防護(hù)措施在電力企業(yè)網(wǎng)絡(luò)信息安全的運(yùn)用

肖　鵬， 蘇永東， 張　睿， 宋　春

（1.云南電網(wǎng)有限責(zé)任公司信息中心， 云南　昆明　650217；2.云南云電同方科技有限公司， 云南　昆明　650217）

引言

隨著互聯(lián)網(wǎng)的發(fā)展，信息化已經(jīng)成為必然的趨勢，這也是人類文明的象征之一。人們也逐漸認(rèn)識到了它的重要性。電力企業(yè)進(jìn)行信息化建設(shè)能夠提高工作效率，優(yōu)化管理。電力企業(yè)是密集型產(chǎn)業(yè)，最重要的就是要生產(chǎn)自動化。所以，電力企業(yè)很早就進(jìn)行了信息化建設(shè)。和其他企業(yè)相比，發(fā)展的時間較早，因?yàn)闆]有借鑒的經(jīng)驗(yàn)，所以說很多問題都沒有得到解決。在發(fā)展的過程中逐漸形成安全隱患，解決安全隱患也成為當(dāng)前最迫切的工作。

1　電力企業(yè)網(wǎng)絡(luò)信息安全的現(xiàn)狀

1.1　電力企業(yè)網(wǎng)絡(luò)信息安全存在的問題

1）缺少安全意識，最近幾年互聯(lián)網(wǎng)信息發(fā)展迅速，一些企業(yè)的安全策略和安全保護(hù)技術(shù)在不斷進(jìn)步。但很多企業(yè)的領(lǐng)導(dǎo)者沒有認(rèn)識到保護(hù)信息安全的重要性，理想和實(shí)際還存在巨大的差異。2）雖然很多電力企業(yè)認(rèn)識到了計算機(jī)安全的重要性，但沒有進(jìn)行統(tǒng)一的管理工作。整個電力企業(yè)，也沒有形成完善的管理規(guī)范，對于信息網(wǎng)絡(luò)安全應(yīng)對措施，沒有具體統(tǒng)一的用對方法。3）缺乏針對電力企業(yè)設(shè)置的信息安全系統(tǒng)。雖然計算機(jī)已經(jīng)應(yīng)用在電力企業(yè)的管理、生產(chǎn)經(jīng)營系統(tǒng)中。但是，對于安全防患、安全措施投入力度較少，而且沒有針對性的信息安全系統(tǒng)。4）很多計算機(jī)系統(tǒng)都是商用的，用戶的身份認(rèn)證這一方面不夠完善，缺少專業(yè)的用戶鑒別方法。有些只是輸入口令，就能進(jìn)行安全信息控制。5）很多電力企業(yè)的工作站都會進(jìn)行數(shù)據(jù)備份工作，但對于如何備份，如何管理沒有具體的策略也不知道該怎樣進(jìn)行數(shù)據(jù)備份的管理工作。

1.2　網(wǎng)絡(luò)安全防護(hù)工作無法滿足業(yè)務(wù)發(fā)展的需求

信息技術(shù)的發(fā)展也促進(jìn)了很多電力企業(yè)業(yè)務(wù)的發(fā)展。網(wǎng)絡(luò)安全問題也成為企業(yè)重視的關(guān)鍵問題。很多電力企業(yè)的安全防護(hù)工作不夠完善，不知道該如何進(jìn)行管理控制，管理水平不夠完善，不知道該如何進(jìn)行風(fēng)險測評工作，也無法進(jìn)行風(fēng)險評估。針對這個問題，我們國家還沒有專業(yè)的測評機(jī)構(gòu)。因此，很多電力企業(yè)存在著安全隱患不容易被發(fā)現(xiàn)，也不能得到及時管理。這就使得安全隱患變得越來越大，企業(yè)的防范能力也沒有得到提高。

1.3　網(wǎng)頁病毒帶來的網(wǎng)絡(luò)安全問題

很多電力企業(yè)都建立了自己的網(wǎng)站，還會和其他的銀行個人帳戶連接。而電力企業(yè)也分為內(nèi)網(wǎng)和外網(wǎng)，這兩者是相聯(lián)系的。很多員工也會通過內(nèi)網(wǎng)直接和外網(wǎng)聯(lián)系，在網(wǎng)站上尋找自己想要的東西。但是，這些網(wǎng)頁有可能會存在安全隱患。一些網(wǎng)頁有可能被黑客修改過。一旦員工如果通過內(nèi)網(wǎng)點(diǎn)擊到可能被黑客修改過的網(wǎng)頁，公司的內(nèi)網(wǎng)就有可能受到攻擊。

1.4　系統(tǒng)不夠完善存在漏洞

很多電力企業(yè)很早就建設(shè)了屬于自己的信息化，在建立的時候就已經(jīng)留下了一些安全隱患。由于設(shè)備不夠完善，軟件存在著安全漏洞。這些在未來可能會造成不良后果。可能會存在著巨大的安全漏洞包括信息泄露、信息丟失、儲存介質(zhì)損壞等等。而電力企業(yè)沒有及時進(jìn)行修補(bǔ)，或者不小心設(shè)置了默認(rèn)攻擊，都會造成安全事故[1]。

2　如何采取安全防護(hù)措施

2.1　進(jìn)行信息加密

對于重要的信息進(jìn)行安全加密是當(dāng)前信息領(lǐng)域非常重要的一項技術(shù)，也就是密碼技術(shù)。這個密碼技術(shù)可以分為兩類，一種是des算法。另一種是RAS算法。這兩種都可以使用。

