闕建林

（重慶市電力公司信息分公司，重慶 400014）

1 概述

眾所周知，信息化網(wǎng)絡(luò)正以相當(dāng)迅猛的速度進(jìn)入到各種商業(yè)領(lǐng)域，幾乎所有的行政機(jī)關(guān)、事業(yè)單位和大中企業(yè)都擁有了自己的信息化網(wǎng)絡(luò)平臺。信息化網(wǎng)絡(luò)平臺的建設(shè)對企業(yè)的發(fā)展作用越來越大，無論是網(wǎng)絡(luò)硬件的搭建，還是網(wǎng)絡(luò)服務(wù)的搭建都在以超常規(guī)的速度迅速發(fā)展，因此就要求相關(guān)的IT人員及管理人員應(yīng)有更高的開發(fā)和管理水平。

信息化網(wǎng)絡(luò)平臺搭建是用來為企業(yè)贏利的，而不是用來作秀的。一方面企業(yè)不會眼巴巴地看著幾萬、幾十萬甚至幾百萬的資金設(shè)備投入不產(chǎn)生任何效益，另一方面，企業(yè)辦公對網(wǎng)絡(luò)的依賴越來越強(qiáng)，從最初的網(wǎng)絡(luò)的方便性和可用性，到今天的網(wǎng)絡(luò)安全性。當(dāng)網(wǎng)絡(luò)僅僅用來傳送一般性信息的時候，當(dāng)網(wǎng)絡(luò)的覆蓋面積僅僅限于一幢寫字樓、一個小區(qū)的時候，安全問題并沒有突出地表現(xiàn)出來。但是，當(dāng)在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵性的如銀行、證券相關(guān)業(yè)務(wù)等，信息網(wǎng)絡(luò)安全就成為一個不容忽視的問題。隨著信息化網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)克服了地理上的限制，把分布在一個地區(qū)、一個國家，甚至全球的分支機(jī)構(gòu)聯(lián)系起來。

它們使用公共的傳輸通道傳遞敏感的企業(yè)業(yè)務(wù)信息，部分企業(yè)通過一定的方式可以直接或間接地使用某個機(jī)構(gòu)的私有網(wǎng)絡(luò)。但隨著企業(yè)業(yè)務(wù)的發(fā)展需要不可避免地與外部公眾網(wǎng)直接或間接地聯(lián)系起來，使得網(wǎng)絡(luò)運(yùn)行環(huán)境更加復(fù)雜、分布地域更加廣泛、用途更加多樣化，從而造成網(wǎng)絡(luò)管理難度增加，安全性降低。隨著機(jī)構(gòu)和企業(yè)對信息化網(wǎng)絡(luò)依賴性的增強(qiáng)，一個相對較小的網(wǎng)絡(luò)也突出地表現(xiàn)出一定的安全問題，尤其是當(dāng)機(jī)構(gòu)或企業(yè)的業(yè)務(wù)越來越多需要借助網(wǎng)絡(luò)平臺處理時，機(jī)構(gòu)或企業(yè)內(nèi)部網(wǎng)絡(luò)就要面對來自外部公共網(wǎng)絡(luò)的各種安全威脅，網(wǎng)絡(luò)黑客的攻擊、網(wǎng)絡(luò)病毒的泛濫和各種網(wǎng)絡(luò)業(yè)務(wù)的安全要求已經(jīng)構(gòu)成了對網(wǎng)絡(luò)安全的迫切需求。

2 電力企業(yè)信息化網(wǎng)絡(luò)安全運(yùn)行的首要任務(wù)

從以上信息化網(wǎng)絡(luò)的安全現(xiàn)狀來看，解決電力企業(yè)網(wǎng)絡(luò)安全運(yùn)行必須要做好網(wǎng)絡(luò)安全的防范與管理。當(dāng)我們把過多的注意力投向黑客攻擊和網(wǎng)絡(luò)病毒所帶來的安全問題的時候，卻忽略內(nèi)部管理是引發(fā)安全問題的根源，正所謂搏銎鶼羥絡(luò)。據(jù)國內(nèi)外多家權(quán)威安全機(jī)構(gòu)統(tǒng)計表明，大約有80S的安全事件直接或間接地由內(nèi)部管理引發(fā)。在一定程度上，外部的安全問題可以通過購置一定的安全產(chǎn)品設(shè)備來解決，但是，大多數(shù)的外部安全問題是由內(nèi)部管理不善、配置不當(dāng)和不必要的信息泄露引起的。因此，建立完善的電力企業(yè)級網(wǎng)絡(luò)安全體系是解決電力企業(yè)網(wǎng)絡(luò)安全運(yùn)行的首要任務(wù)。

