王 藝

（國網(wǎng)四川省電力公司信息通信公司，四川 成都 610000）

關(guān)于電力信息安全標(biāo)準(zhǔn)體系建設(shè)的思考

王 藝

（國網(wǎng)四川省電力公司信息通信公司，四川 成都 610000）

隨著社會市場經(jīng)濟(jì)的發(fā)展，我國的電力行業(yè)在發(fā)展過程中取得了較大的進(jìn)步，其電力網(wǎng)絡(luò)的建設(shè)數(shù)量及建設(shè)規(guī)模在不斷的增大，在此基礎(chǔ)上，保證電力網(wǎng)絡(luò)的運(yùn)行安全是非常必要的，這就需要在日常的電力網(wǎng)絡(luò)管理工作中，加強(qiáng)電力信息安全的管理，本文就主要結(jié)合相關(guān)的實(shí)例，對電力信息安全標(biāo)準(zhǔn)體系的建設(shè)進(jìn)行簡單分析探討，對于保證電力信息安全具有積極的作用。

電力信息安全；標(biāo)準(zhǔn)體系；建設(shè)

國家“十二五”規(guī)劃期間，對于電力行業(yè)的建設(shè)給予了更大的支持，這使得我國的電力行業(yè)進(jìn)入到高速發(fā)展的時期，隨著電力市場的變革，我國的電力企業(yè)在發(fā)展過程中面臨著更多的機(jī)遇與挑戰(zhàn)，隨著電網(wǎng)建設(shè)工作的深入，我國電網(wǎng)在建設(shè)的過程中，逐漸朝著自動化、智能化、信息化的方向發(fā)展，并取得了一系列的成果，但是對其信息安全現(xiàn)狀進(jìn)行簡單分析，發(fā)展其中還存在較多的不足之處，本文就結(jié)合某電力公司的信息安全發(fā)展現(xiàn)狀，對其信息安全標(biāo)準(zhǔn)體系的建設(shè)進(jìn)行簡單分析。

一、電力信息安全發(fā)展現(xiàn)狀

隨著社會市場經(jīng)濟(jì)的發(fā)展，社會發(fā)展過程中的電力需求不斷增大，在其發(fā)展過程中，國家對于電力信息安全防護(hù)提出了更高的要求，這就需要在現(xiàn)有的基礎(chǔ)上，應(yīng)用更好的電力信息安全防護(hù)策略，建立其完善的電力信息安全標(biāo)準(zhǔn)體系，保證電力網(wǎng)絡(luò)的安全運(yùn)行，但是對我國目前的電力系統(tǒng)信息安全現(xiàn)狀進(jìn)行簡單分析，其中還存在較多的問題需要解決，其中最主要的問題就是病毒木馬所導(dǎo)致的安全隱患，這會對電力網(wǎng)絡(luò)中的設(shè)備及相關(guān)配置造成嚴(yán)重影響，對其具體原因進(jìn)行簡單分析，主要表現(xiàn)為：（1）電力系統(tǒng)中的安全設(shè)施配置不完善，在電力系統(tǒng)運(yùn)行過程中，相關(guān)的安全設(shè)施在電力系統(tǒng)的安全運(yùn)行中發(fā)揮著非常重要的作用，如果在實(shí)際的電力系統(tǒng)運(yùn)行過程中，由于安全設(shè)施配置不完善，導(dǎo)致相關(guān)電力設(shè)備的安全檢查不到位，很難及時發(fā)現(xiàn)電力系統(tǒng)中潛在的安全問題，導(dǎo)致安全事故的發(fā)生；（2）電力企業(yè)運(yùn)行過程中沒有制定出完善的信息安全標(biāo)準(zhǔn)規(guī)范體系，特別是在其運(yùn)行過程中，如果缺乏統(tǒng)一的信息安全加固標(biāo)準(zhǔn)及信息安全策略，就很難實(shí)現(xiàn)電力系統(tǒng)信息化建設(shè)的規(guī)范化操作，并且由于監(jiān)督管理制度的缺乏，相關(guān)的標(biāo)準(zhǔn)也難以在實(shí)際的管理工作中實(shí)施，導(dǎo)致管理效率不高；（3）電力信息安全管理工作中，技術(shù)型人才隊伍的缺乏導(dǎo)致其管理效率不高，由于沒有專業(yè)的知識及操作技術(shù)作為支持，是很難對電力信息系統(tǒng)及電力信息安全產(chǎn)品實(shí)施有效的管理的；（4）電力企業(yè)中的相關(guān)工作人員沒有對電力信息安全管理工作予以應(yīng)有的重視，這也是導(dǎo)致電力信息安全管理工作不到位的主要原因。

針對以上分析中存在的主要問題，本次研究中，選取某電力公司作為工程實(shí)例，從起安全管理、技術(shù)規(guī)范、評價考核等方面出發(fā)，結(jié)合其電力信息安全管理現(xiàn)狀，對其電力信息安全標(biāo)準(zhǔn)體系建設(shè)工作進(jìn)行簡單分析，對于該電力公司電力系統(tǒng)信息安全運(yùn)行水平的提升具有非常重要的作用，下面就針對此予以簡單分析研究。

