關于電力企業(yè)信息安全問題的思考電力論文

2014-12-11 23:17:49 大云網　點擊量：評論 (0)

摘要:根據電力企業(yè)面臨的安全風險和問題,本文提出了信息安全工作開展的一般原則,從信息安全技術上和安全管理上提出了解決安全問題的思路和方法,最后闡述了信息安全問題隨技術和應用的發(fā)展而發(fā)展,應在發(fā)展中求安

摘要:根據電力企業(yè)面臨的安全風險和問題,本文提出了信息安全工作開展的一般原則,從信息安全技術上和安全管理上提出了解決安全問題的思路和方法,最后闡述了信息安全問題隨技術和應用的發(fā)展而發(fā)展,應在發(fā)展中求安全的觀點。

　　關鍵詞:信息安全管理對策

　　信息安全隨著信息技術的發(fā)展而產生,并且其重要性日益凸現出來,信息安全的內涵也隨著計算機技術的發(fā)展而不斷變化,進入二十一世紀以來,信息安全的重點放在了保護信息,確保信息在存儲,處理,傳輸過程中及信息系統(tǒng)不被破壞,確保對合法用戶的服務和限制非授權用戶的服務,以及必要的防御攻擊的措施。即強調信息的保密性、完整性、可用性、可控性。

　　一、電力企業(yè)信息安全風險分析

　　隨著企業(yè)的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業(yè)的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。

　　1、電力公司信息安全的主要風險分析

　　信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統(tǒng)面臨的主要風險存在于如下幾個方面:

　　（1）計算機病毒的威脅最為廣泛：計算機病毒自產生以來,一直就是計算機系統(tǒng)的頭號敵人,在電力企業(yè)信息安全問題中,計算機病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統(tǒng)數據和文件系統(tǒng)破壞,系統(tǒng)無法提供服務甚至破壞后無法恢復,特別是系統(tǒng)中多年積累的重要數據的丟失,損失是災難性的。

　　在目前的局域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區(qū)域內所有單位的計算機系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網絡尚未聯通之時相比,高出幾個數量級。

　　（2）網絡安全問題日益突出：企業(yè)網絡的聯通為信息傳遞提供了方便的途徑。企業(yè)有許多應用系統(tǒng)如:辦公自動化系統(tǒng),用電營銷系統(tǒng),遠程教育培訓系統(tǒng)等,通過廣域網傳遞數據。企業(yè)開通了互聯網專線寬帶上網,企業(yè)內部職工可以通過互聯網方便地收集獲取信息,發(fā)送電子郵件等。

　　網絡聯通也帶來了網絡安全問題。企業(yè)內部廣域網上的用戶數量多且難于進行管理,互聯網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統(tǒng)和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統(tǒng)和數據,盜取企業(yè)商業(yè)秘密和機密信息,非法使用網絡資源等,給企業(yè)造成巨大的損失。更有極少數人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。

　　如何加強網絡的安全防護,保護企業(yè)內部網上的信息系統(tǒng)和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業(yè)面臨的一個非常突出的安全問題。

　　（3）信息傳遞的安全不容忽視：隨著辦公自動化,財務管理系統(tǒng),用電營銷系統(tǒng)等生產,經營方面的重要系統(tǒng)投入在線運行,越來越多的重要數據和機密信息都通過企業(yè)的內部廣域網來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關公司都有著許多的工作聯系,日常許多信息,數據都需要通過互聯網來傳輸。

　　網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業(yè)機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產經營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

　　（4）用戶身份認證和信息系統(tǒng)的訪問控制急需加強：企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用,信息系統(tǒng)中包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統(tǒng)中都設計了用戶管理功能,在系統(tǒng)中建立用戶,設置權限,管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強系統(tǒng)的安全性。但在實際應用中仍然存在一些問題。

　　一是部分應用系統(tǒng)的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統(tǒng)沒有一個統(tǒng)一的用戶管理,企業(yè)的一個員工要使用到好幾個系統(tǒng)時,在每個應用系統(tǒng)中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。

