引言

    電力系統(tǒng)是一項涉及電網(wǎng)調(diào)度自動化、繼電保護(hù)、廠站自動化、配電網(wǎng)自動化、電力負(fù)荷控制、電力市場交易、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。隨著電力企業(yè)信息化的不斷發(fā)展，信息安全所面臨的危險同時滲透到電力企業(yè)生產(chǎn)、經(jīng)營的各個方面，信息安全問題已成為影響電力安全生產(chǎn)的重大問題。

1 電力企業(yè)信息安全管理現(xiàn)狀

    1.1電力企業(yè)信息安全形勢嚴(yán)峻

    電力企業(yè)內(nèi)部各業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)流轉(zhuǎn)，一旦出現(xiàn)信息泄密或篡改數(shù)據(jù)的情況，將給國家造成難以估量的損失。電力企業(yè)網(wǎng)絡(luò)每天遭受惡意試探式攻擊達(dá)數(shù)萬次，如此龐大的信息網(wǎng)絡(luò)和高頻率的網(wǎng)絡(luò)攻擊，使電力企業(yè)信息安全的局勢尤為嚴(yán)峻。同時電力企業(yè)各種信息在業(yè)務(wù)流程的參與者之間流動，如果系統(tǒng)關(guān)鍵數(shù)據(jù)被竊取和篡改，信息系統(tǒng)的非正常停運和癱瘓，將會嚴(yán)重影響電力企業(yè)和電力系統(tǒng)的正常運行。

    1.2電力企業(yè)信息安全防護(hù)困難

    電力企業(yè)信息系統(tǒng)是由眾多復(fù)雜的子系統(tǒng)(如廣泛分布于各級調(diào)度中心、發(fā)電廠、變電站的業(yè)務(wù)系統(tǒng))所組成的超大規(guī)模、廣域分布和分級遞階的大系統(tǒng)，各種業(yè)務(wù)系統(tǒng)之間需要進(jìn)行復(fù)雜的信息交換和相互協(xié)作。如何確保電力系統(tǒng)不同企業(yè)之間及其內(nèi)部在進(jìn)行方便、高效信息交換和相互協(xié)作的同時，防止來自于內(nèi)外域各種用戶非法或無意的攻擊、誤操作，防止信息泄漏等，就成為一個極為關(guān)鍵的瓶頸問題。

    1.3電力企業(yè)信息安全防護(hù)相關(guān)規(guī)程

    2005年國家電力監(jiān)管委員會頒布了《電力二次系統(tǒng)安全防護(hù)規(guī)定》用以指導(dǎo)電力部門在信息化和安全方面的建設(shè)。國際電工委員會的IEC 27001標(biāo)準(zhǔn)規(guī)定了信息安全管理體系(ISMS)要求與信息安全控制要求，與之配套的IEC 17799標(biāo)準(zhǔn)提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則。IEC 27001和IEC 17799標(biāo)準(zhǔn)已在我國電網(wǎng)企業(yè)廣泛應(yīng)用。國際大電網(wǎng)會議(CIGRE)于2006年至2009年成立了工作組，并發(fā)布了適用于電力公司信息安全框架、風(fēng)險評估和安全技術(shù)的規(guī)范，將基線控制、邏輯圖等引入電力公司信息安全管理中。

2 電力企業(yè)信息安全管理風(fēng)險分析

    2.1信息安全體系層面

    2.1.1信息網(wǎng)絡(luò)結(jié)構(gòu)和邊界風(fēng)險

    電力企業(yè)在信息網(wǎng)絡(luò)結(jié)構(gòu)上存在核心交換機(jī)選型不合理等問題，如核心交換機(jī)是一臺二層交換機(jī)，網(wǎng)絡(luò)的安全問題只有通過應(yīng)用系統(tǒng)去解決。另外，電力企業(yè)的信息大多以各種方式與互聯(lián)網(wǎng)連接，由于不同安全域之間的網(wǎng)絡(luò)連接沒有有效的訪問控制措施，來自互聯(lián)網(wǎng)的訪問存在潛在的掃描攻擊、DOS攻擊、非法侵入等。

    2.1.2病毒侵害和網(wǎng)絡(luò)攻擊

    電子郵件系統(tǒng)的廣泛使用，使計算機(jī)病毒擴(kuò)散速度大大加快，網(wǎng)絡(luò)成了病毒傳播的最好途徑，計算機(jī)病毒已成為電力企業(yè)網(wǎng)絡(luò)最嚴(yán)重的安全風(fēng)險之一。目前網(wǎng)絡(luò)攻擊手法已經(jīng)融合了多種技術(shù)，部分電力企業(yè)中的防病毒軟件只能查殺病毒，卻不能有效地阻止病毒的傳播;入侵檢測系統(tǒng)可以檢查出蠕蟲在網(wǎng)絡(luò)上傳播，卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染，卻不能查殺蠕蟲。企業(yè)各個安全產(chǎn)品單獨工作，無法系統(tǒng)地查殺病毒并防止病毒傳播。