二、電力信息安全標(biāo)準(zhǔn)體系架構(gòu)

在實(shí)際的研究過程中，電力信息安全標(biāo)準(zhǔn)體系的建設(shè)是一項系統(tǒng)性很強(qiáng)的工作，在該標(biāo)準(zhǔn)體系的建設(shè)過程中，應(yīng)該充分的考慮各方面的因素，首先，對其信息安全標(biāo)準(zhǔn)體系的建設(shè)原則進(jìn)行簡單分析，主要表現(xiàn)為：（1）在信息安全標(biāo)準(zhǔn)體系的建設(shè)過程中，應(yīng)該堅持落實(shí)上級精神與提升自身管理水平相結(jié)合的基本原則，從企業(yè)信息安全的管理現(xiàn)狀出發(fā)，有效的結(jié)合自身發(fā)展過程中的實(shí)際需求，采用針對性的技術(shù)手段與管理措施，使國家及企業(yè)自身的各項制度落到實(shí)處，使企業(yè)的信息安全管理水平得到有效提升。（2）堅持信息安全標(biāo)準(zhǔn)體系建設(shè)與企業(yè)信息化建設(shè)同步的基本原則，在實(shí)際的體系建設(shè)工作中，從相關(guān)設(shè)備的入網(wǎng)環(huán)節(jié)抓起，對相關(guān)設(shè)備的賬號授權(quán)管理、口令安全、安全補(bǔ)丁、端口服務(wù)、日志審計等進(jìn)行有效的管理，加強(qiáng)入網(wǎng)測試工作，避免不具備相關(guān)安全功能的設(shè)備進(jìn)入到電力系統(tǒng)網(wǎng)絡(luò)中，保證電力信息安全工作開展的過程中，具有充分的主動性與防御功能。（3）堅持動態(tài)性與系統(tǒng)性相結(jié)合的基本原則，在電力信息安全標(biāo)準(zhǔn)體系的建設(shè)過程中，應(yīng)該充分的考慮安全威脅等級及系統(tǒng)脆弱性之間的差異，隨著威脅程度的提升、系統(tǒng)環(huán)境變化的加劇，相關(guān)的安全保護(hù)措施及保護(hù)方案應(yīng)該適當(dāng)?shù)恼{(diào)整，保證電力信息安全標(biāo)準(zhǔn)體系具有一定的時效性，使得其在實(shí)際的電力信息安全管理工作中發(fā)揮良好作用。

結(jié)合該電力公司發(fā)展現(xiàn)狀及以上的基本原則，本次研究中的電力信息安全標(biāo)準(zhǔn)體系建設(shè)過程中，其主要的組成部分為：人員體系、管理體系、技術(shù)體系及指標(biāo)體系，下面對這幾個基本的組成體系進(jìn)行簡單分析。

人員體系，該部分的主要功能是進(jìn)行相關(guān)人才隊伍的培養(yǎng)與建設(shè)，主要是針對相關(guān)工作人員開展電力信息安全專業(yè)知識的教育，保證電力信息安全的持續(xù)培訓(xùn)。

管理體系，管理系統(tǒng)是電力信息安全標(biāo)準(zhǔn)體系建設(shè)過程中非常重要的建設(shè)內(nèi)容，其中包含的內(nèi)容眾多，主要是信息安全的相關(guān)規(guī)章制度以及信息安全規(guī)章管理的制度，其制度所包含的內(nèi)容涉及到建設(shè)管理、運(yùn)行維護(hù)管理、安全管理、人員管理、組織機(jī)構(gòu)等各個方面，通過對人員、電力系統(tǒng)、工作流程、設(shè)備管理等各個方面進(jìn)行統(tǒng)一的、制度化的管理，對于電力信息安全管理水平的提升具有非常重要的作用，有利于電力信息安全管理工作的規(guī)范化、流程化與制度化。

技術(shù)體系是保證相關(guān)安全措施實(shí)施的最基本的保證，如果在實(shí)際的應(yīng)用當(dāng)中，相關(guān)設(shè)備的安全配置不足，將很難保證電力信息安全，這就需要建立起完善的技術(shù)體系，解決電力系統(tǒng)運(yùn)行過程中存在的設(shè)備安全配置不到位的問題。

指標(biāo)體系中包含：桌面終端管理率、信息網(wǎng)絡(luò)可用率、電力系統(tǒng)自動監(jiān)控率、信息設(shè)備、信息安全事件數(shù)等方面的內(nèi)容，這對于電力信息安全管理水平的提升具有積極的作用。

在電力信息安全標(biāo)準(zhǔn)體系建設(shè)過程中，其中最為重要的就是技術(shù)體系，對其集成系統(tǒng)進(jìn)行簡單分析，其主要包含安全平臺、主機(jī)安全、數(shù)據(jù)庫安全、應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全等方面的內(nèi)容，這就需要在實(shí)際的運(yùn)行過程中，對電力系統(tǒng)運(yùn)行過程中存在的各種安全隱患及安全運(yùn)行的薄弱環(huán)節(jié)進(jìn)行簡單分析，對電力信息系統(tǒng)各個部門的安全等級進(jìn)行評定，并根據(jù)其安全等級的不同，選擇合適的安全保護(hù)措施，并對其給予有效的技術(shù)支持，使相關(guān)的安全防護(hù)措施能夠有效的實(shí)現(xiàn)，并在實(shí)際應(yīng)用發(fā)揮良好作用。