3 電力企業(yè)信息化網(wǎng)絡(luò)安全存在的誤區(qū)

3.1 過去乃至現(xiàn)在不少電力企業(yè)的管理者認(rèn)為信息化網(wǎng)絡(luò)只是技術(shù)部門或信息中心的事，離自己很遠(yuǎn)。而技術(shù)部門或信息中心充當(dāng)?shù)膬H僅是維護(hù)中心的職能，在信息化網(wǎng)絡(luò)運(yùn)行中只有技術(shù)支持職能，而缺少信息管理與技術(shù)管理職能，技術(shù)部門或信息中心引進(jìn)的人才普遍是單純的計算機(jī)專業(yè)人才，缺乏信息管理人才和技術(shù)管理人才。再者部分電力企業(yè)由于缺少真正的信息化網(wǎng)絡(luò)部門，沒有“技術(shù)部門”或“信息中心”等專門的部門機(jī)構(gòu)，信息化網(wǎng)絡(luò)系統(tǒng)的運(yùn)營經(jīng)常缺乏周密的規(guī)劃，部分電力企業(yè)各部門盲目運(yùn)行信息化網(wǎng)絡(luò)，使得部分電力企業(yè)信息化網(wǎng)絡(luò)運(yùn)營往往脫離了電力企業(yè)本身實(shí)際需求的正確軌道，不是以電力企業(yè)為主，以業(yè)務(wù)應(yīng)用為本，而是被一些IT廠商牽著走，導(dǎo)致主次不分。

3.2 從電力企業(yè)信息化網(wǎng)絡(luò)的管理與控制層面看，如何保證整個信息化網(wǎng)絡(luò)系統(tǒng)的有效運(yùn)行和管理是保證信息化網(wǎng)絡(luò)發(fā)揮最大效用實(shí)現(xiàn)的關(guān)鍵之所在。然而，過去乃至現(xiàn)在在眾多的電力企業(yè)管理者眼中，投資信息化和進(jìn)行大量的信息化網(wǎng)絡(luò)建設(shè)項目，是增強(qiáng)電力企業(yè)競爭能力、提升電力企業(yè)價值的惟一道路。將信息化網(wǎng)絡(luò)系統(tǒng)看作是一個超級神化的利器，沒有從根本上去了解電力企業(yè)信息化發(fā)展的內(nèi)部結(jié)構(gòu)與功能，只是盲目將大量資金投入，然后期盼著好的企業(yè)效益會神話般地出現(xiàn)。信息化網(wǎng)絡(luò)系統(tǒng)內(nèi)暗藏著復(fù)雜的“機(jī)關(guān)”，因此需要富有經(jīng)驗(yàn)的管理者進(jìn)行周密的計劃和組織，突破層層“機(jī)關(guān)”，在運(yùn)行過程中進(jìn)行最有效的管理與控制，否則不管在當(dāng)初建設(shè)初階段投入了多少資金，在應(yīng)用與運(yùn)行階段想實(shí)現(xiàn)成本的回收和企業(yè)效益的增值都變的相當(dāng)艱難。

3.3 從電力企業(yè)信息化的項目建設(shè)層面分析，項目建設(shè)的成功與否關(guān)系到企業(yè)信息化的成敗。目前，部分電力企業(yè)熱衷于開發(fā)適用于自己的MIS系統(tǒng)，爭相使用ERP等項目，卻陷入屢遭失敗而難以自拔的處境，由于ERP等信息化應(yīng)用項目實(shí)施非常復(fù)雜與困難，耗費(fèi)的時間長，而且項目投入巨大，很多企業(yè)缺乏有效的項目管理和過程控制是導(dǎo)致信息化項目失敗的直接原因。信息化項目管理是一項需要很高技巧的復(fù)雜工作，需要制定合理的實(shí)施計劃、良好的組織管理，員工溝通、整合、最大限度控制成本、節(jié)約時間、提高質(zhì)量、將風(fēng)險控制到最低。尤其是電力企業(yè)大型的信息化項目，對該項目的實(shí)施與管理更是需要一套周全的管理運(yùn)行策略。如果項目在一次性投資后缺乏有效監(jiān)控與管理，缺乏有效機(jī)制保障信息系統(tǒng)運(yùn)作，項目的運(yùn)營將會很難繼續(xù)或陷入無法脫離的“沼澤”。

