電力企業(yè)信息系統(tǒng)風險與安全管理研究

洪 杰，段成鐸

（國網(wǎng)浙江桐廬縣供電公司，浙江 桐廬 311500）

電力企業(yè)在我國能源行業(yè)中占有十分重要的地位，隨著信息化的不斷發(fā)展，電力企業(yè)信息系統(tǒng)日益成為我國電力企業(yè)信息化的發(fā)展核心。但是隨著電力企業(yè)對信息化依賴程度的增加，其信息系統(tǒng)的安全問題也日益嚴重，面臨的風險也越來越大、越來越不確定。因此，對電力企業(yè)信息系統(tǒng)的安全保障已迫在眉睫，對電力企業(yè)信息安全進行有效的管理顯得更加重要。

1 電力企業(yè)信息系統(tǒng)風險

電力企業(yè)信息系統(tǒng)是基于電腦和網(wǎng)絡(luò)，實現(xiàn)電力制造、管理等信息的收集、存儲、分析及傳輸?shù)木C合性的有機系統(tǒng)。［1］信息作為一種重要的企業(yè)資源必須要對其進行全面的安全管理，企業(yè)信息安全管理是引導和協(xié)調(diào)組織的關(guān)于信息化安全風險的互相協(xié)調(diào)的活動，即企業(yè)管理層對企業(yè)相關(guān)信息和活動安排進行合理的規(guī)劃和協(xié)調(diào)。

一直以來，很多人特別是對于信息行業(yè)出身的工作人員，都受環(huán)境影響而陷入“技術(shù)就是一切”的誤區(qū)中，即人們把企業(yè)信息安全的全部希望都寄托在加密技術(shù)上，他們認為只要通過加密技術(shù)，任何信息安全問題都能夠解決。隨著網(wǎng)絡(luò)防火墻技術(shù)的誕生，我們又常聽到“防火墻是網(wǎng)絡(luò)安全的有力保障”的論調(diào)。經(jīng)此之后，入侵檢測、VPN等更多新的概念及技術(shù)紛至沓來，但無論技術(shù)怎樣變化，終究還是突破不了技術(shù)統(tǒng)領(lǐng)信息安全的枷鎖。實際上，對企業(yè)信息安全技術(shù)的選擇及應(yīng)用只是企業(yè)信息系統(tǒng)安全化的一部分，它只是實現(xiàn)企業(yè)安全運營的一個方法而己。大家之所以產(chǎn)生這樣的誤區(qū)，其原因是多方面的，站在企業(yè)安全技術(shù)提供商的角度來說，其側(cè)重點在于銷售，因此向相關(guān)客戶輸送的大多都是以技術(shù)為核心的理念和信息。站在客戶角度來說，只有企業(yè)的產(chǎn)品才是真實的、有形的，對投資方來說，這是十分重要的。

因此，正是對于企業(yè)信息系統(tǒng)的錯誤認識，導致一些極端現(xiàn)象的產(chǎn)生，比如：許多企業(yè)的信息化設(shè)備使用了防火墻、網(wǎng)絡(luò)云掃描等技術(shù)，但卻沒有設(shè)定出一套以安全策略為核心的合理的安全管理方案，從而造成安全技術(shù)及企業(yè)的產(chǎn)品生產(chǎn)十分混亂，不能做到技術(shù)及相關(guān)產(chǎn)品的及時、有效的更新。還有一些電力企業(yè)即使設(shè)定了一些安全管理措施，卻沒有使用有效的實施、監(jiān)督機制來執(zhí)行，這讓安全管理措施徒有其表，名存實亡。經(jīng)過研究及調(diào)查，現(xiàn)階段我國電力企業(yè)信息系統(tǒng)面臨的風險主要有：

（1）信息系統(tǒng)缺陷。隨著信息化的不斷發(fā)展，電力企業(yè)信息系統(tǒng)也一直在不斷完善中，目前，我國的電力企業(yè)在設(shè)計、制造及產(chǎn)品裝配中仍存在著許多安全隱患與風險，比如來自軟硬件組件的安全隱患等，這些信息系統(tǒng)固有的缺陷對電力企業(yè)信息系統(tǒng)的安全造成了嚴重的威脅。