　　如何為各應用系統(tǒng)提供統(tǒng)一的用戶管理和身份認證服務,是我們開發(fā)建設應用系統(tǒng)時必須考慮的一個共性的安全問題。

　　（5）實時控制系統(tǒng)和數據網絡的安全至關重要：電網的調度指揮,自動控制,微機保護等領域的計算機應用在電力企業(yè)中起步早,應用水平高,不但實現了對電網運行狀況的實時監(jiān)視,還實現了對電網一次設備的遙控,遙調以及保護設備的遠方管理。隨著數據網的建設和應用,這些電網監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數據轉移到通過數據網絡來傳送數據和下發(fā)控制指控令。由于這些計算機系統(tǒng)可以直接管理和操作控制電網一次設備,系統(tǒng)的安全可靠,數據網的安全可靠,信息指令傳輸的實時性等直接關系著電網的安全,其安全等級要求高于一般的廣域網系統(tǒng)。

　　同時,這些電網控制和監(jiān)視系統(tǒng)中的許多信息又是生產指揮,管理決策必不可少的,需要通過和生產管理局域網互聯,將數據傳送生產管理信息系統(tǒng)中,供各級領導和各專業(yè)管理人員察看,使用。數據網和生產管理局域網的互聯帶來了不同安全等級的網絡互連的安全問題。

　　（6）電子商務的安全逐步提上議事日程：隨著計算機信息系統(tǒng)在電力市場,用電營銷,財務管理等業(yè)務中的深入應用,電子商務在電力企業(yè)的應用開始起步。例如:電力市場系統(tǒng)中發(fā)電廠和電網公司之間的報價,電力交易,電費結算等都將通過計算機信息系統(tǒng)來實現和完成,這可以視為電子商務中常提到的B2B模式。用電營銷系統(tǒng)中的電費計費結算,用戶買電交費,銀電聯網代收電費等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務中的B2C模式;以后還有物資采購等方面的電子商務系統(tǒng)。

　　隨著電子商務在電力企業(yè)中的應用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務安全問題也會越來越突出。

　　二、解決信息安全問題的基本原則

　　統(tǒng)籌規(guī)劃,分步實施。要建立完整的信息安全防護體系,絕不能一哄而上,必須分清需求的輕重緩急,根據信息化建設的發(fā)展,結合信息系統(tǒng)建設和應用的步伐,統(tǒng)一規(guī)劃,分步建設,逐步投資。

　1、做好安全風險的評估。進行安全系統(tǒng)的建設,首先必須做好安全狀況評估分析,評估應聘請專業(yè)信息安全咨詢公司,并組織企業(yè)內部信息人員和專業(yè)人員深度參與,全面進行信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成后還要定期評估和改進。

　　信息安全系統(tǒng)建設著重點在安全和穩(wěn)定,應盡量采用成熟的技術和產品,不能過分求全求新。

　　培養(yǎng)信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統(tǒng)建設同步進行,才能真正發(fā)揮信息安全防護系統(tǒng)和設備的作用。

　　2、采用信息安全新技術,建立信息安全防護體系

　　企業(yè)信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統(tǒng)先實施

3、計算機防病毒系統(tǒng)

　　計算機防病毒系統(tǒng)是發(fā)展時間最長的信息安全技術,從硬件防病毒卡,單機版防病毒軟件到網絡版防病毒軟件,到企業(yè)版防病毒軟件,技術成熟且應用效果非常明顯。防病毒軟件系統(tǒng)的應用基本上可以防治絕大多數計算機病毒,保障信息系統(tǒng)的安全。

　　在目前的網絡環(huán)境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統(tǒng)平臺,多種應用平臺殺毒的企業(yè)版殺毒軟件,是電網公司這樣的大型企業(yè)的首選。個人版本的殺毒軟件適合家庭,小規(guī)模用戶。

　　4、網絡安全防護系統(tǒng)

　　信息資源訪問的安全是信息安全的一個重要內容,在信息系統(tǒng)建設的設計階段,就必須仔細分析,設計出合理的,靈活的用戶管理和權限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。

　　對于已經投入使用的信息系統(tǒng),可以通過采用增加安全訪問網關的方法,來增強原有系統(tǒng)的用戶管理和對信息資源訪問的控制,以及實現單點登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動原來的系統(tǒng),實施的技術難度相對小一些。對于新建系統(tǒng),則最好采用統(tǒng)一身份認證平臺技術,來實現不同系統(tǒng)通過同一個用戶管理平臺實現用戶管理和訪問控制。

　　5、開展信息安全專題研究,為將來的應用做好準備

　　電網實時監(jiān)視與控制系統(tǒng)的安全問題要求更高,技術難度更大,應開展專題研究。

　　國家有關部門和電力企業(yè)對電網實時監(jiān)視與控制系統(tǒng)的安全問題高度重視,專門發(fā)文要求確保電網二次系統(tǒng)的計算機和網絡系統(tǒng)的安全,要實現調度控制系統(tǒng),數據網與其他生產管理系統(tǒng)和網絡的有效隔離,甚至是物理隔離。

