發電企業信息系統安全管理初探

梁大鵬

河北大唐國際唐山熱電有限責任公司

發電企業信息系統安全管理初探

梁大鵬

河北大唐國際唐山熱電有限責任公司

經濟的發展、人民生活水平的提高，離不開社會信息化進程的加快。而電力產業作為能源轉化、傳輸的重要基礎性產業，對于國民經濟水平的提升起著重要作用。近些年，信息技術在電力安全生產中的應用越來越廣泛，給電力企業的發展帶來了質的飛躍，但也存在很大的安全隱患，基于此，本文將著重分析探討發電企業信息系統安全管理措施，以期能為以后的實際工作起到一定的借鑒作用。

發電企業；信息系統；安全管理

引言

發電企業的網絡信息安全與一般企業相比，同時具備多方面的安全風險因素。網絡安全主要涉及網絡數據的數據信息、軟件和硬件設備、網絡環境，非法防守和惡意攻擊的IP地址，可以讓外部人員進入數據通信網絡系統，破壞和竊取系統的相應數據，確保數據的真實性不受威脅，摧毀一切可能存在的威脅和風險。

1 、發電企業信息系統安全管理的重要性

在電力市場中，計算機的開放性使得電力用戶可以隨時從各地與電力中心進行聯系，其便捷性與廣泛性是線下交易不可比擬的，但同時電力信息系統也可能面臨著隱藏于各個角落的病毒或者黑客的攻擊，可能會造成電力信息的泄露與電力系統的破壞。電力企業會對信息系統進行網絡安全防護，這依賴于多種安全技術，比如加密、認證等措施，但是一些黑客能夠通過分析數據傳輸的頻率、長度、流量、加密類型等信息，對電力系統中較大的設備產生影響和破壞，或者對加密信息進行破解，這對電力系統中直接操縱的設備和數據都造成很大的威脅，由此看來，做好電力信息系統的網絡安全防護工作，能夠保證電力信息交互過程中信息的完整性與高效性；能夠確保電力信息的安全性與保密性。在現代社會，無形的信息是企業的重要機密與資產，維護信息系統安全，對促進電力企業的經濟效益與社會效益是十分顯著的。

2 、發電企業信息系統安全管理現狀分析

對于我國的電力企業而言，信息化技術多應用于生產管理、信息管理和企業經營等部門，盡管這對于加快電力體制改革起到了重要作用，但與西方發達國家相比，我國信息化技術水平及其應用，與國際先進水平還有一定差距。尤其是在確保信息安全方面，技術水平仍不能完全滿足需求。此外，我國很多電力企業仍采用比較落后的計算機系統進行相關管理，這種應用局域網的系統，只能將信息安全保護范圍集中在內部設備或人員的控制上。但依據目前的信息化發展形勢，網絡化、信息化的進程不斷縱深發展，單靠內部員工已經無法達到保護信息安全的目的，還需加強對國際互聯網的攻擊，如病毒、黑客加以控制和防范。所以，若想保證電力企業的安全管理，必須提高信息化技術水平，升級管理模式。

3 、發電企業信息系統安全管理措施

3.1 開展信息安全頂層設計

電力行業信息安全要從頭抓起，全面涵蓋各單位、各業務、系統性優化信息安全頂層設計，要堅持業務發展不忘同步信息安全構建，在管理、策略、技術、角色等方面多管齊下，多策并舉，建立標準化的信息安全頂層框架，對信息安全進行全過程的管控，為今后可持續性的安全防護工作打下基礎。

3.2 構建新型安全防護技術體系

電力信息系統的安全風險不僅僅有來自于外界的惡意攻擊，還有來自于內部的權限濫用，未來新型的安全防護技術體系的構建同時遵循防護、控制、智能的原則，對信息系統進行全生命周期的防護，并建立涵蓋端+邊界+云的立體式防護體系，堅持防護系統的自主可控研發戰略，在操作系統、高端服務器、數據庫、秘鑰算法等方面實現國產替代，真正建立起一套屬于自己的防護體系，對網絡安全實行多層保護，即使前手失效仍有后續防護進行補救，并且加強多層次防線之間的聯動協同，形成完整、統一、配套的信息安全能力。

3.3 信息系統安全評估

在實際工作中，信息系統的建設主要就是為企業和相關人員提供一個信息上傳和獲取的平臺，方便其日常的工作。為保證數據通信網絡的可靠性，首先應該對網絡安全進行基本的評價，要求評估涵蓋的基本識別目標，比如某些潛在用戶和信息來源。評估必須全面、細致，確保其準確性和有效性，相關人員評估相應的審計和檢查結果。與此同時，評估的結果按照需要的網絡環境和相應的信息技術的變化或新的評估，以便相關的技術人員根據通信網絡的安全性進行全面控制，保證數據通信的安全需求。

