電力、信息化、安全

2013-12-30 15:37:59 電力信息化　點擊量：評論 (0)

1 前言
信息技術在電力企業(yè)的生產(chǎn)運行中發(fā)揮著重要作用，特別是隨著廠網(wǎng)分開、電力市場構建，電力企業(yè)已建立起龐大復雜的調(diào)度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng)，計算機網(wǎng)絡信息系統(tǒng)成為企業(yè)日益重要的技術支持系統(tǒng)。信息安全所面臨的危險同時滲透到電力企業(yè)生產(chǎn)、經(jīng)營的各個方面。電力企業(yè)調(diào)度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng)在物理上實現(xiàn)隔離，在一定程度上保證了調(diào)度數(shù)據(jù)網(wǎng)的安全運行，避免受到來自綜合信息網(wǎng)的可能的攻擊；然而，財務、營銷、客戶管理等系統(tǒng)的網(wǎng)絡信息安全還相當薄弱。網(wǎng)絡信息安全已成為影響電力安全生產(chǎn)的重大問題。

電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障，是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠、站自動化、配電網(wǎng)自動化、電力負荷控制、電力市場交易、電力營銷、信息網(wǎng)絡系統(tǒng)等有關生產(chǎn)、經(jīng)營和管理方面的多領域、復雜的大型系統(tǒng)工程。結合電力工業(yè)特點，電力工業(yè)信息網(wǎng)絡系統(tǒng)和電力運行實時控制系統(tǒng)，分析電力系統(tǒng)信息安全存在的問題，電力系統(tǒng)信息沒有建立安全體系，只是購買了防病毒軟件和防火墻。有的網(wǎng)絡連防火墻也沒有，沒有對網(wǎng)絡安全做統(tǒng)一長遠的歸劃。網(wǎng)絡中有許多的安全隱患。

由于近十幾年計算機信息技術高速發(fā)展，計算機信息安全策略和技術也取得了非常大的進展。電力系統(tǒng)由各種計算機應用對信息安全的認識，距離實際需要差距較大，對新出現(xiàn)的信息安全問題認識不足。

電力系統(tǒng)雖然對計算機安全一直非常重視，但由于各種原因，目前還沒有一套統(tǒng)一、完善的能夠指導整個電力系統(tǒng)計算機及信息網(wǎng)絡系統(tǒng)安全運行的管理規(guī)范。

急需建立同電力行業(yè)特點相適應的計算機信息安全體系。近幾年來，計算機在整個電力系統(tǒng)的生產(chǎn)、經(jīng)營、管理等方面應用越來越多。但是，在計算機安全策略、安全技術和安全措施投入較少。所以，為保證電力系統(tǒng)安全、穩(wěn)定、高效運行，應建立一套結合電力計算機應用特點的計算機信息安全體系。

計算機網(wǎng)絡化使過去孤立的局域網(wǎng)在連成廣域網(wǎng)后，面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計算機系統(tǒng)一般都是內(nèi)部的局域網(wǎng)，并沒有同外界連接。所以，早期的計算機安全只是防止意外破壞或者內(nèi)部人員的安全控制就可以了，但現(xiàn)在就必須要面對互聯(lián)網(wǎng)上各種安全攻擊，如網(wǎng)絡病毒和電腦“黑客”等。

然而，人是信息安全中的關鍵因素，同時人也是信息安全中最薄弱的環(huán)節(jié)。當網(wǎng)絡中的硬件和軟件技術處于時代發(fā)展主流水平，升級系統(tǒng)已不能明顯提升網(wǎng)絡信息安全水平時，信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)：人。

經(jīng)常聽到這樣的信息：病毒、蠕蟲造成了嚴重的破壞，黑客獲取了信用卡的信息，大型網(wǎng)站主頁被黑等等。人們普遍認為，這是由于企業(yè)沒有安裝安全產(chǎn)品(如防火墻、入侵檢測系統(tǒng)等)造成的，而實際上有許多是由于安全管理沒有有效地實施造成的。安全管理是信息安全的核心。

2 目前電力企業(yè)網(wǎng)絡信息安全管理存在的主要問題

電力企業(yè)在網(wǎng)絡信息安全管理方面存在以下問題。

2．1 信息化機構建設尚需進一步健全

信息部門未受到應有的重視。信息部門在電力公司沒有專門機構配置，沒有規(guī)范的建制和崗位，信息部門附屬在生產(chǎn)技術部下，有的作為設在科技部下的科室，有的設在總經(jīng)理工作部門下，還有的僅設一個“信息化專責”人員。信息化作為一項系統(tǒng)工程，需要專門的機構來推動和企業(yè)各個部門的配合。這種狀況勢必不能適應信息化對人才、機構的要求。

