當前電力企業信息安全保護中存在的問題及措施

步入二十一世紀，信息技術發展日新月異，信息的交流與匯總越來越頻繁和迅速，誰擁有最前沿的一手信息就把握住了最好的市場時機，就會在競爭中取得優勢。在信息化帶動工業化，促進現代化的企業發展大潮中，信息安全建設已經成為企業管理中重中之重，但有些企業對信息安全管理沒有提高到重視地位，造成信息泄漏而遭受巨大的經濟損失，那么下面就結合電力企業信息泄漏情況和采取怎樣的保護措施闡述一下個人觀點。

1.信息安全的重要性

信息在現代經濟生活中的作用越來越大，已經成為市場競爭的重要手段。對于電力企業來說，信息的重要性更是不言而喻。缺乏信息，即使有了資金、物資和能源，要把電力企業管理好也是十分困難的。信息化時代的到來，信息已經成為最重要的資源，企業占有的信息多、掌握的信息準確，誰就在行業中占有主動權，有了制勝的先機。

中國電子信息產業發展研究院曾經做過預測，針對中國電力企業調查他們對信息安全需求，企業對于信息安全的認知也跨出了一大步，有相當一部分電力企業擔心信息安全問題，而網絡問題則是他們關心的第一位，調查還顯示只有五分之一的電力企業沒有信息泄密的事實，卻也足以讓人心驚膽戰。電力企業的正常運作離不開信息資源的支持，包括經營計劃、知識產權、生產工藝、方案圖紙、客戶資源以及各種重要數據等，這些都是電力企業全體員工努力拼搏、刻苦鉆研、殫精竭慮、長期積累下來的智慧結晶，是企業發展的方向和動力，關乎著我國電力事業的健康快速發展，如果企業的重要信息一旦被泄露，就會使企業失去市場競爭優勢，甚至會遭受滅頂之災。

2.當前電力企業信息安全保護中存在的問題

據有關資料統計，當前我國電力企業的信息安全管理才剛剛起步，而60%以上的企業存在的信息安全問題來自于內部的電子信息系統，如木馬、內部人員有意、無意攻擊、泄密、病毒傳播、內部資源濫用等。而國內信息產業長期桎梏：“重硬輕軟”，始終制約著信息系統監管體系的建立與完善。在防火墻、入侵檢測等傳統網絡安全產品占據信息安全市場半壁江山的同時，電力企業內部審計、信息安全監管類技術仍處于起步階段，電力企業信息安全還有許多問題需要解決。

在信息化飛速發展的今天，電力企業信息安全水平也在不斷隨著各種信息安全產品的產生、應用而不斷得到提升。隨著未來信息化不斷發展，信息安全防護要求不斷增加，安全設備系統將不斷增多。與此同時，電力企業在安全管理中也逐漸顯露出一些難點問題。

安全管理人員少、安全分析技術水平參差不齊。電力企業早期信息安全管理工作隨著信息化發展得到了很大的提高，因此在電力企業內部，早期安全管理人員主要由之前網絡運維人員轉化而來，早期安全管理任務主要集中在對少數的安全設備系統進行運行管理、以及通過安全設備監視發電、輸變電等安全預警，及時發現電力運營中的安全問題。但是一直以來電力企業存在信息專業安全管理人員少、安全分析技術水平參差不齊。隨著電力投入的不斷增加，安全設備系統不斷增多，運行管理工作量大增，安全預警數量海量增加，分析預警發現問題的技術要求越來越高，這些對信息安全管理人員的數量和技術水平提出了越來越高的要求。

沒有一個綜合平臺支持。在眾多電力安全設備系統預警中分析發現的安全問題越來越多，需要在多個安全管理人員之間進行協同處理從而提高安全問題處理效率和專業性，但是缺乏有效的協同平臺進行支撐。隨著電力安全設備系統不斷增多，安全數據分析不再是單獨的安全設備系統的數據分析，需要通過對所有涉及電力運營的安全設備系統數據綜合分析來展示安全域的指標狀態和趨勢。沒有一個綜合平臺支持，靠安全管理人員很難完成。

