葉佳承 滕波 潘人奇

【摘 要】 近年來(lái)隨著我國(guó)經(jīng)濟(jì)和科學(xué)技術(shù)的飛躍發(fā)展，我國(guó)電力企業(yè)也逐步完成了信息化建設(shè)，這不僅大大提高了我們電力企業(yè)的管理水平、工作效率，也大大提高了電力系統(tǒng)決策的準(zhǔn)確性和科學(xué)性，更增強(qiáng)了企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力。但是信息化也是一把“雙刃刀”，為電力企業(yè)帶來(lái)諸多益處的同時(shí)，也帶來(lái)一些安全問(wèn)題，近年來(lái)信息安全事故數(shù)見(jiàn)不鮮，給我們各大企業(yè)敲響了警鐘，因此如何做好企業(yè)信息安全管理已成為當(dāng)代所有企業(yè)應(yīng)該重視和解決的問(wèn)題。本文筆者針對(duì)我國(guó)電力企業(yè)安全管理存在的問(wèn)題，就如何完善電力企業(yè)信息安全管理提出自己粗淺的看法，以期為我國(guó)電力企業(yè)信息安全管理提供借鑒。

【關(guān)鍵詞】 電力企業(yè) ?信息安全 ?管理 ?問(wèn)題 ?完善措施

1 前言

電力企業(yè)信息技術(shù)的發(fā)展起始于20世紀(jì)90年代，最早的計(jì)算機(jī)應(yīng)用開(kāi)始于財(cái)務(wù)管理、營(yíng)銷(xiāo)管理等辦公業(yè)務(wù)，隨著信息技術(shù)的不斷深入發(fā)展，信息技術(shù)在電力企業(yè)的應(yīng)用范圍也日益擴(kuò)大和深化，目前已經(jīng)滲透入電力企業(yè)運(yùn)營(yíng)管理的全過(guò)程，信息技術(shù)也漸漸從開(kāi)始的“配角”提升為電力企業(yè)運(yùn)營(yíng)管理的“主角”。在電力企業(yè)信息化技術(shù)應(yīng)用日趨成熟、重要程度日益上升的今天，企業(yè)對(duì)信息化的管理和關(guān)注重點(diǎn)也在不停的發(fā)生變化，一方面信息化成果已成為企業(yè)甚至社會(huì)的重要資源，在整個(gè)企業(yè)的生產(chǎn)運(yùn)行、電網(wǎng)調(diào)度、辦公管理等各個(gè)方面發(fā)揮著重要的作用;另一方面由于信息技術(shù)的迅猛發(fā)展而帶來(lái)的信息安全事故、事件屢見(jiàn)不鮮，信息安全問(wèn)題與矛盾日益顯著。而信息安全工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程。企業(yè)要實(shí)現(xiàn)信息安全管理，就必須不斷完善和建立一套行之有效的信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。

2 我國(guó)電力企業(yè)信息安全管理存在的問(wèn)題

2.1 電力企業(yè)普遍存在重技術(shù)、輕管理的問(wèn)題

信息安全是“三分技術(shù)、七分管理”，但是現(xiàn)在許多電力企業(yè)任普遍存在重技術(shù)、輕管理的問(wèn)題，甚至很多電力企業(yè)根本沒(méi)有完善的安全管理制度，并且管理人員信息安全意識(shí)普遍不高，這也就在一定程度上加深了企業(yè)信息安全風(fēng)險(xiǎn)。要知道再好的技術(shù)在其運(yùn)行的過(guò)程中管理才是第一位的，比如在實(shí)際工作中，有最好的技術(shù)，但是如果管理不到位，系統(tǒng)的運(yùn)行、維護(hù)和開(kāi)發(fā)等崗位分配不清，職責(zé)劃分不明，存在一人身兼多職的現(xiàn)象，再先進(jìn)的技術(shù)也不可能發(fā)揮其應(yīng)有的效力，一樣不具備競(jìng)爭(zhēng)力、防御力。又如，企業(yè)在管理過(guò)程中對(duì)網(wǎng)絡(luò)工作人員的基本技能和素質(zhì)要求把關(guān)不嚴(yán)格，極易造成因網(wǎng)絡(luò)工作人員因操作不當(dāng)而造成硬件或者軟件出現(xiàn)漏洞，使惡意份子有機(jī)可乘，同樣影響網(wǎng)絡(luò)信息安全。

2.2 電力企業(yè)對(duì)員工的信息安全意識(shí)宣傳不到位

隨著信息安全地位的不斷攀升，電力企業(yè)對(duì)信息安全也越來(lái)越重視，但是，企業(yè)對(duì)于信息安全的培訓(xùn)力度仍顯不夠，電力企業(yè)員工信息安全意識(shí)仍非常低。如，一些電力員工在離開(kāi)辦公場(chǎng)所時(shí)，沒(méi)有意識(shí)主動(dòng)關(guān)閉電腦或鎖定屏幕，因此容易造成企業(yè)數(shù)據(jù)的丟失及客戶(hù)信息的泄漏。又如，一些員工為了貪圖方便省事，直接將系統(tǒng)賬號(hào)交給第三方人員進(jìn)行操作，容易造成系統(tǒng)數(shù)據(jù)的錯(cuò)失遺漏，或者出現(xiàn)未授權(quán)的審批等等。再如，還有一些員工對(duì)于未確定安全性的文件防范意識(shí)不夠，一旦點(diǎn)擊打開(kāi)后，就容易造成木馬的植入或者病毒的擴(kuò)散，從而造成數(shù)據(jù)的泄漏或丟失破壞。

