電力企業網絡信息安全的防范措施

牛 斐

寧夏石嘴山供電局，寧夏石嘴山 753000

隨著信息系統與網絡的快速發展，電力企業作為關乎國計民生的基礎行業，企業內部各業務數據已基本在網絡流轉，企業對信息系統產生了巨大的依賴性。但是，企業在享受著信息系統所帶來巨大經濟效益的同時，也面臨著高風險。一旦出現信息泄密或篡改數據的情況，將為國家造成難以估量的損失。尤其是近幾年，全球范圍內的病毒泛濫、黑客入侵、計算機犯罪等問題，信息安全防范已成重中之重。因此，企業必須重新面對當前的安全問題，從中找到行之有效的防范措施。

1 電力企業網絡安全現狀分析

1.1 網絡安全措施不到位

電力數據網絡信息化在電力系統中的應用已經成為不可或缺的基礎設施。電力數據網需要同時承載著實時、準實時控制業務及管理信息業務，電力生產、經營很多環節完全依賴電力信息網的正常運行與否，隨著網絡技術和信息技術的發展，網絡犯罪不斷增加，電力企業雖然已初步建立了網絡安全措施，但企業網絡信息安全仍存在很多的安全隱患，職工安全意識、數據傳輸加密、身份認證、訪問控制、防病毒系統、人員的管理等方面需要進一步加強，在整個電力信息網絡中，很多單位之間的網絡安全是不平衡的，主要是雖然網絡利用率較高，但信息的安全問題較多，主要是安全級別較低的業務與安全，沒有對網絡安全做長遠、統一的規劃，網絡中還存在很多問題。

1.2 職工安全意識有待加強

目前國內電力企業職工的安全意識參差不齊，相較之下，年輕的職工和管理人員其安全意識較高，中年以上的職工和一線職工仍然缺乏必要的安全意識，主要是工作年齡、所受教育、工作后的信息安全培訓程度，從事的工作性質的原因造成的，這就為網絡安全留下了隱患，加強電力企業信息安全的培訓，全方位提高職工網絡信息安全意識，避免信息安全防護工作出現高低不均的情況。

1.3 內部的網絡威脅仍然存在

在這個科技技術日益發展的時代，網絡信息的安全工作越來越重要，由此電力企業根據目前的狀況出臺了相關的網絡安全規章制度，以保證其信息安全，但內部的網絡威脅仍然存在，而且對管理人員的有效管理依然缺乏。如：辦公計算機仍存在內外網混用情況、內外網邏輯隔離強度不夠、企業內網安全隔離相對薄弱等情況，如果其中的一些漏洞被非法分子所利用，那么，電力企業的信息安全會受到嚴重的威脅，并會對電力企業的生產以及經營帶來很大的困難。

2 電力企業網絡安全的風險

隨著網絡技術的發展，電力企業信息系統越來越復雜，信息資源越來越龐大，不管是操作系統還是應用軟件，都存在系統漏洞等安全風險，保證電力企業信息安全最重要的是保證信息數據的安全，目前電力企業的網絡信息系統的主要隱患主要存在于以下幾個方面。

2.1 惡意入侵

計算機系統本身并不具有一定的防御性，其通信設備也較為脆弱，因此，計算機網絡中的潛在威脅對計算機來說是十分危險的。尤其是現在的信息網絡公開化、信息利用自由化，這也造成了一些秘密的信息資源被共享，而這些信息也容易被不法分子所利用。而有極少數人利用網絡進行惡意入侵進行非法操作，危機網絡系統的安全，惡意入侵其實是由四個步驟構成的：首先掃描IP地址，尋找存活主機；然后確定IP地址，掃描主機端口和漏洞；接著通過漏洞和開放端口放置后門程序；最后通過客戶端程序實施遠程控制。由于系統被入侵，電力企業信息泄露會造成不良后果，更嚴重的是系統被惡意控制，不但會給電力企業本身造成嚴重的后果，還會給社會和用戶帶來重大的損失。

2.2 網絡病毒的傳播

計算機病毒對計算機來說是最普遍的一種威脅，伴隨著因特網的發展，各個企業開始創建或發展企業網絡應用，這無形也增加了病毒感染的可能性，病毒的危害十分巨大，它是通過數據的傳輸來傳播的，其能夠對計算機的軟硬件造成破壞，同時它還能夠進行自我復制，因此，一旦感染了病毒，其危害性是十分巨大的。

2.3 惡意網頁的破壞

網絡共享性與開放性使得人人都可以在互聯網上所取和存放信息，由于信息的傳遞和反饋快速靈敏，網絡資源的社會性和共享性，電力企業職工都在不斷地點擊各種網頁，并在網絡中尋找他們所需要的資源，網頁中的病毒是掛靠在網頁上的一種木馬病毒，它的實質是一些不法分子通過編程來編寫的惡意代碼并植入IE漏洞而形成了網頁病毒。當用戶瀏覽過含有病毒的網站時，病毒會在無形中被激活，并通過因特網進如用戶的計算機系統，當病毒進入計算機后會迅速的自我復制并到處傳播病毒，使得用戶的計算機系統崩潰，嚴重的會將用戶的系統徹底格式化。

2.4 信息傳遞的安全不容忽視

在電力企業的計算機網絡系統中，信息傳輸基本上是明文方式或采用低安全級別的加密進行傳輸，當這些企業信息在網絡上傳輸時，其安全性就不能得到足夠的保障，不具備網絡信息安全所要求的機密性、數據完整性和身份認證。

