電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀與改進(jìn)措施

0 引言

信息網(wǎng)絡(luò)技術(shù)在電力企業(yè)的生產(chǎn)運(yùn)行中發(fā)揮著重要作用，特別是隨著廠網(wǎng)分開、電力市場(chǎng)構(gòu)建，電力企業(yè)已建立起龐大復(fù)雜的調(diào)度數(shù)據(jù)網(wǎng)和信息網(wǎng)，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)成為企業(yè)日益重要的技術(shù)支持系統(tǒng)。網(wǎng)絡(luò)安全所面臨的危險(xiǎn)同時(shí)滲透到電力企業(yè)生產(chǎn)、經(jīng)營(yíng)的各個(gè)方面。然而，財(cái)務(wù)、營(yíng)銷、OA、客戶管理等系統(tǒng)的網(wǎng)絡(luò)信息安全還相當(dāng)薄弱。網(wǎng)絡(luò)信息安全已成為影響電力安全生產(chǎn)的重大問題。

1 我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全發(fā)展的現(xiàn)狀

近十幾年來，我國(guó)電力企業(yè)信息化得到長(zhǎng)足發(fā)展，同時(shí)由于電力生產(chǎn)運(yùn)行的特殊行業(yè)特點(diǎn)，在網(wǎng)絡(luò)信息安全方面具有相對(duì)其他行業(yè)更具優(yōu)勢(shì)。

1.1 網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施相對(duì)完善

目前，電力企業(yè)信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成，硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好，無論是在生產(chǎn)、調(diào)度還是營(yíng)業(yè)等部門都已實(shí)現(xiàn)了信息化，企業(yè)信息化已經(jīng)成為新世紀(jì)開局階段的潮流。在網(wǎng)絡(luò)硬件方面，基本上已經(jīng)實(shí)現(xiàn)千兆骨干網(wǎng)；百兆到桌面，三層交換；VLAN，MPLS等技術(shù)也普及使用。在軟件方面，各應(yīng)用主要包括調(diào)度自動(dòng)化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營(yíng)銷信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)及各專業(yè)相關(guān)的應(yīng)用子系統(tǒng)等。計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)、經(jīng)營(yíng)、管理、科研、設(shè)計(jì)等各個(gè)領(lǐng)域有著十分廣泛的應(yīng)用，安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動(dòng)生產(chǎn)率等方面取得了明顯的社會(huì)效益和經(jīng)濟(jì)效益。

1.2 電力生產(chǎn)、調(diào)度自動(dòng)化網(wǎng)絡(luò)相對(duì)獨(dú)立

目前省電力調(diào)度機(jī)構(gòu)全部建立了SCADA系統(tǒng)，電網(wǎng)的三級(jí)調(diào)度 100%實(shí)現(xiàn)了自動(dòng)化，我國(guó)電力調(diào)度自動(dòng)化水平達(dá)到國(guó)際先進(jìn)水平。電力企業(yè)調(diào)度數(shù)據(jù)網(wǎng)和信息網(wǎng)在物理上實(shí)現(xiàn)隔離，在很大程度上保證了調(diào)度數(shù)據(jù)網(wǎng)的安全運(yùn)行，避免受到來自互聯(lián)網(wǎng)的可能的攻擊。

1.3 初步建立網(wǎng)絡(luò)安全體系

近些年國(guó)家電網(wǎng)公司規(guī)范了信息網(wǎng)絡(luò)安全管理，將信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)實(shí)行物理隔離，在一定程度上保證了信息內(nèi)網(wǎng)的安全運(yùn)行，避免受到來自互聯(lián)網(wǎng)的可能的攻擊。信息安全系統(tǒng)項(xiàng)目不斷增加：網(wǎng)絡(luò)間設(shè)置了防火墻，安裝網(wǎng)絡(luò)防病毒軟件，數(shù)據(jù)備份系統(tǒng)、桌面管控等信息安全設(shè)備。

