牛 斐

寧夏石嘴山供電局，寧夏石嘴山 753000

隨著信息系統(tǒng)與網(wǎng)絡(luò)的快速發(fā)展，電力企業(yè)作為關(guān)乎國(guó)計(jì)民生的基礎(chǔ)行業(yè)，企業(yè)內(nèi)部各業(yè)務(wù)數(shù)據(jù)已基本在網(wǎng)絡(luò)流轉(zhuǎn)，企業(yè)對(duì)信息系統(tǒng)產(chǎn)生了巨大的依賴性。但是，企業(yè)在享受著信息系統(tǒng)所帶來(lái)巨大經(jīng)濟(jì)效益的同時(shí)，也面臨著高風(fēng)險(xiǎn)。一旦出現(xiàn)信息泄密或篡改數(shù)據(jù)的情況，將為國(guó)家造成難以估量的損失。尤其是近幾年，全球范圍內(nèi)的病毒泛濫、黑客入侵、計(jì)算機(jī)犯罪等問題，信息安全防范已成重中之重。因此，企業(yè)必須重新面對(duì)當(dāng)前的安全問題，從中找到行之有效的防范措施。

1 電力企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

1.1 網(wǎng)絡(luò)安全措施不到位

電力數(shù)據(jù)網(wǎng)絡(luò)信息化在電力系統(tǒng)中的應(yīng)用已經(jīng)成為不可或缺的基礎(chǔ)設(shè)施。電力數(shù)據(jù)網(wǎng)需要同時(shí)承載著實(shí)時(shí)、準(zhǔn)實(shí)時(shí)控制業(yè)務(wù)及管理信息業(yè)務(wù)，電力生產(chǎn)、經(jīng)營(yíng)很多環(huán)節(jié)完全依賴電力信息網(wǎng)的正常運(yùn)行與否，隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展，網(wǎng)絡(luò)犯罪不斷增加，電力企業(yè)雖然已初步建立了網(wǎng)絡(luò)安全措施，但企業(yè)網(wǎng)絡(luò)信息安全仍存在很多的安全隱患，職工安全意識(shí)、數(shù)據(jù)傳輸加密、身份認(rèn)證、訪問控制、防病毒系統(tǒng)、人員的管理等方面需要進(jìn)一步加強(qiáng)，在整個(gè)電力信息網(wǎng)絡(luò)中，很多單位之間的網(wǎng)絡(luò)安全是不平衡的，主要是雖然網(wǎng)絡(luò)利用率較高，但信息的安全問題較多，主要是安全級(jí)別較低的業(yè)務(wù)與安全，沒有對(duì)網(wǎng)絡(luò)安全做長(zhǎng)遠(yuǎn)、統(tǒng)一的規(guī)劃，網(wǎng)絡(luò)中還存在很多問題。

1.2 職工安全意識(shí)有待加強(qiáng)

目前國(guó)內(nèi)電力企業(yè)職工的安全意識(shí)參差不齊，相較之下，年輕的職工和管理人員其安全意識(shí)較高，中年以上的職工和一線職工仍然缺乏必要的安全意識(shí)，主要是工作年齡、所受教育、工作后的信息安全培訓(xùn)程度，從事的工作性質(zhì)的原因造成的，這就為網(wǎng)絡(luò)安全留下了隱患，加強(qiáng)電力企業(yè)信息安全的培訓(xùn)，全方位提高職工網(wǎng)絡(luò)信息安全意識(shí)，避免信息安全防護(hù)工作出現(xiàn)高低不均的情況。

1.3 內(nèi)部的網(wǎng)絡(luò)威脅仍然存在

在這個(gè)科技技術(shù)日益發(fā)展的時(shí)代，網(wǎng)絡(luò)信息的安全工作越來(lái)越重要，由此電力企業(yè)根據(jù)目前的狀況出臺(tái)了相關(guān)的網(wǎng)絡(luò)安全規(guī)章制度，以保證其信息安全，但內(nèi)部的網(wǎng)絡(luò)威脅仍然存在，而且對(duì)管理人員的有效管理依然缺乏。如：辦公計(jì)算機(jī)仍存在內(nèi)外網(wǎng)混用情況、內(nèi)外網(wǎng)邏輯隔離強(qiáng)度不夠、企業(yè)內(nèi)網(wǎng)安全隔離相對(duì)薄弱等情況，如果其中的一些漏洞被非法分子所利用，那么，電力企業(yè)的信息安全會(huì)受到嚴(yán)重的威脅，并會(huì)對(duì)電力企業(yè)的生產(chǎn)以及經(jīng)營(yíng)帶來(lái)很大的困難。