2.2　網(wǎng)絡(luò)控制技術(shù)以及信息確認(rèn)技術(shù)

當(dāng)前一些企業(yè)有成熟的信息確認(rèn)技術(shù)，可以進(jìn)行身份認(rèn)證，保存信息數(shù)據(jù)，設(shè)立防火墻。這些技術(shù)都是在計算機(jī)網(wǎng)絡(luò)的基礎(chǔ)上展開的。關(guān)于信息安全的一些技術(shù)要結(jié)合電力企業(yè)當(dāng)前的發(fā)展情況，不同的任務(wù)性質(zhì)，制定切實(shí)相關(guān)的策略。

2.3　計算機(jī)病毒防護(hù)

計算機(jī)病毒千奇百怪種類繁多，具有網(wǎng)絡(luò)化、多樣化的特點(diǎn)。為了防止這些計算機(jī)病毒，應(yīng)該在總公司設(shè)立一個專門的計算機(jī)病毒防護(hù)中心，進(jìn)行總體化管理。

2.4　設(shè)立防火墻

很多網(wǎng)頁存在巨大的安全隱患有可能是黑客改造而成的。這些黑客會攻擊計算機(jī)里的一些漏洞，嚴(yán)重的可能會造成巨大的財產(chǎn)損失。因此要根據(jù)每臺計算機(jī)里的數(shù)據(jù)儲存，以及業(yè)務(wù)內(nèi)容劃分等級。對于較為重要的計算機(jī)，設(shè)立級別較高的防火墻，制定具體的防護(hù)措施。除此之外，要做好檢測預(yù)防工作，對于非常重要的系統(tǒng)要采取特別的手段進(jìn)行防護(hù)，例如物理隔離[2]。

2.5　數(shù)據(jù)備份

數(shù)據(jù)備份是非常重要的，不同的數(shù)據(jù)要有不同的措施。根據(jù)數(shù)據(jù)的重要程度劃分等級，采取不同的措施。在公司總部，設(shè)立一個專門的數(shù)據(jù)備份中心，并具備有專業(yè)的人員和災(zāi)難恢復(fù)技術(shù)，保證信息被損壞之后能夠得到恢復(fù)。

2.6　設(shè)立電力信息系統(tǒng)監(jiān)控中心

為了保證電力企業(yè)的數(shù)據(jù)信息安全，應(yīng)該做好預(yù)防工作。必須設(shè)立綜合性較強(qiáng)的信息系統(tǒng)監(jiān)控中心，可以對各級信息網(wǎng)絡(luò)進(jìn)行管理。整合所有的信息安全防護(hù)技術(shù)。對于可能發(fā)生即將發(fā)生的安全隱患，事先做好預(yù)防措施，提出應(yīng)對策略。發(fā)生信息問題時可以快速解決。出現(xiàn)異常情況后，要在第一時間進(jìn)行安全測評工作。消除安全隱患，排除系統(tǒng)故障。

2.7　設(shè)立應(yīng)對措施

雖然電力企業(yè)的網(wǎng)絡(luò)信息發(fā)展比較早，存在著很多安全隱患，也沒有可以借鑒的經(jīng)驗(yàn)。但我們可以總結(jié)外國的案例，結(jié)合本企業(yè)的發(fā)展現(xiàn)狀預(yù)測企業(yè)可能會發(fā)生的問題。設(shè)計一套完善的應(yīng)急措施。這是緊急控制問題發(fā)生的基礎(chǔ)工作。如果真的發(fā)生了信息安全問題，就可以啟動這套措施。盡快解決安全事件，減少損失，減少波及的范圍。例如，我們國家電網(wǎng)曾經(jīng)就提出過黑啟動方案[3]。

2.8　對內(nèi)部員工進(jìn)行培訓(xùn)

企業(yè)的每一個員工都應(yīng)該有安全意識，掌握相關(guān)的技能。因?yàn)楸Ｗo(hù)企業(yè)的信息安全人人有責(zé)，每一個員工都要獻(xiàn)出自己的一份力。所以說，上到管理人員，下到技術(shù)人員，每一個員工都要做好安全培訓(xùn)工作。

3　結(jié)語

網(wǎng)絡(luò)安全不僅僅是一個層面的問題。而是一個系統(tǒng)綜合的問題，不僅需要技術(shù)，而且需要管理。網(wǎng)絡(luò)安全是一個綜合系統(tǒng)，不僅僅涉及到技術(shù)層面的問題同時還會涉及到管理上面的問題。在網(wǎng)絡(luò)上，一切系統(tǒng)都有可能出現(xiàn)問題，軟件、硬件。因此，應(yīng)全面分析個人、數(shù)據(jù)、軟件等每一個環(huán)節(jié)。只有這樣才能制定出好的解決預(yù)測方案。

[1]朱琳娜，盛海港.網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中國電力教育，2010（S2）：132-136.

[2]汪潔，易予江.電力企業(yè)信息網(wǎng)絡(luò)安全分析與對策[J].電力信息與通信技術(shù)，2008（10）：30-32.

[3]香柱平.有關(guān)電力企業(yè)信息中心網(wǎng)絡(luò)安全及防護(hù)措施的探討[J].中小企業(yè)管理與科技旬刊，2010（15）：211.