三、電力信息安全標(biāo)準(zhǔn)體系的建設(shè)及相關(guān)的應(yīng)用效果

在實(shí)際的電力信息安全標(biāo)準(zhǔn)體系的建設(shè)過程中，應(yīng)該注意以下的基本內(nèi)容：（1）標(biāo)準(zhǔn)體系的構(gòu)建過程中，需要進(jìn)行測評表及指導(dǎo)書的編制，在其編制的過程中，要參照國內(nèi)外的相關(guān)信息安全標(biāo)準(zhǔn)，編寫符合相關(guān)標(biāo)準(zhǔn)要求及實(shí)際需求的電力信息安全標(biāo)準(zhǔn)及作業(yè)指導(dǎo)書。（2）加強(qiáng)電力信息安全的宣傳工作，保證所有工作人員在實(shí)際的工作中，對電力信息安全予以足夠的重視，并在實(shí)際的行動中嚴(yán)格按照相關(guān)的操作規(guī)范，保證電力信息安全。（3）建立完善的電力信息安全管理制度，并使電力信息安全管理工作的檢查實(shí)現(xiàn)常態(tài)化，制定完善的管理措施，并通過常態(tài)化的檢查，保證相關(guān)管理制度得到有效實(shí)施，在基線測評、安全加固、復(fù)查等工作中，都需要由相關(guān)的檢查人進(jìn)行簽字確認(rèn)，有效避免這些信息系統(tǒng)管理過程中的關(guān)鍵環(huán)節(jié)只流于形式。對于實(shí)際運(yùn)行過程中的，一些與信息安全有著重大聯(lián)系的重要內(nèi)容，在實(shí)際的工作中，應(yīng)該予以詳細(xì)的檢查，對其展開初查之后，要對檢查結(jié)果進(jìn)行詳細(xì)的分析與討論，對于初查時發(fā)現(xiàn)的相關(guān)安全隱患，應(yīng)該及時的采取有效的措施予以處理，并在復(fù)查工作中，對其落實(shí)情況進(jìn)行有效的審核。（4）從體系架構(gòu)上進(jìn)行有效的分析，保證電力信息安全監(jiān)督工作的規(guī)范化，從端口、服務(wù)、安全配置、安全漏洞等角度對信息安全配置核查策略庫、系統(tǒng)狀態(tài)信息庫等進(jìn)行有效的研究，做好電力信息安全的監(jiān)督工作，這對于電力信息安全管理效率的提升具有積極的作用。

本次研究中所選擇的電力公司，在實(shí)際的運(yùn)行過程中，將本次研究中的電力信息安全標(biāo)準(zhǔn)應(yīng)用了一年的時間，對其實(shí)際的應(yīng)用效果進(jìn)行簡單分析，發(fā)現(xiàn)應(yīng)用該電力信息安全標(biāo)準(zhǔn)體系之后，對其各個分公司的電力信息安全達(dá)標(biāo)情況進(jìn)行統(tǒng)計分析，發(fā)現(xiàn)實(shí)施該信息安全標(biāo)準(zhǔn)體系之后，各個分公司的信息安全達(dá)標(biāo)情況有了顯著提升，對各個主機(jī)及相關(guān)的網(wǎng)絡(luò)設(shè)備進(jìn)行加固之后，信息系統(tǒng)設(shè)備安全配置不足的問題得到了有效解決，有效消除了電力信息系統(tǒng)運(yùn)行過程中由于安全設(shè)施配置不到位所導(dǎo)致的安全隱患，并且隨著管理的規(guī)范化，員工的信息安全意識得到了有效增強(qiáng)，其總體的信息安全管理水平得到了顯著提升。

結(jié)語

電力信息系統(tǒng)運(yùn)行過程中，保證其電力信息安全是至關(guān)重要的內(nèi)容，本文就結(jié)合某電力公司的運(yùn)行實(shí)例，結(jié)合電力信息安全管理現(xiàn)狀，對電力信息安全標(biāo)準(zhǔn)體系的建設(shè)進(jìn)行了簡單分析，對于其信息安全管理水平的提升具有積極的作用。

[1]王甜，徐暉，魏理豪,楊浩．電力信息安全保障體系建設(shè)研究[J]．廣東電力，2010（05）．

[2]張鑫，陳雪華，劉新．電力系統(tǒng)信息安全基線標(biāo)準(zhǔn)體系的構(gòu)建[J]．電力信息與通信技術(shù)，2013（11）．

[3]崔高智，張躍斌，李斌．關(guān)于電力信息安全基線自動化核查的探討[J]．科技創(chuàng)新與應(yīng)用，2013（33）．

TP39

A