洪 杰，段成鐸

（國(guó)網(wǎng)浙江桐廬縣供電公司，浙江 桐廬 311500）

電力企業(yè)在我國(guó)能源行業(yè)中占有十分重要的地位，隨著信息化的不斷發(fā)展，電力企業(yè)信息系統(tǒng)日益成為我國(guó)電力企業(yè)信息化的發(fā)展核心。但是隨著電力企業(yè)對(duì)信息化依賴程度的增加，其信息系統(tǒng)的安全問(wèn)題也日益嚴(yán)重，面臨的風(fēng)險(xiǎn)也越來(lái)越大、越來(lái)越不確定。因此，對(duì)電力企業(yè)信息系統(tǒng)的安全保障已迫在眉睫，對(duì)電力企業(yè)信息安全進(jìn)行有效的管理顯得更加重要。

1 電力企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)

電力企業(yè)信息系統(tǒng)是基于電腦和網(wǎng)絡(luò)，實(shí)現(xiàn)電力制造、管理等信息的收集、存儲(chǔ)、分析及傳輸?shù)木C合性的有機(jī)系統(tǒng)。［1］信息作為一種重要的企業(yè)資源必須要對(duì)其進(jìn)行全面的安全管理，企業(yè)信息安全管理是引導(dǎo)和協(xié)調(diào)組織的關(guān)于信息化安全風(fēng)險(xiǎn)的互相協(xié)調(diào)的活動(dòng)，即企業(yè)管理層對(duì)企業(yè)相關(guān)信息和活動(dòng)安排進(jìn)行合理的規(guī)劃和協(xié)調(diào)。

一直以來(lái)，很多人特別是對(duì)于信息行業(yè)出身的工作人員，都受環(huán)境影響而陷入“技術(shù)就是一切”的誤區(qū)中，即人們把企業(yè)信息安全的全部希望都寄托在加密技術(shù)上，他們認(rèn)為只要通過(guò)加密技術(shù)，任何信息安全問(wèn)題都能夠解決。隨著網(wǎng)絡(luò)防火墻技術(shù)的誕生，我們又常聽(tīng)到“防火墻是網(wǎng)絡(luò)安全的有力保障”的論調(diào)。經(jīng)此之后，入侵檢測(cè)、VPN等更多新的概念及技術(shù)紛至沓來(lái)，但無(wú)論技術(shù)怎樣變化，終究還是突破不了技術(shù)統(tǒng)領(lǐng)信息安全的枷鎖。實(shí)際上，對(duì)企業(yè)信息安全技術(shù)的選擇及應(yīng)用只是企業(yè)信息系統(tǒng)安全化的一部分，它只是實(shí)現(xiàn)企業(yè)安全運(yùn)營(yíng)的一個(gè)方法而己。大家之所以產(chǎn)生這樣的誤區(qū)，其原因是多方面的，站在企業(yè)安全技術(shù)提供商的角度來(lái)說(shuō)，其側(cè)重點(diǎn)在于銷售，因此向相關(guān)客戶輸送的大多都是以技術(shù)為核心的理念和信息。站在客戶角度來(lái)說(shuō)，只有企業(yè)的產(chǎn)品才是真實(shí)的、有形的，對(duì)投資方來(lái)說(shuō)，這是十分重要的。

因此，正是對(duì)于企業(yè)信息系統(tǒng)的錯(cuò)誤認(rèn)識(shí)，導(dǎo)致一些極端現(xiàn)象的產(chǎn)生，比如：許多企業(yè)的信息化設(shè)備使用了防火墻、網(wǎng)絡(luò)云掃描等技術(shù)，但卻沒(méi)有設(shè)定出一套以安全策略為核心的合理的安全管理方案，從而造成安全技術(shù)及企業(yè)的產(chǎn)品生產(chǎn)十分混亂，不能做到技術(shù)及相關(guān)產(chǎn)品的及時(shí)、有效的更新。還有一些電力企業(yè)即使設(shè)定了一些安全管理措施，卻沒(méi)有使用有效的實(shí)施、監(jiān)督機(jī)制來(lái)執(zhí)行，這讓安全管理措施徒有其表，名存實(shí)亡。經(jīng)過(guò)研究及調(diào)查，現(xiàn)階段我國(guó)電力企業(yè)信息系統(tǒng)面臨的風(fēng)險(xiǎn)主要有：

（1）信息系統(tǒng)缺陷。隨著信息化的不斷發(fā)展，電力企業(yè)信息系統(tǒng)也一直在不斷完善中，目前，我國(guó)的電力企業(yè)在設(shè)計(jì)、制造及產(chǎn)品裝配中仍存在著許多安全隱患與風(fēng)險(xiǎn)，比如來(lái)自軟硬件組件的安全隱患等，這些信息系統(tǒng)固有的缺陷對(duì)電力企業(yè)信息系統(tǒng)的安全造成了嚴(yán)重的威脅。

