淺析電力企業(yè)網(wǎng)絡(luò)信息安全管理

楊艷輝

(國網(wǎng)河南商水縣供電公司,河南商水466100)

淺析電力企業(yè)網(wǎng)絡(luò)信息安全管理

楊艷輝

(國網(wǎng)河南商水縣供電公司,河南商水466100)

電力企業(yè)在網(wǎng)絡(luò)信息安全管理方面存在很多問題，影響了電力企業(yè)的信息安全?；诖?，從電力企業(yè)網(wǎng)絡(luò)信息安全的目標(biāo)出發(fā)，對網(wǎng)絡(luò)信息安全管理中存在的問題進(jìn)行了探討，并提出幾點建議，旨在加強電力企業(yè)網(wǎng)絡(luò)信息安全管理，促進(jìn)電力企業(yè)的信息化進(jìn)程更上一個新臺階。

電力企業(yè)；網(wǎng)絡(luò)信息；安全管理

【DOI】10.13616/j.cnki.gcjsysj.2016.10.076

1 引言

當(dāng)前，網(wǎng)絡(luò)信息技術(shù)在各行各業(yè)都得到了普遍應(yīng)用。利用網(wǎng)絡(luò)技術(shù)，企業(yè)內(nèi)部之間可以實現(xiàn)無障礙溝通和交流，給人們的工作帶來了極大的便利。但是，由于網(wǎng)絡(luò)具有明顯的共享性特征，企業(yè)信息在網(wǎng)絡(luò)傳播的過程中，很可能被人竊取，致使企業(yè)信息外泄，影響企業(yè)未來的發(fā)展。尤其是電力企業(yè)，一旦其信息安全受到威脅，會對當(dāng)?shù)鼐用窈徒?jīng)濟(jì)發(fā)展造成不可估量的損失，加強電力企業(yè)網(wǎng)絡(luò)信息安全管理，已經(jīng)成為電力企業(yè)發(fā)展過程中亟待解決的問題。

2 電力企業(yè)網(wǎng)絡(luò)信息安全的目標(biāo)

2.1 控制訪問

控制訪問目標(biāo)，就是需要對訪問電力企業(yè)內(nèi)部數(shù)據(jù)、系統(tǒng)或者設(shè)備的用戶進(jìn)行資格驗證[1]，如果用戶的權(quán)限、級別能夠通過驗證，代表用戶有訪問這些網(wǎng)絡(luò)資源的權(quán)力，否則，將被視為非法用戶，系統(tǒng)將會啟動阻止程序，阻止其進(jìn)入。

2.2 權(quán)限分明

雖然網(wǎng)絡(luò)具有共享性，但是電力企業(yè)在傳輸某些機(jī)密信息數(shù)據(jù)的時候，設(shè)置了很多權(quán)限，網(wǎng)絡(luò)系統(tǒng)會根據(jù)用戶的不同權(quán)限，為其提供不同的數(shù)據(jù)信息，便于用戶對數(shù)據(jù)的統(tǒng)計和整理[2]。

2.3 信息加密

網(wǎng)絡(luò)信息的傳輸離不開網(wǎng)絡(luò)，但是在傳輸?shù)倪^程中，很可能被人惡意更改或者竊取，為了彌補這個漏洞，電力企業(yè)在傳輸數(shù)據(jù)信息的時候，一般會利用某些軟件或者算法對這些數(shù)據(jù)信息進(jìn)行加密，這樣，接收端可以利用相同的方式對數(shù)據(jù)進(jìn)行解密處理再進(jìn)行讀取，而非法截取者因為不了解加密方式，即使獲得了數(shù)據(jù)，也無法讀取到真實信息，使數(shù)據(jù)信息傳輸?shù)陌踩缘玫搅擞行ПＵ稀?/p>

3 電力企業(yè)網(wǎng)絡(luò)信息安全管理的現(xiàn)狀及存在的問題

3.1 電力企業(yè)信息服務(wù)器安全不能保障

電力企業(yè)信息管理系統(tǒng)結(jié)構(gòu)比較復(fù)雜，它包含眾多信息服務(wù)器，主要有企業(yè)數(shù)據(jù)庫資源服務(wù)器、Web服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器和基本應(yīng)用服務(wù)器等眾多復(fù)雜服務(wù)器。這些服務(wù)器擔(dān)負(fù)著電力企業(yè)的網(wǎng)絡(luò)運行與發(fā)展，一旦電力企業(yè)的服務(wù)器受損，企業(yè)信息管理將癱瘓。而近年來網(wǎng)絡(luò)信息安全受到威脅，網(wǎng)絡(luò)攻擊手段不斷更新，電力系統(tǒng)服務(wù)器成為被攻擊的第一對象。在電力企業(yè)網(wǎng)絡(luò)信息管理中，管理人員不能對所有服務(wù)器進(jìn)行系統(tǒng)管理，服務(wù)器經(jīng)常受到網(wǎng)絡(luò)病毒襲擊，使服務(wù)器工作受到干擾，由于公司信息機(jī)密沒有進(jìn)行加密處理，容易被竊取。

