淺談電力信息安全分析及其措施

武曉磊 劉磊

【摘 要】近年來，隨著我國電力企業信息化的快速發展，信息網絡帶來的安全防范問題也逐漸較多，電力信息網絡的安全也成為了人們所關注的重點。電力企業信息網絡對大型企業來講已經成為了不可缺少的一部分，加強信息網絡也給企業帶來更高的價值。本文就對電力信息存在的安全問題進行分析，同時提出相應的改進措施。

【關鍵詞】電力企業;信息;安全;措施

隨著Internet的飛速發展，計算機網絡已廣泛應用于電力企業的各個方面，信息化網絡承載了電力企業財務、物資、用電、生產、勞資、安全監察、電網調度信息等子系統和業務綜合信息查詢、辦公自動化、WEB、E-mail系統等應用。尤其在電網調度、廠站自動控制、管理信息系統、電力營銷系統、電力負荷管理、人力資源以及教育培訓等方面取得了較好的應用效果，在安全生產、節能降耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益。然而，基于Internet的電力信息系統是一個開放性的、非可信的網絡，一旦遭受破壞，其影響或損失也十分巨大，嚴重影響了信息系統的安全運行和對社會的可靠性。結合電力工業特點，分析電力企業信息安全存在的問題，對信息安全做統一長遠的規劃，是當前電力企業信息化工作的重要內容。

1、電力信息化應用和發展

目前電力企業信息化建設硬件環境已經基本構建完成，硬件設備數量和網絡建設狀況良好，在電力生產、電力調度、輸變電、配網自動化等關鍵環節已大部分實施了信息化。在網絡硬件方面，基本上已經實現千兆骨干網，百兆交換到桌面，三層交換，VLAN，MPLS等技術也在普及使用。在軟件方面，應用主要包括電網（國調、網、省、地市以及縣級）調度自動化系統、電力市場技術支持系統、用電營銷信息系統、配網自動化以及企業ERP等。計算機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用，尤其在電網調度自動化、廠站自動控制、管理信息系統、電力市場技術支持系統、電力營銷系統、辦公自動化系統、財務管理信息系統、客戶服務支持系統、電力負荷管理、計算機輔助設計、科學計算以及教育培訓等方面取得了較好的應用效果，在安全生產、節能降耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益，同時也逐步健全和完善了信息化管理機制，培養和建立了一支強有力的技術隊伍，有力促進了電力工業的發展。

2、電力信息網安全現狀分析

電力系統信息安全是電力系統安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力市場交易、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。電力信息化的發展使電力生產、經營很多環節完全依賴電力信息網的正常運行與否，如電網調度自動化系統對無人值班變電所的運行影響，用電營銷信息系統對電費回收的影響等。結合電力生產特點，從電力信息系統和電力運行實時控制系統兩個方面，分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系，將電力信息網絡和電力運行實時控制網絡進行隔離，網絡間設置了防火墻，購買了網絡防病毒軟件，有了數據備份設備。但電力信息網絡的安全是不平衡的，很多單位沒有網絡防火墻，沒有數據備份的觀念，更沒有對網絡安全做統一、長遠的規劃，網絡中有許多的安全隱患。

3、電力信息網絡的安全防范措施

3.1不斷完善信息安全管理制度體系

統籌規劃，突出重點，加快信息安全管理制度和標準規范建設步伐，強化信息安全規章制度落實工作，盡快編制電力企業有關實施意見，明確電力信息系統安全重大任務和重要項目，統籌規劃電力企業信息安全工作。落實電力信息系統分區安全策略，有效指導各企業信息安全防護設施新建和更新工作，規范信息事故發生后的調查處理，加強信息安全事件監督。盡快出臺電力信息系統安全體系建設規范，加強身份認證、授權管理和跟蹤審計工作。抓緊研究和編制災難恢復系統建設規范，確定災難恢復策略，統籌規劃各企業災難恢復系統建設。

3.2加強電力信息網安全教育

安全意識和相關技能的教育是企業安全管理中重要的內容，其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效，高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性：1）主管信息安全工作的高級負責人或各級管理人員，重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。2）負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。3）信息用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并容納到整個企業文化體系中才是最根本的解決辦法。

3.3加快信息安全技術管控手段建設

一是加強身份認證。在電力企業內網中，各用戶要憑各自的口令（密碼）進入到計算機系統中進行操作。用戶要保管好自己的用戶名和密碼，使口令達到系統管理的要求和規定。二是要選擇合適的漏洞掃描系統。掃描網絡系統的各個端口，偵測漏洞，并對漏洞進行分析，找出可能被黑客利用的漏洞。從而能有效的解決軟件自身的缺陷所造成的危害。有效的提高網絡安全等級。三是合理的配置防火墻。防火墻是確保電力系統網絡安全的首要選項。防火墻類型主要包括包過濾防火墻、代理防火墻和雙穴防火墻。針對電力系統的實際，選擇合適的防火墻并做好定期的升級工作。三是要把電力信息網的不同區域隔離。設置物理隔離裝置。防止黑客的攻擊。同時要在電力網絡安裝入侵檢測系統和網絡隱患掃描系統。全天侯的對電力信息安全進行檢測。四是為了預防意外的破壞造成信息丟失和網絡癱瘓，有必要事先做好網絡信息和系統的備份。電力企業要建立數據備份中心，對電力信息數據和系統進行定期的備份。要制定數據庫故障恢復預案經常演練，使其能在各種自然災害導致系統癱瘓時能快速的恢復。

3.4政府系統保護

沒有百分之百安全的技術和防護系統黑客技術，計算機病毒等信息安全攻擊技術在不斷發展的，人們對它們的認識，掌握也不是完全的，安全防護軟件系統由于技術復雜，在研制開發過程中不可避免的會出現這樣或者那樣的問題，這勢必決定了安全防護系統和設備不可能百分百的防御各種已知的，未知的信息安全威脅。企業的信息化應用是隨著企業的發展而不斷發展的，信息技術更是日新月異的發展的，安全的需求也是逐步變化的，新的安全問題也不斷產生，原來建設的防護系統可能不滿足新形勢下的安全需求，這些都決定了信息安全是一個動態過程，需要定期對信息網絡安全狀況進行評估，改進安全方案，調整安全策略。信息安全是一個伴隨著企業信息化應用發展而發展的永恒課題。

4、結語

由于Internet的多樣性和互連性，單一的信息技術已經無法解決電力企業信息安全問題。電力系統信息安全是一個系統的、全局的管理問題，我們必須從綜合整體的角度看待、分析，綜合各種高科技手段和信息安全技術，采取多級安全措施制定出合理的信息安全體系結構，才能形成信息安全問題的最終一體化解決方案，以適應電力企業信息網絡化的要求。

參考文獻：

[1]李濤.網絡安全概論[M].北京：電子工業出版社，2016.

（作者單位：中共國網山西省電力公司黨校）