電力企業員工信息安全防護意識差。當前在電力企業運行過程中出現信心安全問題的里另一個重要原因就是員工上網安全防護意識差，沒有深刻認識到信息安全對電力企業，對自己發展的重要性，只是一成不變，按部就班的完成自己的工作，并不把信息安作為對自己工作的特殊要求來重視，沒有通過每天重復的工作加深電力安全意識，反思檢查工作中存在的漏洞，因此一些事關電力企業正常運作的信息就在工作人員的疏忽大意中泄漏，從而給電力企業帶來莫大的危機。

2.4企業信息安全管理制度不健全

信息安全管理在國內各個行業中還是處于相當弱勢的地位，從電力企業管理者對信息安全的認識上來說，有很多的管理層領導還沒有建立這方面的意識和理念，其認識也剛剛從單機用戶到局域網，雖然國家各部委也都在提倡提高信息化的水平，而在實際的工作中實施信息系統的層次比較低，技術管理還沒有跟上，所以在目前的電力企業中，有很大一部分是沒有專門的團隊負責內部信息技術相關事宜或者只是管理日常的應用，缺乏應對信息系統安全漏洞的偵測修補以及突發事故的應急對策。因此，當新破壞力強的病毒傳播開來時，電力企業受到的影響也較大。而且對于自身系統中存在的問題也難以主動發現，使得信息數據有被入侵，竊取和破壞的隱患。所以很多電力企業都在遭受信息安全事故帶來的損失時，缺乏可行的應對辦法和有效的手段來改變這一狀況。關鍵是信息安全管理系統沒有建立，或者沒有在電力企業的信息化戰略中加以足夠的重視。

3.解決信息安全問題對的措施

信息管理采用集中化管理。電力企業信息安全管理人員不用再去為了獲取電力運營安全設備系統狀態而去登錄各個設備系統，不用再去為了將多個設備系統的監視指標進行綜合監視分析而發愁.定時自動巡檢協助運維安全管理人員不用再花更多的時間去效率低下的檢查每個需要被巡檢設備的指標狀況，每天定時去查看一下集中化管理平臺給出的巡檢結果就可以完成巡檢。該文原載于中國社會科學院文獻信息中心主辦的《環球市場信息導報》雜志http：//www.ems86.com總第543期2014年第11期-----轉載須注名來源通過信息化管理平臺，及時進行通報發布、預警發布、多級機構協同、電力安全事故處置等等業務流程。安全數據綜合分析通過自動發現機制從海量的安全設備系統預警信息中挑揀出需要安全管理人員跟蹤處理的安全事件。

降低電力企業核心應用系統遭受攻擊的風險。為了有效地降低電力企業核心應用系統遭受攻擊的風險，電力運營信息網絡應分為物理隔離的信息內網和信息外網。黑客可以通過Internet公共信息網采用木馬、蠕蟲和病毒等攻擊手段，破壞電力企業辦公系統、竊取核心系統機密數據、篡改公司網站信息、截獲公司郵件等等。所有這些攻擊行為都會對電力企業運行造成損失。為了保障機密數據的安全，電力企業應分別建立兩套獨立的信息網絡。信息內網承載電力企業核心業務系統、財務系統、OA辦公系統、人力資源管理系統、投資管理系統、呼叫中心系統、內部視頻會議系統以及保險企業與上級機構、保監會、行業協會、銀行等國家金融機構的專線互聯系統。信息外網承載電子商務系統、企業郵箱系統、企業門戶系統、人力資源招聘系統以及員工對Internet公共信息網的訪問等等。電力系統信息內外網分離的方式有效地降低了來自Internet公共信息網對企業機密數據的攻擊風險。

一、桌面終端操作系統安全。大部分PC所使用的操作系統是微軟公司的Windows XP或者Windows Vista，針對黑客攻擊行為，微軟公司會定期發布系統安全補丁包。信息內外網應各部署一套微軟WSUS補丁服務器，定期統一下載操作系統安全補丁。

二、系統防病毒策略。計算機病毒是電腦系統癱瘓的元兇。防病毒策略由部署在信息內外網的防病毒服務器來實現。在信息內外網各部署一套防病毒服務器，信息內外網PC設備安裝防病毒客戶端，定期自動從防病毒服務器更新防病毒庫。

