关于电力企业信息安全问题的思考(doc7)

1、关于电力企业信息安全问题的思考摘 要 : 根据电力企业面临的安全风险和问题, 本文提出了信息安全工作开展的一般原则 , 从信息安全技术上和安全管理上提出了解决安全问题的思路和方法 , 最后阐述了信息安全问题随技术和应用的发展而发展 , 应在发展中求安全的观点。关键词 : 信息安全管理对策信息安全随着信息技术的发展而产生 , 并且其重要性日益凸现出来 , 信息安全的内涵也随着计算机技术的发展而不断变化 , 进入二十一世纪以来 , 信息安全的重点放在了保护信息 , 确保信息在存储 , 处理 , 传输过程中及信息系统不被破坏 , 确保对合法用户的服务和限制非授权用户的服务 , 以及必要的防御攻击的措

2、施。即强调信息的保密性、完整性、可用性、可控性。一、电力企业信息安全风险分析随着企业的生产指挥 , 经营管理等经营活动越来越依赖于计算机信息系统 , 如果这些系统遭到破坏 , 造成数据损坏 , 信息泄漏 , 不能提供服务等问题 , 则将对电网的安全运行 , 电力企业的生产管理以及经济效益等造成不可估量的损失 , 高技术在带来便利与效率的同时 , 也带来了新的安全风险和问题。1、电力公司信息安全的主要风险分析信息安全风险和信息化应用情况密切相关, 和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:（1）计算机病毒的威胁最为广泛：计算机病毒自产生以来 , 一直就是计算机

3、系统的头号敌人 , 在电力企业信息安全问题中, 计算机病毒发生的频度大, 影响的面宽 , 并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞 , 系统数据和文件系统破坏, 系统无法提供服务甚至破坏后无法恢复, 特别是系统中多年积累的重要数据的丢失, 损失是灾难性的。在目前的局域网建成 , 广域网联通的条件下 , 计算机病毒的传播更加迅速 , 一台计算机感染病毒 , 在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度 , 感染和破坏规模与网络尚未联通之时相比 , 高出几个数量级。（2）网络安全问题日益突出：企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如

4、: 办公自动化系统 , 用电营销系统 , 远程教育培训系统等 , 通过广域网传递数据。 企业开通了互联网专线宽带上网 , 企业内部职工可以通过互联网方便地收集获取信息 , 发送电子邮件等。网络联通也带来了网络安全问题。 企业内部广域网上的用户数量多且难于进行管理 , 互联网更是连接到国际上的各个地方 , 什么样的用户都有。内部网 , 互联网上的一些用户出于好奇的心理 , 或者蓄意破坏的动机 , 对电力公司网络上的连接的计算机系统和设备进行入侵 , 攻击等 , 影响网络上信息的传输 , 破坏软件系统和数据 , 盗取企业商业秘密和机密信息 , 非法使用网络资源等 , 给企业造成巨大的损失。更有极少

5、数人利用网络进行非法的 , 影响国家安定团结的活动 , 造成很坏的影响。如何加强网络的安全防护 , 保护企业内部网上的信息系统和信息资源的安全 ,保证对信息网络的合法使用 , 是目前一个热门的安全课题 , 也是电力企业面临的一个非常突出的安全问题。（3）信息传递的安全不容忽视：随着办公自动化 , 财务管理系统 , 用电营销系统等生产 , 经营方面的重要系统投入在线运行 , 越来越多的重要数据和机密信息都通过企业的内部广域网来传输。 同时电力公司和外部的政府 , 研究院所 , 以及国外有关公司都有着许多的工作联系 , 日常许多信息 , 数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安

6、全风险 , 例如被非法用户截取从而泄露企业机密 ; 被非法篡改 , 造成数据混乱 , 信息错误从而造成工作失误。非法用户还有可能假冒合法身份 , 发送虚假信息 , 给正常的生产经营秩序带来混乱 , 造成破坏和损失。因此 , 信息传递的安全性日益成为企业信息安全中重要的一环。（4）用户身份认证和信息系统的访问控制急需加强：企业中的信息系统一般为特定范围的用户使用, 信息系统中包含的信息和数据, 也只对一定范围的用户开放 , 没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能 , 在系统中建立用户 , 设置权限 , 管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的

