電力企業(yè)信息安全管理策略研究

摘 要：隨著信息技術(shù)與電力行業(yè)的深度融合，一定程度上提高了電力企業(yè)的生產(chǎn)經(jīng)營(yíng)效率和管理水平。但由于存在信息管理問(wèn)題和網(wǎng)絡(luò)問(wèn)題，對(duì)電力企業(yè)信息安全造成巨大威脅。本文通過(guò)分析當(dāng)前電力企業(yè)信息安全管理存在的問(wèn)題，針對(duì)性地提出了信息安全管理策略，以期為電力系統(tǒng)正常運(yùn)行提供保障。

關(guān)鍵詞：電力企業(yè)；信息安全；企業(yè)管理策略

中圖分類號(hào)：TP309.8 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2018）11-0139-03

Research on Information Security Management Strategy of

Electric Power Enterprises

ZHANG Zhi，CHANG Yongjuan

（State Grid Hebei Electric Power Supply Co.，Ltd.，Information Communication Branch，Shijiazhuang 050021，China）

Abstract：With the deep integration of information technology and electric power industry，the production and operation efficiency and management level of power enterprises have been improved to a certain extent. However，due to information management problems and network problems，it poses a great threat to information security of power enterprises. This paper analyzes the current problems of information security management in power enterprises，and puts forward information security management strategies in order to provide security for the normal operation of the power system.

Keywords：electric power enterprise；information security；enterprise management strategy

0 引 言

電力是國(guó)民經(jīng)濟(jì)的命脈，對(duì)社會(huì)生產(chǎn)生活起著積極地推動(dòng)作用。隨著信息技術(shù)的不斷發(fā)展，電力企業(yè)的信息化水平得到提高，一定程度上提高了電力企業(yè)的生產(chǎn)經(jīng)營(yíng)效率、管理水平以及市場(chǎng)競(jìng)爭(zhēng)力。但是，信息的收集處理、交換傳輸以及共享等離不開(kāi)互聯(lián)網(wǎng)技術(shù)的支持，而互聯(lián)網(wǎng)本身存在很大的自由性和不確定性，對(duì)電力企業(yè)信息安全造成巨大威脅。同時(shí)也為一些不法分子提供了可乘之機(jī)，使得其通過(guò)竊取或篡改重要的信息數(shù)據(jù)，以獲取經(jīng)濟(jì)利益或達(dá)到破壞電力系統(tǒng)正常運(yùn)行的目的。因此，為了保證電力系統(tǒng)正常運(yùn)行，加強(qiáng)電力企業(yè)信息系統(tǒng)管理力度很有必要，也有助于推動(dòng)電力企業(yè)信息化進(jìn)一步發(fā)展。

1 電力企業(yè)信息安全管理內(nèi)容

電力企業(yè)信息安全管理主要包括安全策略、風(fēng)險(xiǎn)管理和安全教育三方面，其中安全策略屬于電力企業(yè)信息安全管理的最高方針，在制定安全策略時(shí)需要電力企業(yè)根據(jù)自身的發(fā)展規(guī)模、安全需求、業(yè)務(wù)特點(diǎn)等綜合考慮，最終確保形成的書(shū)面材料通俗易懂、簡(jiǎn)單明了，便于信息安全管理人員實(shí)施操作；風(fēng)險(xiǎn)管理屬于電力企業(yè)信息安全管理的對(duì)策建議，主要是對(duì)影響信息安全的風(fēng)險(xiǎn)因素進(jìn)行識(shí)別、評(píng)估和防控，可以事先假定存在某方面的風(fēng)險(xiǎn)，然后通過(guò)有效規(guī)避風(fēng)險(xiǎn)、合理轉(zhuǎn)嫁風(fēng)險(xiǎn)、科學(xué)降低風(fēng)險(xiǎn)和適度接受風(fēng)險(xiǎn)等手段來(lái)盡量降低信息風(fēng)險(xiǎn)給企業(yè)帶來(lái)的經(jīng)濟(jì)損失；安全教育的目的是確保信息安全管理的有效執(zhí)行，可以通過(guò)信息安全培訓(xùn)的方式直接對(duì)企業(yè)信息安全管理人員進(jìn)行信息安全教育，使其了解信息安全管理策略，掌握信息風(fēng)險(xiǎn)防控對(duì)策，將信息安全管理的內(nèi)容內(nèi)化于心、外化于形，同時(shí)將信息安全管理納入企業(yè)文化建設(shè)當(dāng)中。