三、移動存儲介質安全。缺乏有效保護的移動介質是傳播病毒的有效載體，是泄露電力企業機密和國家機密的罪魁禍首。電力企業應部署安全移動存儲系統，對U盤進行加密處理。所有員工均使用安全U盤，規避移動介質風險。

提高工作人員的信息安全保護意識。目前，許多電力企業員工對信息安全存在著誤區。應該盡量使用復雜的密碼做為保護，而不是只要隨便設置個簡單的密碼，例如“123456”不同的賬號和文件，設置不一樣的密碼，才不會讓入侵者或“泄密者”有機可乘。而許多電力企業對入職員工培訓并沒有涉及到信息安全、保密這一方面。員工對信息安全、保密意識的缺失，企業也有一定的責任。員工安全上網行為對于企業數據信息安全來說越來越重要，這也正是步入信息時代上網行為管理產品市場需求逐步擴大的重要原因。上網行為管理產品已經成為企業用戶最喜歡的網絡增值類產品之一，例如在中央政府招標網上可以看到，上網行為管理類產品的廠商有41家之多，一些傳統的國內安全廠商也紛紛加入該領域。電力企業使用適合的上網行為管理產品、引導員工安全上網，勢必會大大保障了電力企業信息的安全。 要安裝防火墻、殺毒軟件，當今互聯網的發展，使得電力企業不能夠不使用網絡進行各個方面的洽談，正是由于互聯網的開放性，導致了電力企業信息無時無刻都可能暴露在廣大網民面前。所以，在管理好內網的同時，還需要對外網的行為進行管控，及時的更新防火墻、殺毒軟件的版本，做好計算機網絡的防護，也是防止電力企業信息失竊的重要手段。

要使用加密軟件，對文檔進行加密。保密和泄密只在一念之間， 在全球范圍內信息化浪潮不斷推進的今天，企業只有建立科學完善的保密意識、培養專業的信息安全管理人才，才能在激烈的信息競爭中占據一席之地，維護好自己的切身利益。做好電力企業內部網的防毒作用，網絡用機嚴禁私接光軟驅，私自安裝軟件，尤其是游戲軟件。嚴禁拆換網絡計算機及相關設備的零件部。信息中心搞好網絡管理工作，電力企業內部網必須把好用戶及密碼的關，合理分配IP地址，搞好虛網劃分及管理。

建立健全企業信息安全保護體制。隨著電力企業電子信息化進程的加快，使用的電腦也越來越多，現在電腦安裝部位普遍存在防范措施薄弱，安全隱患突出。為安全使用電腦，加強信息化管理，凡是配有電腦部門的員工要從思想上重視電腦和信息的安全管理，必須建立健全必要的安全管理制度，認真落實安全防范措施；必須保持高度的警惕性，嚴格執行各項管理制度，完善電腦臺帳，電腦軟件未經領導批準，不得擅自帶出和外借，自覺做好保密、防盜和防病毒工作，更不得用電腦從事任何違法活動。有電腦的室內必須加強對火種、電源的管理，不得擅自明火，禁止存放易燃易爆物品，使用電源必須保證安全，人員離開后應切斷電源。外來人員未經同意不得擅自操作電腦。

加強電力企業信息技術安全人員的技能培訓。電力企業信息系統的開發由信息中心主持進行，盡量減少信息化孤島，開發的平臺應結合網絡系統實際來定，避免孤立行事，將開發納入信息化發展正常渠道，對于有難度的開發由信息中心確認后可派專人進行。信息中心人員應指導、教授業務部門人員有關系統的應用，保證生產部門人員能正確使用系統。IT人員做好自己理論學習工作，多看書，多交流，做好學習總結。

隨著信息化的發展，越來越多地電力企業信息被置放于企業內外部網絡環境中，如何保護企業機密，保障電力企業信息安全，被越來越多地擺上了議事日程。電力企業信息安全建設已經成為電力系統信息化發展過程中面臨和解決的問題，成為當前電力信息化發展中的一個焦點。

（作者單位：國網山東東阿縣供電公司）