7、安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单, 不能灵活实现更细的权限控制 , 甚至简单到要么都能看 , 要么都不能看。二是各应用系统没有一个统一的用户管理 , 企业的一个员工要使用到好几个系统时, 在每个应用系统中都要建立用户账号 , 口令和设置权限 , 用户自己都记不住众多的账号和口令, 使用起来非常不方便 , 更不用说账号的有效管理和安全了。如何为各应用系统提供统一的用户管理和身份认证服务 , 是我们开发建设应用系统时必须考虑的一个共性的安全问题。（5）实时控制系统和数据网络的安全至关重要：电网的调度指挥 , 自动控制 ,微机保护等领域的计算机应用在

8、电力企业中起步早 , 应用水平高 , 不但实现了对电网运行状况的实时监视 , 还实现了对电网一次设备的遥控 , 遥调以及保护设备的远方管理。随着数据网的建设和应用 , 这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备 , 系统的安全可靠 , 数据网的安全可靠 , 信息指令传输的实时性等直接关系着电网的安全 , 其安全等级要求高于一般的广域网系统。同时 , 这些电网控制和监视系统中的许多信息又是生产指挥 , 管理决策必不可少的 , 需要通过和生产管理局域网互联 , 将数据传送生产管理信息系统中

9、 , 供各级领导和各专业管理人员察看 , 使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。（6）电子商务的安全逐步提上议事日程： 随着计算机信息系统在电力市场 , 用电营销 , 财务管理等业务中的深入应用 , 电子商务在电力企业的应用开始起步。例如 : 电力市场系统中发电厂和电网公司之间的报价 , 电力交易 , 电费结算等都将通过计算机信息系统来实现和完成 , 这可以视为电子商务中常提到的 B2B模式。用电营销系统中的电费计费结算 , 用户买电交费 , 银电联网代收电费等 , 是典型的电力公司和用户之间的电子交易 , 可以视为电子商务中的 B2C 模式 ; 以后还有物

10、资采购等方面的电子商务系统。随着电子商务在电力企业中的应用逐步推广和深入, 如何保障电子交易的安全 , 可靠 , 即电子商务安全问题也会越来越突出。二、解决信息安全问题的基本原则统筹规划 , 分步实施。要建立完整的信息安全防护体系 , 绝不能一哄而上 , 必须分清需求的轻重缓急 , 根据信息化建设的发展 , 结合信息系统建设和应用的步伐 , 统一规划 , 分步建设 , 逐步投资。1、做好安全风险的评估。进行安全系统的建设 , 首先必须做好安全状况评估分析 , 评估应聘请专业信息安全咨询公司 , 并组织企业内部信息人员和专业人员深度参与 , 全面进行信息安全风险评估 , 找出问题 , 确定需求

11、, 制定策略 , 再来实施 , 实施完成后还要定期评估和改进。信息安全系统建设着重点在安全和稳定 , 应尽量采用成熟的技术和产品 , 不能过分求全求新。培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行 , 才能真正发挥信息安全防护系统和设备的作用。2、采用信息安全新技术 , 建立信息安全防护体系企业信息安全面临的问题很多 , 我们可以根据安全需求的轻重缓急 , 解决相关安全问题的信息安全技术的成熟度综合考虑 , 分步实施。技术成熟的 , 能快速见效的安全系统先实施3、计算机防病毒系统计算机防病毒系统是发展时间最长的信息安全技术 , 从硬件防病毒卡 , 单机版防病毒软

12、件到网络版防病毒软件 , 到企业版防病毒软件 , 技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒 , 保障信息系统的安全。在目前的网络环境下 , 能够提供集中管理 , 服务器自动升级 , 客户端病毒定义码自动更新 , 支持多种操作系统平台 , 多种应用平台杀毒的企业版杀毒软件 , 是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭, 小规模用户。4、网络安全防护系统信息资源访问的安全是信息安全的一个重要内容, 在信息系统建设的设计阶段 , 就必须仔细分析 , 设计出合理的 , 灵活的用户管理和权限控制机制 , 明确信息资源的访问范围 , 制定信息资源访

