孫偉

【摘 要】我國國民經(jīng)濟(jì)的重要支柱產(chǎn)業(yè)是電力工業(yè)，電力工業(yè)的安全問題就顯得至關(guān)重要，它直接關(guān)系到各行各業(yè)的發(fā)展和人民的生活水平。從近年來電力行業(yè)發(fā)生的大的安全事件看，絕大多數(shù)都造成了嚴(yán)重的經(jīng)濟(jì)損失和人員傷亡?？陀^分析這些事件發(fā)生的原因并科學(xué)制定防范措施，才能避免類似事件的發(fā)生。這些安全問題，在某種程度上都可以歸結(jié)為信息安全管理。因此，要構(gòu)筑電力企業(yè)堅固的信息安全網(wǎng)，必須加強(qiáng)電力系統(tǒng)的信息安全管理工作。具體說，應(yīng)該從以下幾方面構(gòu)筑電力企業(yè)的安全網(wǎng)。

【關(guān)鍵詞】電力企業(yè)；安全；策略；風(fēng)險評估

一、實(shí)施安全教育是構(gòu)筑電力企業(yè)安全網(wǎng)的前提

安全教育主要是指安全意識和相關(guān)技能的教育，這是電力企業(yè)信息安全管理的重要內(nèi)容。從一定意義上說，電力企業(yè)安全管理被理解的程度和被執(zhí)行的效果就取決于能否確保安全教育順利貫徹實(shí)施，二者的關(guān)系十分密切。

電力企業(yè)的安全教育不可一概而論，應(yīng)按照各級管理人員、技術(shù)人員、一般員工三個層次進(jìn)行，這樣才能保證電力企業(yè)信息安全的成功和有效。因此，電力企業(yè)高級管理部門在安全教育具體實(shí)施過程中，應(yīng)參照如下層次進(jìn)行：

第一，對主管信息安全工作的高級負(fù)責(zé)人或各級管理人員，重點(diǎn)進(jìn)行企業(yè)信息安全的整體策略與目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立與管理制度的制定等的教育。第二，對負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)進(jìn)行信息安全管理策略、安全評估的基本方法、安全操作與維護(hù)技術(shù)的合理運(yùn)用等的教育。第三，對一般員工，要重點(diǎn)進(jìn)行各種安全操作流程及與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等的教育。需要強(qiáng)調(diào)的是，電力企業(yè)的信息安全教育應(yīng)貫穿于整個企業(yè)文化體系之中，必須定期、持續(xù)地進(jìn)行，不可以搞突擊。

二、高層領(lǐng)導(dǎo)支持是構(gòu)筑電力企業(yè)安全網(wǎng)的關(guān)鍵

電力企業(yè)要科學(xué)制定并順利執(zhí)行安全實(shí)施，一個重要基礎(chǔ)就是組織保證體系，這就是高層領(lǐng)導(dǎo)的支持。安全措施是否科學(xué)合理，能否得以順利執(zhí)行，需要有一套了解掌握企業(yè)狀況、掌握信息安全技術(shù)手段的領(lǐng)導(dǎo)班子，從而形成電力企業(yè)信息安全的決策層、管理層、執(zhí)行層等基礎(chǔ)機(jī)構(gòu)，確保人員的配置、安全責(zé)任制的落實(shí)?？v觀我國電力企業(yè)的領(lǐng)導(dǎo)機(jī)構(gòu)，應(yīng)該說，都確立了以企業(yè)黨政“一把手”為領(lǐng)導(dǎo)的組織體系。這為構(gòu)筑電力企業(yè)的安全網(wǎng)提供了組織保證。

三、科學(xué)制定安全策略是構(gòu)筑電力企業(yè)安全網(wǎng)的的基礎(chǔ)

電力企業(yè)的安全策略包括的內(nèi)容很廣，主要包括：分區(qū)防護(hù)、實(shí)現(xiàn)兩類隔離、識別和保護(hù)網(wǎng)絡(luò)接口邊界、關(guān)閉不必要的服務(wù)和協(xié)議、制定完善的備份與恢復(fù)等策略。這些安全策略的具體內(nèi)容是：

