淺論如何完善電力企業(yè)信息安全管理

葉佳承 滕波 潘人奇

（國網(wǎng)浙江安吉縣供電公司，浙江安吉 313300）

淺論如何完善電力企業(yè)信息安全管理

葉佳承 滕波 潘人奇

（國網(wǎng)浙江安吉縣供電公司，浙江安吉 313300）

近年來隨著我國經(jīng)濟和科學技術(shù)的飛躍發(fā)展，我國電力企業(yè)也逐步完成了信息化建設，這不僅大大提高了我們電力企業(yè)的管理水平、工作效率，也大大提高了電力系統(tǒng)決策的準確性和科學性，更增強了企業(yè)的市場競爭力。但是信息化也是一把“雙刃刀”，為電力企業(yè)帶來諸多益處的同時，也帶來一些安全問題，近年來信息安全事故數(shù)見不鮮，給我們各大企業(yè)敲響了警鐘，因此如何做好企業(yè)信息安全管理已成為當代所有企業(yè)應該重視和解決的問題。本文筆者針對我國電力企業(yè)安全管理存在的問題，就如何完善電力企業(yè)信息安全管理提出自己粗淺的看法，以期為我國電力企業(yè)信息安全管理提供借鑒。

電力企業(yè) 信息安全 管理 問題 完善措施

1 前言

電力企業(yè)信息技術(shù)的發(fā)展起始于20世紀90年代，最早的計算機應用開始于財務管理、營銷管理等辦公業(yè)務，隨著信息技術(shù)的不斷深入發(fā)展，信息技術(shù)在電力企業(yè)的應用范圍也日益擴大和深化，目前已經(jīng)滲透入電力企業(yè)運營管理的全過程，信息技術(shù)也漸漸從開始的“配角”提升為電力企業(yè)運營管理的“主角”。在電力企業(yè)信息化技術(shù)應用日趨成熟、重要程度日益上升的今天，企業(yè)對信息化的管理和關注重點也在不停的發(fā)生變化，一方面信息化成果已成為企業(yè)甚至社會的重要資源，在整個企業(yè)的生產(chǎn)運行、電網(wǎng)調(diào)度、辦公管理等各個方面發(fā)揮著重要的作用；另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事故、事件屢見不鮮，信息安全問題與矛盾日益顯著。而信息安全工程是一個多層面、多因素的、綜合的、動態(tài)的系統(tǒng)工程。企業(yè)要實現(xiàn)信息安全管理，就必須不斷完善和建立一套行之有效的信息安全管理與技術(shù)有機結(jié)合的安全防范體系。

2 我國電力企業(yè)信息安全管理存在的問題

2.1 電力企業(yè)普遍存在重技術(shù)、輕管理的問題

信息安全是“三分技術(shù)、七分管理”，但是現(xiàn)在許多電力企業(yè)任普遍存在重技術(shù)、輕管理的問題，甚至很多電力企業(yè)根本沒有完善的安全管理制度，并且管理人員信息安全意識普遍不高，這也就在一定程度上加深了企業(yè)信息安全風險。要知道再好的技術(shù)在其運行的過程中管理才是第一位的，比如在實際工作中，有最好的技術(shù)，但是如果管理不到位，系統(tǒng)的運行、維護和開發(fā)等崗位分配不清，職責劃分不明，存在一人身兼多職的現(xiàn)象，再先進的技術(shù)也不可能發(fā)揮其應有的效力，一樣不具備競爭力、防御力。又如，企業(yè)在管理過程中對網(wǎng)絡工作人員的基本技能和素質(zhì)要求把關不嚴格，極易造成因網(wǎng)絡工作人員因操作不當而造成硬件或者軟件出現(xiàn)漏洞，使惡意份子有機可乘，同樣影響網(wǎng)絡信息安全。

2.2 電力企業(yè)對員工的信息安全意識宣傳不到位

隨著信息安全地位的不斷攀升，電力企業(yè)對信息安全也越來越重視，但是，企業(yè)對于信息安全的培訓力度仍顯不夠，電力企業(yè)員工信息安全意識仍非常低。如，一些電力員工在離開辦公場所時，沒有意識主動關閉電腦或鎖定屏幕，因此容易造成企業(yè)數(shù)據(jù)的丟失及客戶信息的泄漏。又如，一些員工為了貪圖方便省事，直接將系統(tǒng)賬號交給第三方人員進行操作，容易造成系統(tǒng)數(shù)據(jù)的錯失遺漏，或者出現(xiàn)未授權(quán)的審批等等。再如，還有一些員工對于未確定安全性的文件防范意識不夠，一旦點擊打開后，就容易造成木馬的植入或者病毒的擴散，從而造成數(shù)據(jù)的泄漏或丟失破壞。