2 電力企業(yè)信息化發(fā)展特征

2.1 基礎(chǔ)設(shè)施建設(shè)完善

電力企業(yè)經(jīng)過(guò)多年的信息化發(fā)展，與傳統(tǒng)的其他行業(yè)相比，信息化建設(shè)水平相對(duì)較高，計(jì)算機(jī)普及率高達(dá)100%，局域網(wǎng)覆蓋率達(dá)到90%以上，從管理人員到一線具體操作人員均對(duì)計(jì)算機(jī)技術(shù)有所了解和掌握。

2.2 自動(dòng)化系統(tǒng)建設(shè)成熟

信息技術(shù)在電力企業(yè)日常生產(chǎn)經(jīng)營(yíng)活動(dòng)中的廣泛應(yīng)用，使得生產(chǎn)自動(dòng)化系統(tǒng)建設(shè)較為成熟，極大地提高了生產(chǎn)效率。目前多數(shù)電力企業(yè)采用更為先進(jìn)的SCADA系統(tǒng)，電網(wǎng)三級(jí)調(diào)度也完全實(shí)現(xiàn)了自動(dòng)化目標(biāo)，成為引領(lǐng)全球電力調(diào)度的航標(biāo)。

2.3 營(yíng)銷管理系統(tǒng)完善

盡管電力行業(yè)屬于國(guó)家的民生工程，享受國(guó)家的補(bǔ)貼政策，但仍然需要面對(duì)市場(chǎng)的殘酷競(jìng)爭(zhēng)，信息技術(shù)與營(yíng)銷管理系統(tǒng)的有機(jī)融合，進(jìn)一步完善了營(yíng)銷管理系統(tǒng)，實(shí)現(xiàn)了用電管理、業(yè)務(wù)受理、客戶服務(wù)等信息化，為電力企業(yè)開(kāi)展?fàn)I銷活動(dòng)注入了新的活力。

2.4 管理信息系統(tǒng)建設(shè)穩(wěn)步推進(jìn)

電力企業(yè)在管理信息系統(tǒng)建設(shè)過(guò)程中，相繼開(kāi)發(fā)出滿足生產(chǎn)、營(yíng)銷、設(shè)備、安全等管理要求的各種信息系統(tǒng)，實(shí)現(xiàn)了各個(gè)層面上的管理系統(tǒng)信息化建設(shè)，改善了企業(yè)工作環(huán)境，推動(dòng)了企業(yè)現(xiàn)代化發(fā)展。

3 電力企業(yè)信息安全管理存在的問(wèn)題

3.1 機(jī)構(gòu)設(shè)置不完善

當(dāng)前很多電力企業(yè)的領(lǐng)導(dǎo)層都沒(méi)有對(duì)信息安全管理引起足夠的重視，在機(jī)構(gòu)建置上沒(méi)有設(shè)置專門的信息安全管理部門和科學(xué)合理的信息安全管理崗位，缺乏專業(yè)技能良好、綜合素質(zhì)較高的復(fù)合型管理人才，更沒(méi)有嚴(yán)格的管理制度保障信息安全管理工作的順利開(kāi)展。即使有些電力企業(yè)設(shè)置了信息安全管理部門，但也被規(guī)劃進(jìn)科技部或總經(jīng)理部門下管理，工作缺乏獨(dú)立性，不利于與企業(yè)的其他部門進(jìn)行協(xié)作配合，嚴(yán)重影響電力企業(yè)信息化建設(shè)。

3.2 管理地位不高

電力企業(yè)信息貫穿于生產(chǎn)、經(jīng)營(yíng)、管理的全過(guò)程，涉及的內(nèi)容點(diǎn)多面廣，對(duì)互聯(lián)網(wǎng)技術(shù)依賴程度不斷增強(qiáng)。但信息安全管理沒(méi)有納入企業(yè)文化建設(shè)中，只是作為一種長(zhǎng)期管理、經(jīng)營(yíng)過(guò)程中形成的特定安全文化獨(dú)立于企業(yè)文化之外，與企業(yè)文化是一種附屬關(guān)系，而不是將信息安全管理看作是企業(yè)文化的重要組成部分，這樣就降低了信息安全管理的地位，影響了信息安全管理的實(shí)施力度，阻礙了電力企業(yè)信息化發(fā)展。