2 目前電力企業(yè)網(wǎng)絡(luò)信息安全管理存在的主要問題

雖然具備以上優(yōu)勢(shì)，電力企業(yè)在信息安全管理方面仍然存在較多問題：

2.1 辦公計(jì)算機(jī)仍存在內(nèi)外網(wǎng)混用情況

按照國(guó)網(wǎng)公司的要求，單位辦公用臺(tái)式電腦已明確要求內(nèi)外網(wǎng)隔離，即杜絕一機(jī)兩網(wǎng)現(xiàn)象。但對(duì)攜帶方便的筆記本管理卻成為兩網(wǎng)隔離的薄弱環(huán)節(jié)，很可能因?yàn)槌霾睢⒒丶壹影嗟仍蛟斐梢慌_(tái)筆記本公司內(nèi)網(wǎng)與Internet、公司內(nèi)網(wǎng)與其他網(wǎng)絡(luò)混用情況，電力企業(yè)信息安全帶來一定的隱患。同時(shí)虛擬機(jī)程序和一機(jī)雙系統(tǒng)等技術(shù)手段導(dǎo)致普通的桌面檢測(cè)終端對(duì)同一臺(tái)計(jì)算機(jī)不同操作系統(tǒng)連入不同網(wǎng)絡(luò)很難予以檢測(cè)發(fā)現(xiàn)。

2.2 內(nèi)外網(wǎng)邏輯隔離強(qiáng)度不夠

電力企業(yè)目前的辦公內(nèi)網(wǎng)和Internet已實(shí)現(xiàn)了物理隔離和邏輯強(qiáng)隔離，但是因?yàn)榫W(wǎng)絡(luò)布線、IP地址分配等問題，涉及到電子教室等計(jì)算機(jī)比較集中的場(chǎng)所，大多使用無線網(wǎng)絡(luò)以及自動(dòng)獲取IP技術(shù)連入辦公內(nèi)網(wǎng)，因?yàn)闊o線網(wǎng)絡(luò)覆蓋范圍的不確定性，無線信號(hào)很可能發(fā)送到公司周邊范圍，導(dǎo)致公司周邊存在能接收并聯(lián)入企業(yè)內(nèi)網(wǎng)的情況，如果被別有用心之人利用，將對(duì)企業(yè)內(nèi)網(wǎng)信息安全造成嚴(yán)重隱患。

2.3 企業(yè)內(nèi)網(wǎng)安全隔離相對(duì)薄弱。

電力企業(yè)各公司間內(nèi)網(wǎng)隔離措施則相對(duì)薄弱，企業(yè)內(nèi)任何一個(gè)公司的辦公計(jì)算機(jī)出現(xiàn)問題，則會(huì)導(dǎo)致一點(diǎn)破全網(wǎng)失守，致使惡意入侵遍及全網(wǎng)，同時(shí)因?yàn)殡娏ζ髽I(yè)目前存在一部分的多經(jīng)企業(yè)，因業(yè)務(wù)需要也要使用公司辦公內(nèi)網(wǎng)，而目前各項(xiàng)安全措施多針對(duì)主業(yè)單位，所以多經(jīng)企業(yè)的信息隱患相對(duì)明顯。

3 電力企業(yè)網(wǎng)絡(luò)信息安全管理問題的成因分析

3.1 安全意識(shí)淡薄是網(wǎng)絡(luò)安全的瓶頸

企業(yè)人員忙于利用信息網(wǎng)絡(luò)工作，對(duì)信息的安全性無暇顧及，安全意識(shí)相當(dāng)?shù)　Ｐ畔踩幱诒粍?dòng)的封堵漏洞狀態(tài)。從上到下普遍存在僥幸心理，沒有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí)，更無法從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。

3.2 運(yùn)行管理機(jī)制的缺陷和不足制約了安全防范的力度

從目前的運(yùn)行管理機(jī)制來看，有以下幾方面的缺陷和不足。

3.2.1 信息安全管理方面人才匱乏

由于在電網(wǎng)企業(yè)從事信息安全管理工作地位不高，而且缺乏職業(yè)發(fā)展空間，導(dǎo)致從事信息安全管理方面人才匱乏。

3.2.2 安全措施不到位

配置不當(dāng)或過時(shí)的操作系統(tǒng)、郵件程序和內(nèi)部網(wǎng)絡(luò)都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無法發(fā)現(xiàn)和及時(shí)查堵安全漏洞。當(dāng)廠商發(fā)布補(bǔ)丁或升級(jí)軟件來解決安全問題時(shí)，許多用戶的系統(tǒng)不進(jìn)行同步升級(jí)，原因是管理者未充分意識(shí)到網(wǎng)絡(luò)不安全的風(fēng)險(xiǎn)所在，未引起重視。