（2）信息系統(tǒng)安全管理不規(guī)范。現(xiàn)階段，我國電力企業(yè)對電力信息系統(tǒng)的安全愈來愈重視，很多電力企業(yè)都采取了各種風險管理及預(yù)防措施，但是由于系統(tǒng)數(shù)據(jù)備份設(shè)備的不完善、數(shù)據(jù)丟失等信息系統(tǒng)安全管理不規(guī)范現(xiàn)象的出現(xiàn)，建立一套完善、合理的電力企業(yè)信息系統(tǒng)安全管理體系尤為重要。

（3）網(wǎng)絡(luò)安全意識薄弱。由于電力企業(yè)的安全宣傳力度不夠，相關(guān)技術(shù)人員的安全意識薄弱而導致的信息系統(tǒng)安全問題時有發(fā)生，比如不能及時修補信息系統(tǒng)漏洞及補丁，相關(guān)人員不正確的操作、或通過U盤導致重要信息泄露等，處理不好都很有可能造成整個電力系統(tǒng)的不穩(wěn)定甚至系統(tǒng)癱瘓。

（4）惡意人為破壞。隨著網(wǎng)絡(luò)共享度的提高，我國的電力企業(yè)信息系統(tǒng)逐漸向開放型及共享型發(fā)展，這使得一些不法分子有機可乘，他們?yōu)榱俗约旱睦妫ㄟ^各種手段非法入侵電力企業(yè)的信息系統(tǒng)，如植入病毒、竊聽、干擾阻斷等，這對我國電力企業(yè)信息系統(tǒng)的安全構(gòu)成了極大的威脅。

2 電力企業(yè)信息系統(tǒng)安全管理研究

信息安全是一個復雜的、不斷變化的動態(tài)過程，如果電力企業(yè)只根據(jù)一時需要而忽略了信息安全的動態(tài)性，只是主觀的來制定一些風險管理措施，就會造成在企業(yè)信息管理中顧此失彼，進而導致企業(yè)的安全管理水平止步不前甚至有失偏頗。［2］其正確的做法是，電力企業(yè)要遵守相關(guān)信息安全標準及實踐總結(jié)，結(jié)合企業(yè)自身對信息系統(tǒng)安全的實際需求，在進行完善的風險分析及風險管理的基礎(chǔ)上，通過一些合理的、可行的安全風險管理措施來使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)。

除此之外，不斷更新的過程是電力企業(yè)進行信息安全管理的最基本出發(fā)點，該過程還應(yīng)該是動態(tài)的、變化的，即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進和完善，堅決拒絕一成不變，這可以將信息系統(tǒng)的風險降到最低。［3］所以說，基于風險的評估及控制角度來說，電力企業(yè)信息系統(tǒng)的安全風險與其他領(lǐng)域的風險具有相似性，與此同時，電力系統(tǒng)信息系統(tǒng)安全風險又具有其獨特性。將其他領(lǐng)域內(nèi)的風險控制過程引入電力企業(yè)的信息風險管理領(lǐng)域，需要同時考慮到其共性和個性。

安全管理主要分為網(wǎng)絡(luò)級、系統(tǒng)級和應(yīng)用級3個部分：

（1）網(wǎng)絡(luò)級安全管理。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風險問題，其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個方面采取安全管理措施。網(wǎng)絡(luò)防火墻對企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用，它可以有效預(yù)防潛在的破壞性入侵，同時可以對即將進入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進行嚴格的檢測，并對非法、錯誤的網(wǎng)絡(luò)信息進行隔離，從而保護電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。對于網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)電力企業(yè)信息系統(tǒng)的實際情況，相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)，該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯能力，從而對已有的網(wǎng)絡(luò)結(jié)構(gòu)進行了優(yōu)化。

