梁大鵬

河北大唐國(guó)際唐山熱電有限責(zé)任公司

發(fā)電企業(yè)信息系統(tǒng)安全管理初探

梁大鵬

河北大唐國(guó)際唐山熱電有限責(zé)任公司

經(jīng)濟(jì)的發(fā)展、人民生活水平的提高，離不開(kāi)社會(huì)信息化進(jìn)程的加快。而電力產(chǎn)業(yè)作為能源轉(zhuǎn)化、傳輸?shù)闹匾A(chǔ)性產(chǎn)業(yè)，對(duì)于國(guó)民經(jīng)濟(jì)水平的提升起著重要作用。近些年，信息技術(shù)在電力安全生產(chǎn)中的應(yīng)用越來(lái)越廣泛，給電力企業(yè)的發(fā)展帶來(lái)了質(zhì)的飛躍，但也存在很大的安全隱患，基于此，本文將著重分析探討發(fā)電企業(yè)信息系統(tǒng)安全管理措施，以期能為以后的實(shí)際工作起到一定的借鑒作用。

發(fā)電企業(yè)；信息系統(tǒng)；安全管理

引言

發(fā)電企業(yè)的網(wǎng)絡(luò)信息安全與一般企業(yè)相比，同時(shí)具備多方面的安全風(fēng)險(xiǎn)因素。網(wǎng)絡(luò)安全主要涉及網(wǎng)絡(luò)數(shù)據(jù)的數(shù)據(jù)信息、軟件和硬件設(shè)備、網(wǎng)絡(luò)環(huán)境，非法防守和惡意攻擊的IP地址，可以讓外部人員進(jìn)入數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)，破壞和竊取系統(tǒng)的相應(yīng)數(shù)據(jù)，確保數(shù)據(jù)的真實(shí)性不受威脅，摧毀一切可能存在的威脅和風(fēng)險(xiǎn)。

1 、發(fā)電企業(yè)信息系統(tǒng)安全管理的重要性

在電力市場(chǎng)中，計(jì)算機(jī)的開(kāi)放性使得電力用戶可以隨時(shí)從各地與電力中心進(jìn)行聯(lián)系，其便捷性與廣泛性是線下交易不可比擬的，但同時(shí)電力信息系統(tǒng)也可能面臨著隱藏于各個(gè)角落的病毒或者黑客的攻擊，可能會(huì)造成電力信息的泄露與電力系統(tǒng)的破壞。電力企業(yè)會(huì)對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù)，這依賴于多種安全技術(shù)，比如加密、認(rèn)證等措施，但是一些黑客能夠通過(guò)分析數(shù)據(jù)傳輸?shù)念l率、長(zhǎng)度、流量、加密類型等信息，對(duì)電力系統(tǒng)中較大的設(shè)備產(chǎn)生影響和破壞，或者對(duì)加密信息進(jìn)行破解，這對(duì)電力系統(tǒng)中直接操縱的設(shè)備和數(shù)據(jù)都造成很大的威脅，由此看來(lái)，做好電力信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)工作，能夠保證電力信息交互過(guò)程中信息的完整性與高效性；能夠確保電力信息的安全性與保密性。在現(xiàn)代社會(huì)，無(wú)形的信息是企業(yè)的重要機(jī)密與資產(chǎn)，維護(hù)信息系統(tǒng)安全，對(duì)促進(jìn)電力企業(yè)的經(jīng)濟(jì)效益與社會(huì)效益是十分顯著的。