2.3 電力企業(yè)信息安全技術(shù)不夠完善

首先，在計(jì)算機(jī)的使用方面，有很多的辦公計(jì)算機(jī)還是內(nèi)網(wǎng)與外網(wǎng)混合使用的狀態(tài)。雖然公司已經(jīng)做出了相應(yīng)的規(guī)定，要求內(nèi)網(wǎng)與外網(wǎng)進(jìn)行分開(kāi)使用。但是，內(nèi)外網(wǎng)混用情況仍十分嚴(yán)重，這就會(huì)給安全問(wèn)題帶來(lái)極大的隱患。其次，一些電力企業(yè)對(duì)移動(dòng)介質(zhì)的使用管理比較松散。如：一些企業(yè)的移動(dòng)介質(zhì)不需授權(quán)就能直接接入辦公電腦中，容易讓別有用心的人加以利用，從而拷貝了公司的內(nèi)部資料，造成企業(yè)損失。又如，一些員工在未確保外來(lái)移動(dòng)介質(zhì)正常的情況下就接入內(nèi)部網(wǎng)絡(luò)，容易造成病毒的傳入，從而影響內(nèi)部網(wǎng)絡(luò)的正常以及數(shù)據(jù)的安全。最后，部分電力企業(yè)數(shù)據(jù)庫(kù)數(shù)據(jù)和文件的明文存儲(chǔ)保護(hù)不完善。供電行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)，用戶(hù)身份認(rèn)證基本上采用口令的鑒別模式，而這種模式很容易被攻破。

3 完善電力企業(yè)信息安全管理的具體措施

3.1 完善電力企業(yè)安全風(fēng)險(xiǎn)的評(píng)估

電力企業(yè)要解決網(wǎng)絡(luò)安全問(wèn)題并不能夠僅僅是從技術(shù)上進(jìn)行考慮，技術(shù)是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。首先電力企業(yè)必須做好安全狀況評(píng)估分析，評(píng)估應(yīng)聘請(qǐng)專(zhuān)業(yè)權(quán)威的信息安全專(zhuān)家或者咨詢(xún)機(jī)構(gòu)，并組織企業(yè)內(nèi)部信息人員和專(zhuān)業(yè)人員深度參與，全面進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn)，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的危害和影響，針對(duì)評(píng)估出來(lái)的風(fēng)險(xiǎn)制定詳細(xì)的解決預(yù)防方案并認(rèn)真實(shí)施，實(shí)施完成后還要定期對(duì)其進(jìn)行評(píng)估和不斷改進(jìn)完善。其次，網(wǎng)絡(luò)安全離不開(kāi)各種安全技術(shù)的具體實(shí)施以及各種安全產(chǎn)品的部署，但是現(xiàn)在市面上安全技術(shù)及產(chǎn)品種類(lèi)繁多，讓人眼花繚亂，難以進(jìn)行抉擇，我們信息安全系統(tǒng)建設(shè)中心內(nèi)容是安全和穩(wěn)定，所以我們企業(yè)應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品，不能過(guò)分求全求新。最后，培養(yǎng)信息安全專(zhuān)門(mén)人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行，才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。

3.2 不斷完善電力企業(yè)信息安全管理制度

首先，構(gòu)建良好的管理體制，在網(wǎng)絡(luò)系統(tǒng)管理中，要做到管業(yè)務(wù)不管系統(tǒng)，管系統(tǒng)不管業(yè)務(wù)，如果二者混淆，就容易將所有權(quán)限落入一人之手，若該員工濫用職權(quán)，同樣造成網(wǎng)絡(luò)信息安全的極大威脅。其次，數(shù)據(jù)安全管理制度，即確保數(shù)據(jù)存儲(chǔ)介質(zhì)（設(shè)備）的安全;定時(shí)進(jìn)行數(shù)據(jù)備份，備份數(shù)據(jù)必須異地存放;對(duì)數(shù)據(jù)的操作需經(jīng)主管部門(mén)的審批、同意方可進(jìn)行;數(shù)據(jù)的清除、整理工作需兩人或兩人以上在場(chǎng)，并由相關(guān)部門(mén)進(jìn)行監(jiān)督、記錄。最后，準(zhǔn)入管理制度。準(zhǔn)入管理又稱(chēng)密碼、權(quán)限管理，通過(guò)準(zhǔn)入系統(tǒng)可以判斷請(qǐng)求登錄的用戶(hù)是否是合法的、值得信任的。

3.3 加強(qiáng)對(duì)電力企業(yè)全員信息安全的教育及培訓(xùn)，提升全員信息安全意識(shí)