4 加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理的措施

4.1 合理劃分安全域

電網(wǎng)企業(yè)是完全實(shí)行物理隔離的企業(yè)網(wǎng)絡(luò)，在內(nèi)網(wǎng)上仍然要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全等級(jí)，從邏輯上劃分核心重點(diǎn)防范區(qū)域、一般防范區(qū)域和開放區(qū)域。重點(diǎn)防范的區(qū)域是網(wǎng)絡(luò)安全的核心，這部分區(qū)域是一般用戶不能直接訪問的區(qū)域，有很高的安全級(jí)別。各種重要數(shù)據(jù)、服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器應(yīng)當(dāng)放置在該區(qū)域，各種應(yīng)用系統(tǒng)、OA系統(tǒng)等在該區(qū)域運(yùn)行。

4.2 加強(qiáng)安全管理，重視制度建設(shè)

為保證企業(yè)信息安全，要把企業(yè)信息安全作為一個(gè)系統(tǒng)工程來考慮。因此，企業(yè)網(wǎng)絡(luò)的安全問題，安全管理和制度建設(shè)非常重要（特別是內(nèi)網(wǎng)）。現(xiàn)提出如下建議：

4.2.1 加強(qiáng)日志管理與安全審計(jì)

一般的防火墻與入侵檢測(cè)系統(tǒng)都具備審計(jì)功能，要充分利用它們的審計(jì)功能，作好網(wǎng)絡(luò)的日志管理和安全審計(jì)工作。對(duì)審計(jì)數(shù)據(jù)要嚴(yán)格管理，不允許任何人修改、刪除審計(jì)記錄。

4.2.2 重視網(wǎng)絡(luò)管理制度建設(shè)

嚴(yán)格的管理制度，是保證企業(yè)信息安全的重要措施之一。

（1）領(lǐng)導(dǎo)應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全問題。企業(yè)領(lǐng)導(dǎo)要高度重視安全管理和安全制度建設(shè)問題，不能把安全管理和制度建設(shè)看成是技術(shù)部門的事。企業(yè)應(yīng)當(dāng)成立信息安全領(lǐng)導(dǎo)小組，由分管領(lǐng)導(dǎo)抓信息安全工作，并明確其職責(zé)和工作制度。要制訂安全事故處理程序、應(yīng)急計(jì)劃等。

（2）加強(qiáng)基礎(chǔ)設(shè)施和運(yùn)行環(huán)境的管理建設(shè)。企業(yè)網(wǎng)絡(luò)的管理機(jī)構(gòu)的機(jī)房、配電房等計(jì)算機(jī)系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴(yán)格管理，配備防盜、防火、防水等設(shè)施，應(yīng)當(dāng)安裝監(jiān)控系統(tǒng)、監(jiān)控報(bào)警裝置等。建立嚴(yán)格的設(shè)備運(yùn)行日志，記錄設(shè)備運(yùn)行狀況。要規(guī)范操作規(guī)程，確保計(jì)算機(jī)系統(tǒng)的安全、可靠運(yùn)行。

（3）建立必要的安全管理制度。企業(yè)網(wǎng)絡(luò)的中心機(jī)房和各業(yè)務(wù)部門計(jì)算機(jī)系統(tǒng)都要建立各類管理制度，網(wǎng)絡(luò)系統(tǒng)管理員、安全員、各業(yè)務(wù)部門主管和計(jì)算機(jī)操作人員的計(jì)算機(jī)密碼管理規(guī)定等內(nèi)控管理制度，對(duì)應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權(quán)并由專人負(fù)責(zé)，登記日志。建立健全數(shù)據(jù)備份制度，核心程序及數(shù)據(jù)要嚴(yán)格保密，實(shí)行專人保管。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個(gè)漏洞，都會(huì)導(dǎo)致全網(wǎng)的安全問題，我們應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。這樣才能真正做到整個(gè)系統(tǒng)的安全。