3.2 電力企業(yè)信息管理人員整體素質(zhì)有待提高

當(dāng)前，我國的電力企業(yè)信息管理觀念比較弱，企業(yè)領(lǐng)導(dǎo)把精力放在了提高企業(yè)經(jīng)濟(jì)利益方面，忽視了企業(yè)的信息安全管理，加上企業(yè)的管理體制不健全，不注重企業(yè)信息安全管理人員的培養(yǎng)，導(dǎo)致企業(yè)信息安全管理隊伍整體素質(zhì)不夠高。有些信息安全管理人員，甚至沒有掌握基本的信息安全技術(shù)，嚴(yán)重影響了信息安全管理質(zhì)量。此外，網(wǎng)絡(luò)信息安全技術(shù)不斷升級，而電力企業(yè)信息安全管理人員卻沒能跟上時代的發(fā)展趨勢，對那些新型安全技術(shù)了解甚少，導(dǎo)致企業(yè)內(nèi)部信息安全受到了很大威脅。

3.3 電力企業(yè)信息管理網(wǎng)絡(luò)運用技術(shù)不成熟

在電力企業(yè)信息安全管理過程中，通常將網(wǎng)絡(luò)信息劃分為企業(yè)內(nèi)網(wǎng)信息和企業(yè)外網(wǎng)信息，其中企業(yè)內(nèi)網(wǎng)信息主要供內(nèi)部人員使用，而在使用的過程中，很多職工沒有信息安全保護(hù)的意識，很可能無意中將企業(yè)信息泄漏，給不法分子以可乘之機(jī)。同時，企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行物理隔離，由于信息網(wǎng)絡(luò)結(jié)構(gòu)存在核心交換機(jī)選擇不合理的現(xiàn)象，導(dǎo)致信息安全問題不能及時解決，只能通過其他系統(tǒng)進(jìn)行故障排查而解決。

4 電力企業(yè)網(wǎng)絡(luò)信息安全管理存在問題的解決對策

4.1 深化網(wǎng)絡(luò)與信息安全組織管理和保障體系建設(shè)

網(wǎng)絡(luò)信息安全問題已經(jīng)成為制約電力企業(yè)發(fā)展的關(guān)鍵因素，因此，相關(guān)領(lǐng)導(dǎo)必須提高對網(wǎng)絡(luò)信息安全管理的認(rèn)識，增加網(wǎng)絡(luò)信息安全管理資金投入，按照國家相關(guān)規(guī)定，建立企業(yè)網(wǎng)絡(luò)信息安全保障體系。同時，將信息安全管理落實到部門，甚至個人，并將其作為部門考核和個人考核的一項標(biāo)準(zhǔn)，讓企業(yè)全體員工充分認(rèn)識到信息安全管理的重要性。此外，電力企業(yè)還需要根據(jù)不同信息系統(tǒng)的特點，按照國家有關(guān)信息安全的標(biāo)準(zhǔn)，完善信息安全防護(hù)措施，尤其是電力企業(yè)的營銷網(wǎng)絡(luò)信息安全管理系統(tǒng)以及有關(guān)新能源發(fā)電的網(wǎng)絡(luò)信息安全管理系統(tǒng)，更離不開信息安全防護(hù)技術(shù)的支持。

4.2 加強對電力企業(yè)系統(tǒng)和設(shè)備的漏洞掃描

目前，計算機(jī)網(wǎng)絡(luò)技術(shù)日新月異，而很多已經(jīng)投入使用的網(wǎng)絡(luò)信息系統(tǒng)和設(shè)備都會隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而出現(xiàn)越來越多的漏洞，這在很大程度上給了不法分子竊入電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的機(jī)會。但是電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)建設(shè)不是一朝一夕能夠完成的，而且經(jīng)常性地更換網(wǎng)絡(luò)信息系統(tǒng)設(shè)備，會給電力企業(yè)增加很大的經(jīng)濟(jì)負(fù)擔(dān)，不利于企業(yè)的長遠(yuǎn)發(fā)展。因此，我們可以利用一些漏洞掃描技術(shù)，對企業(yè)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行實時掃描，發(fā)現(xiàn)漏洞并及時修復(fù)，提高網(wǎng)絡(luò)信息安全系數(shù)[2]，阻止不法分子趁機(jī)而入。

