李路民 陳建新 馬宗達 鞏銳

摘 要：隨著信息時代的到來，信息安全已經(jīng)融入電力企業(yè)生產經(jīng)營活動的方方面面。本文主要針對電力企業(yè)信息安全管理中存在的問題展開分析，指出電力企業(yè)目前在信息安全管理以及信息安全體系中存在的風險，并相應地制定了高效的信息安全管理措施，以促進信息安全管理問題的解決，并推進電力企業(yè)信息安全管理水平的提升。

關鍵詞：電力信息；安全現(xiàn)狀；改善策略

中圖分類號：TP309 文獻標識碼：A 文章編號：2096-4706（2018）02-0164-02

Current Situation and Improvement Strategy of Power Information Security

LI Lumin1，CHEN Jianxin1，MA Zongda1，GU Yue2

（1.State Grid Xinjiang Electric Power Co.，Ltd.，Information and Communication Company，Urumqi 830000，China；2. Xinjiang Information Industry Co.，Ltd.，Urumqi 830000，China）

Abstract：With the advent of the information age，information security has been integrated into all aspects of the production and operation of electric power enterprises. This paper mainly aimed at the existing information security management of electric power enterprise issues analysis，pointed out that the risk existing in the electric power enterprise information security management and information security system，and formulate corresponding measures of effective information security management，information security management so as to promote solve problems，promote the level of safety management of power enterprise information.

Keyword：power information；security status；improvement strategy

0 引 言

電力系統(tǒng)是一個涉及了繼電保護、電網(wǎng)調度自動化、配電網(wǎng)自動化等方面的大型系統(tǒng)工程。在電力企業(yè)快速發(fā)展的背景之下，信息安全問題與電力企業(yè)生產經(jīng)營活動存在緊密的聯(lián)系，直接影響著電力企業(yè)能否進行安全生產。

1 電力企業(yè)存在的主要信息安全管理風險

1.1 信息安全體系層面

（1）信息網(wǎng)絡結構與邊界風險。從信息網(wǎng)絡結構方面來看，電力企業(yè)面臨著核心交換機選型缺乏合理性這一問題，比如，核心交換機屬于一臺二層交換機，只有充分利用系統(tǒng)才能夠有效地解決網(wǎng)絡安全問題。除此之外，絕大部分的電力企業(yè)會采用多種形式連接互聯(lián)網(wǎng)，但是不同的安全域間的網(wǎng)絡連接并未采取任何的訪問控制措施，導致互聯(lián)網(wǎng)訪問的過程中會面臨掃描攻擊、非法侵入以及DOS攻擊等各種問題。

（2）病毒侵害與網(wǎng)絡攻擊。隨著電子郵件系統(tǒng)運用范圍地擴大，加快了計算機病毒擴散的速度，各種病毒會通過網(wǎng)絡進行傳播，越來越多的電力企業(yè)網(wǎng)絡面臨著計算機病毒入侵的安全風險?，F(xiàn)在的網(wǎng)絡攻擊手法結合了許多技術，多數(shù)電力企業(yè)雖然安裝了防病毒軟件，但是這些軟件僅僅起到病毒查殺的作用，無法阻止病毒傳播。針對網(wǎng)絡中傳播的蠕蟲，雖然入侵檢測系統(tǒng)可以檢查出來，但是無法對蠕蟲進行徹底地清除。此外，運用補丁管理雖然可以避免蠕蟲的感染，但是同樣無法實現(xiàn)對蠕蟲的查殺。除此之外，在現(xiàn)階段，企業(yè)各個安全產品大多是獨立工作，不能對病毒進行系統(tǒng)化地查殺。

（3）系統(tǒng)安全風險。就系統(tǒng)安全風險內容來看，它具體指的是下面幾點內容：第一，操作系統(tǒng)風險；第二，數(shù)據(jù)庫系統(tǒng)風險，第三，各類運用系統(tǒng)風險。在現(xiàn)階段，許多電力企業(yè)將Windows操作系統(tǒng)作為主要的操作系統(tǒng)，然而任何操作系統(tǒng)都不可避免地存在漏洞，漏洞會給入侵者提供可乘之機，一旦入侵者掌握了管理員權限，必然會對網(wǎng)絡系統(tǒng)進行攻擊。

1.2 信息安全管理層面

（1）信息安全管理措施落實不到位。由于資金不足，許多的電力企業(yè)不能及時替換陳舊的操作系統(tǒng)和郵件程序，而入侵者極容易利用內部網(wǎng)絡的缺陷來進行攻擊。此外，由于企業(yè)的管理人員網(wǎng)絡安全意識淡薄，就會忽視同步升級用戶系統(tǒng)。另外，部分電力企業(yè)使用開放程度過高的操作系統(tǒng)，由于安全級別低下，加上未采取任何安全措施，就無法實現(xiàn)對黑客與信息炸彈地有效抵御。

（2）企業(yè)信息管理革新滯后于技術發(fā)展。近些年，我國的信息技術快速發(fā)展，但是電力企業(yè)的管理水平一直沒有得到提升，雖然部分企業(yè)采用了最新的業(yè)務系統(tǒng)以及管理系統(tǒng)，但是并未及時更新管理模式，以至于無法充分發(fā)揮出信息系統(tǒng)的價值。信息安全工作是一項兼具復雜性與系統(tǒng)性的工作，對工作人員的專業(yè)水平有著較高的要求，所涉及的知識面十分的廣泛。很顯然，現(xiàn)階段的技術人員無法滿足新時期電力企業(yè)對信息安全管理工作的要求。

