論文摘要：分析了電力系統(tǒng)信息安全的應用與發(fā)展存在的安全風險，安全防護方案、安全肪護技術手段及在網絡安全工作中應該注意的問題，并對信息安全的解決方繁從技術和管理2個方面進行了研究，探討了保證電力實時運行控制系統(tǒng)和管理信息網絡系統(tǒng)信息安全的有關措施，同時以朝陽供電公司為例，進一步進行有針對性的剖析。

論文關鍵詞：電力;信息安全;解決方案;技術手段

1電力信息化應用和發(fā)展

目前，電力企業(yè)信息化建設硬件環(huán)境已經基本構建完成，硬件設備數(shù)量和網絡建設狀況良好，無論是在生產、調度還是營業(yè)等部門都已實現(xiàn)了信息化，企業(yè)信息化已經成為新世紀開局階段的潮流。在網絡硬件方面，基本上已經實現(xiàn)千兆骨干網;百兆到桌面，三層交換;VLAN，MPLS等技術也普及使用。在軟件方面，各應用十要包括調度自動化系統(tǒng)、生產管理信息系統(tǒng)、營銷信息系統(tǒng)、負荷監(jiān)控系統(tǒng)及各專業(yè)相關的應用子系統(tǒng)等。計算機及信息網絡系統(tǒng)在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用，安全生產、節(jié)能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益，同時也逐步健全和完善了信息化管理機制，培養(yǎng)和建立了一支強有力的技術隊伍，有利促進了電力工業(yè)的發(fā)展。

2電力信息網安全現(xiàn)狀分析

結合電力生產特點，從電力信息系統(tǒng)和電力運行實時控制系統(tǒng)2個方面，分析電力系統(tǒng)信息安全存在的問題。電力信息系統(tǒng)已經初步建立其安全體系，將電力信息網絡和電力運行實時控制網絡進行隔離，網絡間設置了防火墻，購買了網絡防病毒軟件，有了數(shù)據(jù)備份設備。但電力信息網絡的安全是不平衡的，很多單位沒有網絡防火墻，沒有數(shù)據(jù)備份的概念，更沒有對網絡安全做統(tǒng)一，長遠的規(guī)劃，網絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求，對網絡安全進行了全方位的保護，防火墻、防病毒、入侵檢測、網管軟件的安裝、VerJtas備份系統(tǒng)的使用，確保了信息的安全，為生產、營業(yè)提供了有效的技術支持。但有些方面還不是很完善，管理起來還是很吃力，給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。

3電力信息網安全風險分析

計算機及信息網絡安全意識亟待提高。電力系統(tǒng)各種計算機應用對信息安全的認識距離實際需要差距較大，對新出現(xiàn)的信息安全問題認識不足。

缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對計算機安全一+直非常重視，但由于各種原因，目前還沒有一套統(tǒng)一、完善的能夠指導整個電力系統(tǒng)計算機及信息網絡系統(tǒng)安全運行的管理規(guī)范。

急需建立同電力行業(yè)特點相適應的計算機信息安全體系。相對來說，在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統(tǒng)安全、穩(wěn)定、高效運行，應建立一套結合電力計算機應用特點的計算機信息安全體系。

計算機網絡化使過去孤立的局域網在聯(lián)成廣域網后，面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計算機系統(tǒng)一般都是內部的局域網，并沒有同外界連接。所以，早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了，但現(xiàn)在就必須要面對國際互聯(lián)網上各種安全攻擊，如網絡病毒、木馬和電腦黑客等。

數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲。電力系統(tǒng)計算機網絡中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護的數(shù)據(jù)庫中或操作系統(tǒng)文件中。以明文形式存儲的信息存在泄漏的可能，拿到存儲介質的人可以讀出這些信息;黑客可以饒過操作系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認證。電力行業(yè)應用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設計和開發(fā)，用戶身份認證基本上采用口令的鑒別模式，而這種模式很容易被攻破。有的應用系統(tǒng)還使用白己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺工作站備份一下數(shù)據(jù)就了事，沒有完善的數(shù)據(jù)備份設備、沒有數(shù)據(jù)備份策略、沒有備份的管理制度，沒有對數(shù)據(jù)備份的介質進行妥善保管。

4電力信息網安全防護方案

4.1加強電力信息網安全教育

安全意識和相關技能的教育是企業(yè)安全管理中重要的內容，其實施力度將直接關系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效，高級管理部門應當對企業(yè)各級管理人員、用戶、技術人員進行安全培訓。所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。

主管信息安全工作的高級負責人或各級管理人員，重點是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。

信息用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續(xù)的進行。在企業(yè)中建立安全文化并納入整個企業(yè)文化體系中才是最根本的解決辦法。