2 、發(fā)電企業(yè)信息系統(tǒng)安全管理現(xiàn)狀分析

對(duì)于我國(guó)的電力企業(yè)而言，信息化技術(shù)多應(yīng)用于生產(chǎn)管理、信息管理和企業(yè)經(jīng)營(yíng)等部門(mén)，盡管這對(duì)于加快電力體制改革起到了重要作用，但與西方發(fā)達(dá)國(guó)家相比，我國(guó)信息化技術(shù)水平及其應(yīng)用，與國(guó)際先進(jìn)水平還有一定差距。尤其是在確保信息安全方面，技術(shù)水平仍不能完全滿足需求。此外，我國(guó)很多電力企業(yè)仍采用比較落后的計(jì)算機(jī)系統(tǒng)進(jìn)行相關(guān)管理，這種應(yīng)用局域網(wǎng)的系統(tǒng)，只能將信息安全保護(hù)范圍集中在內(nèi)部設(shè)備或人員的控制上。但依據(jù)目前的信息化發(fā)展形勢(shì)，網(wǎng)絡(luò)化、信息化的進(jìn)程不斷縱深發(fā)展，單靠?jī)?nèi)部員工已經(jīng)無(wú)法達(dá)到保護(hù)信息安全的目的，還需加強(qiáng)對(duì)國(guó)際互聯(lián)網(wǎng)的攻擊，如病毒、黑客加以控制和防范。所以，若想保證電力企業(yè)的安全管理，必須提高信息化技術(shù)水平，升級(jí)管理模式。

3 、發(fā)電企業(yè)信息系統(tǒng)安全管理措施

3.1 開(kāi)展信息安全頂層設(shè)計(jì)

電力行業(yè)信息安全要從頭抓起，全面涵蓋各單位、各業(yè)務(wù)、系統(tǒng)性優(yōu)化信息安全頂層設(shè)計(jì)，要堅(jiān)持業(yè)務(wù)發(fā)展不忘同步信息安全構(gòu)建，在管理、策略、技術(shù)、角色等方面多管齊下，多策并舉，建立標(biāo)準(zhǔn)化的信息安全頂層框架，對(duì)信息安全進(jìn)行全過(guò)程的管控，為今后可持續(xù)性的安全防護(hù)工作打下基礎(chǔ)。

3.2 構(gòu)建新型安全防護(hù)技術(shù)體系

電力信息系統(tǒng)的安全風(fēng)險(xiǎn)不僅僅有來(lái)自于外界的惡意攻擊，還有來(lái)自于內(nèi)部的權(quán)限濫用，未來(lái)新型的安全防護(hù)技術(shù)體系的構(gòu)建同時(shí)遵循防護(hù)、控制、智能的原則，對(duì)信息系統(tǒng)進(jìn)行全生命周期的防護(hù)，并建立涵蓋端+邊界+云的立體式防護(hù)體系，堅(jiān)持防護(hù)系統(tǒng)的自主可控研發(fā)戰(zhàn)略，在操作系統(tǒng)、高端服務(wù)器、數(shù)據(jù)庫(kù)、秘鑰算法等方面實(shí)現(xiàn)國(guó)產(chǎn)替代，真正建立起一套屬于自己的防護(hù)體系，對(duì)網(wǎng)絡(luò)安全實(shí)行多層保護(hù)，即使前手失效仍有后續(xù)防護(hù)進(jìn)行補(bǔ)救，并且加強(qiáng)多層次防線之間的聯(lián)動(dòng)協(xié)同，形成完整、統(tǒng)一、配套的信息安全能力。

3.3 信息系統(tǒng)安全評(píng)估

在實(shí)際工作中，信息系統(tǒng)的建設(shè)主要就是為企業(yè)和相關(guān)人員提供一個(gè)信息上傳和獲取的平臺(tái)，方便其日常的工作。為保證數(shù)據(jù)通信網(wǎng)絡(luò)的可靠性，首先應(yīng)該對(duì)網(wǎng)絡(luò)安全進(jìn)行基本的評(píng)價(jià)，要求評(píng)估涵蓋的基本識(shí)別目標(biāo)，比如某些潛在用戶和信息來(lái)源。評(píng)估必須全面、細(xì)致，確保其準(zhǔn)確性和有效性，相關(guān)人員評(píng)估相應(yīng)的審計(jì)和檢查結(jié)果。與此同時(shí)，評(píng)估的結(jié)果按照需要的網(wǎng)絡(luò)環(huán)境和相應(yīng)的信息技術(shù)的變化或新的評(píng)估，以便相關(guān)的技術(shù)人員根據(jù)通信網(wǎng)絡(luò)的安全性進(jìn)行全面控制，保證數(shù)據(jù)通信的安全需求。

3.4 信息技術(shù)的加強(qiáng)