13、问策略。对于已经投入使用的信息系统 , 可以通过采用增加安全访问网关的方法 , 来增强原有系统的用户管理和对信息资源访问的控制 , 以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统 , 实施的技术难度相对小一些。对于新建系统 , 则最好采用统一身份认证平台技术, 来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。5、开展信息安全专题研究, 为将来的应用做好准备电网实时监视与控制系统的安全问题要求更高, 技术难度更大 , 应开展专题研究。国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全, 要实现

14、调度控制系统 , 数据网与其他生产管理系统和网络的有效隔离 , 甚至是物理隔离。6、电子商务安全需要深入研究和逐步应用电子商务的安全牵涉很多方面 , 包括严格 , 安全的身份的认证技术 , 对涉及商业机密的信息实现加密传输, 采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关, 因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用 , 我们必须加快对电子商务的安全的研究和应用, 否则将来会出现因电子在线交易不安全 , 不可靠的而导致电子商务系统无人敢用的局面。7、依据法规 , 遵循标准 , 提高安全管理水

15、平信息安全的管理包括了法律法规的规定, 责任的分化 , 策略的规划 , 政策的制订 , 流程的制作 , 操作的审议等等。虽然信息安全 " 七分管理 , 三分技术 " 的说法不是很精确 , 但管理的作用可见一斑。三、解决信息安全问题的思路与对策电力企业的信息安全管理相对来说还是一个较新的话题 , 国内其他电力企业也在积极研究和探讨 , 以下是一些粗浅的看法。1、依据国家法律 , 法规 , 建立企业信息安全管理制度国家在信息安全方面发布了一系列的法律法规和技术标准, 对信息网络安全进行了明确的规定， 并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家发布的这些法律法规

16、和技术标准, 企业也必须依据这些法律法规, 来建立自己的管理标准 , 技术体系 , 指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平国际上的信息技术发展和应用比我们先进, 在信息安全领域的研究起步比我们更早 , 取得了很多的成果和经验, 我们可以充分利用国际标准来指导我们的工作 , 提高水平 , 少走弯路。信息安全是企业信息化工作中一项重要而且长期的工作 , 为此必须各单位建立一个信息安全工作的组织体系和常设机构 , 明确领导 , 设立专责人长期负责信息安全的管理工作和技术工作 , 长能保证信息安全工作长期的 , 有效的开展 , 才能取得好的成绩。2、开展全员信息安全教育和

17、培训活动安全意识和相关技能的教育是企业安全管理中重要的内容 , 信息安全不仅仅是信息部门的事 , 它牵涉到企业所有的员工 , 为了保证安全的成功和有效 , 应当对企业各级管理人员 , 用户 , 技术人员进行安全培训 , 减少人为差错 , 失误造成的安全风险。开展安全教育和培训还应该注意安全知识的层次性 , 主管信息安全工作的负责人或各级管理人员 , 重点是了解 , 掌握企业信息安全的整体策略及目标 , 信息安全体系的构成 , 安全管理部门的建立和管理制度的制定等 ; 负责信息安全运行管理及维护的技术人员 , 重点是充分理解信息安全管理策略 , 掌握安全评估的基本方法 , 对安全操作和维护技术的

18、合理运用等 ; 用户 , 重点是学习各种安全操作流程 ,了解和掌握与其相关的安全策略, 包括自身应该承担的安全职责等。3、充分利用企业网络条件, 提供全面 , 及时和快捷的信息安全服务山东省电力公司广域网联通了系统内的各个二级单位, 各单位的局域网全部建成 , 在这种良好的网络条件下, 作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息发布与技术支持平台, 发布安全公告 , 安全法规和技术标准 , 提供安全软件下载, 搜集安全问题 , 解答用户疑问 , 提供在线的信息安全教育培训 , 并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间 , 空间和地域的限制 , 是信息安全管理和服务的重要方式。4、在发展中求安全没有百分之百安全的技术和防护系统黑客技术 , 计算机病毒等信息安全攻击技术在不断发展的 , 人们对它们的认识 , 掌握也不是完全的 , 安全防护软件系统由于技术复杂 , 在研制开发过程中不可避免的会出现这样或者那样的问题 , 这势必决定了安全防护系统和设备不可能百分百的防御各种已知的 , 未知的信息安全威胁。不是所有的信息安全问题可以一次解决人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的, 不可能一次