電力信息安全保障體系建設的探索

韓文君 崔 鑫

（國網陜西省電力公司銅川供電公司，陜西 銅川727031）

0 引言

在當前我國的互聯網管理中心有超過90%的境內外的黑客進行過攻擊以及侵入，其中電信以及電力、政府等領域對這一信息的安全威脅問題得到了重視。在最近這幾年的發展中，我國已經在信息系統的等級保護政策上進行了大力的推行，這一政策的實行對信息系統的抵御風險能力有了很大程度的提高，從電力信息安全體系建設的實際來看，還存在著諸多的安全漏洞沒有及時科學的進行處理。

1 電力信息系統安全體系建設的原則

對電力信息安全水平進行提高能夠有效的對電力系統安全事件的發生率有效的降低，關于信息系統的安全建設并不是僅僅局限于安全產品的集成，要在電力信息安全系統建設以及管理建設和策略建設方面得到重視，而對于這一安全體系的建設完備的標志也要具備安全管理體系以及技術完備的成功建立和安全策略的完善及安全團隊的成功建設等幾個重要的要素。

在電力信息系統的安全保障體系方面，不僅要對電力系統整體安全水平進行提高，同時還要對其中的信息安全的隱患進行消除，電力系統對我國的國民經濟的發展起到了決定性的作用，由于其自身具有的特殊性，故此在建立電力信息系統的安全保障體系中就要遵循幾個基本原則，即：法定原則、動態原則、均衡原則、立體性原則[1]。

其中法定原則根據我國的有關規定的內容可以得知，為了能夠滿足管理信息大區對生產控制大區數據的訪問，生產控制大區和管理信息大區間要設置經國家相關部門檢測的安全隔離裝置，進而起到安全訪問的作用。倘若是對這一原則沒有遵循，那么就很可能在電網生產上存有安全隱患。在動態原則方面就是任何的系統在安全保障的提供上是一成不變的，在科技的不斷發展過程中，各種的安全問題也不斷的涌現，所以在對方案進行策劃的時候都要能夠在可擴展性的方面進行充分的考慮，并能夠及時的提供安全系統維護以及預防和應急的相關服務[2]。在均衡原則方面指的是在整個的電力信息安全體系的建設要能夠按照電力的生產安全目標進行，要在各個產品以及技術上進行效益分析。立體性原則方面就是在電力信息安全保障上應該在各個層面得到重視，嚴格的按照立體性的原則進行實施。

2 電力信息系統在當前的現狀問題分析

電力系統的組件自身存在著脆弱性以及缺陷，由于在對其組件的設計、組裝以及制造的過程中在各種因素的影響下，就可能存有多方面的隱患。在硬件的組件方面主要是來源于設計，由于設計問題的因素就在物理的存取上存在隱患。軟件組件的安全隱患主要是設計以及軟件工程的實施過程中所留下的問題，主要是表現在安全漏洞上。還有是網絡以及通信協議方面的安全隱患，因特網自身就是沒有明確物理界限的網際是虛擬的網絡現實，這在安全問題上也較容易發生。其次是自然威脅以及意外的人為威脅和惡意的人為威脅。

在電力信息系統方面的發展過程中同時也存在著一些問題，首先就是人員信息安全意識的薄弱，當前的電力企業對于信息的安全以及保密的意識還有待進一步的提高，各個單位領導以及相關的工作人員對于信息安全的問題沒有得到充分的重視，在個人的辦公終端有的不設置口令或者是口令的密度較低，對于軟件的安裝以及下載都是沒有授權的，這些問題都是源自對信息安全意識的薄弱[3]。另外就是在電力信息的安全管理機制方面還不夠完善，制度的執行力度還不夠，在相關人員的配備上沒有做到位，安全監管職責也沒有得到有效的落實，對于信息安全事件還存在著不通報以及通報不及時的現象，并且在信息安全的原因分析方面還不夠充分，對于整改的措施沒有落實到位，同時在電力信息安全事件的調查處理以及考核機制方面還有待進一步的完善，在其信息系統的邊界安全防護方面還存在著能夠被黑客高手利用的一些較為薄弱的環節，在安全體系以及可評估的安全模型方面比較的缺乏。

3 電力信息安全保障體系的建設方案探究

通過以上對于我國的電力信息安全問題的分析就可以有針對性的對其進行建設信息安全保障體系，從而有效的確保信息的完整性以及機密性和可控性等等。

對于電力信息的安全它主要是在企業的信息安全策略的指導下和管理的體制下通過運作機制然后再借助一定的手段來進行實現的，其中就有安全管理以及安全技術措施和安全運行、安全策略，如下圖所示。

圖1 電力信息安全模型

在電力信息安全模型進行運轉之后就會形成一套管理規定以及運行記錄的文檔，具體的可以將其分為四個重要的文檔，與安全策略相對應的是策略政策，和安全管理相對應的是管理制度技術規范，和安全運行相對應的是作業指導書以及操作規程和記錄性文件，與安全技術措施相對應的是管理制度技術規范[4]。

在具體的方案建設上首先要建立并完善電力信息安全的工作機制，切實加強組織以及領導，將信息安全歸納到電力的安全生產體系當中，要把信息化建設和信息安全的保障工作得到兼顧，把信息安全管理制度落實到責任部門，并明確責任人員，同時在人員信息安全的意識方面也要得到加強。在電力信息安全管理制度體系方面要不斷的進行完善，統籌規劃突出重點，強化信息安全規章制度的落實工作，根據相關的規劃，要對電力信息系統安全重大任務以及項目進行繼續的落實，在電力信息安全體系建設規范要盡快的出臺并落實。對于電力二次系統安全防護規定要嚴格的得以執行，加快信息安全的管控手段建設，強化信息安全應急和通報工作，對于信息安全的保密工作要能夠高度重視，對全員信息安全意識要進行提高。

在安全系統的建設過程當中，最為重要的就是整體系統的規劃，可以將其分為三個重要的步驟，即：結構安全以及流程安全和對象安全。在安全管理建設方面它和安全策略的建設的關系非常的密切，而管理又是在策略的指導下進行的，在安全系統的建設方面主要包括網絡防火墻以及漏洞掃描等，所以要能夠建立集中式以及全方位和動態的安全管理中心[5]。安全管理中心建設包含著機構的設立以及基礎建設和智能的明確等，而在信息安全綜合管理系統方面它主要包括數據分析功能以及應急報警功能等。另外在電力信息的安全運行方面要進行有效加強。

4 結語

對于電力信息系統的安全體系的建設，要能夠把安全保障以及安全管理得到有機的結合，在我國的電力信息化的不斷發展以及推進的過程中，信息系統以及網絡安全管理已經愈來愈廣泛的得到了電力企業的重視，這對于保障電力信息的安全有著極其重要的作用。

［1］李志茹,張華峰,黨倩.電網企業信息系統安全防護措施的研究與探討[J].電力信息化,2012(04).

［2］關良輝.電力企業局域網的信息安全(續完)[J].電力安全技術,2012(06).

［3］香柱平.有關電力企業信息中心網絡安全及防護措施的探討[J].中小企業管理與科技(下旬刊)，2011(05).