4.3 夯實基礎(chǔ)，強化信息安全人才隊伍建設(shè)

目前，為了實現(xiàn)企業(yè)的信息化建設(shè)，電力企業(yè)內(nèi)部信息幾乎都可以在網(wǎng)絡(luò)中找到，一旦信息外泄，不僅影響企業(yè)的正常運轉(zhuǎn)，還會給企業(yè)帶來嚴(yán)重?fù)p失，對電力企業(yè)的發(fā)展極為不利。因此，電力企業(yè)必須加強網(wǎng)絡(luò)信息安全管理，積極引進(jìn)專業(yè)化人才，提高信息安全管理隊伍的整體素質(zhì)。同時，加強對現(xiàn)有人才的培訓(xùn)工作，提高他們的安全防護(hù)技術(shù)能力，利用新型信息安全防護(hù)技術(shù)，確保企業(yè)網(wǎng)絡(luò)信息的安全性。

4.4 提升信息安全事件應(yīng)急處置能力

加強電力企業(yè)網(wǎng)絡(luò)信息安全管理，還應(yīng)該提高企業(yè)應(yīng)對突發(fā)事件的處理能力，包括對各種應(yīng)急事件的防范措施、現(xiàn)場處置方案等。同時，還應(yīng)該加強對網(wǎng)絡(luò)信息安全風(fēng)險的認(rèn)識，針對不同的安全風(fēng)險設(shè)置不同的預(yù)警機(jī)制，并定期對網(wǎng)絡(luò)信息安全技術(shù)進(jìn)行檢查，避免出現(xiàn)防御漏洞。此外，還應(yīng)該及時更新網(wǎng)絡(luò)信息安全防護(hù)措施，加強對企業(yè)網(wǎng)絡(luò)信息的保護(hù)力度。

4.5 規(guī)范產(chǎn)品選型，提高電力工控系統(tǒng)安全防護(hù)安全可控能力

為了適應(yīng)電力企業(yè)體制改革的要求，電力企業(yè)應(yīng)當(dāng)加大對新型網(wǎng)絡(luò)信息安全技術(shù)的研發(fā)投入，并根據(jù)不同的服務(wù)器需求，研究適合的安全防護(hù)措施，完善電力企業(yè)網(wǎng)絡(luò)信息安全管理體系。同時，在組建企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的時候，需要對系統(tǒng)的各個組成部分進(jìn)行嚴(yán)格審查，確保系統(tǒng)設(shè)備符合安全需求。例如，網(wǎng)絡(luò)信息系統(tǒng)組建需要的設(shè)備和部件，必須符合國家規(guī)定，并要求供應(yīng)商提供安全檢測報告，避免使用存在風(fēng)險的設(shè)備和部件，增添安全隱患。此外，針對電力企業(yè)已經(jīng)投入使用的系統(tǒng)和設(shè)備，應(yīng)該定期進(jìn)行檢查，發(fā)現(xiàn)問題，及時采取有效措施，確保電力企業(yè)的順利運營。

【1】張明智,張立卓,王抒閱.基于電力企業(yè)的網(wǎng)絡(luò)信息安全的研究[J].信息安全與技術(shù),2016(4):82-83+89.

【2】王舒.電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀與分析[J].電腦知識與技術(shù),2016 (6):30-32.

Analysis on Network Information Security Management of Electric Power Enterprises

YANG Yan-hui
(StateGridPowerSupplyCompanyof ShangshuiCounty,Shangshui 466100,China)

There are many problems in the management of network information security,and the information security of electric power enterprisesisendangered.Basedonthat,thispaperdiscussesthe problemsin the management fromthegoal ofnetwork information securityin electric power enterprises,and puts forward some suggestions,aiming to strengthen the management of network information security,and promotetheinformationizationofelectricpowerenterprisesuptoanewlevel.

electricpowerenterprise;networkinformation;safetymanagement

F426.61

B

1007-9467（2016）10-0170-02

2016-09-08

楊艷輝（1981～），男，河南周口人，助理工程師，從事網(wǎng)絡(luò)信息安全研究。