電力企業信息網絡安全風險分析與管控措施研究

劉 俊

（湖北華電江陵發電有限公司，湖北 荊州 434100）

0 引 言

目前，我國社會經濟快速發展，人們對電能的需求量持續增長。同時，我國網絡技術快速發展，推動了信息化和智能化技術應用范圍的擴大。在電力企業中，信息網絡的應用普及率不斷提高，提升了電力企業的經濟效益，也增加了電力企業信息網絡系統運行過程中出現信息泄露的風險。由于上述風險會給電力系統乃至整個國家造成不可估量的經濟損失，因此在電力企業管理工作中要不斷探索信息網絡安全管控措施，不斷完善信息網絡安全建設，以解決信息安全問題，提升信息網絡安全水平。

1 電力企業信息網絡安全的目標

1.1 控制訪問的目標

該目標保證在電力企業內部的網絡資源不允許非法用戶進行訪問和讀取，保證只有符合相應權限的用戶才可以訪問內部信息網絡，并對信息進行內部網絡管理和操作等進行監督和控制。為了滿足上述目標，通常需要在電力企業內部控制各種管理訪問權限，采用的形式為設置加密，保護的內容為內部數據、設備以及系統等網絡資源。

1.2 加密信息的目標

此目標是要保護信息網絡數據的安全，確保在終端設備上的信息不會被非法盜取。為了實現上述目標，采用信息加密的方式[1]，重點是應用加密機制，采用相應的軟件或網絡安全設備的應用來保護數據信息，避免在網絡中傳輸數據信息，且不會被非法者盜取，防止發生信息泄密。

1.3 數據完整性的目標

此目標針對信息網絡技術具有的完整性和系統兼容性特點，通過確保數據的完整性來防止在操作過程中出現數據被刪除、增加或修改等問題，保證與之相關聯的信息能夠實現同步操作。

2 電力企業信息網絡安全風險分析

2.1 軟件和信息系統設備中的安全風險

在目前信息時代快速發展的過程中，各種信息技術快速發展進步，使得電力企業中的信息系統、設備功能與配置也更加先進，但也增加了網絡黑客對信息系統中軟硬件資源的攻擊頻率，且將電力系統的網絡攻擊放在前列。尤其是目前的黑客技術門檻低、操作簡單便捷、可執行語句隨處傳播，使得目前的網絡攻擊行為猖獗。如果電力企業中的應用軟件、信息系統設備中存在原始漏洞，將大幅增加網絡黑客對電力系統造成的侵害。

2.2 信息安全機構建設中的問題

目前的電力企業通常沒有專門設置信息管理部門，通常是在生產技術部或科技部中附屬，或者是在辦公室部門管理中添加職能崗位。還存在部分電力企業中由兼職人員開展信息安全管理工作的情況，而這部分人員工作態度有待提升，導致信息管理工作沒有有效開展。

2.3 信息維護工作中的問題

由于信息網絡技術在不斷發展和進步，而電力企業中的網絡安全防護能力卻表現出滯后性，無法緊跟信息技術的發展速度[2]。部分系統、軟件無法升級，防火墻和病毒庫僅為最初的配置。部分電力企業沒有建立信息安全防護系統等級保護機制，導致企業內部的防護能力較弱，易在網絡黑客的攻擊下出現大面積信息系統癱瘓。再加上沒有做好數據備份和數據恢復機制，易在出現系統癱瘓時造成數據庫損壞和數據丟失，造成數據不全、數據紊亂等嚴重后果?？梢姡鲜鰡栴}會降低系統的容錯能力，導致電力企業受到網絡攻擊數量增加，同時增加了造成的損失。

2.4 管理人員信息安全觀念方面的問題

目前，在電力企業市場競爭更加激烈的形勢下，電力企業的管理人員往往更加注重企業運營的經濟效益，從而忽視信息網絡安全方面的技術問題。此外，信息安全管理制度不夠完善，或者僅僅是應付上級檢查等，造成管理人員的信息安全觀念較為淡薄，增加了企業信息系統的安全風險。究其原因，在于目前的電力企業對技術管理問題不夠重視，沒有做好對企業職工的相關培訓工作，造成企業職工的安全技能水平偏低，增加了電力企業的信息網絡安全風險。

