淺析電力行業(yè)信息安全管理

淺析電力行業(yè)信息安全管理

　　摘要：信息安全已是關(guān)系電力生產(chǎn)存亡和發(fā)展的重要方面。加強信息安全，才能全面提高電力行業(yè)的信息化。該文總結了目前我國電力企業(yè)信息化的特征，列舉了電力企業(yè)網(wǎng)絡(luò )信息存在的主要問(wèn)題，對問(wèn)題的成因進(jìn)行深入分析，并提出了一系列可行性較強的加強電力企業(yè)網(wǎng)絡(luò )信息安全的建議和方法。

　　關(guān)鍵字：電力行業(yè)；網(wǎng)絡(luò )信息；安全管理；

　　1、前言

　　信息技術(shù)在電力企業(yè)發(fā)揮著(zhù)重要作用，特別是隨著(zhù)廠(chǎng)網(wǎng)分開(kāi)、電力市場(chǎng)構建，電力企業(yè)已建立起龐大復雜的調度數據網(wǎng)和綜合信息網(wǎng)，計算機網(wǎng)絡(luò )信息系統成為企業(yè)日益重要的技術(shù)支持系統。信息安全所面臨的危險同時(shí)滲透到電力企業(yè)生產(chǎn)、經(jīng)營(yíng)的各個(gè)方面。電力企業(yè)調度數據網(wǎng)和綜合信息網(wǎng)在物理上實(shí)現隔離，在一定程度上保證了調度數據網(wǎng)的安全運行，避免受到來(lái)自綜合信息網(wǎng)的可能的攻擊；然而，財務(wù)、營(yíng)銷(xiāo)、客戶(hù)管理等系統的網(wǎng)絡(luò )信息安全還相當薄弱。網(wǎng)絡(luò )信息安全已成為影響電力安全生產(chǎn)的重大問(wèn)題。近幾年來(lái)，計算機在整個(gè)電力系統的生產(chǎn)、經(jīng)營(yíng)、管理等方面應用越來(lái)越多。但是，在計算機安全策略、安全技術(shù)和安全措施投入較少。所以，為保證電力系統安全、穩定、高效運行，應建立一套結合電力計算機應用特點(diǎn)的計算機安全體系。

　　2、目前電力企業(yè)在網(wǎng)絡(luò )信息安全管理方面存在以下問(wèn)題。

　　2.1企業(yè)管理革新滯后于信息化發(fā)展進(jìn)程

　　相對于信息技術(shù)的發(fā)展與應用，電力企業(yè)管理革新處于落后狀況，有的企業(yè)引入了先進(jìn)的業(yè)務(wù)系統、管理系統，而管理模式未能實(shí)施有效革新，最終導致了信息系統未能發(fā)揮預期的、應有的作用。

　　2.2網(wǎng)絡(luò )信息安全管理需要成為企業(yè)安全文化的重要組成部分電力信息網(wǎng)絡(luò )已經(jīng)深入到電力生產(chǎn)和管理的全過(guò)程，涉及電力生產(chǎn)的各個(gè)層面，電力生產(chǎn)與管理對其依賴(lài)性日益增大。目前，在電力企業(yè)安全文化建設中，信息安全管理仍然處于從屬地位，需要進(jìn)行不斷努力，使之成為企業(yè)安全文化的中堅力量。

　　2.3網(wǎng)絡(luò )信息安全風(fēng)險的存在

　　電力企業(yè)網(wǎng)絡(luò )信息安全與一般企業(yè)網(wǎng)絡(luò )信息同樣具備多方面的安全風(fēng)險，主要表現在以下幾方面：