2．2 企業(yè)管理革新滯后于信息化發(fā)展進程

相對于信息技術的發(fā)展與應用，電力企業(yè)管理革新處于落后狀況，有的企業(yè)引入了先進的業(yè)務系統(tǒng)、管理系統(tǒng)，而管理模式未能實施有效革新，最終導致了信息系統(tǒng)未能發(fā)揮預期的、應有的作用。

2．3 網(wǎng)絡信息安全管理需要成為企業(yè)安全文化的重要組成部分

電力信息網(wǎng)絡已經(jīng)深入到電力生產(chǎn)和管理的全過程，涉及電力生產(chǎn)的各個層面，電力生產(chǎn)與管理對其依賴性日益增大。目前，在電力企業(yè)安全文化建設中，信息安全管理仍然處于從屬地位，需要進行不斷努力，使之成為企業(yè)安全文化的中堅力量。
2．4 網(wǎng)絡信息安全風險的存在

電力企業(yè)網(wǎng)絡信息安全與一般企業(yè)網(wǎng)絡信息同樣具備多方面的安全風險，主要表現(xiàn)在以下幾方面：

(1) 網(wǎng)絡結構不合理

電力企業(yè)依據(jù)有關規(guī)定將網(wǎng)絡分為內(nèi)網(wǎng)和外網(wǎng)，內(nèi)外網(wǎng)實行物理隔離，但網(wǎng)絡結構都存在著一些不合理的地方。常見的有：核心交換機選擇不合理。不少企業(yè)網(wǎng)絡的核心交換機是一臺二層交換機，這樣，所有網(wǎng)絡用戶在網(wǎng)絡中的地位將是平等的，安全問題只有通過應用系統(tǒng)去解決。

(2) 來自互聯(lián)網(wǎng)的風險

幾乎所有電力企業(yè)的網(wǎng)絡都是以各種方式與互聯(lián)網(wǎng)連接，企業(yè)用戶可以直接訪問互聯(lián)網(wǎng)的資源，這給企業(yè)職工帶來很大方便；同樣，任何能上互聯(lián)網(wǎng)的用戶也可以訪問企業(yè)網(wǎng)絡的資源，這對宣傳企業(yè)、擴大企業(yè)的影響和知名度很有好處。但是，在帶來方便的同時，也帶來安全風險。

(3) 來自企業(yè)內(nèi)部的風險

對于電力企業(yè)網(wǎng)絡來說，來自內(nèi)部的風險是非常主要的安全風險。內(nèi)部人員(特別是網(wǎng)絡管理人員)對網(wǎng)絡結構、應用系統(tǒng)都非常熟悉，不經(jīng)意之間泄露的重要信息，都將可能成為導致系統(tǒng)受攻擊的最致命的安全威脅。

(4) 病毒的侵害

計算機病毒對計算機網(wǎng)絡的影響是災難性的。電子郵件系統(tǒng)的廣泛使用，使計算機病毒的擴散速度大大加快，網(wǎng)絡成了病毒傳播的最好途徑，電力企業(yè)網(wǎng)絡同樣難以幸免。因此，計算機病毒成為企業(yè)網(wǎng)絡最嚴重的安全風險之一。

(5) 管理人員素質風險

許多電力企業(yè)網(wǎng)絡都存在重建設、重技術、輕管理的傾向。實踐證明，安全管理制度不完善、人員素質不高是網(wǎng)絡風險的重要來源之一。比如，網(wǎng)絡管理員配備不當、企業(yè)員工安全意識不強、用戶口令設置不合理等，都會給信息安全帶來嚴重威脅。

(6) 系統(tǒng)的安全風險

系統(tǒng)的安全風險主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和各種應用系統(tǒng)所存在的安全風險。目前不少企業(yè)網(wǎng)絡使用的操作系統(tǒng)仍然是以Windows系列操作系統(tǒng)為主。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞，這些漏洞可以導致入侵者獲得管理員的權限，可以被用來實施拒絕服務攻擊。

3 電力企業(yè)網(wǎng)絡信息安全管理問題的成因分析

3．1 安全意識淡薄是網(wǎng)絡信息安全的瓶頸

企業(yè)人員忙于利用網(wǎng)絡工作學習，對網(wǎng)絡信息的安全性無暇顧及，安全意識相當?shù)?。電力企業(yè)注重的是網(wǎng)絡效應，對安全領域的投入和管理遠遠不能滿足安全防范的要求，網(wǎng)絡信息安全處于被動的封堵漏涮狀態(tài)。從上到下普遍存在僥幸心理，沒有形成主動防范、積極應對的全民意識，更無法從根本上提高網(wǎng)絡監(jiān)測、防護、響應、恢復和抗擊能力。

3．2 運行管理機制的缺陷和不足制約了安全防范的力度

從目前的運行管理機制來看，有以下幾方面的缺陷和不足：

(1) 網(wǎng)絡安全管理方面人才匱乏

由于技術應用的擴展，技術的管理也應同步擴展，但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能、資源和利益導向。