電力企業(yè)內(nèi)部交流科技的發(fā)展為現(xiàn)代企業(yè)的騰飛帶來(lái)諸多便利條件，信息技術(shù)的應(yīng)用便是最好的證明，它不但可以為電力企業(yè)提供技術(shù)支持，還可以有效地進(jìn)行內(nèi)部管理。這主要表現(xiàn)在：首先，企業(yè)的發(fā)展離不開(kāi)內(nèi)部信息的交流，企業(yè)精神的戰(zhàn)略傳達(dá)，企業(yè)文化的宣傳引導(dǎo)，都需要快速地進(jìn)行信息傳遞，信息技術(shù)便很好的滿足了這一要求，加快了企業(yè)內(nèi)部信息傳遞速度，提高了工作效率。其次，信息技術(shù)的應(yīng)用為企業(yè)管理開(kāi)辟了新的渠道，不但可以有效地進(jìn)行人員任務(wù)分配，還可以推動(dòng)文化的發(fā)展。信息技術(shù)在提升企業(yè)競(jìng)爭(zhēng)力的同時(shí)，也要求電力企業(yè)不斷創(chuàng)新、更新知識(shí)儲(chǔ)備、升級(jí)系統(tǒng)設(shè)備，一旦墨守陳規(guī)、停滯不前，就會(huì)毫不客氣地被激烈的市場(chǎng)競(jìng)爭(zhēng)所淘汰。

3.5 危害的清除

一般來(lái)說(shuō)，網(wǎng)絡(luò)的脆弱性作為影響網(wǎng)絡(luò)安全的關(guān)鍵因素，屬于漏洞網(wǎng)絡(luò)操作和擴(kuò)張的一部分。為保證數(shù)據(jù)通信網(wǎng)絡(luò)的穩(wěn)定性，有必要開(kāi)發(fā)一個(gè)系統(tǒng)漏洞，解除網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)的相關(guān)策略，從關(guān)鍵的服務(wù)器開(kāi)始防護(hù)，預(yù)防和保護(hù)工作的正常進(jìn)行，剔除潛在的漏洞。完善病毒的管理方案，以防止各種惡意病毒，避免惡意竊聽(tīng)攻擊，一般采取加密的方式建立一個(gè)防火墻，有效攔截地址欺騙和木馬攻擊。同時(shí)，添加相應(yīng)用程序的網(wǎng)絡(luò)安全系統(tǒng)，避免在安裝系統(tǒng)等各種各樣的軟件和硬件時(shí)，出現(xiàn)潛在的安全漏洞，出現(xiàn)信息丟失的數(shù)據(jù)安全問(wèn)題。

