關于電力信息安全標準體系建設的思考

王 藝

（國網四川省電力公司信息通信公司，四川 成都 610000）

關于電力信息安全標準體系建設的思考

王 藝

（國網四川省電力公司信息通信公司，四川 成都 610000）

隨著社會市場經濟的發展，我國的電力行業在發展過程中取得了較大的進步，其電力網絡的建設數量及建設規模在不斷的增大，在此基礎上，保證電力網絡的運行安全是非常必要的，這就需要在日常的電力網絡管理工作中，加強電力信息安全的管理，本文就主要結合相關的實例，對電力信息安全標準體系的建設進行簡單分析探討，對于保證電力信息安全具有積極的作用。

電力信息安全；標準體系；建設

國家“十二五”規劃期間，對于電力行業的建設給予了更大的支持，這使得我國的電力行業進入到高速發展的時期，隨著電力市場的變革，我國的電力企業在發展過程中面臨著更多的機遇與挑戰，隨著電網建設工作的深入，我國電網在建設的過程中，逐漸朝著自動化、智能化、信息化的方向發展，并取得了一系列的成果，但是對其信息安全現狀進行簡單分析，發展其中還存在較多的不足之處，本文就結合某電力公司的信息安全發展現狀，對其信息安全標準體系的建設進行簡單分析。

一、電力信息安全發展現狀

隨著社會市場經濟的發展，社會發展過程中的電力需求不斷增大，在其發展過程中，國家對于電力信息安全防護提出了更高的要求，這就需要在現有的基礎上，應用更好的電力信息安全防護策略，建立其完善的電力信息安全標準體系，保證電力網絡的安全運行，但是對我國目前的電力系統信息安全現狀進行簡單分析，其中還存在較多的問題需要解決，其中最主要的問題就是病毒木馬所導致的安全隱患，這會對電力網絡中的設備及相關配置造成嚴重影響，對其具體原因進行簡單分析，主要表現為：（1）電力系統中的安全設施配置不完善，在電力系統運行過程中，相關的安全設施在電力系統的安全運行中發揮著非常重要的作用，如果在實際的電力系統運行過程中，由于安全設施配置不完善，導致相關電力設備的安全檢查不到位，很難及時發現電力系統中潛在的安全問題，導致安全事故的發生；（2）電力企業運行過程中沒有制定出完善的信息安全標準規范體系，特別是在其運行過程中，如果缺乏統一的信息安全加固標準及信息安全策略，就很難實現電力系統信息化建設的規范化操作，并且由于監督管理制度的缺乏，相關的標準也難以在實際的管理工作中實施，導致管理效率不高；（3）電力信息安全管理工作中，技術型人才隊伍的缺乏導致其管理效率不高，由于沒有專業的知識及操作技術作為支持，是很難對電力信息系統及電力信息安全產品實施有效的管理的；（4）電力企業中的相關工作人員沒有對電力信息安全管理工作予以應有的重視，這也是導致電力信息安全管理工作不到位的主要原因。

針對以上分析中存在的主要問題，本次研究中，選取某電力公司作為工程實例，從起安全管理、技術規范、評價考核等方面出發，結合其電力信息安全管理現狀，對其電力信息安全標準體系建設工作進行簡單分析，對于該電力公司電力系統信息安全運行水平的提升具有非常重要的作用，下面就針對此予以簡單分析研究。

二、電力信息安全標準體系架構

在實際的研究過程中，電力信息安全標準體系的建設是一項系統性很強的工作，在該標準體系的建設過程中，應該充分的考慮各方面的因素，首先，對其信息安全標準體系的建設原則進行簡單分析，主要表現為：（1）在信息安全標準體系的建設過程中，應該堅持落實上級精神與提升自身管理水平相結合的基本原則，從企業信息安全的管理現狀出發，有效的結合自身發展過程中的實際需求，采用針對性的技術手段與管理措施，使國家及企業自身的各項制度落到實處，使企業的信息安全管理水平得到有效提升。（2）堅持信息安全標準體系建設與企業信息化建設同步的基本原則，在實際的體系建設工作中，從相關設備的入網環節抓起，對相關設備的賬號授權管理、口令安全、安全補丁、端口服務、日志審計等進行有效的管理，加強入網測試工作，避免不具備相關安全功能的設備進入到電力系統網絡中，保證電力信息安全工作開展的過程中，具有充分的主動性與防御功能。（3）堅持動態性與系統性相結合的基本原則，在電力信息安全標準體系的建設過程中，應該充分的考慮安全威脅等級及系統脆弱性之間的差異，隨著威脅程度的提升、系統環境變化的加劇，相關的安全保護措施及保護方案應該適當的調整，保證電力信息安全標準體系具有一定的時效性，使得其在實際的電力信息安全管理工作中發揮良好作用。