(2) 安全措施不到位

配置不當或過時的操作系統(tǒng)、郵件程序和內(nèi)部網(wǎng)絡都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無法發(fā)現(xiàn)和及時查堵安全漏洞。當廠商發(fā)布補丁或升級軟件來解決安全問題時，許多用戶的系統(tǒng)不進行同步升級，原因是管理者未充分意識到網(wǎng)絡不安全的風險所在，未引起重視。

(3) 缺乏綜合性的解決方案

大多數(shù)用戶缺乏綜合性的安全管理解決方案，稍有安全意識的用戶依賴升級防火墻和加密技術，產(chǎn)生虛假的安全感。實際上，一次性使用一種方案并不能保證系統(tǒng)永遠安全，網(wǎng)絡安全問題遠遠不是防毒軟件和防火墻能夠解決的，也不是大量標準安全產(chǎn)品簡單堆砌就能解決的。
4 網(wǎng)絡信息安全管理的內(nèi)容

安全管理包括風險管理、安全策略和安全教育。這3個組件是企業(yè)安全規(guī)劃的基礎。

4．1 風險管理

識別企業(yè)的信息資產(chǎn)，評估威脅這些資產(chǎn)的風險，評估假定這些風險成為現(xiàn)實時企業(yè)所承受的災難和損失。通過降低風險、避免風險、轉嫁風險、接受風險等多種風險管理方式，來協(xié)助管理部門制定企業(yè)信息安全策略。

4．2 安全策略

隨著企業(yè)規(guī)模、業(yè)務發(fā)展、安全需求的不同，信息安全策略可能各有不同。但是安全策略都應該簡單清晰、通俗易懂并直接反映主題，避免含糊不清的情況出現(xiàn)。信息安全策略是企業(yè)安全的最高方針，由高級管理部門支持，必須形成書面文檔，廣泛發(fā)布到企業(yè)所有員工手中。

4．3 安全教育

信息安全意識和相關技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實施力度將直接關系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證信息安全的成功和有效，高級管理部門應當對企業(yè)各級管理人員、用戶、技術人員進行安全培訓，所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)信息安全策略。

安全管理通過適當?shù)刈R別企業(yè)的信息資產(chǎn)，評估信息資產(chǎn)的價值，制定、實施安全策略、安全標準、安全方針、安全措施來保證企業(yè)信息資產(chǎn)的完整性、機密性、可用性，通過安全教育形成企業(yè)安全文化的重要組成部分，保障安全管理的順利實現(xiàn)。

5 加強電力企業(yè)網(wǎng)絡信息安全管理的建議

5．1 重視安全規(guī)劃

企業(yè)網(wǎng)絡安全規(guī)劃的目的就是要對網(wǎng)絡的安全問題有一個全面的思考，要以系統(tǒng)的觀點去考慮安全問題。要進行有效的安全管理，必須建立起一套系統(tǒng)全面的信息安全管理體系。這可以參照國際上通行的一些標準來實現(xiàn)，如：BS7799、IS017799、IS015408等。

5．2 合理劃分安全域

電力企業(yè)是完全實行物理隔離的企業(yè)網(wǎng)絡，在內(nèi)網(wǎng)上仍然要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全密級，從邏輯上劃分核心重點防范區(qū)域、一般防范區(qū)域和開放區(qū)域。重點防范的區(qū)域是網(wǎng)絡安全的核心，這部分區(qū)域是一般用戶不能直接訪問的區(qū)域，有很高的安全級別。各種重要數(shù)據(jù)、服務器、數(shù)據(jù)庫服務器應當放置在該區(qū)域，各種應用系統(tǒng)、OA系統(tǒng)等在該區(qū)域運行。

5．3 加強安全管理。重視制度建設

為保證企業(yè)網(wǎng)絡信息安全，要把企業(yè)網(wǎng)絡信息安全作為一個系統(tǒng)工程來考慮。因此，企業(yè)網(wǎng)絡的安全問題，安全管理和制度建設非常重要(特別是內(nèi)網(wǎng))?，F(xiàn)提出如下建議：

(1)加強日志管理與安全審計

一般的防火墻與入侵檢測系統(tǒng)都具備審計功能，要充分利用它們的審計功能，做好網(wǎng)絡的日志管理和安全審計工作。對審計數(shù)據(jù)要嚴格管理，不允許任何人修改、刪除審計記錄。

(2)建立內(nèi)網(wǎng)的統(tǒng)一認證系統(tǒng)

