程序等，造成企業(yè)內部網絡存在入侵者可利用的缺陷。當廠商通過發(fā)布補丁或升級軟件來解決安全問題時，許多用戶系統不進行同步升級，原因是管理者未充分意識到網絡不安全的風險所在，未引起重視。有些信息系統采用開放的操作系統，安全級別低，又沒有附加安全措施，難以抵御黑客和信息炸彈的攻擊。

2.2.2企業(yè)信息管理革新明顯滯后技術發(fā)展

相對于信息技術的發(fā)展與應用，電力企業(yè)管理革新處于落后狀況。有的企業(yè)引入了先進的業(yè)務系統、管理系統，而管理模式未能實施有效革新，最終導致了信息系統未能發(fā)揮預期的、應有的作用。由于信息安全工作具有專業(yè)性強，知識面廣的特點，目前電力企業(yè)從事信息安全管理工作的技術人才顯得相對缺乏。

2.2.3用戶身份認證和訪問控制不夠

在實際應用中，電力企業(yè)部分應用系統的用戶權限管理功能過于簡單，不能靈活實現更細的權限控制;部分應用系統沒有一個統一的用戶管理，無法保證賬號的有效管理和安全;同時因缺乏嚴格的驗證機制，導致非法用戶使用關鍵業(yè)務系統;不同業(yè)務系統之間缺少較細粒度的訪問控制。

2.2.4企業(yè)工作人員安全意識淡薄

企業(yè)人員忙于利用網絡工作學習，對網絡信息的安全性無暇顧及，安全意識淡薄。電力企業(yè)注重的是網絡效應，對安全領域的投入和管理不能滿足安全防范的要求，網絡信息安全處于被動的封堵漏捌狀態(tài)。工作人員安全意識不強，如共用口令、隨意復制及傳播企業(yè)內部信息等，增加了黑客進攻的機會和信息泄露的風險，這都將給企業(yè)網絡信息安全埋下隱患。

2.2.5企業(yè)信息資產管理風險較高

信息資產的高風險性源自于信息資產傳播的低成本性。在激烈競爭的市場環(huán)境中信息資產的安全風險較高。一般來說，信息資產經常處于公共的介質中或處于流動狀態(tài)，這就使信息資產的復制成本較低，從而導致企業(yè)擁有和控制的信息資產的安全性很差。沒有安全保障的信息資產，談不上資產價值。信息資產具有工程性和社會性的軟硬屬性，短期無法量化，價值的確認存在風險，管理的過程中也存在類似風險。

3 電力企業(yè)信息安全管理對策

3.1建立信息安全管理組織架構

電力企業(yè)信息安全管理可按照“誰主管誰負責，誰運營誰負責”原則，實行統一領導、分級管理。信息安全領導小組由企業(yè)的決策層組成。信息安全工作小組由企業(yè)各部門管理成員組成，是企業(yè)信息安全工作的管理層。信息安全執(zhí)行層包含信息安全規(guī)劃、信息安全監(jiān)督審計、信息安全運行保障等職能小組和企業(yè)各業(yè)務支撐部門。企業(yè)信息安全實行專業(yè)化管理，進行監(jiān)督。圖1是一個典型的電力企業(yè)信息安全管理組織架構。

3.2構建信息安全管理體系框架

電力企業(yè)信息安全管理體系可建立在信息安全模型與電力信息化的基礎上，分為信息安全策略、安全管理、安全運行、安全技術措施4個模塊，信息安全管理通過安全運行實現，安全技術作為信息安全的基礎支撐，可輔助實現安全管理和運行安全。典型電力企業(yè)信息安全管理體系框架如圖2所示。

3.3確立企業(yè)信息安全防護策略

在管理信息系統安全防護策略方面：進行雙網雙機管理，將信息網劃分為信息內網和信息外網，內外網間采用邏輯強隔離裝置進行隔離，內外網分別采用獨立的服務器及桌面終端;根據業(yè)務系統類型，進行安全域劃分，以實現不同安全域的獨立化、差異化防護;將各安全域的信息系統劃分為邊界、網絡、主機、應用四個層次進行縱深防御的安全防護措施設計。

在電力二次系統安全防護策略方面：將電力企業(yè)內部基于計算機和網絡技術的應用系統，原則上劃分為生產控制區(qū)和管理信息區(qū);建立電力調度數據網專用網絡，承載電力實時控制、在線生產交易等業(yè)務;采用不同強度的安全設備隔離各安全區(qū)，在生產控制區(qū)與管理信息區(qū)之間設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。

3.4加強信息安全管理制度建設

3.4.1信息安全管理基本制度

建立計算機系統使用管理制度，對應用系統重要數據的修改，需要經過授權并由專人負責并登記日志。建立資產管理制度，根據資產重要程度對資產進行標識和管理。建立健全變更管理制度，保證所有與外部系統的連接均得到授權和批準。建立和執(zhí)行密碼使