（3）工作人員安全意識十分淡薄。目前，許多工作人員不能夠認識到網(wǎng)絡信息安全的重要性，沒有拿出足夠的時間與精力投入到網(wǎng)絡信息安全的學習之中。此外，大多數(shù)電力企業(yè)的安全意識淡薄，忽視安全領域的投入，以至于網(wǎng)絡信息安全長時間處于封堵漏涮狀態(tài)。與此同時，絕大部分工作人員缺乏良好的安全意識，對于共用口令、企業(yè)內部信息傳播以及復制等涉及的安全問題了解不夠，給了黑客攻擊可乘之機，導致經(jīng)常出現(xiàn)信息泄露問題，最終影響了企業(yè)網(wǎng)絡信息的安全性。

2 電力企業(yè)信息安全管理對策

2.1 強化對企業(yè)工作人員的規(guī)范化管理

首先，強化對企業(yè)高層管理人員的管理，嚴格執(zhí)行信息安全管理制度。作為一個企業(yè)的重要力量，高層管理人員務必以身作則，積極落實信息安全管理工作，為企業(yè)全體員工樹立起良好的榜樣。此外，高層管理人員要做好信息資產的保管工作，避免工作中因失誤而失去寶貴的資產，只有這樣才能夠保障企業(yè)的健康發(fā)展。其次，針對離職人員要做好信息安全審查工作，在其出現(xiàn)離職傾向后，要即刻變更其信息資源訪問權限，仔細清點離職人員手中掌握的信息資產。此外，離職人員在企業(yè)的剩余時間，對其要加強監(jiān)督與控制，避免發(fā)生各種異常事件。再次，針對以下幾種特殊人員務必要實行嚴格的信息安全管理制度，需要對其展開多次全面的檢查。具體來說，包括以下幾類人群：第一，與開發(fā)源代碼直接接觸的人員；第二，與企業(yè)核心商業(yè)機密直接接觸的人員；第三，直接從事信息安全管理的人員等。最后，強化供應商與合作伙伴之間的信息安全管理。針對合作伙伴以及供應商有必要制定信息安全管理規(guī)定，防止對方有目的性地收集我方重要的商業(yè)情報。此外，對于日常的溝通與交流，務必要嚴格遵守有關規(guī)定，禁止隨意對外公開以及透露其他重要信息。

2.2 強化對企業(yè)信息資產的分析與管理

首先，根據(jù)信息資產的載體質、價值實現(xiàn)形式以及來源等方面內容，認真地識別信息資源。樹立信息資源理念，形成良好的信息資產商品觀、資產觀以及素質觀，提升企業(yè)的勞動生產率，在社會范圍內塑造良好的企業(yè)形象。其次，構建完善的信息資產管理組織體系，制定科學的信息資產管理制度，改進信息資產管理方式，以實現(xiàn)對信息系統(tǒng)地全方位管理，充分發(fā)揮信息資產的價值，增強電力企業(yè)的市場競爭實力。再次，強化對信息資源運用的管理。實現(xiàn)信息資產資源與其他各種生產力要素的結合，在保證生產要素保值增值的同時，幫助電力企業(yè)實現(xiàn)經(jīng)濟效益最大化的目標。最后，加快構建信息資源共享機制，推進信息資產的再創(chuàng)新，不斷形成企業(yè)內部信息資產，從而推進外源信息資產的再增值。

2.3 構建完善的信息安全應急保障機制

電力企業(yè)有必要加快制定應急預案，強化對工作人員的培訓，保障具備充足的人力技術設備等資源。同時，電力企業(yè)要建立健全備份與恢復管理制度，對數(shù)據(jù)備份與恢復過程進行嚴格控制，認真做好備份記錄的保存工作，保證定期恢復程序地嚴格執(zhí)行。除此之外，還要加強對容災方案可行性的相關研究，并結合實際需要進行容災系統(tǒng)的建設工作。

3 結 論

綜上所述，電力信息安全是影響企業(yè)生產經(jīng)營與管理活動的重要因素，因此電力企業(yè)要高度重視信息安全管理工作，從系統(tǒng)工程方法出發(fā)，制定有效的管理措施，避免管理漏洞影響信息安全。除此之外，在發(fā)展過程之中，電力企業(yè)務必要統(tǒng)籌兼顧，建立健全信息安全管理系統(tǒng)，最大程度地消除信息安全管理風險，正確處理信息安全管理中的問題，不斷地提高信息安全管理水平，為電力信息系統(tǒng)的安全性、穩(wěn)定性與可靠性提供重要保障。

參考文獻：

[1] 王鳳彬.信息安全技術在電力信息系統(tǒng)中的應用分析 [J].現(xiàn)代國企研究，2015（16）：83.

[2] 張鑫，陳雪華，劉新.電力系統(tǒng)信息安全基線標準體系的構建 [J].電力信息與通信技術，2013，11（11）：110-114.

[3] 王舒.電力企業(yè)網(wǎng)絡信息安全現(xiàn)狀與分析 [J].電腦知識與技術，2016，12（6）：30-32.