　�。�1）網(wǎng)絡(luò )結構不合理

　　電力企業(yè)依據有關(guān)規定將網(wǎng)絡(luò )分為內網(wǎng)和外網(wǎng)，內外網(wǎng)實(shí)行物理隔離，但網(wǎng)絡(luò )結構都存在著(zhù)一些不合理的地方。常見(jiàn)的有：核心交換機選擇不合理。不少企業(yè)網(wǎng)絡(luò )的核心交換機是一臺二層交換機，這樣，所有網(wǎng)絡(luò )用戶(hù)在網(wǎng)絡(luò )中的地位將是平等的，安全問(wèn)題只有通過(guò)應用系統去解決。

　�。�2）來(lái)自互聯(lián)網(wǎng)的風(fēng)險

　　幾乎所有電力企業(yè)的網(wǎng)絡(luò )都是以各種方式與互聯(lián)網(wǎng)連接，企業(yè)用戶(hù)可以直接訪(fǎng)問(wèn)互聯(lián)網(wǎng)的資源，這給企業(yè)職工帶來(lái)很大方便；同樣，任何能上互聯(lián)網(wǎng)的用戶(hù)也可以訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò )的資源，這對宣傳企業(yè)、擴大企業(yè)的影響和知名度很有好處。但是，在帶來(lái)方便的同時(shí)，也帶來(lái)安全風(fēng)險。

　�。�3）來(lái)自企業(yè)內部的風(fēng)險

　　對于電力企業(yè)網(wǎng)絡(luò )來(lái)說(shuō)，來(lái)自?xún)炔康娘L(fēng)險是非常主要的安全風(fēng)險。內部人員（特別是網(wǎng)絡(luò )管理人員）對網(wǎng)絡(luò )結構、應用系統都非常熟悉，不經(jīng)意之間泄露的重要信息，都將可能成為導致系統受攻擊的最致命的安全威脅。

　�。�4）病毒的侵害計算機病毒對計算機網(wǎng)絡(luò )的影響是災難性的。電子郵件系統的廣泛使用，使計算機病毒的擴散速度大大加快，網(wǎng)絡(luò )成了病毒傳播的最好途徑，電力企業(yè)網(wǎng)絡(luò )同樣難以幸免。因此，計算機病毒成為企業(yè)網(wǎng)絡(luò )最嚴重的安全風(fēng)險之一。

　�。�5）管理人員素質(zhì)風(fēng)險

　　許多電力企業(yè)網(wǎng)絡(luò )都存在重建設、重技術(shù)、輕管理的傾向。實(shí)踐證明，安全管理制度不完善、人員素質(zhì)不高是網(wǎng)絡(luò )風(fēng)險的重要來(lái)源之一。比如，網(wǎng)絡(luò )管理員配備不當、企業(yè)員工安全意識不強、用戶(hù)口令設置不合理等，都會(huì )給信息安全帶來(lái)嚴重威脅。

　�。�6）系統的安全風(fēng)險系統的安全風(fēng)險主要指操作系統、數據庫系統和各種應用系統所存在的安全風(fēng)險。目前不少企業(yè)網(wǎng)絡(luò )使用的操作系統仍然是以Windows系列操作系統為主。不管使用哪一種操作系統都存在大量已知和未知的漏洞，這些漏洞可以導致入侵者獲得管理員的權限，可以被用來(lái)實(shí)施拒絕服務(wù)攻擊。

　　3、電力企業(yè)網(wǎng)絡(luò )信息安全管理問(wèn)題的成因分析

　　3.1安全意識淡薄是網(wǎng)絡(luò )信息安全的瓶頸企業(yè)人員忙于利用網(wǎng)絡(luò )工作學(xué)習，對網(wǎng)絡(luò )信息的安全性無(wú)暇顧及，安全意識相當淡薄。電力企業(yè)注重的是網(wǎng)絡(luò )效應，對安全領(lǐng)域的投入和管理遠遠不能滿(mǎn)足安全防范的要求，網(wǎng)絡(luò )信息安全處于被動(dòng)的封堵漏洞狀態(tài)。從上到下普遍存在僥幸心理，沒(méi)有形成主動(dòng)防范、積極應對的全民意識，更無(wú)法從根本上提高網(wǎng)絡(luò )監測、防護、響應、恢復和抗擊能力。

