間較久造成文字不清，或保管不當文件意外受潮、火災等導致文件丟失：在日常辦公常常由于傳閱不及時、文件去向不明等現象造成工作效率下降。而信息化網絡下的辦公自動化.只要通過公司計算機網絡，將所有文件輸入進去，無論何時何地，均可通過網絡郵件或電力企業OA系統進行文件資料的制定、修改、轉發、查閱。做到既安全、省時、準確，能夠極大地提高工作效率。

5.2 企業業務管理信息化

電力企業信息化不只是單純計算機硬件設備、軟件應用的代名詞，更為重要的是要與企業內部管理有機結合。電力企業信息化除了硬件、軟件環境的改變之外，最重要的在于電力企業內部各類管理的信息化，如生產管理、信息資源管理，后者更為重要。管理領域的信息化是企業利用現代信息技術，建立信息管理系統。要在信息化網絡使用過程中通過轉變過去傳統的管理觀念，提高全體員工的整體素質，建立良好的管理制度和管理流程，構建扎實的切實有效的企業管理基礎，實行科學管理，從而提高電力企業的整體管理水平。

5.3 業務決策網絡化

在完善的信息網絡化具備的條件下，充分發揮網絡的作用，在信息化網絡條件下，電力企業的業務從調研、簽約、履約到后期的數據報表、經濟活動分析等服務，都可以進行信息化管理。同時通過信息化網絡及時了解各地市場信息，從而對預期業務做出科學的預測和分析。利用目前掌握的數據包括往年數據等各種業務數據建立信息數據庫，利用對比、深層分析，實現日常業務管理、數據綜合分析和未來預測。改進業務流程和管理模式，最大限度開發利用信息資源，通過計算機網絡系統進行采集、存儲、處理和優化企業發展所需要的多方面信息，提高電力企業運行效率和決策水平。

6 保障信息化網絡安全運行策略

電力行業信息化網絡安全體系具有網絡體系結構普遍存在內在外在安全問題，同時又存在自身企業特點的信息網絡安全問題。要實施一個完整的網絡安全系統，至少要注意三類措施：①社會的法律、法規以及電力企業的規章制度和安全教育等外部軟件環境。②技術方面措施，如網絡防毒、信息加密、授權、認證以及防火墻技術。③審計和管理措施，這方面措施同時也包含了技術與社會措施。因此對待電力企業網絡體系要從以下措施策略做起。

6.1 電力企業網絡安全體系現狀分析。只有明確自己的安全需求才能有針對性地構建適合于電力企業的安全體系結構，從而有效地保證電力企業網絡系統的安全。

6.2 網絡安全性方法全面制度化、方法多樣化。如修補系統漏洞、病毒檢查、加密、執行身份鑒別、防火墻、捕捉闖入者、空閑機器守則、廢品處理守則及口令守則。

6.3 制定安全措施制度。根據信息中心和技術部門的安全需求和風險評估的結論，制定信息中心和技術部門的計算機網絡安全制度。

6.4 定期網絡體系安全檢查。安全檢查的首要任務是檢查企業的安全策略是否被有效地和正確地執行。其次，由于網絡安全是一個動態的過程，信息中心和技術部門的計算機網絡的配置可能經常變化，因此信息中心和技術部門對安全的需求也會發生變化，組織的安全策略需要進行相應地調整。為了在發生變化時，安全策略和控制措施能夠及時反映這種變化，必須進行定期安全檢查。

6.5 外部技術支持。計算機網絡安全同必要的外部支持是分不開的。通過專業的安全技術服務機構的支持，將使網絡安全體系更加完善，并可以得到最新的安全資訊，為計算機網絡體系安全提供安全預警。

結語

電力企業信息網絡僅僅依靠單一的技術或安全產品設備無法滿足網絡運行對安全的要求，只有將技術和管理手段有機結臺起來，從控制整個電力企業網絡安全建設、運行和維護的全過程角度入手，才能提高電力企業網絡的整體安全水平。

[1]黨林.電力企業網絡信息安全的防護措施[J].科技傳播 ，2012（04）.

[2]李仲偉，張建立.電力企業網絡信息安全管理研究[J].科技風，2012（01）.