電力信息安全現(xiàn)狀及改善策略

李路民 陳建新 馬宗達(dá) 鞏銳

摘 要：隨著信息時(shí)代的到來，信息安全已經(jīng)融入電力企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的方方面面。本文主要針對(duì)電力企業(yè)信息安全管理中存在的問題展開分析，指出電力企業(yè)目前在信息安全管理以及信息安全體系中存在的風(fēng)險(xiǎn)，并相應(yīng)地制定了高效的信息安全管理措施，以促進(jìn)信息安全管理問題的解決，并推進(jìn)電力企業(yè)信息安全管理水平的提升。

關(guān)鍵詞：電力信息；安全現(xiàn)狀；改善策略

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2018）02-0164-02

Current Situation and Improvement Strategy of Power Information Security

LI Lumin1，CHEN Jianxin1，MA Zongda1，GU Yue2

（1.State Grid Xinjiang Electric Power Co.，Ltd.，Information and Communication Company，Urumqi 830000，China；2. Xinjiang Information Industry Co.，Ltd.，Urumqi 830000，China）

Abstract：With the advent of the information age，information security has been integrated into all aspects of the production and operation of electric power enterprises. This paper mainly aimed at the existing information security management of electric power enterprise issues analysis，pointed out that the risk existing in the electric power enterprise information security management and information security system，and formulate corresponding measures of effective information security management，information security management so as to promote solve problems，promote the level of safety management of power enterprise information.

Keyword：power information；security status；improvement strategy

0 引 言

電力系統(tǒng)是一個(gè)涉及了繼電保護(hù)、電網(wǎng)調(diào)度自動(dòng)化、配電網(wǎng)自動(dòng)化等方面的大型系統(tǒng)工程。在電力企業(yè)快速發(fā)展的背景之下，信息安全問題與電力企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)存在緊密的聯(lián)系，直接影響著電力企業(yè)能否進(jìn)行安全生產(chǎn)。

1 電力企業(yè)存在的主要信息安全管理風(fēng)險(xiǎn)

1.1 信息安全體系層面

（1）信息網(wǎng)絡(luò)結(jié)構(gòu)與邊界風(fēng)險(xiǎn)。從信息網(wǎng)絡(luò)結(jié)構(gòu)方面來看，電力企業(yè)面臨著核心交換機(jī)選型缺乏合理性這一問題，比如，核心交換機(jī)屬于一臺(tái)二層交換機(jī)，只有充分利用系統(tǒng)才能夠有效地解決網(wǎng)絡(luò)安全問題。除此之外，絕大部分的電力企業(yè)會(huì)采用多種形式連接互聯(lián)網(wǎng)，但是不同的安全域間的網(wǎng)絡(luò)連接并未采取任何的訪問控制措施，導(dǎo)致互聯(lián)網(wǎng)訪問的過程中會(huì)面臨掃描攻擊、非法侵入以及DOS攻擊等各種問題。

（2）病毒侵害與網(wǎng)絡(luò)攻擊。隨著電子郵件系統(tǒng)運(yùn)用范圍地?cái)U(kuò)大，加快了計(jì)算機(jī)病毒擴(kuò)散的速度，各種病毒會(huì)通過網(wǎng)絡(luò)進(jìn)行傳播，越來越多的電力企業(yè)網(wǎng)絡(luò)面臨著計(jì)算機(jī)病毒入侵的安全風(fēng)險(xiǎn)?，F(xiàn)在的網(wǎng)絡(luò)攻擊手法結(jié)合了許多技術(shù)，多數(shù)電力企業(yè)雖然安裝了防病毒軟件，但是這些軟件僅僅起到病毒查殺的作用，無法阻止病毒傳播。針對(duì)網(wǎng)絡(luò)中傳播的蠕蟲，雖然入侵檢測(cè)系統(tǒng)可以檢查出來，但是無法對(duì)蠕蟲進(jìn)行徹底地清除。此外，運(yùn)用補(bǔ)丁管理雖然可以避免蠕蟲的感染，但是同樣無法實(shí)現(xiàn)對(duì)蠕蟲的查殺。除此之外，在現(xiàn)階段，企業(yè)各個(gè)安全產(chǎn)品大多是獨(dú)立工作，不能對(duì)病毒進(jìn)行系統(tǒng)化地查殺。