　　3.2運行管理機制的缺陷和不足制約了安全防范的力度從目前的運行管理機制來(lái)看，有以下幾方面的缺陷和不足：

　�。�1）網(wǎng)絡(luò )安全管理方面人才匱乏由于技術(shù)應用的擴展，技術(shù)的管理也應同步擴展，但從事系統管理的人員卻往往并不具備安全管理所需的技能、資源和利益導向。

　�。�2）安全措施不到位配置不當或過(guò)時(shí)的操作系統、郵件程序和內部網(wǎng)絡(luò )都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無(wú)法發(fā)現和及時(shí)查堵安全漏洞。當廠(chǎng)商發(fā)布補丁或升級軟件來(lái)解決安全問(wèn)題時(shí)，許多用戶(hù)的系統不進(jìn)行同步升級，原因是管理者未充分意識到網(wǎng)絡(luò )不安全的風(fēng)險所在，未引起重視。

　�。�3）缺乏綜合性的解決方案

　　大多數用戶(hù)缺乏綜合性的安全管理解決方案，稍有安全意識的用戶(hù)依賴(lài)升級防火墻和加密技術(shù)，產(chǎn)生虛假的安全感。實(shí)際上，一次性使用一種方案并不能保證系統永遠安全，網(wǎng)絡(luò )安全問(wèn)題遠遠不是防毒軟件和防火墻能夠解決的，也不是大量標準安全產(chǎn)品簡(jiǎn)單堆砌就能解決的。

　　4、加強電力企業(yè)網(wǎng)絡(luò )信息安全管理的建議

　　4.1重視安全規劃

　　企業(yè)網(wǎng)絡(luò )安全規劃的目的就是要對網(wǎng)絡(luò )的安全問(wèn)題有一個(gè)全面的思考，要以系統的觀(guān)點(diǎn)去考慮安全問(wèn)題。要進(jìn)行有效的安全管理，必須建立起一套系統全面的信息安全管理體系。這可以參照國際上通行的一些標準來(lái)實(shí)現，如：BS7799、ISO17799、ISO15408等。

　　4.2合理劃分安全域

　　電力企業(yè)是完全實(shí)行物理隔離的企業(yè)網(wǎng)絡(luò )，在內網(wǎng)上仍然要合理劃分安全域。要根據整體的安全規劃和信息安全密級，從邏輯上劃分核心重點(diǎn)防范區域、一般防范區域和開(kāi)放區域。重點(diǎn)防范的區域是網(wǎng)絡(luò )安全的核心，這部分區域是一般用戶(hù)不能直接訪(fǎng)問(wèn)的區域，有很高的安全級別。各種重要數據、服務(wù)器、數據庫服務(wù)器應當放置在該區域，各種應用系統、OA系統等在該區域運行。

　　4.3加強安全管理，重視制度建設為保證企業(yè)網(wǎng)絡(luò )信息安全，要把企業(yè)網(wǎng)絡(luò )信息安全作為一個(gè)系統工程來(lái)考慮。因此，企業(yè)網(wǎng)絡(luò )的安全問(wèn)題，安全管理和制度建設非常重要（特別是內網(wǎng)）�，F提出如下建議：

　�。�1）加強日志管理與安全審計一般的防火墻與入侵檢測系統都具備審計功能，要充分利用它們的審計功能，做好網(wǎng)絡(luò )的日志管理和安全審計工作。對審計數據要嚴格管理，不允許任何人修改、刪除審計記錄。

　�。�2）建立內網(wǎng)的統一認證系統

　　認證是網(wǎng)絡(luò )信息安全的關(guān)鍵技術(shù)之一，其目的是實(shí)現身份鑒別服務(wù)、訪(fǎng)問(wèn)控制服務(wù)、機密性服務(wù)和不可否認服務(wù)等。

