簡論電力企業信息安全策略選擇

吳明珠 魏鵬飛

[摘要]隨著電力企業信息化應用的深化，信息安全問題也迫切地擺在電力信息管理部門的面前，信息安全成為電力企業健康發展的一個重要因素。探討目前電力企業信息化建設的現狀，分析在信息化應用中的安全隱患，并提出相應的安全策略選擇。

[關鍵詞]電力信息安全現狀策略

中圖分類號：TM7文獻標識碼：A文章編號：1671—7597(2009)1020088--01

伴隨網絡技術和通信技術的發展，企業信息網絡的電力控制及業務應用系統越來越多。特別是隨著電力企業業務不斷精細化以及電力市場的不斷擴大，信息化在電力企業不斷深化，要求在調度中心與電廠、營銷中心與用戶、各部室之間等進行的數據交換也越來越頻繁，特別是已經使用的辦公自動化系統、農網生產管理系統、營銷系統、財務系統及即將上線運行的ERP推廣使用后，信息安全越來越重要。

一、電力企業信息網絡系統的安全主要表現

目前我國電力企業信息網絡系統的安全主要表現在四個層面，即物理安全、網絡安全、信息安全、用戶安全。

物理安全風險。物理安全是指各種服務器、路由器、交換機、工作站等硬件設備和通信鏈路的安全。風險的來源有：水災、火災、雷擊等自然災害，人為的破壞或誤操作，外界的電磁干擾，設備固有的弱點或缺陷等。

網絡安全風險。開放的網絡容易受到來自外網的各種攻擊和威脅。入侵者可以利用各種工具掃描網絡及系統中存在的安全漏洞，并通過一些攻擊程序對網絡進行惡意攻擊，這樣的危害可以造成網絡的癱瘓，系統的拒絕服務，信息的被竊取、篡改等。

系統安全風險。在電力企業的信息系統中，包含的設備主要有各類服務器系統和路由器／交換機系統。在服務器上主要有操作系統、數據庫系統和其他應用系統。這些系統都或多或少地存在著各種各樣的“后門”和漏洞，這些都是重大的安全隱患。一旦被利用并攻擊，將帶來不可估量的損失。

用戶安全風險。用戶安全是指如何防止內部人員對網絡和系統的攻擊及誤用等。

二、電力系統的信息安全策略

信息安全指的是為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完整性、可用性、真實性、可靠性、責任性等幾個方面。

(一)設備安全策略

這是在企業網規劃設計階段就應充分考慮安全問題。將一些重要的設備，如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止意外損壞。對于終端設備，如工作站、小型交換機、集線器和其它轉接設備要落實到人，進行嚴格管理。

(二)安全技術策略

為了達到保障信息安全的目的，要采取各種安全技術，其不可缺少的技術層措施如下：

1、防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術，它通過單一集中的安全檢查點，強制實施相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問。

2、病毒防護技術。為免受病毒造成的損失，必須在信息系統的各個環節采用全網全面的防病毒策略。在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理，建立較完善的管理制度，才能有效的防止和控制病毒的侵害。

3、數據與系統備份技術。電力企業的數據庫必須定期進行備份，按其重要程度確定數據備份等級，配置數據備份策略，建立企業數據備份中心，采用先進災難恢復技術，對關鍵業務的數據與應用系統進行備份。制定詳盡的應用數據備份和數據庫故障恢復預案，并進行定期預演。確保在數據損壞或系統崩潰的情況下能快速恢復數據與系統，從而保證信息系統的可用性和可靠性。

4、安全審計技術。隨著系統規模的擴展與安全設施的完善，應該引入集中智能的安全審計系統，通過技術手段，實現自動對網絡設各日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計，及時自動分析系統安全事件，實現系統安全運行管理。

另外，虛擬局域網技術(VLAN技術)及建立信息安全身份認證體系也同樣重要。

(三)組織管理策略

信息安全是技術措施和組織管理措施的統一，“三分技術、七分管理”。據統計，在所有的計算機安全事件中，屬于管理方面的原因比重高達70％以上。

1安全意識與安全技能。通過普及安全知識的培訓，可以提高電力企業職員安全知識和安全意識，使他們具備一些基本的安全防護意識和發現解決某些常見安全問題的能力。通過專業安全培訓提高操作維護者的安全操作技能，然后再配合第三方安全技術和產品，將使信息安全保障工作得到提升。

2安全策略與制度。電力企業應該從企業發展角度對整體的信息安全工作提供方針性指導，制定一套指導性的、統一的安全策略和制度。沒有標準，無法衡量信息的安全；沒有法規，無從遵循信息安全的制度；沒有策略，無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化，是法規與管理的接口和信息安全得以實現的重要保證。

3安全組織與崗位。電力企業的組織體系應實行“統一組織、分散管理”的方式，建立一個有效、獨立的信息安全部門作為企業的信息安全管理機構，全面負責企業范圍內的信息安全管理和維護工作。安全崗位是信息系統安全管理機構，根據系統安全需要設定的負責某一個或某幾個安全事務的職位，崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業范圍內形成信息安全管理的專一工作，使各級信息技術部門也因此會很好配合信息安全推行工作。

三、結束語

安全是一個相對的概念，計算機及信息網絡系統和計算機應用實時控制系統的作用主要是使企業高效運作，優化運行，可根據實際需要，確定合理的信息安全措施。要妥善處理好安全與運行質量性能的關系，規范、標準、合理的安全措施可提高系統的運行效果。電力系統信息安全是一個系統的、全局的管理問題，我們應該用系統工程的觀點、方法，分析信息的安全及具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結果，只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即信息安全應遵循整體安全性原則，根據規定的安全策略制定出臺理的信息安全體系結構，這樣才能真正做到整個系統的安全。