（3）系統(tǒng)安全風(fēng)險(xiǎn)。就系統(tǒng)安全風(fēng)險(xiǎn)內(nèi)容來看，它具體指的是下面幾點(diǎn)內(nèi)容：第一，操作系統(tǒng)風(fēng)險(xiǎn)；第二，數(shù)據(jù)庫系統(tǒng)風(fēng)險(xiǎn)，第三，各類運(yùn)用系統(tǒng)風(fēng)險(xiǎn)。在現(xiàn)階段，許多電力企業(yè)將Windows操作系統(tǒng)作為主要的操作系統(tǒng)，然而任何操作系統(tǒng)都不可避免地存在漏洞，漏洞會(huì)給入侵者提供可乘之機(jī)，一旦入侵者掌握了管理員權(quán)限，必然會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。

1.2 信息安全管理層面

（1）信息安全管理措施落實(shí)不到位。由于資金不足，許多的電力企業(yè)不能及時(shí)替換陳舊的操作系統(tǒng)和郵件程序，而入侵者極容易利用內(nèi)部網(wǎng)絡(luò)的缺陷來進(jìn)行攻擊。此外，由于企業(yè)的管理人員網(wǎng)絡(luò)安全意識(shí)淡薄，就會(huì)忽視同步升級(jí)用戶系統(tǒng)。另外，部分電力企業(yè)使用開放程度過高的操作系統(tǒng)，由于安全級(jí)別低下，加上未采取任何安全措施，就無法實(shí)現(xiàn)對(duì)黑客與信息炸彈地有效抵御。

（2）企業(yè)信息管理革新滯后于技術(shù)發(fā)展。近些年，我國(guó)的信息技術(shù)快速發(fā)展，但是電力企業(yè)的管理水平一直沒有得到提升，雖然部分企業(yè)采用了最新的業(yè)務(wù)系統(tǒng)以及管理系統(tǒng)，但是并未及時(shí)更新管理模式，以至于無法充分發(fā)揮出信息系統(tǒng)的價(jià)值。信息安全工作是一項(xiàng)兼具復(fù)雜性與系統(tǒng)性的工作，對(duì)工作人員的專業(yè)水平有著較高的要求，所涉及的知識(shí)面十分的廣泛。很顯然，現(xiàn)階段的技術(shù)人員無法滿足新時(shí)期電力企業(yè)對(duì)信息安全管理工作的要求。

（3）工作人員安全意識(shí)十分淡薄。目前，許多工作人員不能夠認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性，沒有拿出足夠的時(shí)間與精力投入到網(wǎng)絡(luò)信息安全的學(xué)習(xí)之中。此外，大多數(shù)電力企業(yè)的安全意識(shí)淡薄，忽視安全領(lǐng)域的投入，以至于網(wǎng)絡(luò)信息安全長(zhǎng)時(shí)間處于封堵漏涮狀態(tài)。與此同時(shí)，絕大部分工作人員缺乏良好的安全意識(shí)，對(duì)于共用口令、企業(yè)內(nèi)部信息傳播以及復(fù)制等涉及的安全問題了解不夠，給了黑客攻擊可乘之機(jī)，導(dǎo)致經(jīng)常出現(xiàn)信息泄露問題，最終影響了企業(yè)網(wǎng)絡(luò)信息的安全性。

2 電力企業(yè)信息安全管理對(duì)策

2.1 強(qiáng)化對(duì)企業(yè)工作人員的規(guī)范化管理

首先，強(qiáng)化對(duì)企業(yè)高層管理人員的管理，嚴(yán)格執(zhí)行信息安全管理制度。作為一個(gè)企業(yè)的重要力量，高層管理人員務(wù)必以身作則，積極落實(shí)信息安全管理工作，為企業(yè)全體員工樹立起良好的榜樣。此外，高層管理人員要做好信息資產(chǎn)的保管工作，避免工作中因失誤而失去寶貴的資產(chǎn)，只有這樣才能夠保障企業(yè)的健康發(fā)展。其次，針對(duì)離職人員要做好信息安全審查工作，在其出現(xiàn)離職傾向后，要即刻變更其信息資源訪問權(quán)限，仔細(xì)清點(diǎn)離職人員手中掌握的信息資產(chǎn)。此外，離職人員在企業(yè)的剩余時(shí)間，對(duì)其要加強(qiáng)監(jiān)督與控制，避免發(fā)生各種異常事件。再次，針對(duì)以下幾種特殊人員務(wù)必要實(shí)行嚴(yán)格的信息安全管理制度，需要對(duì)其展開多次全面的檢查。具體來說，包括以下幾類人群：第一，與開發(fā)源代碼直接接觸的人員；第二，與企業(yè)核心商業(yè)機(jī)密直接接觸的人員；第三，直接從事信息安全管理的人員等。最后，強(qiáng)化供應(yīng)商與合作伙伴之間的信息安全管理。針對(duì)合作伙伴以及供應(yīng)商有必要制定信息安全管理規(guī)定，防止對(duì)方有目的性地收集我方重要的商業(yè)情報(bào)。此外，對(duì)于日常的溝通與交流，務(wù)必要嚴(yán)格遵守有關(guān)規(guī)定，禁止隨意對(duì)外公開以及透露其他重要信息。