2.5 軟件源代碼不能獨立控制的隱患

目前電力企業辦公計算機、企業級服務器的操作系統以及使用的信息系統軟件因為是絕大部分都是商業性質的，所以其源代碼是不公開的，這就代表著軟件的核心技術是被對方掌握的，其漏洞卻大量存在，雖然有系統補丁發布或者軟件升級，但其未公開、未被發現的漏洞對信息安全來說確實巨大的隱患。

2.6 身份認證和訪問控制

電子企業中的信息系統一般僅能夠內部使用，根據不同業務管理部門、不同等級的人員有不同的授權，信息系統中的數據和信息，沒有得到授權的用戶是不能訪問的。身份認證是安全體系的第一大門，是網絡安全的基石，在身份認證的基礎上依據授權對資源訪問加以控制形成訪問控制，它雖然可以增加系統的安全性，但仍然存在著一些問題亟待解決。

3 電力企業信息安全防范措施

針對以上電力企業信息安全問題，要建立完整的信息安全防護體系，絕不能一哄而上，必須分清需求的輕重緩急，根據信息化建設的發展，結合電力企業實際情況，統一規劃，分步建設，逐步投資。

3.1 強化職工網絡安全教育培訓

俗話說“凡事預則立、不預則廢”，“以人為本”，提高員工的安全意思是直接關系到電力企業信息安全的首要問題。安全意識和安全素質的提高，完全培訓教育是最有效的途徑，應該按照崗位需求、工作性質有針對性的對職工安全

素質和關系電力企業安全策略方面分層次、有重點的進行信息安全技術培訓，切實提高職工的信息安全意識和素質，提高職工安全技術水平。而信息安全意識和素質培訓又可以建設電力企業的安全文化，通過各種形式的安全教育培訓，在全面提高人員信息安全意識和技術水平的前提下，為電力企業安全建設提供精神支持并可以容納到整個企業文化體系中。

3.2 完善網絡信息安全管理制度

對于信息的安全保護工作要做到位，并建立健全信息安全管理系統，從組織領導的健全、規章制度的完善、硬件設施的建設等方面作出明確而詳盡的規定，層層簽訂責任書；建立一整套U盤、軟盤、移動硬盤等涉密載體審批和登記管理制度，實行計算機IP地址綁定策略，對載體內的內容、密級、存儲和刪除時間等嚴格要求，及時排除和消除保密隱患，從信息安全技術領域進一步健全信息安全管理機制。

3.3 對信息系統的安全風險進行評估

電力企業的信息系統是一個龐大的、復雜的技術系統，在現實世界中，龐大復雜的信息系統存在脆弱性是必然的，或者存在信息安全風險是必然的。在這種情況下，通過適當的、綜合的安全措施進行風險控制把殘余風險控制在最低限度是必要的，也就是所謂的風險分析、風險評估，分析我們電力企業信息系統面臨的風險、分析信息系統的威脅，解決問題或者把殘余風險降低到可接受程度，對于電力企業來說，信息安全評估是電力企業信息系統的基礎性工作，是當前信息安全工作的客觀需求和緊迫需求，是制定安全策略的依據和基礎。

3.4 電力信息網安全防護技術措施

采用信息安全新技術，建立信息安全防護體系，主要從數據庫安全策略（包括系統安全策略、數據安全策略、用戶安全策略三個方面）、數據備份和恢復，網絡服務和應用系統的安全，網絡防病毒，防火墻的相關技術的應用（防火墻的策略、入侵檢測系統、虛擬專用網）、數據加密及傳輸安全等方面著手，以電力企業信息安全為中心，建立一個技術聯合的，并且是多層次的技術結構安全體系，提高信息系統總體防護能力，體現“智能、整合、管理”這幾個趨勢，確保業務數據安全可靠，保證電力企業信息安全。

3.5 加快電力企業信息系統的自主研發

為了避免電力企業辦公計算機、服務核心部件和系統源代碼被國外開發公司的控制，信息系統開發時應要求其公開系統源代碼，并在此基礎上加快電力企業信息系統的自主研究，以安全策略、安全服務和安全機制的有效結合為中心，提高硬件、軟件、數據庫、網絡等方面的研究水平，保證電力信息系統的自己可控。

“以人為本，輔以技術，重在管理，剛柔并濟”是安全規劃的根本要則。我們了解網絡的各種不安全因素之后，目的在于真正把我們的網絡加強起來。建設安全、穩定的電力企業網絡，保證電力信息安全。

4 結論

電力企業要保持健康可持續性發展，信息安全是基本的保證之一，建立一套完善的電力企業網絡信息安全的防范系統，對企業的生存和發展起到了保駕護航的作用。我們在保護網絡信息安全的同時還要不斷的創新，并不斷的對電力企業的網絡安全系統進行升級，共同研究、探討出一個系統的、完整的解決方案，因此，網絡系統的安全體系建設是一個長期且不斷探索實踐的過程，對于網絡安全中的設計方案我們要慎重對待，任何一個解決方案都不可能一勞永逸的解決安全問題。但我相信隨著當前網絡信息化時代的不斷發展，我們對網絡信息系統安全的建設會不斷的完善并健全。

[1]周偉.計算機網絡安全技術的影響因素與防范措施[J].網友世界，2012(1).

[2]余志榮.淺析電力企業網絡安全[J].福建電腦，

2011(7).

[3]張鵬宇.電力行業網絡安全技術研究[J].信息與電腦(理論版)，2011(1).