    2.1.3系統(tǒng)安全風(fēng)險

    系統(tǒng)安全風(fēng)險主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險。目前不少電力企業(yè)網(wǎng)絡(luò)使用的操作系統(tǒng)仍然是以Windows系列操作系統(tǒng)為主。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞，這些漏洞可以導(dǎo)致人侵者獲得管理員的權(quán)限，可以被用來實施拒絕服務(wù)等攻擊。

    2.1.4信息日常傳遞風(fēng)險

    電力企業(yè)和外部的單位都有著許多工作聯(lián)系，日常許多信息數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險，例如被非法用戶截取，從而泄露企業(yè)機(jī)密;被非法篡改，造成數(shù)據(jù)混亂、信息錯誤從而造成工作失誤等。非法用戶還有可能假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營秩序帶來棍亂，造成企業(yè)損失。

    2.2信息安全管理層面

    2.2.1信息安全管理措施不到位

    電力企業(yè)因配置不當(dāng)或使用過時的操作系統(tǒng)、郵件程序等，造成企業(yè)內(nèi)部網(wǎng)絡(luò)存在入侵者可利用的缺陷。當(dāng)廠商通過發(fā)布補丁或升級軟件來解決安全問題時，許多用戶系統(tǒng)不進(jìn)行同步升級，原因是管理者未充分意識到網(wǎng)絡(luò)不安全的風(fēng)險所在，未引起重視。有些信息系統(tǒng)采用開放的操作系統(tǒng)，安全級別低，又沒有附加安全措施，難以抵御黑客和信息炸彈的攻擊。

    2.2.2企業(yè)信息管理革新明顯滯后技術(shù)發(fā)展

    相對于信息技術(shù)的發(fā)展與應(yīng)用，電力企業(yè)管理革新處于落后狀況。有的企業(yè)引入了先進(jìn)的業(yè)務(wù)系統(tǒng)、管理系統(tǒng)，而管理模式未能實施有效革新，最終導(dǎo)致了信息系統(tǒng)未能發(fā)揮預(yù)期的、應(yīng)有的作用。由于信息安全工作具有專業(yè)性強，知識面廣的特點，目前電力企業(yè)從事信息安全管理工作的技術(shù)人才顯得相對缺乏。

    2.2.3用戶身份認(rèn)證和訪問控制不夠

    在實際應(yīng)用中，電力企業(yè)部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡單，不能靈活實現(xiàn)更細(xì)的權(quán)限控制;部分應(yīng)用系統(tǒng)沒有一個統(tǒng)一的用戶管理，無法保證賬號的有效管理和安全;同時因缺乏嚴(yán)格的驗證機(jī)制，導(dǎo)致非法用戶使用關(guān)鍵業(yè)務(wù)系統(tǒng);不同業(yè)務(wù)系統(tǒng)之間缺少較細(xì)粒度的訪問控制。

    2.2.4企業(yè)工作人員安全意識淡薄

    企業(yè)人員忙于利用網(wǎng)絡(luò)工作學(xué)習(xí)，對網(wǎng)絡(luò)信息的安全性無暇顧及，安全意識淡薄。電力企業(yè)注重的是網(wǎng)絡(luò)效應(yīng)，對安全領(lǐng)域的投入和管理不能滿足安全防范的要求，網(wǎng)絡(luò)信息安全處于被動的封堵漏捌狀態(tài)。工作人員安全意識不強，如共用口令、隨意復(fù)制及傳播企業(yè)內(nèi)部信息等，增加了黑客進(jìn)攻的機(jī)會和信息泄露的風(fēng)險，這都將給企業(yè)網(wǎng)絡(luò)信息安全埋下隱患。

    2.2.5企業(yè)信息資產(chǎn)管理風(fēng)險較高

    信息資產(chǎn)的高風(fēng)險性源自于信息資產(chǎn)傳播的低成本性。在激烈競爭的市場環(huán)境中信息資產(chǎn)的安全風(fēng)險較高。一般來說，信息資產(chǎn)經(jīng)常處于公共的介質(zhì)中或處于流動狀態(tài)，這就使信息資產(chǎn)的復(fù)制成本較低，從而導(dǎo)致企業(yè)擁有和控制的信息資產(chǎn)的安全性很差。沒有安全保障的信息資產(chǎn)，談不上資產(chǎn)價值。信息資產(chǎn)具有工程性和社會性的軟硬屬性，短期無法量化，價值的確認(rèn)存在風(fēng)險，管理的過程中也存在類似風(fēng)險。