4 電力企業(yè)信息化網(wǎng)絡(luò)安全存在的主要問題

電力企業(yè)信息化網(wǎng)絡(luò)安全問題主要可分為內(nèi)部網(wǎng)絡(luò)安全和外部網(wǎng)絡(luò)安全，無論是內(nèi)部安全問題還是外部安全問題，歸結(jié)起來一般有以下幾個方面：

4.1 網(wǎng)絡(luò)建設(shè)單位、管理人員和技術(shù)人員缺乏安全防范意識，從而就不可能采取主動防御的安全措施，完全處于被動挨打的位置。在日常業(yè)務(wù)活動中存在安全疏漏，造成不必要的信息泄露，給攻擊者以可乘之機(jī)。

4.2 信息中心和技術(shù)部門的有關(guān)人員對信息網(wǎng)絡(luò)的運(yùn)行安全現(xiàn)狀不明確，不了解甚至根本不知道信息網(wǎng)絡(luò)目前存在的安全隱患，從而失去了防御隱患的最佳時機(jī)。

4.3 信息中心和技術(shù)部門的計算機(jī)網(wǎng)絡(luò)安全防范沒有形成完整的、組織化的體系結(jié)構(gòu)，其安全漏洞缺陷給網(wǎng)絡(luò)黑客以可乘之機(jī)。

4.4 信息中心和技術(shù)部門的計算機(jī)網(wǎng)絡(luò)沒有建立完善的管理體系，從而導(dǎo)致安全體系和安全控制措施不能充分有效地發(fā)揮，無章可依。

4.5 網(wǎng)絡(luò)安全管理人員和技術(shù)人員缺乏專業(yè)安全知識匱乏，不能安全地維護(hù)網(wǎng)絡(luò)安全運(yùn)行，不能及時發(fā)現(xiàn)已存在的和隨時可能出現(xiàn)的新安全問題，對突發(fā)的網(wǎng)絡(luò)安全事件不能作出積極、有序和有效的補(bǔ)救。

5 電力網(wǎng)絡(luò)安全管理體系的建立，運(yùn)行與管理

電力企業(yè)信息化網(wǎng)絡(luò)體系建立、運(yùn)行與管理是一個系統(tǒng)工程，涉及到電力企業(yè)生產(chǎn)、經(jīng)營、管理等各個方面，一般來說，包括以下幾個方面的基礎(chǔ)內(nèi)容：

5.1 日常辦公自動化管理

電力企業(yè)日常業(yè)務(wù)文件資料日積月累堆積如山，給文件資料保管、日后查詢帶來極大難度。在過去傳統(tǒng)的辦公程序，從文件起草、傳閱、審批、歸檔、借閱等各個環(huán)節(jié)，常常存在浪費(fèi)紙張，或由于時間較久造成文字不清，或保管不當(dāng)文件意外受潮、火災(zāi)等導(dǎo)致文件丟失：在日常辦公常常由于傳閱不及時、文件去向不明等現(xiàn)象造成工作效率下降。而信息化網(wǎng)絡(luò)下的辦公自動化.只要通過公司計算機(jī)網(wǎng)絡(luò)，將所有文件輸入進(jìn)去，無論何時何地，均可通過網(wǎng)絡(luò)郵件或電力企業(yè)OA系統(tǒng)進(jìn)行文件資料的制定、修改、轉(zhuǎn)發(fā)、查閱。做到既安全、省時、準(zhǔn)確，能夠極大地提高工作效率。

5.2 企業(yè)業(yè)務(wù)管理信息化

電力企業(yè)信息化不只是單純計算機(jī)硬件設(shè)備、軟件應(yīng)用的代名詞，更為重要的是要與企業(yè)內(nèi)部管理有機(jī)結(jié)合。電力企業(yè)信息化除了硬件、軟件環(huán)境的改變之外，最重要的在于電力企業(yè)內(nèi)部各類管理的信息化，如生產(chǎn)管理、信息資源管理，后者更為重要。管理領(lǐng)域的信息化是企業(yè)利用現(xiàn)代信息技術(shù)，建立信息管理系統(tǒng)。要在信息化網(wǎng)絡(luò)使用過程中通過轉(zhuǎn)變過去傳統(tǒng)的管理觀念，提高全體員工的整體素質(zhì)，建立良好的管理制度和管理流程，構(gòu)建扎實(shí)的切實(shí)有效的企業(yè)管理基礎(chǔ)，實(shí)行科學(xué)管理，從而提高電力企業(yè)的整體管理水平。