認證是網(wǎng)絡信息安全的關鍵技術之一，其目的是實現(xiàn)身份鑒別服務、訪問控制服務、機密性服務和不可否認服務等。

(3)建立病毒防護體系

在企業(yè)網(wǎng)絡上安裝防病毒體系。防病毒軟件系統(tǒng)要具有遠程安裝、遠程報警、集中管理等多種功能。其次，要建立防病毒的管理制度。不能隨意將互聯(lián)網(wǎng)上下載的數(shù)據(jù)往內(nèi)網(wǎng)主機上拷貝，來歷不明的移動存儲設備不能隨意在聯(lián)網(wǎng)計算機上使用，職員應熟練掌握發(fā)現(xiàn)病毒后的處置辦法。

(4)重視網(wǎng)絡管理制度建設

嚴格的管理制度，是保證企業(yè)信息網(wǎng)絡安全的重要措施之一。

1)領導應當高度重視網(wǎng)絡信息安全問題。企業(yè)領導要高度重視安全管理和安全制度的建設問題，不能把安全管理和制度建設看成是技術部門的事。企業(yè)應當成立信息安全領導小組，由分管領導抓網(wǎng)絡安全工作，并明確其職責和工作制度。要制訂安全事故處理程序、應急計劃等。

2)加強基礎設施和運行環(huán)境的管理建設。企業(yè)網(wǎng)絡的管理機構(信息中心)的機房、配電房等計算機系統(tǒng)重要基礎設施應嚴格管理，配備防盜、防火、防水等設施，應當安裝監(jiān)控系統(tǒng)、監(jiān)控報警裝置等。建立嚴格的設備運行日志，記錄設備運行狀況。要規(guī)范操作規(guī)程，確保計算機系統(tǒng)的安全、可靠運行。

3)建立必要的安全管理制度。

企業(yè)網(wǎng)絡的中心機房和各業(yè)務部門計算機系統(tǒng)都要建立計算機系統(tǒng)使用管理制度，網(wǎng)絡系統(tǒng)管理員、安全員、各業(yè)務部門主管和計算機操作人員的計算機密碼管理規(guī)定等內(nèi)控管理制度，對應用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權并由專人負責，登記El志。建立健全數(shù)據(jù)備份制度，核心程序及數(shù)據(jù)要嚴格保密，實行專人保管。

4)堅持安全管理原則。多人負責原則：兩人或多人互相配合、互相制約。從事每項安全活動，應至少兩人在場，做好工作情況記錄。任期有限原則：任何人不長期擔任與安全有關的職務。當人員離任時，應立即對系統(tǒng)進行授權調(diào)整。職責分離原則：不要打聽、了解或參與職責以外的任何與安全相關的事情，除非系統(tǒng)主管領導批準。最小權限原則：只授予用戶和系統(tǒng)管理員所需要的最基本權限，并且超級用戶的權限也應該越小越好。

5)制度的定期督導檢查。管理制度具有嚴肅性、權威性、強制性，管理制度一旦形成，就要嚴格執(zhí)行。企業(yè)應組織有關人員對管理制度進行定期督導檢查，保證制度的落實。
5．4 加強企業(yè)員工和網(wǎng)絡管理人員安全意識教育

對于網(wǎng)絡信息安全，企業(yè)員工和網(wǎng)絡管理人員的素質非常重要。

(1)在安全教育具體實施過程中應該有一定的層次性。

1)對主管信息安全工作的高級負責人或各級管理人員，重點是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制訂等。

2)對負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。

3)對企業(yè)全體職員，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。

(2)對于特定的人員要進行特定的安全培訓

對于關鍵崗位和特殊崗位的人員，通過送往專業(yè)機構學習和培訓，使其獲得特定的安全方面的知識和技能。通過安全培訓，確保在電力信息安全保障體系逐步建立的過程中，各類人員的安全意識和技術能力獲得提高，各崗位人員的技術能力和管理能力與安全保障體系的運行和維護相適應。

6 建立安全長效機制

解決網(wǎng)絡信息安全問題，技術是安全的主體，管理是安全的靈魂。加強信息安全管理，建立安全長效機制，成為電力企業(yè)安全文化的重要組成部分，其必然性由以下因素決定：

建立先進的企業(yè)安全文化。企業(yè)安全文化對企業(yè)安全生產(chǎn)工作起凝聚、協(xié)調(diào)和控制的作用。積極向上的共同價值觀、信念、行為準則是一種內(nèi)部黏結劑，是人們意識的一部分，可以使員工自覺地行動，達到自我控制和自我協(xié)調(diào)。

只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，網(wǎng)絡安全的長期性和穩(wěn)定性才能有所保證。在企業(yè)中建立安全文化，并將網(wǎng)絡信息安全管理容納到整個企業(yè)文化體系中才是最根本的解決辦法。

7 結束語

網(wǎng)絡安全是一個系統(tǒng)的，全局的管理問題，網(wǎng)絡上的任何一個漏洞，都會導致全網(wǎng)的安全問題，我們應該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術，存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當綜合應用的結果。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結構。這樣才能真正做到整個系統(tǒng)的安全。