3.6 信息安全風(fēng)險(xiǎn)控制

(1)首先應(yīng)從企業(yè)內(nèi)部著手，建立健全各項(xiàng)規(guī)章制度，確定企業(yè)文件和各類信息的保密等級(jí)以及訪問(wèn)權(quán)限，減小企業(yè)各類信息的擴(kuò)散范圍，加大對(duì)各級(jí)人員的教育培訓(xùn)力度，嚴(yán)控泄密途徑，嚴(yán)懲泄密行為。(2)設(shè)置專業(yè)管理部門(mén)和人員對(duì)企業(yè)檔案進(jìn)行管理，制度上墻，完善借閱記錄，簽訂保密協(xié)議，嚴(yán)防企業(yè)內(nèi)部資料外泄。(3)落實(shí)企業(yè)信息管理各級(jí)人員崗位責(zé)任制，及時(shí)更新企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，定期掃描網(wǎng)絡(luò)安全漏洞并及時(shí)更新，主動(dòng)進(jìn)行有效防護(hù)，及時(shí)監(jiān)控網(wǎng)絡(luò)異常流量，不給黑客和病毒可乘之機(jī)。(4)設(shè)置防火墻對(duì)于企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)無(wú)疑是多了一道安全屏障，嚴(yán)格控制訪問(wèn)用戶級(jí)別，增加內(nèi)部網(wǎng)絡(luò)的安全性。(5)企業(yè)內(nèi)部網(wǎng)絡(luò)由專業(yè)人員進(jìn)行管理，內(nèi)部統(tǒng)一使用加密移動(dòng)盤(pán)，內(nèi)網(wǎng)與外網(wǎng)有效隔離，杜絕病毒入侵內(nèi)網(wǎng)，防止交叉感染病毒。(6)企業(yè)內(nèi)網(wǎng)數(shù)據(jù)由專業(yè)人員進(jìn)行管理和授權(quán)，用戶能否訪問(wèn)某一資源由網(wǎng)絡(luò)管理員確認(rèn)，實(shí)現(xiàn)身份認(rèn)證方可登錄系統(tǒng)，從而有效防止外部各種入侵致使信息丟失、泄露。(7)企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)應(yīng)根據(jù)信息安全技術(shù)發(fā)展及時(shí)進(jìn)行更新，保證其呈現(xiàn)系統(tǒng)性，在防病毒方面應(yīng)呈現(xiàn)出主動(dòng)防御特點(diǎn)，利用先進(jìn)技術(shù)，實(shí)現(xiàn)多角度、全方位分級(jí)防護(hù)功能，采取集中控制方式，抓牢防治病毒主線，以防毒和殺毒相結(jié)合的手段來(lái)保證內(nèi)部網(wǎng)絡(luò)安全。(8)發(fā)電企業(yè)屬于高尖知識(shí)密集型產(chǎn)業(yè)，從立項(xiàng)開(kāi)始，設(shè)計(jì)及審核、建設(shè)施工、竣工驗(yàn)收、投產(chǎn)發(fā)電等各環(huán)節(jié)，都涉及到新工藝、新設(shè)備、新技術(shù)的廣泛應(yīng)用，知識(shí)產(chǎn)權(quán)保護(hù)尤為重要，因此必須在合同、協(xié)議中明確雙方的保密責(zé)任，杜絕企業(yè)重要技術(shù)信息外泄。(9)深挖企業(yè)內(nèi)部潛力，發(fā)揮運(yùn)行及維護(hù)人員的主觀能動(dòng)性，深入排查自動(dòng)控制系統(tǒng)中存在的各類安全隱患，將隱患消滅在萌芽狀態(tài)。(10)企業(yè)內(nèi)部的資料室、控制機(jī)房等重要部門(mén)實(shí)現(xiàn)高等級(jí)防護(hù)隔離，牢固和密閉的門(mén)窗、防火防爆設(shè)計(jì)和措施的落實(shí)，可以有效地防止由于自然災(zāi)害、人為破壞等因素給企業(yè)信息安全帶來(lái)的危害。

結(jié)束語(yǔ)

總而言之，近些年，信息技術(shù)在電力安全生產(chǎn)中的應(yīng)用越來(lái)越廣泛，給電力企業(yè)的發(fā)展帶來(lái)了質(zhì)的飛躍。作為電力企業(yè)，更要加快腳步，跟上瞬息萬(wàn)變的時(shí)代步伐和信息化進(jìn)程，利用信息技術(shù)實(shí)現(xiàn)電力企業(yè)安全管理，只有如此，才能從容面對(duì)日新月異的社會(huì)形勢(shì)，不懼任何挑戰(zhàn)，這也就要求我們?cè)谝院蟮膶?shí)際工作中必須對(duì)其實(shí)現(xiàn)進(jìn)一步研究探討。

[1]葉夢(mèng)熊，唐寧.借鑒COSO企業(yè)風(fēng)險(xiǎn)管理框架構(gòu)建發(fā)電企業(yè)信息安全管理體系[J].中國(guó)管理信息化，2014，15：45-46.

[2]羅正軍，姚建剛，羅滇生，姚堯，劉奇.基于工作流技術(shù)的發(fā)電企業(yè)管理信息系統(tǒng)的研究與開(kāi)發(fā)[J].繼電器，2004，02：53-56.

[3]程伯儒，劉叢濤，方曉東，龔和，孔令嘉.發(fā)電企業(yè)安全生產(chǎn)門(mén)禁管理信息系統(tǒng)設(shè)計(jì)[J].中國(guó)電業(yè)(技術(shù)版)，2011，12：20-22.

[4]王子銘.火力發(fā)電企業(yè)管理信息系統(tǒng)方案設(shè)計(jì)與研究[D].吉林大學(xué)，2010.

[5]鄒小琴.發(fā)電企業(yè)戰(zhàn)略型管理信息系統(tǒng)的研究與開(kāi)發(fā)[D].河海大學(xué)，2003.