（2）系統(tǒng)級安全管理。在企業(yè)信息系統(tǒng)風險管理中，系統(tǒng)級安全設(shè)計與用戶的具體應(yīng)用具有密切的聯(lián)系，具體而言，其分為操作系統(tǒng)與數(shù)據(jù)處理兩個方面。在操作系統(tǒng)方面，利用有效的網(wǎng)絡(luò)安全掃描對信息系統(tǒng)的安全風險進行合理評估，及時分析操作系統(tǒng)已有的漏洞，同時結(jié)合信息系統(tǒng)的漏洞自動修補技術(shù)，實現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患。在數(shù)據(jù)處理方面，企業(yè)要善于利用信息系統(tǒng)平臺再次對數(shù)據(jù)庫進行數(shù)據(jù)安全加密，從而將信息系統(tǒng)的數(shù)據(jù)庫風險降到最低。

（3）應(yīng)用級安全管理。應(yīng)用級安全設(shè)計具有直觀、具體的特點，它是在設(shè)計電力企業(yè)的信息系統(tǒng)時，通過技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中，從而有效保證系統(tǒng)的安全穩(wěn)定運行。具體來說，電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問控制是根據(jù)訪問信息性質(zhì)的不同，分別進行公開信息和私密信息的傳送、存儲及管理，從而實現(xiàn)在應(yīng)用層次上的訪問控制；而數(shù)字簽名技術(shù)可以通過對文件簽發(fā)者、日期等提供準確的不可更改的歷史記錄，來保證系統(tǒng)所有文件的完整性。

因此，我們得知，為了確保電力企業(yè)信息系統(tǒng)的安全，要采取合理、有效的管理手段來最大程度地降低風險，即相關(guān)人員不僅要從技術(shù)層面來進行安全管理的設(shè)計，還要從管理層面進行安全管理設(shè)置。［4］具體來說可以從以下方面著手：

（1）定期對企業(yè)系統(tǒng)的技術(shù)人員進行安全教育，增強其信息系統(tǒng)的安全意識；

（2）保持相關(guān)人員特別是管理層的人員穩(wěn)定，若有人員調(diào)離，需及時更換系統(tǒng)密碼，避免企業(yè)機密泄露；

（3）設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標準及企業(yè)制度等。

3 結(jié)語

電力企業(yè)信息系統(tǒng)的信息安全性在現(xiàn)有的信息安全技術(shù)下并不能很好地解決相關(guān)安全問題。因此，只有建立完善的、可行的企業(yè)信息系統(tǒng)安全管理模式，并及時更新安全技術(shù)及設(shè)備，制定合理的安全管理方案，才能使電力企業(yè)的信息系統(tǒng)安全性一直處于良好狀態(tài)。

電力企業(yè)信息系統(tǒng)安全是電力企業(yè)正常運營的重要保證，企業(yè)信息系統(tǒng)安全不僅關(guān)系著我國電力企業(yè)的信息化水平，還關(guān)系著我國經(jīng)濟發(fā)展的前途命運。因此，只有結(jié)合我國電力企業(yè)的實際情況，采取合理、完善的風險管理措施，才能保證電力企業(yè)信息系統(tǒng)的安全性及平穩(wěn)性。現(xiàn)階段，大量事實表明，如今電力企業(yè)的信息系統(tǒng)安全問題不僅僅是技術(shù)層面的問題，更大程度取決于相關(guān)人員的管理水平。因此，只有將電力企業(yè)的信息系統(tǒng)安全風險有效進行識別及分析并采取有效的風險管理及預(yù)防方案，才能保證電力企業(yè)信息系統(tǒng)的安全性及可靠性。

［1］李文武，游文霞，王先培.電力系統(tǒng)信息安全研究綜述［J］.電力系統(tǒng)保護與控制，2011，39（10）：140－147.

［2］劉振輝.對電力信息系統(tǒng)安全防護問題的研究［J］.信息與電腦：理論版，2012（10）：87.

［3］寇建濤.電力信息系統(tǒng)安全分析與思考［J］.科技資訊，2009，36：17－18.

［4］胡炎，謝小榮，辛耀中.電力信息系統(tǒng)現(xiàn)有安全設(shè)計方法分析比較［J］.電網(wǎng)技術(shù)，2006，30 （4）：36－42.