摘要:电力系统是一项涉及电网调度自动化、继电保护、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。随着电力企业信息化的不断发展,信息安全所面临的危险同时渗透到电力企业生产、经营的各个方面,为了保证电力企业的信息安全,必须做好防护工作,应该确保电力信息的准确、机密、完整、可控。本文对电力信息安全运行维护与管理策略进行探讨。
关键词:电力企业;信息安全;管理策略
1 电力信息安全概述
电力信息安全主要是指电力企业信息保密性、完整性和可用性的安全防护。保密性是指信息仅仅为那些被授权使用的人获取,完整性是指信息本身和信息处理方法的正确性和完整性,可用性是指经过授权的用户在需要时能能够获取信息。根据计算机技术的发展,信息安全主要经历了三个发展阶段:通信保密阶段、计算机安全和信息安全阶段、信息保障阶段。(1)通信保密阶段:侧重于在远程通信中拒绝非授权用户的信息访问及确保通信的真实性,主要采用密码学技术。(2)计算机安全和信息安全阶段:侧重于确保计算机系统中的硬件、软件及在处理、存储、传输信息中的保密性,主要采用安全操作系统的可信计算机技术。(3)信息保障阶段:侧重于保护和防御信息及信息系统,确保其可用性、完整性、保密性、不可否认性等特性。
2 电力信息安全问题分析
2.1 硬件和软件问题
硬件和软件是信息化管理的重要部分,但总体来说,国内软硬件水平偏低。如缺少自己研发的技术和品牌,多从国外引进,并未掌握其中的核心技术,致使不少的防病毒系统不能进行全面防御,也就无法充分发挥其作用。甚至有些部门只重硬件,而忽略了软件,在硬件设备的性能、配置、功能上不断创新,软件技术却长期没有更新,难以满足越来越高的要求。
2.2 信息安全防护技术不当
目前电力企业加大网络信息化建设,虽然提高了信息化,但是却忽略了网络信息安全建设,包括防火墙设备、安全审计系统、入侵监测系统等。此外,一些单位计算机病毒库陈旧,数据加密以及其他的网络安全措施不足,网络信息系统存在极大的安全隐患。而一些网络黑客和不法分子就是利用网络信息系统中存在的一系列安全漏洞,通过计算机病毒、特洛伊木马、网络窃听以及邮件截取和窃取管理权限等手段,对数据的安全性、保密性、可靠性造成了威胁,直接或间接地将国家、社会、经济陷于风险之中。目前,电力行业所使用的办公计算机仍然存在内外网混用的情况,而内外网之间的隔离强度还有待加强。
2.3 信息系统的管理水平相对较低
信息系统安全问题给电力企业带来的危害是巨大的,这一点已经引起了电力企业管理层的高度重视,然而,目前电力企业的信息系统管理水平不是很高,企业管理中的漏洞给信息系统带来了很多问题;部分管理人员在管理信息系统的过程中疏忽大意,增加了企业信息系统安全问题发生率;信息操作人员的操作程序不规范,一旦信息系统出现问题,企业的管理者不能第一时间知道是哪个程序出现了问题,从而不能及时解决信息安全问题,最终可能影响到企业的信息安全,给企业带来巨大的损失。
3 电力信息安全运行维护与管理策略
3.1 构建信息安全管理体系框架
电力企业信息安全管理体系可建立在信息安全模型与电力信息化的基础上,分为信息安全策略、安全管理、安全运行、安全技术措施4个模块,信息安全管理通过安全运行实现,安全技术作为信息安全的基础支撑,可辅助实现安全管理和运行安全。典型电力企业信息安全管理体系框架如图1所示。
3.2 硬件与软件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3 提高信息管理的水平
电力企业的管理者在重视信息安全问题的同时,必须加强对信息的管理,提升企业的信息管理水平。制定严格的工作责任制,一旦发现信息安全问题,做到责任到人,防止管理人员由于麻痹大意而导致的信息安全问题。作为信息管理人员,如果自身的管理范围内出现了信息安全问题,企业一定会追究其管理责任,这对于提高管理人员的警惕性,减少其麻痹大意的作用非常有效。电力企业对于信息系统的操作人员要进行定期培训,强调信息操作标准的重要性,对于不严格按照信息操作标准操作的工作人员进行严厉处罚,情节严重的给予开除。另外,电力企业要加强对信息系统的维护,及时修复信息系统的漏洞,提高企业的信息管理水平。
3.4 重视信息安全技术手段
技术手段是解决信息安全的关键所在,只有采用合理且高效的技术手段,才能在很大程度上消除信息安全隐患。应采取”先进适用,创新发展”的原则,积极跟踪和研究国内外先进成熟技术,应用到电力信息网中,比如防火墙技术、入侵检测技术、漏洞扫描技术、隔离技术、VPN技术、安全审计策略等,并采取统一的安防软件和网管软件。结合电力系统特点,具体可表现在几个方面。(1)主动防御:从信息安全系统体系出发,以技术手段作为切入点,采用”分区分域、安全接入、动态感知、全面防护”等原则,化事件驱动型的被动防御为消息驱动型的主动防御。(2)持续跟踪:持续跟踪国际信息化与信息安全工作的发展趋势和成果,研究并应用到国家电网公司的信息安全防护下。(3)超前部署:立足现实,把握全局,并考虑未来技术的发展,超前部署前沿技术攻关及基础成果应用,比如大数据、云计算及虚拟化技术应用等。
4 结语
综上所述,随着近年来科学技术的日益发展,信息网络的应用已经深入到了电力企业等各行各业的生产经营之中,这就对信息网络的安全性提出了更高的要求。为了进一步加强对电力企业信息网络的安全防护,必须要严格按照相关要求和规章制度来做好网络安全防范工作,并积极开发新的网络安全防护技术,切实保障信息网络系统的安全,以免因信息网络安全事故而损坏到国家和企业的利益。
参考文献:
[1]电力信息通信中运维管理系统的应用分析[J].许崇志,许振飞,姜晓涛,张梅,夏欢.低碳世界.2017(24)
[2]分析电力企业信息化建设安全管理[J].吴万庆.通讯世界.2016(19)
论文作者:1赵志军,2倪舜,3李晓春
论文发表刊物:《电力设备》2018年第34期
论文发表时间:2019/5/20
标签:信息安全论文; 信息论文; 电力企业论文; 电力论文; 信息系统论文; 技术论文; 设备论文; 《电力设备》2018年第34期论文;