2.3 電力企業(yè)信息安全技術(shù)不夠完善

首先，在計算機的使用方面，有很多的辦公計算機還是內(nèi)網(wǎng)與外網(wǎng)混合使用的狀態(tài)。雖然公司已經(jīng)做出了相應的規(guī)定，要求內(nèi)網(wǎng)與外網(wǎng)進行分開使用。但是，內(nèi)外網(wǎng)混用情況仍十分嚴重，這就會給安全問題帶來極大的隱患。其次，一些電力企業(yè)對移動介質(zhì)的使用管理比較松散。如：一些企業(yè)的移動介質(zhì)不需授權(quán)就能直接接入辦公電腦中，容易讓別有用心的人加以利用，從而拷貝了公司的內(nèi)部資料，造成企業(yè)損失。又如，一些員工在未確保外來移動介質(zhì)正常的情況下就接入內(nèi)部網(wǎng)絡，容易造成病毒的傳入，從而影響內(nèi)部網(wǎng)絡的正常以及數(shù)據(jù)的安全。最后，部分電力企業(yè)數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲保護不完善。供電行業(yè)應用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設計和開發(fā)，用戶身份認證基本上采用口令的鑒別模式，而這種模式很容易被攻破。

3 完善電力企業(yè)信息安全管理的具體措施

3.1 完善電力企業(yè)安全風險的評估

電力企業(yè)要解決網(wǎng)絡安全問題并不能夠僅僅是從技術(shù)上進行考慮，技術(shù)是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。首先電力企業(yè)必須做好安全狀況評估分析，評估應聘請專業(yè)權(quán)威的信息安全專家或者咨詢機構(gòu)，并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與，全面進行信息安全風險評估，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風險，充分評估這些風險可能帶來的危害和影響，針對評估出來的風險制定詳細的解決預防方案并認真實施，實施完成后還要定期對其進行評估和不斷改進完善。其次，網(wǎng)絡安全離不開各種安全技術(shù)的具體實施以及各種安全產(chǎn)品的部署，但是現(xiàn)在市面上安全技術(shù)及產(chǎn)品種類繁多，讓人眼花繚亂，難以進行抉擇，我們信息安全系統(tǒng)建設中心內(nèi)容是安全和穩(wěn)定，所以我們企業(yè)應盡量采用成熟的技術(shù)和產(chǎn)品，不能過分求全求新。最后，培養(yǎng)信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統(tǒng)建設同步進行，才能真正發(fā)揮信息安全防護系統(tǒng)和設備的作用。

3.2 不斷完善電力企業(yè)信息安全管理制度

首先，構(gòu)建良好的管理體制，在網(wǎng)絡系統(tǒng)管理中，要做到管業(yè)務不管系統(tǒng)，管系統(tǒng)不管業(yè)務，如果二者混淆，就容易將所有權(quán)限落入一人之手，若該員工濫用職權(quán)，同樣造成網(wǎng)絡信息安全的極大威脅。其次，數(shù)據(jù)安全管理制度，即確保數(shù)據(jù)存儲介質(zhì)（設備）的安全；定時進行數(shù)據(jù)備份，備份數(shù)據(jù)必須異地存放；對數(shù)據(jù)的操作需經(jīng)主管部門的審批、同意方可進行；數(shù)據(jù)的清除、整理工作需兩人或兩人以上在場，并由相關部門進行監(jiān)督、記錄。最后，準入管理制度。準入管理又稱密碼、權(quán)限管理，通過準入系統(tǒng)可以判斷請求登錄的用戶是否是合法的、值得信任的。

