劉 俊

（湖北華電江陵發(fā)電有限公司，湖北 荊州 434100）

0 引 言

目前，我國社會經(jīng)濟(jì)快速發(fā)展，人們對電能的需求量持續(xù)增長。同時，我國網(wǎng)絡(luò)技術(shù)快速發(fā)展，推動了信息化和智能化技術(shù)應(yīng)用范圍的擴(kuò)大。在電力企業(yè)中，信息網(wǎng)絡(luò)的應(yīng)用普及率不斷提高，提升了電力企業(yè)的經(jīng)濟(jì)效益，也增加了電力企業(yè)信息網(wǎng)絡(luò)系統(tǒng)運行過程中出現(xiàn)信息泄露的風(fēng)險。由于上述風(fēng)險會給電力系統(tǒng)乃至整個國家造成不可估量的經(jīng)濟(jì)損失，因此在電力企業(yè)管理工作中要不斷探索信息網(wǎng)絡(luò)安全管控措施，不斷完善信息網(wǎng)絡(luò)安全建設(shè)，以解決信息安全問題，提升信息網(wǎng)絡(luò)安全水平。

1 電力企業(yè)信息網(wǎng)絡(luò)安全的目標(biāo)

1.1 控制訪問的目標(biāo)

該目標(biāo)保證在電力企業(yè)內(nèi)部的網(wǎng)絡(luò)資源不允許非法用戶進(jìn)行訪問和讀取，保證只有符合相應(yīng)權(quán)限的用戶才可以訪問內(nèi)部信息網(wǎng)絡(luò)，并對信息進(jìn)行內(nèi)部網(wǎng)絡(luò)管理和操作等進(jìn)行監(jiān)督和控制。為了滿足上述目標(biāo)，通常需要在電力企業(yè)內(nèi)部控制各種管理訪問權(quán)限，采用的形式為設(shè)置加密，保護(hù)的內(nèi)容為內(nèi)部數(shù)據(jù)、設(shè)備以及系統(tǒng)等網(wǎng)絡(luò)資源。

1.2 加密信息的目標(biāo)

此目標(biāo)是要保護(hù)信息網(wǎng)絡(luò)數(shù)據(jù)的安全，確保在終端設(shè)備上的信息不會被非法盜取。為了實現(xiàn)上述目標(biāo)，采用信息加密的方式[1]，重點是應(yīng)用加密機(jī)制，采用相應(yīng)的軟件或網(wǎng)絡(luò)安全設(shè)備的應(yīng)用來保護(hù)數(shù)據(jù)信息，避免在網(wǎng)絡(luò)中傳輸數(shù)據(jù)信息，且不會被非法者盜取，防止發(fā)生信息泄密。

1.3 數(shù)據(jù)完整性的目標(biāo)

此目標(biāo)針對信息網(wǎng)絡(luò)技術(shù)具有的完整性和系統(tǒng)兼容性特點，通過確保數(shù)據(jù)的完整性來防止在操作過程中出現(xiàn)數(shù)據(jù)被刪除、增加或修改等問題，保證與之相關(guān)聯(lián)的信息能夠?qū)崿F(xiàn)同步操作。

2 電力企業(yè)信息網(wǎng)絡(luò)安全風(fēng)險分析

2.1 軟件和信息系統(tǒng)設(shè)備中的安全風(fēng)險

在目前信息時代快速發(fā)展的過程中，各種信息技術(shù)快速發(fā)展進(jìn)步，使得電力企業(yè)中的信息系統(tǒng)、設(shè)備功能與配置也更加先進(jìn)，但也增加了網(wǎng)絡(luò)黑客對信息系統(tǒng)中軟硬件資源的攻擊頻率，且將電力系統(tǒng)的網(wǎng)絡(luò)攻擊放在前列。尤其是目前的黑客技術(shù)門檻低、操作簡單便捷、可執(zhí)行語句隨處傳播，使得目前的網(wǎng)絡(luò)攻擊行為猖獗。如果電力企業(yè)中的應(yīng)用軟件、信息系統(tǒng)設(shè)備中存在原始漏洞，將大幅增加網(wǎng)絡(luò)黑客對電力系統(tǒng)造成的侵害。