3 電力企業(yè)信息安全管理對策

    3.1建立信息安全管理組織架構(gòu)

    電力企業(yè)信息安全管理可按照“誰主管誰負(fù)責(zé)，誰運營誰負(fù)責(zé)”原則，實行統(tǒng)一領(lǐng)導(dǎo)、分級管理。信息安全領(lǐng)導(dǎo)小組由企業(yè)的決策層組成。信息安全工作小組由企業(yè)各部門管理成員組成，是企業(yè)信息安全工作的管理層。信息安全執(zhí)行層包含信息安全規(guī)劃、信息安全監(jiān)督審計、信息安全運行保障等職能小組和企業(yè)各業(yè)務(wù)支撐部門。企業(yè)信息安全實行專業(yè)化管理，進(jìn)行監(jiān)督。圖1是一個典型的電力企業(yè)信息安全管理組織架構(gòu)。

圖1 典型電力企業(yè)信息安全管理組織架構(gòu)

    3.2構(gòu)建信息安全管理體系框架

    電力企業(yè)信息安全管理體系可建立在信息安全模型與電力信息化的基礎(chǔ)上，分為信息安全策略、安全管理、安全運行、安全技術(shù)措施4個模塊，信息安全管理通過安全運行實現(xiàn)，安全技術(shù)作為信息安全的基礎(chǔ)支撐，可輔助實現(xiàn)安全管理和運行安全。典型電力企業(yè)信息安全管理體系框架如圖2所示。

    3.3確立企業(yè)信息安全防護(hù)策略

    在管理信息系統(tǒng)安全防護(hù)策略方面:進(jìn)行雙網(wǎng)雙機(jī)管理，將信息網(wǎng)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)間采用邏輯強隔離裝置進(jìn)行隔離，內(nèi)外網(wǎng)分別采用獨立的服務(wù)器及桌面終端;根據(jù)業(yè)務(wù)系統(tǒng)類型，進(jìn)行安全域劃分，以實現(xiàn)不同安全域的獨立化、差異化防護(hù);將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個層次進(jìn)行縱深防御的安全防護(hù)措施設(shè)計。

圖2 典型電力企業(yè)信息安全保陳體系框架

    在電力二次系統(tǒng)安全防護(hù)策略方面:將電力企業(yè)內(nèi)部基于計算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用系統(tǒng)，原則上劃分為生產(chǎn)控制區(qū)和管理信息區(qū);建立電力調(diào)度數(shù)據(jù)網(wǎng)專用網(wǎng)絡(luò)，承載電力實時控制、在線生產(chǎn)交易等業(yè)務(wù);采用不同強度的安全設(shè)備隔離各安全區(qū)，在生產(chǎn)控制區(qū)與管理信息區(qū)之間設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。

    3.4加強信息安全管理制度建設(shè)

    3.4.1信息安全管理基本制度

    建立計算機(jī)系統(tǒng)使用管理制度，對應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改，需要經(jīng)過授權(quán)并由專人負(fù)責(zé)并登記日志。建立資產(chǎn)管理制度，根據(jù)資產(chǎn)重要程度對資產(chǎn)進(jìn)行標(biāo)識和管理。建立健全變更管理制度，保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。建立和執(zhí)行密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。

    3.4.2分等級信息安全保護(hù)措施

    嚴(yán)格按照國家有關(guān)部門要求，開展企業(yè)網(wǎng)絡(luò)信息系統(tǒng)定級、審批、備案工作。針對確定的網(wǎng)絡(luò)信息系統(tǒng)安全等級，根據(jù)等級保護(hù)有關(guān)要求，落實必要的管理和技術(shù)措施，嚴(yán)格執(zhí)行等級保護(hù)制度。對于核心程序和數(shù)據(jù)嚴(yán)格保密，實行專人保管。

    3.4.3信息安全運行保障管理

    對信息系統(tǒng)軟硬件設(shè)備選型、采購、使用等實行規(guī)范化管理。強化存儲介質(zhì)存放、使用、維護(hù)和銷毀等各項措施。及時升級防病毒軟件，加強全員防病毒木馬的意識。嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接人申報和審批程序。及時報告信息系統(tǒng)事故情況，認(rèn)真開展信息系統(tǒng)事故原因分析，堅持“四不放過”原則，有效落實整改。

    3.5信息安全技術(shù)保障措施

    依據(jù)“分區(qū)、分級、分域”總體防護(hù)策略，切實執(zhí)行信息安全等級保護(hù)制度要求，有效落實信息安全防護(hù)方案，做好各區(qū)之間安全隔離，落實管理信息內(nèi)、外網(wǎng)之間實施強邏輯隔離的措施。根據(jù)信息系統(tǒng)定級水平，科學(xué)合理地做好安全域劃分和安全域之間隔離工作。