5.3 業(yè)務(wù)決策網(wǎng)絡(luò)化

在完善的信息網(wǎng)絡(luò)化具備的條件下，充分發(fā)揮網(wǎng)絡(luò)的作用，在信息化網(wǎng)絡(luò)條件下，電力企業(yè)的業(yè)務(wù)從調(diào)研、簽約、履約到后期的數(shù)據(jù)報表、經(jīng)濟(jì)活動分析等服務(wù)，都可以進(jìn)行信息化管理。同時通過信息化網(wǎng)絡(luò)及時了解各地市場信息，從而對預(yù)期業(yè)務(wù)做出科學(xué)的預(yù)測和分析。利用目前掌握的數(shù)據(jù)包括往年數(shù)據(jù)等各種業(yè)務(wù)數(shù)據(jù)建立信息數(shù)據(jù)庫，利用對比、深層分析，實(shí)現(xiàn)日常業(yè)務(wù)管理、數(shù)據(jù)綜合分析和未來預(yù)測。改進(jìn)業(yè)務(wù)流程和管理模式，最大限度開發(fā)利用信息資源，通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行采集、存儲、處理和優(yōu)化企業(yè)發(fā)展所需要的多方面信息，提高電力企業(yè)運(yùn)行效率和決策水平。

6 保障信息化網(wǎng)絡(luò)安全運(yùn)行策略

電力行業(yè)信息化網(wǎng)絡(luò)安全體系具有網(wǎng)絡(luò)體系結(jié)構(gòu)普遍存在內(nèi)在外在安全問題，同時又存在自身企業(yè)特點(diǎn)的信息網(wǎng)絡(luò)安全問題。要實(shí)施一個完整的網(wǎng)絡(luò)安全系統(tǒng)，至少要注意三類措施：①社會的法律、法規(guī)以及電力企業(yè)的規(guī)章制度和安全教育等外部軟件環(huán)境。②技術(shù)方面措施，如網(wǎng)絡(luò)防毒、信息加密、授權(quán)、認(rèn)證以及防火墻技術(shù)。③審計和管理措施，這方面措施同時也包含了技術(shù)與社會措施。因此對待電力企業(yè)網(wǎng)絡(luò)體系要從以下措施策略做起。

6.1 電力企業(yè)網(wǎng)絡(luò)安全體系現(xiàn)狀分析。只有明確自己的安全需求才能有針對性地構(gòu)建適合于電力企業(yè)的安全體系結(jié)構(gòu)，從而有效地保證電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全。

6.2 網(wǎng)絡(luò)安全性方法全面制度化、方法多樣化。如修補(bǔ)系統(tǒng)漏洞、病毒檢查、加密、執(zhí)行身份鑒別、防火墻、捕捉闖入者、空閑機(jī)器守則、廢品處理守則及口令守則。

6.3 制定安全措施制度。根據(jù)信息中心和技術(shù)部門的安全需求和風(fēng)險評估的結(jié)論，制定信息中心和技術(shù)部門的計算機(jī)網(wǎng)絡(luò)安全制度。

6.4 定期網(wǎng)絡(luò)體系安全檢查。安全檢查的首要任務(wù)是檢查企業(yè)的安全策略是否被有效地和正確地執(zhí)行。其次，由于網(wǎng)絡(luò)安全是一個動態(tài)的過程，信息中心和技術(shù)部門的計算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化，因此信息中心和技術(shù)部門對安全的需求也會發(fā)生變化，組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。為了在發(fā)生變化時，安全策略和控制措施能夠及時反映這種變化，必須進(jìn)行定期安全檢查。

6.5 外部技術(shù)支持。計算機(jī)網(wǎng)絡(luò)安全同必要的外部支持是分不開的。通過專業(yè)的安全技術(shù)服務(wù)機(jī)構(gòu)的支持，將使網(wǎng)絡(luò)安全體系更加完善，并可以得到最新的安全資訊，為計算機(jī)網(wǎng)絡(luò)體系安全提供安全預(yù)警。

結(jié)語

電力企業(yè)信息網(wǎng)絡(luò)僅僅依靠單一的技術(shù)或安全產(chǎn)品設(shè)備無法滿足網(wǎng)絡(luò)運(yùn)行對安全的要求，只有將技術(shù)和管理手段有機(jī)結(jié)臺起來，從控制整個電力企業(yè)網(wǎng)絡(luò)安全建設(shè)、運(yùn)行和維護(hù)的全過程角度入手，才能提高電力企業(yè)網(wǎng)絡(luò)的整體安全水平。

[1]黨林.電力企業(yè)網(wǎng)絡(luò)信息安全的防護(hù)措施[J].科技傳播 ，2012（04）.

[2]李仲偉，張建立.電力企業(yè)網(wǎng)絡(luò)信息安全管理研究[J].科技風(fēng)，2012（01）.