2.2 信息安全機(jī)構(gòu)建設(shè)中的問題

目前的電力企業(yè)通常沒有專門設(shè)置信息管理部門，通常是在生產(chǎn)技術(shù)部或科技部中附屬，或者是在辦公室部門管理中添加職能崗位。還存在部分電力企業(yè)中由兼職人員開展信息安全管理工作的情況，而這部分人員工作態(tài)度有待提升，導(dǎo)致信息管理工作沒有有效開展。

2.3 信息維護(hù)工作中的問題

由于信息網(wǎng)絡(luò)技術(shù)在不斷發(fā)展和進(jìn)步，而電力企業(yè)中的網(wǎng)絡(luò)安全防護(hù)能力卻表現(xiàn)出滯后性，無法緊跟信息技術(shù)的發(fā)展速度[2]。部分系統(tǒng)、軟件無法升級，防火墻和病毒庫僅為最初的配置。部分電力企業(yè)沒有建立信息安全防護(hù)系統(tǒng)等級保護(hù)機(jī)制，導(dǎo)致企業(yè)內(nèi)部的防護(hù)能力較弱，易在網(wǎng)絡(luò)黑客的攻擊下出現(xiàn)大面積信息系統(tǒng)癱瘓。再加上沒有做好數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)機(jī)制，易在出現(xiàn)系統(tǒng)癱瘓時造成數(shù)據(jù)庫損壞和數(shù)據(jù)丟失，造成數(shù)據(jù)不全、數(shù)據(jù)紊亂等嚴(yán)重后果?？梢?，上述問題會降低系統(tǒng)的容錯能力，導(dǎo)致電力企業(yè)受到網(wǎng)絡(luò)攻擊數(shù)量增加，同時增加了造成的損失。

2.4 管理人員信息安全觀念方面的問題

目前，在電力企業(yè)市場競爭更加激烈的形勢下，電力企業(yè)的管理人員往往更加注重企業(yè)運營的經(jīng)濟(jì)效益，從而忽視信息網(wǎng)絡(luò)安全方面的技術(shù)問題。此外，信息安全管理制度不夠完善，或者僅僅是應(yīng)付上級檢查等，造成管理人員的信息安全觀念較為淡薄，增加了企業(yè)信息系統(tǒng)的安全風(fēng)險。究其原因，在于目前的電力企業(yè)對技術(shù)管理問題不夠重視，沒有做好對企業(yè)職工的相關(guān)培訓(xùn)工作，造成企業(yè)職工的安全技能水平偏低，增加了電力企業(yè)的信息網(wǎng)絡(luò)安全風(fēng)險。

3 電力企業(yè)信息網(wǎng)絡(luò)安全風(fēng)險的管控措施

3.1 重視信息網(wǎng)絡(luò)安全管理中的基礎(chǔ)設(shè)施和管理運行環(huán)境

一是要做好電力企業(yè)信息網(wǎng)絡(luò)系統(tǒng)中的配電室、信息、通信機(jī)房等基礎(chǔ)設(shè)施的管理工作，針對上述關(guān)鍵設(shè)施合理配備相應(yīng)的防水、防火和防盜裝置[3]。二是做好對電力二次設(shè)備的安全防護(hù)工作，這不僅需要采用物理隔離的方式隔離生產(chǎn)控制大區(qū)和信息管理大區(qū)，還要做好安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離以及縱向加密認(rèn)證等工作。三是將監(jiān)控報警設(shè)備和動環(huán)監(jiān)測系統(tǒng)安裝在機(jī)房內(nèi)。四是及時做好桌面終端、主機(jī)等重要基礎(chǔ)設(shè)施的補(bǔ)丁更新工作。五是針對其中的基礎(chǔ)設(shè)施進(jìn)行針對性的安全策略制定。六是在網(wǎng)絡(luò)安全管理運行中做好監(jiān)測各種行為的工作。七是通過設(shè)備運行日志的建立實時監(jiān)測和記錄其運行情況，還要建立設(shè)備操作規(guī)范來確保設(shè)備和系統(tǒng)的穩(wěn)定與安全運行。