3.4 信息技術的加強

電力企業內部交流科技的發展為現代企業的騰飛帶來諸多便利條件，信息技術的應用便是最好的證明，它不但可以為電力企業提供技術支持，還可以有效地進行內部管理。這主要表現在：首先，企業的發展離不開內部信息的交流，企業精神的戰略傳達，企業文化的宣傳引導，都需要快速地進行信息傳遞，信息技術便很好的滿足了這一要求，加快了企業內部信息傳遞速度，提高了工作效率。其次，信息技術的應用為企業管理開辟了新的渠道，不但可以有效地進行人員任務分配，還可以推動文化的發展。信息技術在提升企業競爭力的同時，也要求電力企業不斷創新、更新知識儲備、升級系統設備，一旦墨守陳規、停滯不前，就會毫不客氣地被激烈的市場競爭所淘汰。

3.5 危害的清除

一般來說，網絡的脆弱性作為影響網絡安全的關鍵因素，屬于漏洞網絡操作和擴張的一部分。為保證數據通信網絡的穩定性，有必要開發一個系統漏洞，解除網絡威脅和風險的相關策略，從關鍵的服務器開始防護，預防和保護工作的正常進行，剔除潛在的漏洞。完善病毒的管理方案，以防止各種惡意病毒，避免惡意竊聽攻擊，一般采取加密的方式建立一個防火墻，有效攔截地址欺騙和木馬攻擊。同時，添加相應用程序的網絡安全系統，避免在安裝系統等各種各樣的軟件和硬件時，出現潛在的安全漏洞，出現信息丟失的數據安全問題。

3.6 信息安全風險控制

(1)首先應從企業內部著手，建立健全各項規章制度，確定企業文件和各類信息的保密等級以及訪問權限，減小企業各類信息的擴散范圍，加大對各級人員的教育培訓力度，嚴控泄密途徑，嚴懲泄密行為。(2)設置專業管理部門和人員對企業檔案進行管理，制度上墻，完善借閱記錄，簽訂保密協議，嚴防企業內部資料外泄。(3)落實企業信息管理各級人員崗位責任制，及時更新企業網絡安全防護系統，定期掃描網絡安全漏洞并及時更新，主動進行有效防護，及時監控網絡異常流量，不給黑客和病毒可乘之機。(4)設置防火墻對于企業網絡來說無疑是多了一道安全屏障，嚴格控制訪問用戶級別，增加內部網絡的安全性。(5)企業內部網絡由專業人員進行管理，內部統一使用加密移動盤，內網與外網有效隔離，杜絕病毒入侵內網，防止交叉感染病毒。(6)企業內網數據由專業人員進行管理和授權，用戶能否訪問某一資源由網絡管理員確認，實現身份認證方可登錄系統，從而有效防止外部各種入侵致使信息丟失、泄露。(7)企業網絡安全防護系統應根據信息安全技術發展及時進行更新，保證其呈現系統性，在防病毒方面應呈現出主動防御特點，利用先進技術，實現多角度、全方位分級防護功能，采取集中控制方式，抓牢防治病毒主線，以防毒和殺毒相結合的手段來保證內部網絡安全。(8)發電企業屬于高尖知識密集型產業，從立項開始，設計及審核、建設施工、竣工驗收、投產發電等各環節，都涉及到新工藝、新設備、新技術的廣泛應用，知識產權保護尤為重要，因此必須在合同、協議中明確雙方的保密責任，杜絕企業重要技術信息外泄。(9)深挖企業內部潛力，發揮運行及維護人員的主觀能動性，深入排查自動控制系統中存在的各類安全隱患，將隱患消滅在萌芽狀態。(10)企業內部的資料室、控制機房等重要部門實現高等級防護隔離，牢固和密閉的門窗、防火防爆設計和措施的落實，可以有效地防止由于自然災害、人為破壞等因素給企業信息安全帶來的危害。

結束語

總而言之，近些年，信息技術在電力安全生產中的應用越來越廣泛，給電力企業的發展帶來了質的飛躍。作為電力企業，更要加快腳步，跟上瞬息萬變的時代步伐和信息化進程，利用信息技術實現電力企業安全管理，只有如此，才能從容面對日新月異的社會形勢，不懼任何挑戰，這也就要求我們在以后的實際工作中必須對其實現進一步研究探討。

[1]葉夢熊，唐寧.借鑒COSO企業風險管理框架構建發電企業信息安全管理體系[J].中國管理信息化，2014，15：45-46.

[2]羅正軍，姚建剛，羅滇生，姚堯，劉奇.基于工作流技術的發電企業管理信息系統的研究與開發[J].繼電器，2004，02：53-56.

[3]程伯儒，劉叢濤，方曉東，龔和，孔令嘉.發電企業安全生產門禁管理信息系統設計[J].中國電業(技術版)，2011，12：20-22.

[4]王子銘.火力發電企業管理信息系統方案設計與研究[D].吉林大學，2010.

[5]鄒小琴.發電企業戰略型管理信息系統的研究與開發[D].河海大學，2003.