發電企業信息安全保障體系建設

摘要：針對當前信息異化環境的現狀，結合企業現有安全保障模式手段的研究，提出系統性的信息安全保障模式。通過對信息安全保障系統的運用，企業能將被異化的信息進行有針對性的判定、挖掘和集成，并利用安全保障系統的保障模式，對異化還原后的信息進行保障管理，最后在信息加密措施中實現信息的安全管理。

關鍵詞：發電企業；信息；安全保障體系；建設

1、電力信息系統安全體系建設的原則

對電力信息安全水平進行提高能夠有效的對電力系統安全事件的發生率進行有效的降低，關于信息系統的安全建設并不是僅僅局限于安全產品的集成，要在電力信息安全系統建設以及管理建設和策略建設方面得到重視，而對于這一安全體系的建設完備的標志也要具備安全管理體系以及技術完備的成功建立和安全策略的完善及安全團隊的成功建設等幾個重要的要素。

在電力信息系統的安全保障體系方面，不僅要對電力系統整體安全水平進行提高，同時還要對其中的信息安全的隱患進行消除，電力系統對我國的國民經濟的發展起到了決定性的作用，由于其自身具有的特殊性，故此在建立電力信息系統的安全保障體系中就要遵循幾個基本原則，即：法定原則、動態原則、均衡原則、立體性原則。

2、電力信息系統在當前的現狀問題

電力系統的組件自身存在著脆弱性以及缺陷，由于在對其組件的設計、組裝以及制造的過程中在各種因素的影響下，就可能存有多方面的隱患。在硬件的組件方面主要是來源于設計，由于設計問題的因素就在物理的存取上存在隱患。軟件組件的安全隱患主要是設計以及軟件工程的實施過程中所留下的問題，主要是表現在安全漏洞上。還有是網絡以及通信協議方面的安全隱患，因特網自身就是沒有明確物理界限的網際是虛擬的網絡現實，這在安全問題上也較容易發生。其次是自然威脅以及意外的人為威脅和惡意的人為威脅。

在電力信息系統方面的發展過程中同時也存在著一些問題，首先就是人員信息安全意識的薄弱，當前的電力企業對于信息的安全以及保密的意識還有待進一步的提高，各個單位領導以及相關的工作人員對于信息安全的問題沒有得到充分的重視，在個人的辦公終端有的不設置口令或者是口令的密度較低，對于軟件的安裝以及下載都是沒有授權的，這些問題都是源自對信息安全意識的薄弱。另外就是在電力信息的安全管理機制方面還不夠完善，制度的執行力度還不夠，在相關人員的配備上沒有做到位，安全監管職責也沒有得到有效的落實，對于信息安全事件還存在著不通報以及通報不及時的現象，并且在信息安全的原因分析方面還不夠充分，對于整改的措施沒有落實到位，同時在電力信息安全事件的調查處理以及考核機制方面還有待進一步的完善，在其信息系統的邊界安全防護方面還存在著能夠被黑客高手利用的一些較為薄弱的環節，在安全體系以及可評估的安全模型方面比較的缺乏。

3、信息安全保障體系建設探索

3.1建立信息安全管理體系

安全管理體系是整個信息安全防護體系的基石，它包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理五個方面，信息安全組織機構的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權的信息安全小組，負責整體信息安全管理工作，審批信息安全方針，分配安全管理職責，支持和推動組織內部信息安全工作的實施，對信息安全重大事項進行決策。處置信息安全事件，對安全管理體系進行評審。

3.1.2分配管理者權限

按照管理者的責、權、利一致的原則，對信息管理人員作級別上的限制；根據管理者的角色分配權限，實現特權用戶的權限分離。對工作調動和離職人員及時調整授權，根據管理職責確定使用對象，明確某一設備配置、使用、授權信息的劃分，制訂相應管理制度。

3.1.3職責明確，層層把關

制訂操作規程要根據職責分離和多人負責的原則各負其責，不能超越自己的管轄范圍。系統維護時要經信息管理部門審批，有信息安全管理員在場，對故障原因、維護內容和維護前后情況做詳細記錄。

3.1.5系統應急處理

制定信息安全應急響應管理辦法，按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級，采取措施，防止破壞的蔓延與擴展，使危害降到最低，通過對事件或行為的分析結果，查找事件根源，徹底消除安全隱患。

3.2建立信息安全技術策略

3.2.1物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；確保計算機系統有一個良好的工作環境；防止非法進入機房和各種偷竊、破壞活動的發生，抑制和防止電磁泄露等采取的安全措施。

3.2.2網絡安全策略

網絡安全防護措施主要包括以下幾種類型：

（1）防火墻技術。通過防火墻配置，控制內部和外部網絡的訪問策略，結合上網行為管理，監控網絡流量分配，對于重要數據實行加密傳輸或加密處理，使只有擁有密鑰的授權人才能解密獲取信息，保證信息在傳輸過程中的安全。

（2）防病毒技術。根據有關資料統計，對電力信息網絡和二次系統的威脅除了黑客以外，很大程度上是計算機病毒造成的。采用有效的防病毒軟件、惡意代碼防護軟件，保障升級和更新的時效性，是行之有效的措施。

（3）安全檢測系統。通過專用工具，定期查找各種漏洞，監控網絡的運行狀況。在電力二次系統之間安裝IDS入侵檢測軟件等，確保對網絡非法訪問、入侵行為做到及時報警，防止非法入侵。

3.2.3安全策略管理

對建的電力二次系統必須在建設過程中進行安全風險評估，并根據評估結果制定安全策略；對已投運且已建立安全體系的系統定期進行漏洞掃描，以便及時發現系統的安全漏洞。

3.2.4 數據庫的安全策略

數據庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數據庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言，它可以分為最小特權策略、數據庫加密策略、數據庫備份策略、審計追蹤策略。

4、結語

對于電力信息系統的安全體系的建設，要能夠把安全保障以及安全管理得到有機的結合，在我國的電力信息化的不斷發展以及推進的過程中，信息系統以及網絡安全管理已經愈來愈廣泛的得到了電力企業的重視，這對于保障電力信息的安全有著極其重要的作用。

參考文獻：

[1]王芝茗.做實做細加強督導--國網遼寧電力信息安全管理提升工作記事[J].國家電網，2013（12）.

[2]寇楊.檔案網絡信息安全保障體系建設探討[J].管理觀察，2012（26）.