3.3 加強對電力企業(yè)全員信息安全的教育及培訓，提升全員信息安全意識

對于企業(yè)信息安全工作的開展不是一個部門一個人的事，而是我們電力公司全體員工的事情，所以必須提高企業(yè)全體員工的信息安全意識。通過開展多種形式的信息安全知識培訓，可以提高員工的警惕性以及養(yǎng)成良好的計算機使用習慣。在不定時開展信息安全教育和培訓的時候應注意安全教育知識的層次性。主管信息安全工作的負責人和各級信息安全員，重點要了解和掌握信息安全的整體策略及目標、安全管理部門的建立和管理制度的制定等；負責信息安全運行管理及維護的技術(shù)人員，重點要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系統(tǒng)的安全維護技術(shù)等；廣大信息系統(tǒng)用戶重點要學習各種安全操作流程和行為規(guī)范，了解和掌握與其相關的信息安全策略，包括自身應該承擔的安全職責等。另外，我們企業(yè)還可以采取一些考核獎罰措施，去激勵和約束全員認真進行信息安全培訓，認真落實信息安全操作，從而有效提高我們電力企業(yè)整體信息安全水平，提高信息安全意識，最終有效避免信息安全問題或失泄密事件的發(fā)生。

3.4 不斷完善和提升電力企業(yè)信息安全技術(shù)

第一，對電力企業(yè)內(nèi)部和外部網(wǎng)絡進行物理隔離。采用最高效的解決信息網(wǎng)絡安全問題的辦法：將局域網(wǎng)與外網(wǎng)物理隔離，使局域網(wǎng)內(nèi)的用戶只能訪問內(nèi)網(wǎng)資源，外網(wǎng)計算機無法與內(nèi)網(wǎng)相連接。通過這種方法可以很大程度地防止互聯(lián)網(wǎng)上的病毒、流氓軟件等的入侵，避免企業(yè)及用戶個人的重要信息與數(shù)據(jù)的失竊，進而可以控制可能由此造成的無法估計的損失。其次，對于移動介質(zhì)，應加入認證管理，只有被預先授權(quán)的介質(zhì)才能接入內(nèi)網(wǎng)，對于數(shù)據(jù)的拷貝，只能通過加密形式處理。第三，數(shù)據(jù)與系統(tǒng)備份技術(shù)。供電企業(yè)的數(shù)據(jù)庫必須定期進行備份，按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略，建立數(shù)據(jù)備份中心，采用先進災難恢復技術(shù)，對關鍵業(yè)務的數(shù)據(jù)與應用系統(tǒng)進行備份，制定詳盡的應用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復預案，并進行定期預演。計算機病毒傳播廣，破壞力大，會嚴重影響電力企業(yè)網(wǎng)絡系統(tǒng)的安全運行。因此，為了使電力企業(yè)免受病毒的侵害，作為網(wǎng)絡管理人員應該建立從主機到服務器的完善的防病毒體系，建立健全的網(wǎng)絡信息管理制定，以此來有效的提高電力企業(yè)網(wǎng)絡信息的安全管理。最后，建立信息安全身份認證體系。供電企業(yè)面對來自內(nèi)部和外部信息安全風險威脅，需建立有效的信息安全身份認證體系，實現(xiàn)網(wǎng)絡危險過濾、終端準入、用戶識別、上網(wǎng)授權(quán)等功能，最終實現(xiàn)企業(yè)內(nèi)網(wǎng)用戶終端安全性的提升，達成企業(yè)整網(wǎng)上網(wǎng)安全性的保障。

［1］尹鴻波.網(wǎng)絡環(huán)境下企業(yè)信息安全管理對策研究［J］.電腦與信息技術(shù)，2011（4）.

［2］馮慧昌.信息安全管理現(xiàn)狀與研究策略［J］.科技風，2012（7）.

［3］姚軍.中科網(wǎng)威助力工業(yè)網(wǎng)絡信息安全［J］.企業(yè)研究，2O12（12）.

［4］胡國勝，張迎春.信息安全基礎［M］.北京：電子工業(yè)出版社，2011.

［5］胡泉軍，王以群，張延芝.企業(yè)信息安全管理中組織管理失誤因素分析［J］.工業(yè)工程，2009（2）.

［6］王謙.電力企業(yè)信息系統(tǒng)安全等級保護的研究［J］.硅谷，2011（23）.

［7］唐琳，李云峰.電力信息系統(tǒng)的安全性初探［J］.信息安全與通信保密，2006（10）.

葉佳承（1981—），男，漢族，吉林省河縣人，大學本科，研究方向：信息通信；

滕波（1984—），男，漢族，湖北恩施人，大學本科，研究方向：信息通信；

潘人奇（1991—），男，漢族，湖北湖州人，大學本，科研究方向：信息通信。