電力信息系統(tǒng)安全建設(shè)的研究

米爾阿力木江

摘 要 隨著電力企業(yè)中對(duì)信息技術(shù)發(fā)展的要求，計(jì)算機(jī)網(wǎng)絡(luò)的推廣和網(wǎng)絡(luò)事務(wù)的日益普及，信息安全在各電力企業(yè)中得到了廣泛的關(guān)注。信息系統(tǒng)和網(wǎng)絡(luò)的安全直接關(guān)系到電力企業(yè)的生產(chǎn)運(yùn)行、電網(wǎng)調(diào)度、辦公管理、智能電網(wǎng)、財(cái)務(wù)資金安全等重要信息系統(tǒng)的安全穩(wěn)定運(yùn)行，也就直接關(guān)系到了電網(wǎng)的安全穩(wěn)定與否。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 身份認(rèn)證

1 前言

伴隨著社會(huì)主義現(xiàn)代化建設(shè)進(jìn)程的加快，電力企業(yè)改革不斷深化，信息系統(tǒng)逐漸被廣泛應(yīng)用于電力企業(yè)中，發(fā)揮著對(duì)生產(chǎn)、決策和管理的促進(jìn)作用，給電力企業(yè)運(yùn)營(yíng)發(fā)展提供了極大的便利。但在電力企業(yè)信息系統(tǒng)的具體應(yīng)用過(guò)程中，往往會(huì)遇到諸多安全性問(wèn)題。

2 電力信息安全存在的問(wèn)題

電力信息系統(tǒng)安全在過(guò)去幾年雖然已經(jīng)取得了長(zhǎng)足發(fā)展，但是在信息系統(tǒng)的規(guī)劃、建設(shè)和運(yùn)行維護(hù)過(guò)程中需要研究和解決的問(wèn)題還很多。分析現(xiàn)狀，筆者認(rèn)為電力信息系統(tǒng)目前存在的問(wèn)題歸結(jié)起來(lái)主要包括以下幾個(gè)方面：

2.1 信息安全意識(shí)薄弱

信息安全由于無(wú)法量化、未發(fā)生重大事故等原因，往往被忽視，不少單位的網(wǎng)絡(luò)與系統(tǒng)基本處于不設(shè)防狀態(tài)另外，電力企業(yè)辦公用戶由于不了解安全威脅的嚴(yán)峻形勢(shì)和當(dāng)前的全現(xiàn)狀，在使用個(gè)人計(jì)算機(jī)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)時(shí)只關(guān)注易用性，忽視了安全性。

2.2 信息安全保障工作沒(méi)有常態(tài)化

信息安全保障工作以檢查為主，如電監(jiān)會(huì)、上級(jí)公司的安全檢查，信息安全領(lǐng)導(dǎo)小組、工作組只在有信息安全事件發(fā)生時(shí)發(fā)揮作用，沒(méi)有形成常態(tài)化的工作機(jī)制。

2.3 短板現(xiàn)象顯著

電力企業(yè)辦公地理位置分散（如供電所、營(yíng)業(yè)廳），不同片區(qū)的運(yùn)行維護(hù)、安全管理缺乏規(guī)范，在信息化建設(shè)落后的地方，由于受經(jīng)濟(jì)、技術(shù)水平等因素限制，往往存在信息安全短板。

2.4 系統(tǒng)安全設(shè)計(jì)不足

業(yè)務(wù)系統(tǒng)建設(shè)時(shí)缺乏安全設(shè)計(jì)方案，造成系統(tǒng)存在sql注入、跨占腳本攻擊、無(wú)詳細(xì)的審計(jì)日志、身份認(rèn)證信息強(qiáng)度不足、軟件容錯(cuò)性差等問(wèn)題。

3 電力信息系統(tǒng)安全的建設(shè)

通過(guò)分析，針對(duì)電力信息系統(tǒng)目前存在的問(wèn)題，我們應(yīng)該結(jié)合企業(yè)自身的特點(diǎn)，堅(jiān)持“安全第一、預(yù)防為主”的方針，有目的地、合理地設(shè)計(jì)電力信息系統(tǒng)安全體系和模型，建立健全與信息化相適應(yīng)的信息安全保障、監(jiān)督體系，積極防御和綜合防范信息技術(shù)風(fēng)險(xiǎn)，增強(qiáng)信息系統(tǒng)安全預(yù)警、應(yīng)急處理和災(zāi)難恢復(fù)能力，以確保滿足基本安全需求。

3.1 建立健全信息安全工作機(jī)制

切實(shí)加強(qiáng)組織和領(lǐng)導(dǎo)，把信息安全納入電力安全生產(chǎn)體系，堅(jiān)持一手抓信息化建設(shè)，一手抓信息安全保障工作。各級(jí)主管領(lǐng)導(dǎo)要親自研究、協(xié)調(diào)處理信息安全問(wèn)題，健全信息安全管理體制，落實(shí)責(zé)任部門，明確責(zé)任人員，提高各級(jí)人員的信息安全意識(shí)，各盡其職，常抓不懈，確保信息安全積極防御措施和綜合防范工作落到實(shí)處，確保信息安全管理機(jī)構(gòu)、人員、職能、責(zé)任“四到位”。