3.3 管理水平偏低

多數(shù)電力企業(yè)的管理水平較低，管理工作流于形式，工作成效偏低，跟不上自身信息化建設(shè)的進(jìn)程，導(dǎo)致信息系統(tǒng)不能有效發(fā)揮應(yīng)有的作用。雖然部分電力企業(yè)在推進(jìn)信息化建設(shè)中引入了先進(jìn)的管理系統(tǒng)與業(yè)務(wù)系統(tǒng)，但由于管理模式滯后，開(kāi)展的管理活動(dòng)缺少深度，實(shí)效性不強(qiáng)，嚴(yán)重影響對(duì)信息化管理的及時(shí)優(yōu)化和革新，使得信息系統(tǒng)的使用效果欠佳。

3.4 信息安全存在風(fēng)險(xiǎn)

（1）網(wǎng)絡(luò)結(jié)構(gòu)不合理：雖然電力企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間采用物理隔離，但交換機(jī)設(shè)置很多企業(yè)使用一臺(tái)二層交換機(jī)，結(jié)構(gòu)存在明顯缺陷，導(dǎo)致網(wǎng)絡(luò)中所有用戶地位平等，容易出現(xiàn)安全問(wèn)題。

（2）企業(yè)內(nèi)部風(fēng)險(xiǎn)：專業(yè)技術(shù)人員對(duì)網(wǎng)絡(luò)信息結(jié)構(gòu)與系統(tǒng)應(yīng)用較為熱悉，一旦因網(wǎng)絡(luò)管理人員私心作祟將重要信息泄漏，將給企業(yè)造成致命的信息安全威脅。

（3）計(jì)算機(jī)病毒：計(jì)算機(jī)病毒具有擴(kuò)散速度快、侵襲范圍廣的特點(diǎn)，一旦計(jì)算機(jī)感染網(wǎng)絡(luò)病毒，輕則導(dǎo)致數(shù)據(jù)被竊取或篡改，重則導(dǎo)致整個(gè)電力網(wǎng)絡(luò)系統(tǒng)崩潰。

（4）互聯(lián)網(wǎng)自身開(kāi)發(fā)風(fēng)險(xiǎn)：電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)是以互聯(lián)網(wǎng)為基礎(chǔ)的，而互聯(lián)網(wǎng)自身的開(kāi)放特點(diǎn)使得客戶可以直接訪問(wèn)電力企業(yè)內(nèi)部的網(wǎng)絡(luò)資源，這樣在為客戶提供方便的同時(shí)，也給電力企業(yè)帶來(lái)信息安全和計(jì)算軟硬件安全風(fēng)險(xiǎn)。

（5）系統(tǒng)本身的安全風(fēng)險(xiǎn)：操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、各種應(yīng)用軟件系統(tǒng)等均存在一定的風(fēng)險(xiǎn)，很容易遭受黑客惡意攻擊。

4 電力企業(yè)信息安全管理策略

4.1 完善組織架構(gòu)

電力企業(yè)信息安全管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理原則，領(lǐng)導(dǎo)小組由決策層組成，管理層由各部門管理者組成，包括信息安全的規(guī)劃、監(jiān)督審計(jì)、運(yùn)行保障等各職能部門，實(shí)施專業(yè)化管理。同時(shí)構(gòu)建信息安全管理體系框架，包括信息安全的策略、運(yùn)行、管理和技術(shù)措施四個(gè)模塊。