結合該電力公司發展現狀及以上的基本原則，本次研究中的電力信息安全標準體系建設過程中，其主要的組成部分為：人員體系、管理體系、技術體系及指標體系，下面對這幾個基本的組成體系進行簡單分析。

人員體系，該部分的主要功能是進行相關人才隊伍的培養與建設，主要是針對相關工作人員開展電力信息安全專業知識的教育，保證電力信息安全的持續培訓。

管理體系，管理系統是電力信息安全標準體系建設過程中非常重要的建設內容，其中包含的內容眾多，主要是信息安全的相關規章制度以及信息安全規章管理的制度，其制度所包含的內容涉及到建設管理、運行維護管理、安全管理、人員管理、組織機構等各個方面，通過對人員、電力系統、工作流程、設備管理等各個方面進行統一的、制度化的管理，對于電力信息安全管理水平的提升具有非常重要的作用，有利于電力信息安全管理工作的規范化、流程化與制度化。

技術體系是保證相關安全措施實施的最基本的保證，如果在實際的應用當中，相關設備的安全配置不足，將很難保證電力信息安全，這就需要建立起完善的技術體系，解決電力系統運行過程中存在的設備安全配置不到位的問題。

指標體系中包含：桌面終端管理率、信息網絡可用率、電力系統自動監控率、信息設備、信息安全事件數等方面的內容，這對于電力信息安全管理水平的提升具有積極的作用。

在電力信息安全標準體系建設過程中，其中最為重要的就是技術體系，對其集成系統進行簡單分析，其主要包含安全平臺、主機安全、數據庫安全、應用安全、網絡安全、物理安全等方面的內容，這就需要在實際的運行過程中，對電力系統運行過程中存在的各種安全隱患及安全運行的薄弱環節進行簡單分析，對電力信息系統各個部門的安全等級進行評定，并根據其安全等級的不同，選擇合適的安全保護措施，并對其給予有效的技術支持，使相關的安全防護措施能夠有效的實現，并在實際應用發揮良好作用。

三、電力信息安全標準體系的建設及相關的應用效果

在實際的電力信息安全標準體系的建設過程中，應該注意以下的基本內容：（1）標準體系的構建過程中，需要進行測評表及指導書的編制，在其編制的過程中，要參照國內外的相關信息安全標準，編寫符合相關標準要求及實際需求的電力信息安全標準及作業指導書。（2）加強電力信息安全的宣傳工作，保證所有工作人員在實際的工作中，對電力信息安全予以足夠的重視，并在實際的行動中嚴格按照相關的操作規范，保證電力信息安全。（3）建立完善的電力信息安全管理制度，并使電力信息安全管理工作的檢查實現常態化，制定完善的管理措施，并通過常態化的檢查，保證相關管理制度得到有效實施，在基線測評、安全加固、復查等工作中，都需要由相關的檢查人進行簽字確認，有效避免這些信息系統管理過程中的關鍵環節只流于形式。對于實際運行過程中的，一些與信息安全有著重大聯系的重要內容，在實際的工作中，應該予以詳細的檢查，對其展開初查之后，要對檢查結果進行詳細的分析與討論，對于初查時發現的相關安全隱患，應該及時的采取有效的措施予以處理，并在復查工作中，對其落實情況進行有效的審核。（4）從體系架構上進行有效的分析，保證電力信息安全監督工作的規范化，從端口、服務、安全配置、安全漏洞等角度對信息安全配置核查策略庫、系統狀態信息庫等進行有效的研究，做好電力信息安全的監督工作，這對于電力信息安全管理效率的提升具有積極的作用。

本次研究中所選擇的電力公司，在實際的運行過程中，將本次研究中的電力信息安全標準應用了一年的時間，對其實際的應用效果進行簡單分析，發現應用該電力信息安全標準體系之后，對其各個分公司的電力信息安全達標情況進行統計分析，發現實施該信息安全標準體系之后，各個分公司的信息安全達標情況有了顯著提升，對各個主機及相關的網絡設備進行加固之后，信息系統設備安全配置不足的問題得到了有效解決，有效消除了電力信息系統運行過程中由于安全設施配置不到位所導致的安全隱患，并且隨著管理的規范化，員工的信息安全意識得到了有效增強，其總體的信息安全管理水平得到了顯著提升。

結語

電力信息系統運行過程中，保證其電力信息安全是至關重要的內容，本文就結合某電力公司的運行實例，結合電力信息安全管理現狀，對電力信息安全標準體系的建設進行了簡單分析，對于其信息安全管理水平的提升具有積極的作用。

[1]王甜，徐暉，魏理豪,楊浩．電力信息安全保障體系建設研究[J]．廣東電力，2010（05）．

[2]張鑫，陳雪華，劉新．電力系統信息安全基線標準體系的構建[J]．電力信息與通信技術，2013（11）．

[3]崔高智，張躍斌，李斌．關于電力信息安全基線自動化核查的探討[J]．科技創新與應用，2013（33）．

TP39

A