2.2 強(qiáng)化對(duì)企業(yè)信息資產(chǎn)的分析與管理

首先，根據(jù)信息資產(chǎn)的載體質(zhì)、價(jià)值實(shí)現(xiàn)形式以及來源等方面內(nèi)容，認(rèn)真地識(shí)別信息資源。樹立信息資源理念，形成良好的信息資產(chǎn)商品觀、資產(chǎn)觀以及素質(zhì)觀，提升企業(yè)的勞動(dòng)生產(chǎn)率，在社會(huì)范圍內(nèi)塑造良好的企業(yè)形象。其次，構(gòu)建完善的信息資產(chǎn)管理組織體系，制定科學(xué)的信息資產(chǎn)管理制度，改進(jìn)信息資產(chǎn)管理方式，以實(shí)現(xiàn)對(duì)信息系統(tǒng)地全方位管理，充分發(fā)揮信息資產(chǎn)的價(jià)值，增強(qiáng)電力企業(yè)的市場(chǎng)競(jìng)爭(zhēng)實(shí)力。再次，強(qiáng)化對(duì)信息資源運(yùn)用的管理。實(shí)現(xiàn)信息資產(chǎn)資源與其他各種生產(chǎn)力要素的結(jié)合，在保證生產(chǎn)要素保值增值的同時(shí)，幫助電力企業(yè)實(shí)現(xiàn)經(jīng)濟(jì)效益最大化的目標(biāo)。最后，加快構(gòu)建信息資源共享機(jī)制，推進(jìn)信息資產(chǎn)的再創(chuàng)新，不斷形成企業(yè)內(nèi)部信息資產(chǎn)，從而推進(jìn)外源信息資產(chǎn)的再增值。

2.3 構(gòu)建完善的信息安全應(yīng)急保障機(jī)制

電力企業(yè)有必要加快制定應(yīng)急預(yù)案，強(qiáng)化對(duì)工作人員的培訓(xùn)，保障具備充足的人力技術(shù)設(shè)備等資源。同時(shí)，電力企業(yè)要建立健全備份與恢復(fù)管理制度，對(duì)數(shù)據(jù)備份與恢復(fù)過程進(jìn)行嚴(yán)格控制，認(rèn)真做好備份記錄的保存工作，保證定期恢復(fù)程序地嚴(yán)格執(zhí)行。除此之外，還要加強(qiáng)對(duì)容災(zāi)方案可行性的相關(guān)研究，并結(jié)合實(shí)際需要進(jìn)行容災(zāi)系統(tǒng)的建設(shè)工作。

3 結(jié) 論

綜上所述，電力信息安全是影響企業(yè)生產(chǎn)經(jīng)營(yíng)與管理活動(dòng)的重要因素，因此電力企業(yè)要高度重視信息安全管理工作，從系統(tǒng)工程方法出發(fā)，制定有效的管理措施，避免管理漏洞影響信息安全。除此之外，在發(fā)展過程之中，電力企業(yè)務(wù)必要統(tǒng)籌兼顧，建立健全信息安全管理系統(tǒng)，最大程度地消除信息安全管理風(fēng)險(xiǎn)，正確處理信息安全管理中的問題，不斷地提高信息安全管理水平，為電力信息系統(tǒng)的安全性、穩(wěn)定性與可靠性提供重要保障。

參考文獻(xiàn)：

[1] 王鳳彬.信息安全技術(shù)在電力信息系統(tǒng)中的應(yīng)用分析 [J].現(xiàn)代國(guó)企研究，2015（16）：83.

[2] 張?chǎng)危愌┤A，劉新.電力系統(tǒng)信息安全基線標(biāo)準(zhǔn)體系的構(gòu)建 [J].電力信息與通信技術(shù)，2013，11（11）：110-114.

[3] 王舒.電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀與分析 [J].電腦知識(shí)與技術(shù)，2016，12（6）：30-32.