    3.6加強企業(yè)工作人員的規(guī)范管理

    加強企業(yè)高管的管理，實施更加嚴(yán)格的信息安全管理制度。一方面，高管是公司的核心力量，也是信息安全管理推行的主要支持者，只有以身作則，方可讓全體員工有遵循信息安全要求的動力。另一方面，高管掌握的信息資產(chǎn)多，密級也高，無論是故意或者過失導(dǎo)致這些資產(chǎn)的喪失，都會給企業(yè)造成重大的影響。

    加強對離職人員的信息安全審查，在其提出離職傾向之后，必須立即著手其信息資源訪問權(quán)限的變更，對其己經(jīng)持有的信息資產(chǎn)進(jìn)行清點，并要對其在公司剩余的時間內(nèi)，實施更加嚴(yán)格的監(jiān)控，避免異常事件的發(fā)生。

    加強關(guān)鍵崗位員工信息安全管理。對于直接接觸開發(fā)源代碼的人員、直接接觸企業(yè)核心商業(yè)機(jī)密的人員，當(dāng)然還包括直接從事信息安全管理的人員等等，需要實施特殊的信息安全管理制度，檢查頻率也應(yīng)該更加頻繁，以減少“堡壘從內(nèi)部突破”的機(jī)會。

    加強供應(yīng)商和合作伙伴信息安全管理。有必要對于供應(yīng)商和合作伙伴制定一定的信息安全管理規(guī)定，避免對方在有意的收集我方的商業(yè)情報以做他用。在日常的交流中要嚴(yán)格遵守相關(guān)規(guī)定，除了必須公開的內(nèi)容，一律不得隨意公開和透露其他信息。

    3.7加強企業(yè)信息資產(chǎn)的分析和管理

    按照信息資產(chǎn)的載體性質(zhì)不同、價值實現(xiàn)形式不同、來源不同，對信息資產(chǎn)進(jìn)行識別。強化信息資產(chǎn)觀念，樹立信息資產(chǎn)的資產(chǎn)觀、商品觀、素質(zhì)觀，提高企業(yè)勞動生產(chǎn)率、管理效率和經(jīng)營利潤，樹立企業(yè)良好形象。

    健全信息資產(chǎn)管理組織體系，建立健全信息資產(chǎn)管理制度，完善信息資產(chǎn)管理手段，對信息資產(chǎn)進(jìn)行全面、系統(tǒng)、科學(xué)的管理，提高有效運用信息資產(chǎn)創(chuàng)造效益和參與市場競爭的能力。

    加強信息資產(chǎn)運營管理，利用信息資產(chǎn)資源與其他生產(chǎn)力要素的組合，使生產(chǎn)力要素保值增值并獲取最佳經(jīng)濟(jì)效益。

    推動信息資產(chǎn)共享共建，創(chuàng)造條件使信息資源實現(xiàn)在管理權(quán)限內(nèi)的有效共享，實現(xiàn)信息資產(chǎn)再創(chuàng)新，產(chǎn)生企業(yè)的內(nèi)源信息資產(chǎn)，實現(xiàn)外源信息資產(chǎn)的再增值。

    3.8建立信息安全應(yīng)急保障機(jī)制

    對于電力企業(yè)來說，在不斷完善應(yīng)急預(yù)案，加強培訓(xùn)和演練，確保人力、設(shè)備、技術(shù)和財務(wù)等應(yīng)急保障資源可用的同時，還需要建立備份與恢復(fù)管理相關(guān)安全管理制度，嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過程，妥善保存?zhèn)浞萦涗�，�?zhí)行定期恢復(fù)程序。認(rèn)真做好容災(zāi)方案可行性研究，切實根據(jù)需要開展容災(zāi)系統(tǒng)建設(shè)。

4 結(jié)束語

    電力信息安全與企業(yè)生產(chǎn)經(jīng)營管理密切相關(guān)。電力企業(yè)應(yīng)該充分認(rèn)識到信息安全管理工作是一個系統(tǒng)性、整體性的管理工作，用系統(tǒng)工程的觀點、方法，來分析電力企業(yè)信息安全問題及具體管理對策。管理過程中的任何一個漏洞，都會導(dǎo)致信息安全問題。電力企業(yè)需要統(tǒng)籌兼顧，統(tǒng)一規(guī)劃并建立一套完善的信息安全管理體系，規(guī)避企業(yè)信息安全管理的風(fēng)險，解決電力企業(yè)信息安全管理間題，提升電力企業(yè)信息安全管理水平，以確保電力信息系統(tǒng)安全、可靠、穩(wěn)定、高效地運行。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：電力企業(yè)信息安全現(xiàn)狀分析及管理對策

本文網(wǎng)址：http://www.oesoe.com/html/support/1112189378.html