2 電力企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，電力企業(yè)信息系統(tǒng)越來(lái)越復(fù)雜，信息資源越來(lái)越龐大，不管是操作系統(tǒng)還是應(yīng)用軟件，都存在系統(tǒng)漏洞等安全風(fēng)險(xiǎn)，保證電力企業(yè)信息安全最重要的是保證信息數(shù)據(jù)的安全，目前電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)的主要隱患主要存在于以下幾個(gè)方面。

2.1 惡意入侵

計(jì)算機(jī)系統(tǒng)本身并不具有一定的防御性，其通信設(shè)備也較為脆弱，因此，計(jì)算機(jī)網(wǎng)絡(luò)中的潛在威脅對(duì)計(jì)算機(jī)來(lái)說(shuō)是十分危險(xiǎn)的。尤其是現(xiàn)在的信息網(wǎng)絡(luò)公開化、信息利用自由化，這也造成了一些秘密的信息資源被共享，而這些信息也容易被不法分子所利用。而有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行惡意入侵進(jìn)行非法操作，危機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，惡意入侵其實(shí)是由四個(gè)步驟構(gòu)成的：首先掃描IP地址，尋找存活主機(jī)；然后確定IP地址，掃描主機(jī)端口和漏洞；接著通過漏洞和開放端口放置后門程序；最后通過客戶端程序?qū)嵤┻h(yuǎn)程控制。由于系統(tǒng)被入侵，電力企業(yè)信息泄露會(huì)造成不良后果，更嚴(yán)重的是系統(tǒng)被惡意控制，不但會(huì)給電力企業(yè)本身造成嚴(yán)重的后果，還會(huì)給社會(huì)和用戶帶來(lái)重大的損失。

2.2 網(wǎng)絡(luò)病毒的傳播

計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)來(lái)說(shuō)是最普遍的一種威脅，伴隨著因特網(wǎng)的發(fā)展，各個(gè)企業(yè)開始創(chuàng)建或發(fā)展企業(yè)網(wǎng)絡(luò)應(yīng)用，這無(wú)形也增加了病毒感染的可能性，病毒的危害十分巨大，它是通過數(shù)據(jù)的傳輸來(lái)傳播的，其能夠?qū)τ?jì)算機(jī)的軟硬件造成破壞，同時(shí)它還能夠進(jìn)行自我復(fù)制，因此，一旦感染了病毒，其危害性是十分巨大的。

2.3 惡意網(wǎng)頁(yè)的破壞

網(wǎng)絡(luò)共享性與開放性使得人人都可以在互聯(lián)網(wǎng)上所取和存放信息，由于信息的傳遞和反饋快速靈敏，網(wǎng)絡(luò)資源的社會(huì)性和共享性，電力企業(yè)職工都在不斷地點(diǎn)擊各種網(wǎng)頁(yè)，并在網(wǎng)絡(luò)中尋找他們所需要的資源，網(wǎng)頁(yè)中的病毒是掛靠在網(wǎng)頁(yè)上的一種木馬病毒，它的實(shí)質(zhì)是一些不法分子通過編程來(lái)編寫的惡意代碼并植入IE漏洞而形成了網(wǎng)頁(yè)病毒。當(dāng)用戶瀏覽過含有病毒的網(wǎng)站時(shí)，病毒會(huì)在無(wú)形中被激活，并通過因特網(wǎng)進(jìn)如用戶的計(jì)算機(jī)系統(tǒng)，當(dāng)病毒進(jìn)入計(jì)算機(jī)后會(huì)迅速的自我復(fù)制并到處傳播病毒，使得用戶的計(jì)算機(jī)系統(tǒng)崩潰，嚴(yán)重的會(huì)將用戶的系統(tǒng)徹底格式化。

2.4 信息傳遞的安全不容忽視

在電力企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，信息傳輸基本上是明文方式或采用低安全級(jí)別的加密進(jìn)行傳輸，當(dāng)這些企業(yè)信息在網(wǎng)絡(luò)上傳輸時(shí)，其安全性就不能得到足夠的保障，不具備網(wǎng)絡(luò)信息安全所要求的機(jī)密性、數(shù)據(jù)完整性和身份認(rèn)證。