　　6、電子商務安全需要深入研究和逐步應用

　　電子商務的安全牽涉很多方面,包括嚴格,安全的身份的認證技術,對涉及商業(yè)機密的信息實現加密傳輸,采取數字簽名技術保證合同和交易的完整性及不可否認性等。這些方面又與信息安全基礎技術平臺密切相關,因此安全基礎平臺的建設對于電子商務的安全應用是至關重要的。目前已經有電子商務的應用系統(tǒng)投入在線使用,我們必須加快對電子商務的安全的研究和應用,否則將來會出現因電子在線交易不安全,不可靠的而導致電子商務系統(tǒng)無人敢用的局面。

　　7、依據法規(guī),遵循標準,提高安全管理水平

　　信息安全的管理包括了法律法規(guī)的規(guī)定,責任的分化,策略的規(guī)劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術"的說法不是很精確,但管理的作用可見一斑。

　　三、解決信息安全問題的思路與對策

　　電力企業(yè)的信息安全管理相對來說還是一個較新的話題,國內其他電力企業(yè)也在積極研究和探討,以下是一些粗淺的看法。

　　1、依據國家法律,法規(guī),建立企業(yè)信息安全管理制度

　　國家在信息安全方面發(fā)布了一系列的法律法規(guī)和技術標準,對信息網絡安全進行了明確的規(guī)定，并有專門的部門負責信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國家發(fā)布的這些法律法規(guī)和技術標準,企業(yè)也必須依據這些法律法規(guī),來建立自己的管理標準,技術體系,指導信息安全工作。學習信息安全管理國際標準,提升企業(yè)信息安全管理水平

　　國際上的信息技術發(fā)展和應用比我們先進,在信息安全領域的研究起步比我們更早,取得了很多的成果和經驗,我們可以充分利用國際標準來指導我們的工作,提高水平,少走彎路。

　　信息安全是企業(yè)信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設機構,明確領導,設立專責人長期負責信息安全的管理工作和技術工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。

　　2、開展全員信息安全教育和培訓活動

　　安全意識和相關技能的教育是企業(yè)安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應當對企業(yè)各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。

　　開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業(yè)信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。

　　3、充分利用企業(yè)網絡條件,提供全面,及時和快捷的信息安全服務

　　山東省電力公司廣域網聯通了系統(tǒng)內的各個二級單位,各單位的局域網全部建成,在這種良好的網絡條件下,作為省公司一級的信息安全技術管理部門應建立計算機網絡應急處理的信息發(fā)布與技術支持平臺,發(fā)布安全公告,安全法規(guī)和技術標準,提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓,并為用戶提供一個相互交流經驗的場所。網絡方式的信息服務突破了時間,空間和地域的限制,是信息安全管理和服務的重要方式。

　　4、在發(fā)展中求安全

　　沒有百分之百安全的技術和防護系統(tǒng)黑客技術,計算機病毒等信息安全攻擊技術在不斷發(fā)展的,人們對它們的認識,掌握也不是完全的,安全防護軟件系統(tǒng)由于技術復雜,在研制開發(fā)過程中不可避免的會出現這樣或者那樣的問題,這勢必決定了安全防護系統(tǒng)和設備不可能百分百的防御各種已知的,未知的信息安全威脅。

　　不是所有的信息安全問題可以一次解決

　　人們對信息安全問題的認識是隨著技術和應用的發(fā)展而逐步提高的,不可能一次就發(fā)現所有的安全問題。信息安全生產廠家所生產的系統(tǒng)和設備,也僅僅是滿足某一些方面的安全需求,不是企業(yè)有某一方面的信息安全需求,市場上就有對應的成熟產品,因此不是所有的安全問題都可以找到有效的解決方案。

　　5、解決信息安全問題不可能一勞永逸

　　企業(yè)的信息化應用是隨著企業(yè)的發(fā)展而不斷發(fā)展的,信息技術更是日新月異的發(fā)展的,安全的需求也是逐步變化的,新的安全問題也不斷產生,原來建設的防護系統(tǒng)可能不滿足新形勢下的安全需求,這些都決定了信息安全是一個動態(tài)過程,需要定期對信息網絡安全狀況進行評估,改進安全方案,調整安全策略。信息安全是一個伴隨著企業(yè)信息化應用發(fā)展而發(fā)展的永恒課題。