4.2 做好安全規(guī)劃

電力企業(yè)需要根據(jù)自身實(shí)際情況，從系統(tǒng)角度和網(wǎng)絡(luò)安全特點(diǎn)出發(fā)優(yōu)先做好信息安全規(guī)劃工作，對(duì)網(wǎng)絡(luò)信息安全從整體上進(jìn)行綜合考慮和規(guī)劃，也可以參照一些國(guó)外的通行標(biāo)準(zhǔn)構(gòu)建信息安全管理體系，以達(dá)到防范網(wǎng)絡(luò)安全問(wèn)題的目的。同時(shí)電力企業(yè)信息安全實(shí)行雙網(wǎng)雙機(jī)管理，內(nèi)外網(wǎng)之間采用物理隔離，應(yīng)結(jié)合實(shí)際情況合理規(guī)劃內(nèi)網(wǎng)安全域，通常劃分為一般防范區(qū)域和重點(diǎn)防范區(qū)域，其中重點(diǎn)防范區(qū)域?qū)儆陔娏ζ髽I(yè)信息安全的內(nèi)部核心，必須實(shí)施重點(diǎn)安全防范，因此設(shè)置的訪問(wèn)級(jí)別較高，用戶訪問(wèn)受權(quán)限限制，未經(jīng)許可用戶無(wú)法進(jìn)入，目的是防止不法分子侵入系統(tǒng)。安全區(qū)域運(yùn)行OA系統(tǒng)、應(yīng)用系統(tǒng)等與核心數(shù)據(jù)相關(guān)的重要數(shù)據(jù)，以保證數(shù)據(jù)信息安全。

4.3 強(qiáng)化安全管理

（1）加強(qiáng)日常安全審計(jì)：入侵檢測(cè)系統(tǒng)均具有審計(jì)功能，能夠?qū)Σ《竟艋虿环ǚ肿尤肭旨皶r(shí)啟動(dòng)警報(bào)系統(tǒng)，將計(jì)算機(jī)自動(dòng)從局域網(wǎng)中隔離，盡可能降低安全隱患問(wèn)題。因此應(yīng)當(dāng)將安全審計(jì)工作落實(shí)到位，在加強(qiáng)網(wǎng)絡(luò)日志管理的同時(shí)做好審計(jì)數(shù)據(jù)的保存，以確保審計(jì)數(shù)據(jù)真實(shí)、全面、可靠，促使系統(tǒng)安全運(yùn)行。另外，未經(jīng)授權(quán)不得私自更改或刪除審計(jì)記錄。

（2）構(gòu)建病毒防護(hù)體系：安裝的防病毒軟件必須具有遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警、集中管理等特點(diǎn)，同時(shí)建立防病毒管理制度，嚴(yán)禁將來(lái)歷不明的存儲(chǔ)設(shè)備或隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)接入聯(lián)網(wǎng)計(jì)算機(jī)，一旦發(fā)現(xiàn)病毒應(yīng)及時(shí)進(jìn)行處理。

（3）信息安全保障舉措：根據(jù)信息安全分級(jí)保護(hù)等級(jí)落實(shí)好“分級(jí)、分區(qū)、分域”的信息安全防護(hù)策略，嚴(yán)格保密核心程序和數(shù)據(jù)，有效落實(shí)信息安全防護(hù)預(yù)案，實(shí)施強(qiáng)邏輯隔離措施，做好安全區(qū)域的隔離和劃分工作。

（4）建立網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)IPS：IPS是一種快速主動(dòng)的防御體系，能夠阻止惡意數(shù)據(jù)侵入電力系統(tǒng)，提升電力企業(yè)網(wǎng)絡(luò)信息安全管理指標(biāo)。與常規(guī)的防火墻相比，IPS的安全防御功能更加完善，不僅可以對(duì)網(wǎng)絡(luò)惡意數(shù)據(jù)流量進(jìn)行數(shù)據(jù)安全檢測(cè)，及時(shí)消除隱患，還能提供網(wǎng)絡(luò)虛擬補(bǔ)丁，起到預(yù)先攔截黑客攻擊或網(wǎng)絡(luò)病毒傳播的作用，以保證電力企業(yè)信息系統(tǒng)免受損害。

（5）加大對(duì)信息安全管理的投入：對(duì)新建信息安全系統(tǒng)要做到對(duì)設(shè)備和部件進(jìn)行嚴(yán)格檢查，明確要求供應(yīng)商提供相應(yīng)的安檢報(bào)告，確保信息安全系統(tǒng)符合標(biāo)準(zhǔn)；對(duì)已使用信息安全系統(tǒng)要做到對(duì)設(shè)備和部件進(jìn)行定期檢查，確保信息安全系統(tǒng)有效開(kāi)展防護(hù)工作。

