信息生存環(huán)境高速擴張要求消滅獨善其身的條塊分割

如果從“信息不安全會怎樣？”這個角度去審視整個電力行業(yè)的信息安全，也許更能看清電力行業(yè)相較于其他行業(yè)表現(xiàn)出的特殊需求和較大不同。眾所周知，電力產(chǎn)品在發(fā)調輸配供各個環(huán)節(jié)無縫銜接，具有不可存儲、不可中斷、瞬間并發(fā)完成等特點，這種連續(xù)性毫無疑問正是電力行業(yè)的特殊需求。如何保證不因信息安全而影響生產(chǎn)過程，杜絕發(fā)生中斷、遲滯、崩潰等重大安全事故，理所當然成為信息安全在電力行業(yè)最有別于其他行業(yè)的需求動力。

隨著信息時代的電力變革日益深入，集團化的集權管控改變了電力信息化進程中分泌的各種信息孢子的生存模式及生存環(huán)境，信息安全的界標已經(jīng)遠遠溢出一廠一所一處，擴展漫延至幾乎整個電力全業(yè)務流程。多組織、多地域、多體制的生產(chǎn)經(jīng)營架構之下，信息生存環(huán)境急劇擴張，私有專用的環(huán)境理應逐漸消失，代之以一個更具服務特性的公用、共用、借用環(huán)境。因此，與其他行業(yè)相比，電力行業(yè)的信息安全始終并永遠如利劍高懸，情形之權重堪與電力企業(yè)生命周期并存。正是在這樣的背景之下，不可被攻入的信息環(huán)境安全首當其沖成為要中之要，不可被篡改的信息內容安全成為重中之重。

面對層出不窮的信息安全產(chǎn)品以及不斷創(chuàng)新的信息安全解決方案，電力企業(yè)卻表現(xiàn)出令人無法理解的漠視與冷靜。在這種漠視與冷靜的背后，隱藏著的并非是對安全產(chǎn)品及解決方案的單純質疑，而是對于自身內外安全環(huán)境的言行割裂以及某種程度上的安全漠視。例如，關于行業(yè)層面的信息環(huán)境通盤安全考慮喊的多落地少，每個業(yè)務、每個環(huán)節(jié)都在各立門戶，各自要求、各掃門前雪。典型例子如國家電網(wǎng)陸續(xù)頒布過一系列規(guī)定和文件，其目的主要側重于如何保證生產(chǎn)過程的安全；電力行業(yè)的系統(tǒng)設置按照國網(wǎng)分區(qū)要求建設，各大區(qū)之間必須執(zhí)行嚴格規(guī)定，生產(chǎn)大區(qū)與管理大區(qū)之間必須使用單向隔離網(wǎng)閘等等，這樣導致邊界防護與分區(qū)隔離這類安全產(chǎn)品在電力行業(yè)每一個跨網(wǎng)業(yè)務系統(tǒng)中都不可思議地各自大行其道。既有防火墻、入侵檢測、單向網(wǎng)閘、網(wǎng)關、漏洞掃描等產(chǎn)品不斷涌入，還有防病毒、補丁、代理、行為管理等產(chǎn)品紛紛上線。看似安全環(huán)境堅如磐石，卻將末端的信息系統(tǒng)整體安全分割得支離破碎。

與日俱增的信息等保密級管理不能以阻礙信息共享為代價

沒有信息也就沒有信息化，信息安全便猶如皮毛之附。然而說到底，正是由于信息環(huán)境和信息內容具備某種特殊使用價值并可以達到某種目的，才會出現(xiàn)信息安全之憂。信息論認為，有用的數(shù)據(jù)才叫信息。當缺少量綱和單位的時候，數(shù)據(jù)只是數(shù)字，同一個數(shù)字在行業(yè)間是等同的，這沒有任何意義。就信息本身而言，行業(yè)差別的含義更多表現(xiàn)于行業(yè)的自身發(fā)展以及行業(yè)對社會的影響差異化，通過量綱與單位予以表達。