3 電力企業信息網絡安全風險的管控措施

3.1 重視信息網絡安全管理中的基礎設施和管理運行環境

一是要做好電力企業信息網絡系統中的配電室、信息、通信機房等基礎設施的管理工作，針對上述關鍵設施合理配備相應的防水、防火和防盜裝置[3]。二是做好對電力二次設備的安全防護工作，這不僅需要采用物理隔離的方式隔離生產控制大區和信息管理大區，還要做好安全分區、網絡專用、橫向隔離以及縱向加密認證等工作。三是將監控報警設備和動環監測系統安裝在機房內。四是及時做好桌面終端、主機等重要基礎設施的補丁更新工作。五是針對其中的基礎設施進行針對性的安全策略制定。六是在網絡安全管理運行中做好監測各種行為的工作。七是通過設備運行日志的建立實時監測和記錄其運行情況，還要建立設備操作規范來確保設備和系統的穩定與安全運行。

3.2 建立和完善信息安全管理制度

首先，要保證建立的信息安全管理制度的完整性與適用合理性，保證可以在安全管理工作中開展操作。其次，為了保證信息系統的安全穩定運行，需要做好安全防護記錄，制定應急響應預案、系統操作規程、用戶應用手冊和網絡安全規范等，還要做好口令管理工作，保證安全保密要求有效落實，保證制度中包含人員分工、管理機房建設方案等內容。最后，在安全管理工作開展中主要采用動態性管理方式，目的是確保信息安全，同時優化網絡拓撲結構。

3.3 做好信息安全反違章督察工作

建立信息網絡安全督察隊伍且明確此隊伍的職責內容。為了確保信息安全，要對電力企業信息網絡安全定期開展督察，并對檢查出的問題責令限期整改，以確保滿足信息安全要求。上述工作的開展需要信息網絡安全督察隊伍來執行，重點、定期開展督察內容。通過加固和更新信息網絡安全設備以及開展監察隊伍之間的檢查和監督工作，及時解決發現的問題，從而提升此系統的安全性。

3.4 采取有效的電力企業信息安全保護技術

在電力企業中針對涉及國計民生的基礎信息網絡和重要信息系統，在應用相應安全保護技術的同時，對上述信息按照重要程度進行分級和分類，然后針對不同的級別和類別，分階段開展相應的保護策略。

3.5 明確員工的信息安全管理職責

在明確安全管理制度和安全管理機構的基礎上，明確人員所承擔的安全責任，并保證管理人員掌握相應的安全策略，通過實施策略來保證滿足信息安全要求。針對確保系統安全的運維人員來說，在安全管理和評估策略的應用中，需要確保安全保護技術的使用和操作的正確性。對于管理人員來說，需要明確安全管理制度內容、要求和目標，推動企業信息安全文化建設。

3.6 加強對人員信息安全意識的培養

電力企業需要定期開展信息安全知識培訓工作，端正職工態度，并培養職工的良好習慣，嚴格執行企業中的各項安全管理制度，不允許在電腦上使用未加密的存儲介質，不允許安裝與工作無關的軟件。要做好對桌面終端的強口令設置和安全組策略的應用，同時做好對關鍵文件內容的備份工作，不斷提升員工的信息安全意識。

4 結 論

在社會經濟和科學技術的快速發展下，電力企業中的信息安全問題成為電力企業管理工作關注的重點。為了確保電力企業中的信息安全，需要電力企業增加此方面的技術管理人員。在分析目前電力企業信息網絡安全管理中的軟件和信息系統設備問題、信息安全機構建設和維護問題以及管理人員信息安全觀念方面的問題時，為了實現信息安全管理目標，需要建立和完善安全管理制度、做好信息安全反違章督察、采取信息安全保護技術、明確信息安全管理職責以及加強對人員信息安全意識的培養等，切實保障電力企業的信息安全，保障電力企業健康發展。