2.5 軟件源代碼不能獨(dú)立控制的隱患

目前電力企業(yè)辦公計(jì)算機(jī)、企業(yè)級(jí)服務(wù)器的操作系統(tǒng)以及使用的信息系統(tǒng)軟件因?yàn)槭墙^大部分都是商業(yè)性質(zhì)的，所以其源代碼是不公開的，這就代表著軟件的核心技術(shù)是被對(duì)方掌握的，其漏洞卻大量存在，雖然有系統(tǒng)補(bǔ)丁發(fā)布或者軟件升級(jí)，但其未公開、未被發(fā)現(xiàn)的漏洞對(duì)信息安全來(lái)說(shuō)確實(shí)巨大的隱患。

2.6 身份認(rèn)證和訪問控制

電子企業(yè)中的信息系統(tǒng)一般僅能夠內(nèi)部使用，根據(jù)不同業(yè)務(wù)管理部門、不同等級(jí)的人員有不同的授權(quán)，信息系統(tǒng)中的數(shù)據(jù)和信息，沒有得到授權(quán)的用戶是不能訪問的。身份認(rèn)證是安全體系的第一大門，是網(wǎng)絡(luò)安全的基石，在身份認(rèn)證的基礎(chǔ)上依據(jù)授權(quán)對(duì)資源訪問加以控制形成訪問控制，它雖然可以增加系統(tǒng)的安全性，但仍然存在著一些問題亟待解決。

3 電力企業(yè)信息安全防范措施

針對(duì)以上電力企業(yè)信息安全問題，要建立完整的信息安全防護(hù)體系，絕不能一哄而上，必須分清需求的輕重緩急，根據(jù)信息化建設(shè)的發(fā)展，結(jié)合電力企業(yè)實(shí)際情況，統(tǒng)一規(guī)劃，分步建設(shè)，逐步投資。

3.1 強(qiáng)化職工網(wǎng)絡(luò)安全教育培訓(xùn)

俗話說(shuō)“凡事預(yù)則立、不預(yù)則廢”，“以人為本”，提高員工的安全意思是直接關(guān)系到電力企業(yè)信息安全的首要問題。安全意識(shí)和安全素質(zhì)的提高，完全培訓(xùn)教育是最有效的途徑，應(yīng)該按照崗位需求、工作性質(zhì)有針對(duì)性的對(duì)職工安全

素質(zhì)和關(guān)系電力企業(yè)安全策略方面分層次、有重點(diǎn)的進(jìn)行信息安全技術(shù)培訓(xùn)，切實(shí)提高職工的信息安全意識(shí)和素質(zhì)，提高職工安全技術(shù)水平。而信息安全意識(shí)和素質(zhì)培訓(xùn)又可以建設(shè)電力企業(yè)的安全文化，通過各種形式的安全教育培訓(xùn)，在全面提高人員信息安全意識(shí)和技術(shù)水平的前提下，為電力企業(yè)安全建設(shè)提供精神支持并可以容納到整個(gè)企業(yè)文化體系中。

3.2 完善網(wǎng)絡(luò)信息安全管理制度

對(duì)于信息的安全保護(hù)工作要做到位，并建立健全信息安全管理系統(tǒng)，從組織領(lǐng)導(dǎo)的健全、規(guī)章制度的完善、硬件設(shè)施的建設(shè)等方面作出明確而詳盡的規(guī)定，層層簽訂責(zé)任書；建立一整套U盤、軟盤、移動(dòng)硬盤等涉密載體審批和登記管理制度，實(shí)行計(jì)算機(jī)IP地址綁定策略，對(duì)載體內(nèi)的內(nèi)容、密級(jí)、存儲(chǔ)和刪除時(shí)間等嚴(yán)格要求，及時(shí)排除和消除保密隱患，從信息安全技術(shù)領(lǐng)域進(jìn)一步健全信息安全管理機(jī)制。