對(duì)于企業(yè)信息安全工作的開(kāi)展不是一個(gè)部門(mén)一個(gè)人的事，而是我們電力公司全體員工的事情，所以必須提高企業(yè)全體員工的信息安全意識(shí)。通過(guò)開(kāi)展多種形式的信息安全知識(shí)培訓(xùn)，可以提高員工的警惕性以及養(yǎng)成良好的計(jì)算機(jī)使用習(xí)慣。在不定時(shí)開(kāi)展信息安全教育和培訓(xùn)的時(shí)候應(yīng)注意安全教育知識(shí)的層次性。主管信息安全工作的負(fù)責(zé)人和各級(jí)信息安全員，重點(diǎn)要了解和掌握信息安全的整體策略及目標(biāo)、安全管理部門(mén)的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系統(tǒng)的安全維護(hù)技術(shù)等;廣大信息系統(tǒng)用戶(hù)重點(diǎn)要學(xué)習(xí)各種安全操作流程和行為規(guī)范，了解和掌握與其相關(guān)的信息安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。另外，我們企業(yè)還可以采取一些考核獎(jiǎng)罰措施，去激勵(lì)和約束全員認(rèn)真進(jìn)行信息安全培訓(xùn)，認(rèn)真落實(shí)信息安全操作，從而有效提高我們電力企業(yè)整體信息安全水平，提高信息安全意識(shí)，最終有效避免信息安全問(wèn)題或失泄密事件的發(fā)生。

3.4 不斷完善和提升電力企業(yè)信息安全技術(shù)

第一，對(duì)電力企業(yè)內(nèi)部和外部網(wǎng)絡(luò)進(jìn)行物理隔離。采用最高效的解決信息網(wǎng)絡(luò)安全問(wèn)題的辦法：將局域網(wǎng)與外網(wǎng)物理隔離，使局域網(wǎng)內(nèi)的用戶(hù)只能訪問(wèn)內(nèi)網(wǎng)資源，外網(wǎng)計(jì)算機(jī)無(wú)法與內(nèi)網(wǎng)相連接。通過(guò)這種方法可以很大程度地防止互聯(lián)網(wǎng)上的病毒、流氓軟件等的入侵，避免企業(yè)及用戶(hù)個(gè)人的重要信息與數(shù)據(jù)的失竊，進(jìn)而可以控制可能由此造成的無(wú)法估計(jì)的損失。其次，對(duì)于移動(dòng)介質(zhì)，應(yīng)加入認(rèn)證管理，只有被預(yù)先授權(quán)的介質(zhì)才能接入內(nèi)網(wǎng)，對(duì)于數(shù)據(jù)的拷貝，只能通過(guò)加密形式處理。第三，數(shù)據(jù)與系統(tǒng)備份技術(shù)。供電企業(yè)的數(shù)據(jù)庫(kù)必須定期進(jìn)行備份，按其重要程度確定數(shù)據(jù)備份等級(jí)。配置數(shù)據(jù)備份策略，建立數(shù)據(jù)備份中心，采用先進(jìn)災(zāi)難恢復(fù)技術(shù)，對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫(kù)故障恢復(fù)預(yù)案，并進(jìn)行定期預(yù)演。計(jì)算機(jī)病毒傳播廣，破壞力大，會(huì)嚴(yán)重影響電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。因此，為了使電力企業(yè)免受病毒的侵害，作為網(wǎng)絡(luò)管理人員應(yīng)該建立從主機(jī)到服務(wù)器的完善的防病毒體系，建立健全的網(wǎng)絡(luò)信息管理制定，以此來(lái)有效的提高電力企業(yè)網(wǎng)絡(luò)信息的安全管理。最后，建立信息安全身份認(rèn)證體系。供電企業(yè)面對(duì)來(lái)自?xún)?nèi)部和外部信息安全風(fēng)險(xiǎn)威脅，需建立有效的信息安全身份認(rèn)證體系，實(shí)現(xiàn)網(wǎng)絡(luò)危險(xiǎn)過(guò)濾、終端準(zhǔn)入、用戶(hù)識(shí)別、上網(wǎng)授權(quán)等功能，最終實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)用戶(hù)終端安全性的提升，達(dá)成企業(yè)整網(wǎng)上網(wǎng)安全性的保障。

參考文獻(xiàn)：

[1]尹鴻波.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對(duì)策研究[J].電腦與信息技術(shù)，2011（4）.

[2]馮慧昌.信息安全管理現(xiàn)狀與研究策略[J].科技風(fēng)，2012（7）.

[3]姚軍.中科網(wǎng)威助力工業(yè)網(wǎng)絡(luò)信息安全[J].企業(yè)研究，2O12（12）.

[4]胡國(guó)勝，張迎春.信息安全基礎(chǔ)[M].北京：電子工業(yè)出版社，2011.

[5]胡泉軍，王以群，張延芝.企業(yè)信息安全管理中組織管理失誤因素分析[J].工業(yè)工程，2009（2）.

[6]王謙.電力企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)的研究[J].硅谷，2011（23）.

[7]唐琳，李云峰.電力信息系統(tǒng)的安全性初探[J].信息安全與通信保密，2006（10）.