4.4 提升信息安全管理意識(shí)

（1）高度重視信息安全管理工作：信息安全問(wèn)題已經(jīng)成為制約電力企業(yè)發(fā)展的瓶頸，領(lǐng)導(dǎo)層應(yīng)不斷提升信息安全管理意識(shí)，高度重視信息安全管理工作，結(jié)合企業(yè)實(shí)際情況成立信息安全領(lǐng)導(dǎo)小組，組織所有員工進(jìn)行信息系統(tǒng)安全運(yùn)行管理培訓(xùn)，讓其了解信息安全管理目標(biāo)，掌握信息安全評(píng)估方法，提高信息安全管理技能，在企業(yè)內(nèi)部形成良好的信息安全管理氛圍。

（2）建立健全信息安全管理制度：完善的信息安全管理制度應(yīng)明確相關(guān)負(fù)責(zé)人的工作職責(zé)和權(quán)限，落實(shí)信息安全管理工作責(zé)任到人，定期開(kāi)展信息安全管理工作督導(dǎo)檢查，對(duì)發(fā)現(xiàn)的問(wèn)題要求及時(shí)進(jìn)行整改，對(duì)相關(guān)的責(zé)任人按規(guī)定進(jìn)行嚴(yán)肅處理，以確保信息安全管理制度的嚴(yán)肅性、強(qiáng)制性、權(quán)威性和可執(zhí)行性。同時(shí)也使工作人員在具體操作時(shí)，有章可循、有法可依、更加規(guī)范，從而避免因操作失誤帶來(lái)的信息安全問(wèn)題。

（3）建立信息安全應(yīng)急保障機(jī)制和不同信息安全風(fēng)險(xiǎn)的預(yù)警機(jī)制：電力企業(yè)信息安全問(wèn)題較為嚴(yán)重，信息風(fēng)險(xiǎn)無(wú)處不在，建立信息安全應(yīng)急保障機(jī)制和不同信息安全風(fēng)險(xiǎn)的預(yù)警機(jī)制是確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行的重要保障，尤其需要加強(qiáng)信息系統(tǒng)的容災(zāi)建設(shè)、數(shù)據(jù)保存?zhèn)浞莺突謴?fù)管理制度建設(shè)。

5 結(jié) 論

總之，信息貫穿于電力企業(yè)各項(xiàng)工作中，信息安全與生產(chǎn)、經(jīng)營(yíng)、管理密不可分，不論是硬件還是軟件出現(xiàn)問(wèn)題都會(huì)威脅整個(gè)網(wǎng)絡(luò)系統(tǒng)安全，因此必須在電力企業(yè)信息化建設(shè)的過(guò)程中強(qiáng)化信息安全管理，確保信息系統(tǒng)安全、穩(wěn)定、可靠、高效運(yùn)行，幫助電力企業(yè)創(chuàng)造更大的經(jīng)濟(jì)效益和社會(huì)效益，謀求更長(zhǎng)遠(yuǎn)的發(fā)展。

參考文獻(xiàn)：

[1] 鄭玉山.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（6）：121+123.

[2] 楊艷輝.淺析電力企業(yè)網(wǎng)絡(luò)信息安全管理 [J].工程建設(shè)與設(shè)計(jì)，2016（14）：170-171.

[3] 何江南.電力企業(yè)信息網(wǎng)絡(luò)安全問(wèn)題及對(duì)策分析 [J].中國(guó)新通信，2015，17（7）：63.

[4] 張毅慶.淺談電力企業(yè)信息網(wǎng)絡(luò)安全防護(hù)技術(shù) [J].科技創(chuàng)新與應(yīng)用，2014（27）：162.

作者簡(jiǎn)介：張志（1989.07-），男，河北石家莊人，工程師，工學(xué)碩士。研究方向：數(shù)據(jù)庫(kù)及存儲(chǔ)技術(shù)研究及運(yùn)維；常永娟（19 87.09-），女，河北石家莊人，工程師，工學(xué)碩士。研究方向：大數(shù)據(jù)平臺(tái)技術(shù)研究及數(shù)據(jù)中心。