3.3 對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估

電力企業(yè)的信息系統(tǒng)是一個(gè)龐大的、復(fù)雜的技術(shù)系統(tǒng)，在現(xiàn)實(shí)世界中，龐大復(fù)雜的信息系統(tǒng)存在脆弱性是必然的，或者存在信息安全風(fēng)險(xiǎn)是必然的。在這種情況下，通過適當(dāng)?shù)?、綜合的安全措施進(jìn)行風(fēng)險(xiǎn)控制把殘余風(fēng)險(xiǎn)控制在最低限度是必要的，也就是所謂的風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估，分析我們電力企業(yè)信息系統(tǒng)面臨的風(fēng)險(xiǎn)、分析信息系統(tǒng)的威脅，解決問題或者把殘余風(fēng)險(xiǎn)降低到可接受程度，對(duì)于電力企業(yè)來(lái)說(shuō)，信息安全評(píng)估是電力企業(yè)信息系統(tǒng)的基礎(chǔ)性工作，是當(dāng)前信息安全工作的客觀需求和緊迫需求，是制定安全策略的依據(jù)和基礎(chǔ)。

3.4 電力信息網(wǎng)安全防護(hù)技術(shù)措施

采用信息安全新技術(shù)，建立信息安全防護(hù)體系，主要從數(shù)據(jù)庫(kù)安全策略（包括系統(tǒng)安全策略、數(shù)據(jù)安全策略、用戶安全策略三個(gè)方面）、數(shù)據(jù)備份和恢復(fù)，網(wǎng)絡(luò)服務(wù)和應(yīng)用系統(tǒng)的安全，網(wǎng)絡(luò)防病毒，防火墻的相關(guān)技術(shù)的應(yīng)用（防火墻的策略、入侵檢測(cè)系統(tǒng)、虛擬專用網(wǎng)）、數(shù)據(jù)加密及傳輸安全等方面著手，以電力企業(yè)信息安全為中心，建立一個(gè)技術(shù)聯(lián)合的，并且是多層次的技術(shù)結(jié)構(gòu)安全體系，提高信息系統(tǒng)總體防護(hù)能力，體現(xiàn)“智能、整合、管理”這幾個(gè)趨勢(shì)，確保業(yè)務(wù)數(shù)據(jù)安全可靠，保證電力企業(yè)信息安全。

3.5 加快電力企業(yè)信息系統(tǒng)的自主研發(fā)

為了避免電力企業(yè)辦公計(jì)算機(jī)、服務(wù)核心部件和系統(tǒng)源代碼被國(guó)外開發(fā)公司的控制，信息系統(tǒng)開發(fā)時(shí)應(yīng)要求其公開系統(tǒng)源代碼，并在此基礎(chǔ)上加快電力企業(yè)信息系統(tǒng)的自主研究，以安全策略、安全服務(wù)和安全機(jī)制的有效結(jié)合為中心，提高硬件、軟件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)等方面的研究水平，保證電力信息系統(tǒng)的自己可控。

“以人為本，輔以技術(shù)，重在管理，剛?cè)岵?jì)”是安全規(guī)劃的根本要?jiǎng)t。我們了解網(wǎng)絡(luò)的各種不安全因素之后，目的在于真正把我們的網(wǎng)絡(luò)加強(qiáng)起來(lái)。建設(shè)安全、穩(wěn)定的電力企業(yè)網(wǎng)絡(luò)，保證電力信息安全。

4 結(jié)論

電力企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一，建立一套完善的電力企業(yè)網(wǎng)絡(luò)信息安全的防范系統(tǒng)，對(duì)企業(yè)的生存和發(fā)展起到了保駕護(hù)航的作用。我們?cè)诒Ｗo(hù)網(wǎng)絡(luò)信息安全的同時(shí)還要不斷的創(chuàng)新，并不斷的對(duì)電力企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行升級(jí)，共同研究、探討出一個(gè)系統(tǒng)的、完整的解決方案，因此，網(wǎng)絡(luò)系統(tǒng)的安全體系建設(shè)是一個(gè)長(zhǎng)期且不斷探索實(shí)踐的過程，對(duì)于網(wǎng)絡(luò)安全中的設(shè)計(jì)方案我們要慎重對(duì)待，任何一個(gè)解決方案都不可能一勞永逸的解決安全問題。但我相信隨著當(dāng)前網(wǎng)絡(luò)信息化時(shí)代的不斷發(fā)展，我們對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全的建設(shè)會(huì)不斷的完善并健全。

[1]周偉.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的影響因素與防范措施[J].網(wǎng)友世界，2012(1).

[2]余志榮.淺析電力企業(yè)網(wǎng)絡(luò)安全[J].福建電腦，

2011(7).

[3]張鵬宇.電力行業(yè)網(wǎng)絡(luò)安全技術(shù)研究[J].信息與電腦(理論版)，2011(1).