3.2 建立和完善信息安全管理制度

首先，要保證建立的信息安全管理制度的完整性與適用合理性，保證可以在安全管理工作中開展操作。其次，為了保證信息系統(tǒng)的安全穩(wěn)定運行，需要做好安全防護(hù)記錄，制定應(yīng)急響應(yīng)預(yù)案、系統(tǒng)操作規(guī)程、用戶應(yīng)用手冊和網(wǎng)絡(luò)安全規(guī)范等，還要做好口令管理工作，保證安全保密要求有效落實，保證制度中包含人員分工、管理機(jī)房建設(shè)方案等內(nèi)容。最后，在安全管理工作開展中主要采用動態(tài)性管理方式，目的是確保信息安全，同時優(yōu)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

3.3 做好信息安全反違章督察工作

建立信息網(wǎng)絡(luò)安全督察隊伍且明確此隊伍的職責(zé)內(nèi)容。為了確保信息安全，要對電力企業(yè)信息網(wǎng)絡(luò)安全定期開展督察，并對檢查出的問題責(zé)令限期整改，以確保滿足信息安全要求。上述工作的開展需要信息網(wǎng)絡(luò)安全督察隊伍來執(zhí)行，重點、定期開展督察內(nèi)容。通過加固和更新信息網(wǎng)絡(luò)安全設(shè)備以及開展監(jiān)察隊伍之間的檢查和監(jiān)督工作，及時解決發(fā)現(xiàn)的問題，從而提升此系統(tǒng)的安全性。

3.4 采取有效的電力企業(yè)信息安全保護(hù)技術(shù)

在電力企業(yè)中針對涉及國計民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，在應(yīng)用相應(yīng)安全保護(hù)技術(shù)的同時，對上述信息按照重要程度進(jìn)行分級和分類，然后針對不同的級別和類別，分階段開展相應(yīng)的保護(hù)策略。

3.5 明確員工的信息安全管理職責(zé)

在明確安全管理制度和安全管理機(jī)構(gòu)的基礎(chǔ)上，明確人員所承擔(dān)的安全責(zé)任，并保證管理人員掌握相應(yīng)的安全策略，通過實施策略來保證滿足信息安全要求。針對確保系統(tǒng)安全的運維人員來說，在安全管理和評估策略的應(yīng)用中，需要確保安全保護(hù)技術(shù)的使用和操作的正確性。對于管理人員來說，需要明確安全管理制度內(nèi)容、要求和目標(biāo)，推動企業(yè)信息安全文化建設(shè)。

3.6 加強(qiáng)對人員信息安全意識的培養(yǎng)

電力企業(yè)需要定期開展信息安全知識培訓(xùn)工作，端正職工態(tài)度，并培養(yǎng)職工的良好習(xí)慣，嚴(yán)格執(zhí)行企業(yè)中的各項安全管理制度，不允許在電腦上使用未加密的存儲介質(zhì)，不允許安裝與工作無關(guān)的軟件。要做好對桌面終端的強(qiáng)口令設(shè)置和安全組策略的應(yīng)用，同時做好對關(guān)鍵文件內(nèi)容的備份工作，不斷提升員工的信息安全意識。

4 結(jié) 論

在社會經(jīng)濟(jì)和科學(xué)技術(shù)的快速發(fā)展下，電力企業(yè)中的信息安全問題成為電力企業(yè)管理工作關(guān)注的重點。為了確保電力企業(yè)中的信息安全，需要電力企業(yè)增加此方面的技術(shù)管理人員。在分析目前電力企業(yè)信息網(wǎng)絡(luò)安全管理中的軟件和信息系統(tǒng)設(shè)備問題、信息安全機(jī)構(gòu)建設(shè)和維護(hù)問題以及管理人員信息安全觀念方面的問題時，為了實現(xiàn)信息安全管理目標(biāo)，需要建立和完善安全管理制度、做好信息安全反違章督察、采取信息安全保護(hù)技術(shù)、明確信息安全管理職責(zé)以及加強(qiáng)對人員信息安全意識的培養(yǎng)等，切實保障電力企業(yè)的信息安全，保障電力企業(yè)健康發(fā)展。