（2）信息系統(tǒng)安全管理不規(guī)范?，F(xiàn)階段，我國(guó)電力企業(yè)對(duì)電力信息系統(tǒng)的安全愈來(lái)愈重視，很多電力企業(yè)都采取了各種風(fēng)險(xiǎn)管理及預(yù)防措施，但是由于系統(tǒng)數(shù)據(jù)備份設(shè)備的不完善、數(shù)據(jù)丟失等信息系統(tǒng)安全管理不規(guī)范現(xiàn)象的出現(xiàn)，建立一套完善、合理的電力企業(yè)信息系統(tǒng)安全管理體系尤為重要。

（3）網(wǎng)絡(luò)安全意識(shí)薄弱。由于電力企業(yè)的安全宣傳力度不夠，相關(guān)技術(shù)人員的安全意識(shí)薄弱而導(dǎo)致的信息系統(tǒng)安全問(wèn)題時(shí)有發(fā)生，比如不能及時(shí)修補(bǔ)信息系統(tǒng)漏洞及補(bǔ)丁，相關(guān)人員不正確的操作、或通過(guò)U盤導(dǎo)致重要信息泄露等，處理不好都很有可能造成整個(gè)電力系統(tǒng)的不穩(wěn)定甚至系統(tǒng)癱瘓。

（4）惡意人為破壞。隨著網(wǎng)絡(luò)共享度的提高，我國(guó)的電力企業(yè)信息系統(tǒng)逐漸向開(kāi)放型及共享型發(fā)展，這使得一些不法分子有機(jī)可乘，他們?yōu)榱俗约旱睦?，通過(guò)各種手段非法入侵電力企業(yè)的信息系統(tǒng)，如植入病毒、竊聽(tīng)、干擾阻斷等，這對(duì)我國(guó)電力企業(yè)信息系統(tǒng)的安全構(gòu)成了極大的威脅。

2 電力企業(yè)信息系統(tǒng)安全管理研究

信息安全是一個(gè)復(fù)雜的、不斷變化的動(dòng)態(tài)過(guò)程，如果電力企業(yè)只根據(jù)一時(shí)需要而忽略了信息安全的動(dòng)態(tài)性，只是主觀的來(lái)制定一些風(fēng)險(xiǎn)管理措施，就會(huì)造成在企業(yè)信息管理中顧此失彼，進(jìn)而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗。［2］其正確的做法是，電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實(shí)踐總結(jié)，結(jié)合企業(yè)自身對(duì)信息系統(tǒng)安全的實(shí)際需求，在進(jìn)行完善的風(fēng)險(xiǎn)分析及風(fēng)險(xiǎn)管理的基礎(chǔ)上，通過(guò)一些合理的、可行的安全風(fēng)險(xiǎn)管理措施來(lái)使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)。

除此之外，不斷更新的過(guò)程是電力企業(yè)進(jìn)行信息安全管理的最基本出發(fā)點(diǎn)，該過(guò)程還應(yīng)該是動(dòng)態(tài)的、變化的，即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進(jìn)和完善，堅(jiān)決拒絕一成不變，這可以將信息系統(tǒng)的風(fēng)險(xiǎn)降到最低。［3］所以說(shuō)，基于風(fēng)險(xiǎn)的評(píng)估及控制角度來(lái)說(shuō)，電力企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)與其他領(lǐng)域的風(fēng)險(xiǎn)具有相似性，與此同時(shí)，電力系統(tǒng)信息系統(tǒng)安全風(fēng)險(xiǎn)又具有其獨(dú)特性。將其他領(lǐng)域內(nèi)的風(fēng)險(xiǎn)控制過(guò)程引入電力企業(yè)的信息風(fēng)險(xiǎn)管理領(lǐng)域，需要同時(shí)考慮到其共性和個(gè)性。

安全管理主要分為網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)和應(yīng)用級(jí)3個(gè)部分：

（1）網(wǎng)絡(luò)級(jí)安全管理。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級(jí)安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險(xiǎn)問(wèn)題，其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個(gè)方面采取安全管理措施。網(wǎng)絡(luò)防火墻對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用，它可以有效預(yù)防潛在的破壞性入侵，同時(shí)可以對(duì)即將進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格的檢測(cè)，并對(duì)非法、錯(cuò)誤的網(wǎng)絡(luò)信息進(jìn)行隔離，從而保護(hù)電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)電力企業(yè)信息系統(tǒng)的實(shí)際情況，相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計(jì)出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)，該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯(cuò)能力，從而對(duì)已有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了優(yōu)化。