　�。�3）建立病毒防護體系

　　在企業(yè)網(wǎng)絡(luò )上安裝防病毒體系。防病毒軟件系統要具有遠程安裝、遠程報警、集中管理等多種功能。其次，要建立防病毒的管理制度。不能隨意將互聯(lián)網(wǎng)上下載的數據往內網(wǎng)主機上拷貝，來(lái)歷不明的移動(dòng)存儲設備不能隨意在聯(lián)網(wǎng)計算機上使用，職員應熟練掌握發(fā)現病毒后的處置辦法。

　�。�4）重視網(wǎng)絡(luò )管理制度建設嚴格的管理制度，是保證企業(yè)信息網(wǎng)絡(luò )安全的重要措施之一。

　　1）領(lǐng)導應當高度重視網(wǎng)絡(luò )信息安全問(wèn)題。企業(yè)領(lǐng)導要高度重視安全管理和安全制度的建設問(wèn)題，不能把安全管理和制度建設看成是技術(shù)部門(mén)的事。企業(yè)應當成立信息安全領(lǐng)導小組，由分管領(lǐng)導抓網(wǎng)絡(luò )安全工作，并明確其職責和工作制度。要制訂安全事故處理程序、應急計劃等。

　　2）加強基礎設施和運行環(huán)境的管理建設。企業(yè)網(wǎng)絡(luò )的管理機構（信息中心）的機房、配電房等計算機系統重要基礎設施應嚴格管理，配備防盜、防火、防水等設施，應當安裝監控系統、監控報警裝置等。建立嚴格的設備運行日志，記錄設備運行狀況。要規范操作規程，確保計算機系統的安全、可靠運行。

　　3）建立必要的安全管理制度。企業(yè)網(wǎng)絡(luò )的中心機房和各業(yè)務(wù)部門(mén)計算機系統都要建立計算機系統使用管理制度，網(wǎng)絡(luò )系統管理員、安全員、各業(yè)務(wù)部門(mén)主管和計算機操作人員的計算機密碼管理規定等內控管理制度，對應用系統重要數據的修改要經(jīng)過(guò)授權并由專(zhuān)人負責，登記日志。建立健全數據備份制度，核心程序及數據要嚴格保密，實(shí)行專(zhuān)人保管。

　　4）堅持安全管理原則。多人負責原則：兩人或多人互相配合、互相制約。從事每項安全活動(dòng)，應至少兩人在場(chǎng)，做好工作情況記錄。任期有限原則：任何人不長(cháng)期擔任與安全有關(guān)的職務(wù)。當人員離任時(shí)，應立即對系統進(jìn)行授權調整。職責分離原則：不要打聽(tīng)、了解或參與職責以外的任何與安全相關(guān)的事情，除非系統主管領(lǐng)導批準。最小權限原則：只授予用戶(hù)和系統管理員所需要的最基本權限，并且超級用戶(hù)的權限也應該越小越好。

　　5）制度的定期督導檢查。管理制度具有嚴肅性、權威性、強制性，管理制度一旦形成，就要嚴格執行。企業(yè)應組織有關(guān)人員對管理制度進(jìn)行定期督導檢查，保證制度的落實(shí)。

　　4.4加強企業(yè)員工和網(wǎng)絡(luò )管理人員安全意識教育對于網(wǎng)絡(luò )信息安全，企業(yè)員工和網(wǎng)絡(luò )管理人員的素質(zhì)非常重要。

　�。�1）在安全教育具體實(shí)施過(guò)程中應該有一定的層次性。

　　1）對主管信息安全工作的高級負責人或各級管理人員，重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部門(mén)的建立和管理制度的制訂等。

　　2）對負責信息安全運行管理及維護的技術(shù)人員，重點(diǎn)是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術(shù)的合理運用等。

　　3）對企業(yè)全體職員，重點(diǎn)是學(xué)習各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應該承擔的安全職責等。

