孫偉

【摘 要】我國國民經濟的重要支柱產業(yè)是電力工業(yè)，電力工業(yè)的安全問題就顯得至關重要，它直接關系到各行各業(yè)的發(fā)展和人民的生活水平。從近年來電力行業(yè)發(fā)生的大的安全事件看，絕大多數(shù)都造成了嚴重的經濟損失和人員傷亡。客觀分析這些事件發(fā)生的原因并科學制定防范措施，才能避免類似事件的發(fā)生。這些安全問題，在某種程度上都可以歸結為信息安全管理。因此，要構筑電力企業(yè)堅固的信息安全網，必須加強電力系統(tǒng)的信息安全管理工作。具體說，應該從以下幾方面構筑電力企業(yè)的安全網。

【關鍵詞】電力企業(yè)；安全；策略；風險評估

一、實施安全教育是構筑電力企業(yè)安全網的前提

安全教育主要是指安全意識和相關技能的教育，這是電力企業(yè)信息安全管理的重要內容。從一定意義上說，電力企業(yè)安全管理被理解的程度和被執(zhí)行的效果就取決于能否確保安全教育順利貫徹實施，二者的關系十分密切。

電力企業(yè)的安全教育不可一概而論，應按照各級管理人員、技術人員、一般員工三個層次進行，這樣才能保證電力企業(yè)信息安全的成功和有效。因此，電力企業(yè)高級管理部門在安全教育具體實施過程中，應參照如下層次進行：

第一，對主管信息安全工作的高級負責人或各級管理人員，重點進行企業(yè)信息安全的整體策略與目標、信息安全體系的構成、安全管理部門的建立與管理制度的制定等的教育。第二，對負責信息安全運行管理及維護的技術人員，重點進行信息安全管理策略、安全評估的基本方法、安全操作與維護技術的合理運用等的教育。第三，對一般員工，要重點進行各種安全操作流程及與其相關的安全策略，包括自身應該承擔的安全職責等的教育。需要強調的是，電力企業(yè)的信息安全教育應貫穿于整個企業(yè)文化體系之中，必須定期、持續(xù)地進行，不可以搞突擊。

二、高層領導支持是構筑電力企業(yè)安全網的關鍵

電力企業(yè)要科學制定并順利執(zhí)行安全實施，一個重要基礎就是組織保證體系，這就是高層領導的支持。安全措施是否科學合理，能否得以順利執(zhí)行，需要有一套了解掌握企業(yè)狀況、掌握信息安全技術手段的領導班子，從而形成電力企業(yè)信息安全的決策層、管理層、執(zhí)行層等基礎機構，確保人員的配置、安全責任制的落實?？v觀我國電力企業(yè)的領導機構，應該說，都確立了以企業(yè)黨政“一把手”為領導的組織體系。這為構筑電力企業(yè)的安全網提供了組織保證。

三、科學制定安全策略是構筑電力企業(yè)安全網的的基礎

電力企業(yè)的安全策略包括的內容很廣，主要包括：分區(qū)防護、實現(xiàn)兩類隔離、識別和保護網絡接口邊界、關閉不必要的服務和協(xié)議、制定完善的備份與恢復等策略。這些安全策略的具體內容是：

第一，分區(qū)防護。根據(jù)我國電力企業(yè)的具體特點、目前狀況以及安全要求等，分區(qū)防護可分為實時控制區(qū)、非控制生產區(qū)、生產管理區(qū)、管理信息區(qū)四個安全工作區(qū)，將所有業(yè)務系統(tǒng)都置于相應的安全區(qū)內，并重點保護實時控制系統(tǒng)及生產業(yè)務系統(tǒng)。第二，兩類隔離。其中，一類是制定電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)以及管理信息系統(tǒng)的有效物理隔離措施；二是制定電力調度數(shù)據(jù)專用網絡與綜合信息網絡和因特網的有效物理隔離措施。第三，識別與保護網絡接口邊界。這是指通過識別電力網絡接口邊界，從而斷開不必要的接口，旨在防止跨多網接口通道的存在，實現(xiàn)對剩余接口的安全保護。第四，關閉不必要的服務和協(xié)議。通過合理地設置電力系統(tǒng)網絡與主機系統(tǒng)的配置、服務、權限，關閉不必要的服務和協(xié)議，禁止使用默認配置，減少安全漏洞，尤其要及時更新系統(tǒng)的安全補丁，消除系統(tǒng)的內核漏洞與后門。第五，制定完善的備份與恢復策略。這個策略主要是對關鍵應用的數(shù)據(jù)與應用系統(tǒng)進行備份，確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復數(shù)據(jù)與系統(tǒng)的可用性。其中，對關鍵主機設備、網絡的設備與部件要進行相應的熱備份與冷備份，以避免單點故障影響系統(tǒng)可靠性。在具備條件的前提下，還要對實時控制系統(tǒng)、電力市場交易系統(tǒng)，進行異地的數(shù)據(jù)與系統(tǒng)備份，提供系統(tǒng)的容災功能，從而保證在災難情況下系統(tǒng)業(yè)務的連續(xù)性。

四、定期進行風險評估是構筑電力企業(yè)安全網的途徑

安全風險評估是科學分析目前我國電力企業(yè)現(xiàn)有的網絡框架、核心路由器、交換機、數(shù)據(jù)庫服務器、郵件服務器、應用服務器、業(yè)務流程以及安全策略的安全漏洞、安全威脅和潛在影響等，旨在提出科學合理的安全建議，從而保證系統(tǒng)資產的機密性、完整性和可用性等基本安全屬性，根據(jù)評估的結果采取相應的安全控制措施，并及時調整電力企業(yè)的安全策略。信息安全的動態(tài)變化特征，決定了只有定期進行安全風險評估，才能發(fā)現(xiàn)和防范電力企業(yè)最新的安全風險，這也是決定安全風險評估必然是一個長期持續(xù)的工作的主要原因。目前，我國電力企業(yè)的安全風險評估還有待進一步完善，以逐漸實現(xiàn)制度化和規(guī)范化。

五、完善安全制度是構筑電力企業(yè)安全網的保障

電力企業(yè)要切實增加企業(yè)的風險承受能力，僅依賴技術手段是遠遠不夠的，要彌補技術手段的不足，還需要制定完善的安全管理制度。需要指出的是，在制定安全管理制度過程中，必須參考相關的國際安全標準、國家安全標準和安全法規(guī)政策等。

從共性上說，電力企業(yè)的安全制度包括安全管理制度和安全技術制度。安全管理制度應該包括機房管理、防病毒系統(tǒng)的維護與使用、數(shù)據(jù)備份中心與災難恢復、防火墻管理、IDS管理、安全事件應急處理、認證中心機房管理、信息發(fā)布管理等制度；電力企業(yè)的安全技術制度主要包括安全評估與加固規(guī)范、CA中心的建設規(guī)范、軟件安全開發(fā)規(guī)范等。在各種安全管理制度和規(guī)范正式發(fā)布后，還應該建立一套培訓機制，經常組織員工學習，從而確保制度的順利貫徹執(zhí)行。