（2）系統(tǒng)級(jí)安全管理。在企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)管理中，系統(tǒng)級(jí)安全設(shè)計(jì)與用戶的具體應(yīng)用具有密切的聯(lián)系，具體而言，其分為操作系統(tǒng)與數(shù)據(jù)處理兩個(gè)方面。在操作系統(tǒng)方面，利用有效的網(wǎng)絡(luò)安全掃描對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行合理評(píng)估，及時(shí)分析操作系統(tǒng)已有的漏洞，同時(shí)結(jié)合信息系統(tǒng)的漏洞自動(dòng)修補(bǔ)技術(shù)，實(shí)現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患。在數(shù)據(jù)處理方面，企業(yè)要善于利用信息系統(tǒng)平臺(tái)再次對(duì)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)安全加密，從而將信息系統(tǒng)的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)降到最低。

（3）應(yīng)用級(jí)安全管理。應(yīng)用級(jí)安全設(shè)計(jì)具有直觀、具體的特點(diǎn)，它是在設(shè)計(jì)電力企業(yè)的信息系統(tǒng)時(shí)，通過(guò)技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中，從而有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行。具體來(lái)說(shuō)，電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問(wèn)控制是根據(jù)訪問(wèn)信息性質(zhì)的不同，分別進(jìn)行公開(kāi)信息和私密信息的傳送、存儲(chǔ)及管理，從而實(shí)現(xiàn)在應(yīng)用層次上的訪問(wèn)控制；而數(shù)字簽名技術(shù)可以通過(guò)對(duì)文件簽發(fā)者、日期等提供準(zhǔn)確的不可更改的歷史記錄，來(lái)保證系統(tǒng)所有文件的完整性。

因此，我們得知，為了確保電力企業(yè)信息系統(tǒng)的安全，要采取合理、有效的管理手段來(lái)最大程度地降低風(fēng)險(xiǎn)，即相關(guān)人員不僅要從技術(shù)層面來(lái)進(jìn)行安全管理的設(shè)計(jì)，還要從管理層面進(jìn)行安全管理設(shè)置。［4］具體來(lái)說(shuō)可以從以下方面著手：

（1）定期對(duì)企業(yè)系統(tǒng)的技術(shù)人員進(jìn)行安全教育，增強(qiáng)其信息系統(tǒng)的安全意識(shí)；

（2）保持相關(guān)人員特別是管理層的人員穩(wěn)定，若有人員調(diào)離，需及時(shí)更換系統(tǒng)密碼，避免企業(yè)機(jī)密泄露；

（3）設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等。

3 結(jié)語(yǔ)

電力企業(yè)信息系統(tǒng)的信息安全性在現(xiàn)有的信息安全技術(shù)下并不能很好地解決相關(guān)安全問(wèn)題。因此，只有建立完善的、可行的企業(yè)信息系統(tǒng)安全管理模式，并及時(shí)更新安全技術(shù)及設(shè)備，制定合理的安全管理方案，才能使電力企業(yè)的信息系統(tǒng)安全性一直處于良好狀態(tài)。

電力企業(yè)信息系統(tǒng)安全是電力企業(yè)正常運(yùn)營(yíng)的重要保證，企業(yè)信息系統(tǒng)安全不僅關(guān)系著我國(guó)電力企業(yè)的信息化水平，還關(guān)系著我國(guó)經(jīng)濟(jì)發(fā)展的前途命運(yùn)。因此，只有結(jié)合我國(guó)電力企業(yè)的實(shí)際情況，采取合理、完善的風(fēng)險(xiǎn)管理措施，才能保證電力企業(yè)信息系統(tǒng)的安全性及平穩(wěn)性。現(xiàn)階段，大量事實(shí)表明，如今電力企業(yè)的信息系統(tǒng)安全問(wèn)題不僅僅是技術(shù)層面的問(wèn)題，更大程度取決于相關(guān)人員的管理水平。因此，只有將電力企業(yè)的信息系統(tǒng)安全風(fēng)險(xiǎn)有效進(jìn)行識(shí)別及分析并采取有效的風(fēng)險(xiǎn)管理及預(yù)防方案，才能保證電力企業(yè)信息系統(tǒng)的安全性及可靠性。

［1］李文武，游文霞，王先培.電力系統(tǒng)信息安全研究綜述［J］.電力系統(tǒng)保護(hù)與控制，2011，39（10）：140－147.

［2］劉振輝.對(duì)電力信息系統(tǒng)安全防護(hù)問(wèn)題的研究［J］.信息與電腦：理論版，2012（10）：87.

［3］寇建濤.電力信息系統(tǒng)安全分析與思考［J］.科技資訊，2009，36：17－18.

［4］胡炎，謝小榮，辛耀中.電力信息系統(tǒng)現(xiàn)有安全設(shè)計(jì)方法分析比較［J］.電網(wǎng)技術(shù)，2006，30 （4）：36－42.