第一，分區(qū)防護(hù)。根據(jù)我國電力企業(yè)的具體特點(diǎn)、目前狀況以及安全要求等，分區(qū)防護(hù)可分為實(shí)時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)四個安全工作區(qū)，將所有業(yè)務(wù)系統(tǒng)都置于相應(yīng)的安全區(qū)內(nèi)，并重點(diǎn)保護(hù)實(shí)時控制系統(tǒng)及生產(chǎn)業(yè)務(wù)系統(tǒng)。第二，兩類隔離。其中，一類是制定電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)以及管理信息系統(tǒng)的有效物理隔離措施；二是制定電力調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)與綜合信息網(wǎng)絡(luò)和因特網(wǎng)的有效物理隔離措施。第三，識別與保護(hù)網(wǎng)絡(luò)接口邊界。這是指通過識別電力網(wǎng)絡(luò)接口邊界，從而斷開不必要的接口，旨在防止跨多網(wǎng)接口通道的存在，實(shí)現(xiàn)對剩余接口的安全保護(hù)。第四，關(guān)閉不必要的服務(wù)和協(xié)議。通過合理地設(shè)置電力系統(tǒng)網(wǎng)絡(luò)與主機(jī)系統(tǒng)的配置、服務(wù)、權(quán)限，關(guān)閉不必要的服務(wù)和協(xié)議，禁止使用默認(rèn)配置，減少安全漏洞，尤其要及時更新系統(tǒng)的安全補(bǔ)丁，消除系統(tǒng)的內(nèi)核漏洞與后門。第五，制定完善的備份與恢復(fù)策略。這個策略主要是對關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。其中，對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)的設(shè)備與部件要進(jìn)行相應(yīng)的熱備份與冷備份，以避免單點(diǎn)故障影響系統(tǒng)可靠性。在具備條件的前提下，還要對實(shí)時控制系統(tǒng)、電力市場交易系統(tǒng)，進(jìn)行異地的數(shù)據(jù)與系統(tǒng)備份，提供系統(tǒng)的容災(zāi)功能，從而保證在災(zāi)難情況下系統(tǒng)業(yè)務(wù)的連續(xù)性。

四、定期進(jìn)行風(fēng)險評估是構(gòu)筑電力企業(yè)安全網(wǎng)的途徑

安全風(fēng)險評估是科學(xué)分析目前我國電力企業(yè)現(xiàn)有的網(wǎng)絡(luò)框架、核心路由器、交換機(jī)、數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器、業(yè)務(wù)流程以及安全策略的安全漏洞、安全威脅和潛在影響等，旨在提出科學(xué)合理的安全建議，從而保證系統(tǒng)資產(chǎn)的機(jī)密性、完整性和可用性等基本安全屬性，根據(jù)評估的結(jié)果采取相應(yīng)的安全控制措施，并及時調(diào)整電力企業(yè)的安全策略。信息安全的動態(tài)變化特征，決定了只有定期進(jìn)行安全風(fēng)險評估，才能發(fā)現(xiàn)和防范電力企業(yè)最新的安全風(fēng)險，這也是決定安全風(fēng)險評估必然是一個長期持續(xù)的工作的主要原因。目前，我國電力企業(yè)的安全風(fēng)險評估還有待進(jìn)一步完善，以逐漸實(shí)現(xiàn)制度化和規(guī)范化。

五、完善安全制度是構(gòu)筑電力企業(yè)安全網(wǎng)的保障

電力企業(yè)要切實(shí)增加企業(yè)的風(fēng)險承受能力，僅依賴技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的，要彌補(bǔ)技術(shù)手段的不足，還需要制定完善的安全管理制度。需要指出的是，在制定安全管理制度過程中，必須參考相關(guān)的國際安全標(biāo)準(zhǔn)、國家安全標(biāo)準(zhǔn)和安全法規(guī)政策等。

從共性上說，電力企業(yè)的安全制度包括安全管理制度和安全技術(shù)制度。安全管理制度應(yīng)該包括機(jī)房管理、防病毒系統(tǒng)的維護(hù)與使用、數(shù)據(jù)備份中心與災(zāi)難恢復(fù)、防火墻管理、IDS管理、安全事件應(yīng)急處理、認(rèn)證中心機(jī)房管理、信息發(fā)布管理等制度；電力企業(yè)的安全技術(shù)制度主要包括安全評估與加固規(guī)范、CA中心的建設(shè)規(guī)范、軟件安全開發(fā)規(guī)范等。在各種安全管理制度和規(guī)范正式發(fā)布后，還應(yīng)該建立一套培訓(xùn)機(jī)制，經(jīng)常組織員工學(xué)習(xí)，從而確保制度的順利貫徹執(zhí)行。