3.2 不斷完善信息安全管理制度體系

統(tǒng)籌規(guī)劃，突出重點(diǎn)，加快信息安全管理制度和標(biāo)準(zhǔn)規(guī)范建設(shè)步伐，強(qiáng)化信息安全規(guī)章制度落實(shí)工作，編制電力企業(yè)有關(guān)實(shí)施意見(jiàn)，明確電力信息系統(tǒng)安全重大任務(wù)和重要項(xiàng)目，統(tǒng)籌規(guī)劃電力企業(yè)信息安全工作。落實(shí)電力信息系統(tǒng)分區(qū)安全策略，有效指導(dǎo)各企業(yè)信息安全防護(hù)設(shè)施新建和更新工作，規(guī)范信息事故發(fā)生后的調(diào)查處理，加強(qiáng)信息安全事件監(jiān)督。出臺(tái)電力信息系統(tǒng)安全體系建設(shè)規(guī)范，加強(qiáng)身份認(rèn)證、授權(quán)管理和跟蹤審計(jì)工作。抓緊研究和編制災(zāi)難恢復(fù)系統(tǒng)建設(shè)規(guī)范，確定災(zāi)難恢復(fù)策略，統(tǒng)籌規(guī)劃各企業(yè)災(zāi)難恢復(fù)系統(tǒng)建設(shè)。

3.3 嚴(yán)格執(zhí)行電力二次系統(tǒng)安全防護(hù)規(guī)定

要切實(shí)貫徹落實(shí)電力二次系統(tǒng)安全防護(hù)總體方案及各級(jí)調(diào)度中心二次系統(tǒng)安全防護(hù)方案，切實(shí)將其納入電力安全生產(chǎn)管理體系，建立健全電力二次系統(tǒng)安全聯(lián)合防護(hù)和應(yīng)急機(jī)制，制定并完善應(yīng)急預(yù)案。按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基本原則，清理生產(chǎn)控制大區(qū)與管理信息大區(qū)之間橫向邊界，加強(qiáng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的建設(shè)和安全符理。

3.4 加快信息安全管控手段建設(shè)

全面推進(jìn)個(gè)人終端標(biāo)準(zhǔn)化建設(shè)工作，嚴(yán)格個(gè)人終端接入網(wǎng)絡(luò)管理，實(shí)現(xiàn)個(gè)人終端補(bǔ)丁程序、病毒軟件自動(dòng)更新、升級(jí)，嚴(yán)禁隨意下載和安裝非正版軟件。強(qiáng)化防木馬病毒等安全措施，嚴(yán)格用戶訪問(wèn)控制。增加信息安全監(jiān)控措施，加快建立信息安全監(jiān)控手段，實(shí)現(xiàn)對(duì)防火墻、入侵檢測(cè)等安全防護(hù)設(shè)施的集中監(jiān)視和事件預(yù)警。加快信息安全模型研究，落實(shí)信息安全整體評(píng)估工作，使安全評(píng)估常態(tài)化、簡(jiǎn)易化、科學(xué)化。

3.5 高度重視信息安全保密工作

認(rèn)清形勢(shì)，提高全員保密知識(shí)水平和技術(shù)防護(hù)技能，提高防范網(wǎng)絡(luò)竊密泄密能力。嚴(yán)禁將涉密計(jì)算機(jī)與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴(yán)禁在非涉密計(jì)算機(jī)和互聯(lián)網(wǎng)上存儲(chǔ)、處理國(guó)家機(jī)密和企業(yè)秘密，嚴(yán)禁涉密移動(dòng)存儲(chǔ)介質(zhì)在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)及互聯(lián)網(wǎng)上交叉使用，切實(shí)落實(shí)信息安全保密責(zé)任。加強(qiáng)與咨詢、開(kāi)發(fā)合作單位的安全保密管理，簽署保密協(xié)議，嚴(yán)格對(duì)外部人員訪問(wèn)的授權(quán)和審批，加強(qiáng)監(jiān)管和備案。及時(shí)開(kāi)展信息系統(tǒng)安全保密檢查，做好涉密文檔的登記、存檔、銷毀、定密、解密等各環(huán)節(jié)工作，及時(shí)發(fā)現(xiàn)并堵塞泄密隱患。

3.6 提高全員信息安全意識(shí)

開(kāi)展全員信息安全培訓(xùn)，全面樹立決策層、管理層、操作層信息安全風(fēng)險(xiǎn)意識(shí)，不斷積累信息安全管理經(jīng)驗(yàn)。開(kāi)展不同層面的安全教育和培訓(xùn)工作，適應(yīng)信息技術(shù)日新月異發(fā)展的潛在要求。充分利用電力系統(tǒng)科研單位和高校的信息安全研發(fā)力量，加強(qiáng)企業(yè)內(nèi)部專用隊(duì)伍對(duì)安全技術(shù)的支撐作用，提高電力系統(tǒng)信息安全核心技術(shù)的創(chuàng)新、評(píng)估和認(rèn)證能力。

參考文獻(xiàn)

[1]剛軍，張學(xué)松，郭志忠.電力信息安全的監(jiān)控與分析[J].電網(wǎng)技術(shù)，2004，5（9），50-53.

作者單位

國(guó)網(wǎng)新疆電力公司信息通信公司 新疆維吾爾族自治區(qū)烏魯木齊市 830002endprint