我們不妨將一個企業(yè)分泌的信息孢子分成相對的兩大類：面向公眾的“公開信息”和面向內部的“封閉信息”。從這個角度討論信息安全，公開信息所面臨的安全隱患主要表現(xiàn)為信息真實性的安全問題，而面向內部的“封閉信息”所面臨的安全隱患表現(xiàn)為管控真實性的問題。事實上，電力企業(yè)生產(chǎn)的信息大部分“自產(chǎn)”、“自銷”、“自用”。通常的安全策略包括：訪問互聯(lián)網(wǎng)策略、用戶認證策略、保密策略、專網(wǎng)專用策略等；對安全產(chǎn)品的選擇標準無外乎企業(yè)資質、國家標準、行業(yè)標準以及品牌，或者產(chǎn)品成熟度、性價比及售后服務與技術支持等。類似半導體二極管，電力企業(yè)從外界獲取的信息無論在質和量上經(jīng)常遠遠超過其對外部貢獻的信息質與量。從某種角度上說，盡管電力企業(yè)對待邊界防護的態(tài)度與其他行業(yè)并沒太大區(qū)別，但在內部管控方面卻體現(xiàn)出較高的半軍事化思路，以至于過度的安全管理成為信息共享的瓶頸。

相對于銀行、電信，電力行業(yè)經(jīng)營管理信息化程度相對較弱，但對計劃指標、財務指標、生產(chǎn)指標這類生產(chǎn)經(jīng)營信息更為重視，分等級采取不同的保護措施已經(jīng)尉然成風?？紤]到生產(chǎn)過程的不可訪問性，電力行業(yè)生產(chǎn)過程信息化程度與其他制造業(yè)相比，也慢了半拍。盡管其數(shù)據(jù)因其瞬時性對外人而言并沒有多大意義，但對同行之間競爭卻也不無價值。每個電力企業(yè)都希望了解到同行的生產(chǎn)指標、經(jīng)營指標，這是信息使用價值之所在，也是維護一個公平公開公正的競爭環(huán)境所需要的。這是不可爭辯也很難改變的事實。也許，未來幾年，無論認證、保密、防火、防水、行為治理、等級、容災建設、風險控制，抑或分區(qū)隔離或者虛擬網(wǎng)絡，對大多數(shù)電力企業(yè)而言，信息安全的重點仍主要還將集中于邊界防范與內部管控，然而這種單向開放卻又相對封閉的特點令信息的使用價值大打折扣，當信息變成只為少數(shù)人一次性服務，而沒有變成行業(yè)知識為更多人、更多系統(tǒng)共享的時候，信息的存在還有什么價值呢？對全方位、全面的信息安全意識、文化和體系的建設，對如何挖掘與使用信息的價值與使用價值，使其與業(yè)務融合，使其供行業(yè)共享，產(chǎn)生應有的效益，還有漫長的路要走。

我們應該正確而客觀地審視已經(jīng)不再是一廠一所一處的電力行業(yè)信息安全環(huán)境。如果我們勢必要實現(xiàn)數(shù)字化電力、打造國際一流的電力企業(yè)這一宏偉夢想，就勢必不能漠視眼前日益嚴峻的信息安全環(huán)境，更不能漠視日益激烈的市場環(huán)境下內部信息價值及其使用價值的競爭。雖然目前電力行業(yè)對信息安全的重視程度較以往已經(jīng)有了很大提高，但對信息安全的認識程度及相對投入比例依然存在一定的差距，與嚴格的安全管理要求相比，很多信息安全投入事實上是迫不得已而為之。我們并非一定要追逐最新的安全技術和策略，但也不能在一棵樹上吊死，也會考慮產(chǎn)品的可更換性，即盡量減少任何變故帶來的巨額更替成本。

態(tài)度決定一切。造成這些現(xiàn)象的原因林林總總，消解價值相悖的安全投入觀還需要假以時日。面對電力行業(yè)信息安全新挑戰(zhàn)，我們有必要提高我們的信息安全意識，也更有必要建設一個有利于信息生存的安全文化環(huán)境。打破縱向業(yè)務壁壘，實現(xiàn)橫向業(yè)務融合，釋放信息使用價值，進而保證電力行業(yè)及其信息化進程的可持續(xù)發(fā)展，也許是信息安全的最大價值。