　�。�2）對于特定的人員要進(jìn)行特定的安全培訓對于關(guān)鍵崗位和特殊崗位的人員，通過(guò)送往專(zhuān)業(yè)機構學(xué)習和培訓，使其獲得特定的安全方面的知識和技能。通過(guò)安全培訓，確保在電力信息安全保障體系逐步建立的過(guò)程中，各類(lèi)人員的安全意識和技術(shù)能力獲得提高，各崗位人員的技術(shù)能力和管理能力與安全保障體系的運行和維護相適應。

　　5、建立安全長(cháng)效機制

　　解決網(wǎng)絡(luò )信息安全問(wèn)題，技術(shù)是安全的主體，管理是安全的靈魂。加強信息安全管理，建立安全長(cháng)效機制，成為電力企業(yè)安全文化的重要組成部分，企業(yè)安全文化對企業(yè)安全生產(chǎn)工作起凝聚、協(xié)調和控制的作用。積極向上的共同價(jià)值觀(guān)、信念、行為準則是一種內部黏結劑，是人們意識的一部分，可以使員工自覺(jué)地行動(dòng)，達到自我控制和自我協(xié)調只有將有效的安全管理實(shí)踐自至終貫徹落實(shí)于信息安全當中，網(wǎng)絡(luò )安全的長(cháng)期性和穩定性才能有所保證。在企業(yè)中建立安全文化，并將網(wǎng)絡(luò )信息安全管理容納到整個(gè)企業(yè)文化體系中才是最根本的解決辦法。

　　6、結束語(yǔ)

　　網(wǎng)絡(luò )安全是一個(gè)系統的、全局的管理問(wèn)題，網(wǎng)絡(luò )上的任何一個(gè)漏洞，都會(huì )導致全網(wǎng)的安全問(wèn)題，我們應該用系統工程的觀(guān)點(diǎn)、方法，分析網(wǎng)絡(luò )的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專(zhuān)業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當綜合應用的結果。一個(gè)計算機網(wǎng)絡(luò )，包括個(gè)人、設備、軟件、數據等。這些環(huán)節在網(wǎng)絡(luò )中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。計算機網(wǎng)絡(luò )安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網(wǎng)絡(luò )安全體系結構。這樣才能真正做到整個(gè)系統的安全。

　　參考文獻：

　�。�1王瑞軍，冼沛勇。實(shí)現企業(yè)網(wǎng)絡(luò )信息安全的具體方法［J］。計算機與網(wǎng)絡(luò )，20xx，（3）。

　�。�2朱貴強。論企業(yè)網(wǎng)絡(luò )信息安全管理［J］。中國科教博覽，20xx，（6）。

　�。�3閆斌，曲俊華，齊林海。電力企業(yè)網(wǎng)絡(luò )信息安全系統建設方案的研究［J］�，F代電力，20xx，（1）。

　�。�4楊贊國。論企業(yè)網(wǎng)絡(luò )信息安全與防范策略［J］。集團經(jīng)濟研究，20xx，（6）。

　�。�5郭護林。企業(yè)網(wǎng)絡(luò )信息安全分析［J］。西北電力技術(shù)，20xx，（6）。

　�。�6王迎新，牛東曉。中國管理信息化（綜合版），20xx年第3期。

【淺析電力行業(yè)信息安全管理】相關(guān)文章：

電力行業(yè)安全學(xué)習心得12-01

淺析信息技術(shù)在小學(xué)數學(xué)教學(xué)中的作用01-04

企業(yè)市場(chǎng)營(yíng)銷(xiāo)戰略管理淺析08-19

電力行業(yè)述職報告12-04

電力行業(yè)個(gè)人總結11-22

電力行業(yè)簡(jiǎn)歷范文08-27

淺析信息技術(shù)在語(yǔ)文教學(xué)中的運用論文（精選7篇）05-12

電力行業(yè)的工作總結01-02

電力行業(yè)辭職報告11-03