淺析供電企業信息安全管理建設

摘要：近年來，國家主管部門對我國企業信息安全工作非常重視，各主要企業也都投入了大量人力、物力，開展信息系統安全建設工作，有效提升了信息安全水平。電力信息系統安全是電網安全運行的保障，本文針對我國電力企業信息管理存在的主要問題，提出幾點提高電力信息系統安全管理的措施和方法。

關鍵詞：信息安全 建設

隨著電網的發展和科技進步，電力信息化工作也有了突飛猛進的發展。由于Internet是一個開放性的、非可信的網絡，2006年以來，國家電網公司高度重視信息化建設，提出了建設SG186工程的總體要求，即在一體化信息平臺基礎上構建八大業務管理應用系統，并通過六項保障體系建設，保證信息化建設的成效，從而建成“縱向貫通、橫向集成”的企業級信息系統，實現信息化企業，為集團化運作、集約化發展、精益化管理、標準化建設提供有力支撐。

雖然SG186工程建設以來，信息系統在整個電力系統的生產、經營、管理等方面應用越來越多，但在計算機安全策略、安全技術、和安全措施投入較少。因此解決依托Internet的信息系統的安全將是一個非常復雜的系統工程，要求必須建立完整的、可管理的安全體系。電力行業作為國民經濟的基礎性行業，電力系統的安全運行直接關系到國民經濟的持續發展，所以供電企業信息安全管理建設刻不容緩。

1 信息安全的基本特性

①機密性，確保信息僅對被授權者可用。

②完整性，指數據不以未經授權方式進行改變或損壞的的特性。

③可用性，是保證信息及信息系統確定為授權使用者所用。

④可控性，可以控制授權訪問內的信息流向以及方式。

⑤可審性，具有信息的責任需求，在電力信息系統安全中是重要的。

⑥不可抵賴性，包括證據的生成、驗證和記錄，以及在解決糾紛時隨即進行的證據恢復和再次驗證。

2 我國供電企業信息化發展的優勢與存在的主要問題

2.1 我國信息化優勢主要表現在以下幾方面：

2.1.1 電力行業相比其他行業的信息化較為領先。各電力公司使用計算機的比率接近100%。

2.1.2 SG186一體化信息平臺是基于基礎信息網絡，建設企業門戶、數據中心、數據交換、應用集成等基礎信息基礎平臺，實現應用系統集成與整合、數據的縱向傳遞與橫向交換、數據的分析挖掘與展現、統一用戶身份管理與待辦業務管理。

一直以來電網的信息化應用程度比較高，基礎設施比較完善，對管理信息化工作也比較重視，IT應用水平比較高，國家電網公司的“SG186工程”將會使各網省公司與總公司協調一致，對信息化工作進一步重視起來，把信息化工作提升到一個相當的高度。

2.1.3 目前省電力調度機構全部建立SCADA系統，電網的三級調度實現了自動化。

我國電廠、電力調度的自動化水平達到國際先進水平。各發電集團把信息系統管理建設放到了重要位置，借助信息化推動電力工業現代化。

2.2 我國供電企業信息化存在的主要問題：

存在網絡信息安全風險，影響因素大體可分為以下幾種：

2.2.1 自然環境及不可抗拒因素：因水災、雷電等災害性事故引發的網絡中斷、數據被毀等。

2.2.2 物理設備風險：大量地使用了網絡設備，如路由器等，這些設備的自身安全性也會直接影響到網絡應用的正常運轉。

2.2.3 人為及管理因素：工作人員的素質、職業道德是其中重要因素。建立過錯善的法律法規，防止人為破壞和管理的漏洞。

2.2.4 數據庫安全風險：供電企業和調度中心的電力監控系統不得與辦公信息網絡直接連接，必須加裝經國家有關部門認證的安全隔離設施，電力調度數據網絡應在專用通道上利用專用設備組網，必須保證物理層面上與公用信息網絡安全隔離。

2.2.5 電磁干擾因素：信息在傳送過程中會產生電磁干擾，可能會造成信息泄漏。

3 信息系統安全管理建設幾點建議

3.1 全面提高職工的信息安全知識素質，加強安全文化建設，提高人員信息安全意識，提升防患水平，防微杜漸。對于信息安全工作的開展，不是系統管理部門的事，也不是系統使用部門的事，而是全體員工的事，必須要提高全體員工的信息安全意識。通過培訓和考核等措施，提高員工對公司信息安全的認識，讓信息安全成為業務開展的一部分，才能有效提高公司整體信息安全水平，也是信息安全工作得到有效的支持和推進。21世紀將是知識經濟的發展時代，知識經濟時代對電力企業安全文化建設提出了新的更高的要求，電力企業只有加強安全文化建設，才能適應知識經濟時代的發展。

3.2 由硬性管理知識向知識型管理轉變，如同其他管理工作一樣，安全管理也是管理者向被管理者實施控制的過程，管理多采用硬性的管理手段。在知識經濟時代，安全管理以知識管理為主，安全知識成為聯結管理者與被管理者的中間鏈條，安全管理決策和手段也將越來越知識化、智能化和數字化，推動信息安全管理活動不斷邁上新的臺階。

3.3 采用系統授權，防止非法用戶進入系統，根據用戶不同的級別擁有的權限對用戶的活動進行限制。同時應投入資金開展安全審計、安全技術督查活動。信息安全不是一蹴而就的事，也并不是短期工作就能達到較高水平的，需要形成日常弱點發現，匯報，管理的機制，從日?；A工作人員開始，發現問題，識別問題，分析問題，匯報問題，處理問題，建立從下到上的無障礙流轉的解決流程。

3.4 防止計算機病毒進入。加快信息安全管控手段建設，在電力信息系統中，辦公自動化占了很重要的地位；而核心就是電子郵件傳送，電子郵件現在已成為計算機病毒最主要的傳播媒介，全面推進個人終端標準化建設工作，實現個人終端補丁程序、病毒軟件自動更新、升級，嚴禁隨意下載和安裝非正版軟件。強化防木馬病毒等安全措施，嚴格用戶訪問控制。

3.5 強化信息安全應急與通報工作，不斷完善信息安全應急機制，制定預案，加強演練。規范信息安全事件通報程序，堅決杜絕發生信息事件隱瞞不報的情況。及時傳達國家和企業信息安全運行動態，及時響應和處理信息安全事件，加強事件分析，實時發布安全通告。對已制定的預案要加強督促實施，已制定的安全策略要加強督導，建立健全信息安全技術督查隊伍，加大信息安全考核力度。

3.6 重視信息安全保密工作，嚴禁將涉密計算機與互聯網和其他公共信息網絡連接，嚴格對外部人員訪問的授權和審批，加強監管和備案。及時開展信息系統安全保密檢查，做好涉密文檔的登記、存檔、解密等各環節工作，及時發現并堵塞泄密隱患。

4 結語

網絡安全是一個系統的的管理問題，任何一個漏洞，都會導致全網的安全問題。作為供電企業，電力信息系統安全和電力生產安全同等重要，是國家安全的重要組成部分。因此研究信息安全技術，建立電力信息系統的安全防護體系，對確保電力系統安全穩定、經濟優質運行，加速實現“數字電力系統”的進程具有重要的現實意義。