電力信息安全保障體系建設(shè)的探索

韓文君 崔 鑫

（國網(wǎng)陜西省電力公司銅川供電公司，陜西 銅川727031）

0 引言

在當(dāng)前我國的互聯(lián)網(wǎng)管理中心有超過90%的境內(nèi)外的黑客進(jìn)行過攻擊以及侵入，其中電信以及電力、政府等領(lǐng)域?qū)@一信息的安全威脅問題得到了重視。在最近這幾年的發(fā)展中，我國已經(jīng)在信息系統(tǒng)的等級保護(hù)政策上進(jìn)行了大力的推行，這一政策的實(shí)行對信息系統(tǒng)的抵御風(fēng)險(xiǎn)能力有了很大程度的提高，從電力信息安全體系建設(shè)的實(shí)際來看，還存在著諸多的安全漏洞沒有及時(shí)科學(xué)的進(jìn)行處理。

1 電力信息系統(tǒng)安全體系建設(shè)的原則

對電力信息安全水平進(jìn)行提高能夠有效的對電力系統(tǒng)安全事件的發(fā)生率有效的降低，關(guān)于信息系統(tǒng)的安全建設(shè)并不是僅僅局限于安全產(chǎn)品的集成，要在電力信息安全系統(tǒng)建設(shè)以及管理建設(shè)和策略建設(shè)方面得到重視，而對于這一安全體系的建設(shè)完備的標(biāo)志也要具備安全管理體系以及技術(shù)完備的成功建立和安全策略的完善及安全團(tuán)隊(duì)的成功建設(shè)等幾個(gè)重要的要素。

在電力信息系統(tǒng)的安全保障體系方面，不僅要對電力系統(tǒng)整體安全水平進(jìn)行提高，同時(shí)還要對其中的信息安全的隱患進(jìn)行消除，電力系統(tǒng)對我國的國民經(jīng)濟(jì)的發(fā)展起到了決定性的作用，由于其自身具有的特殊性，故此在建立電力信息系統(tǒng)的安全保障體系中就要遵循幾個(gè)基本原則，即：法定原則、動態(tài)原則、均衡原則、立體性原則[1]。

其中法定原則根據(jù)我國的有關(guān)規(guī)定的內(nèi)容可以得知，為了能夠滿足管理信息大區(qū)對生產(chǎn)控制大區(qū)數(shù)據(jù)的訪問，生產(chǎn)控制大區(qū)和管理信息大區(qū)間要設(shè)置經(jīng)國家相關(guān)部門檢測的安全隔離裝置，進(jìn)而起到安全訪問的作用。倘若是對這一原則沒有遵循，那么就很可能在電網(wǎng)生產(chǎn)上存有安全隱患。在動態(tài)原則方面就是任何的系統(tǒng)在安全保障的提供上是一成不變的，在科技的不斷發(fā)展過程中，各種的安全問題也不斷的涌現(xiàn)，所以在對方案進(jìn)行策劃的時(shí)候都要能夠在可擴(kuò)展性的方面進(jìn)行充分的考慮，并能夠及時(shí)的提供安全系統(tǒng)維護(hù)以及預(yù)防和應(yīng)急的相關(guān)服務(wù)[2]。在均衡原則方面指的是在整個(gè)的電力信息安全體系的建設(shè)要能夠按照電力的生產(chǎn)安全目標(biāo)進(jìn)行，要在各個(gè)產(chǎn)品以及技術(shù)上進(jìn)行效益分析。立體性原則方面就是在電力信息安全保障上應(yīng)該在各個(gè)層面得到重視，嚴(yán)格的按照立體性的原則進(jìn)行實(shí)施。

2 電力信息系統(tǒng)在當(dāng)前的現(xiàn)狀問題分析

電力系統(tǒng)的組件自身存在著脆弱性以及缺陷，由于在對其組件的設(shè)計(jì)、組裝以及制造的過程中在各種因素的影響下，就可能存有多方面的隱患。在硬件的組件方面主要是來源于設(shè)計(jì)，由于設(shè)計(jì)問題的因素就在物理的存取上存在隱患。軟件組件的安全隱患主要是設(shè)計(jì)以及軟件工程的實(shí)施過程中所留下的問題，主要是表現(xiàn)在安全漏洞上。還有是網(wǎng)絡(luò)以及通信協(xié)議方面的安全隱患，因特網(wǎng)自身就是沒有明確物理界限的網(wǎng)際是虛擬的網(wǎng)絡(luò)現(xiàn)實(shí)，這在安全問題上也較容易發(fā)生。其次是自然威脅以及意外的人為威脅和惡意的人為威脅。

在電力信息系統(tǒng)方面的發(fā)展過程中同時(shí)也存在著一些問題，首先就是人員信息安全意識的薄弱，當(dāng)前的電力企業(yè)對于信息的安全以及保密的意識還有待進(jìn)一步的提高，各個(gè)單位領(lǐng)導(dǎo)以及相關(guān)的工作人員對于信息安全的問題沒有得到充分的重視，在個(gè)人的辦公終端有的不設(shè)置口令或者是口令的密度較低，對于軟件的安裝以及下載都是沒有授權(quán)的，這些問題都是源自對信息安全意識的薄弱[3]。另外就是在電力信息的安全管理機(jī)制方面還不夠完善，制度的執(zhí)行力度還不夠，在相關(guān)人員的配備上沒有做到位，安全監(jiān)管職責(zé)也沒有得到有效的落實(shí)，對于信息安全事件還存在著不通報(bào)以及通報(bào)不及時(shí)的現(xiàn)象，并且在信息安全的原因分析方面還不夠充分，對于整改的措施沒有落實(shí)到位，同時(shí)在電力信息安全事件的調(diào)查處理以及考核機(jī)制方面還有待進(jìn)一步的完善，在其信息系統(tǒng)的邊界安全防護(hù)方面還存在著能夠被黑客高手利用的一些較為薄弱的環(huán)節(jié)，在安全體系以及可評估的安全模型方面比較的缺乏。

3 電力信息安全保障體系的建設(shè)方案探究

通過以上對于我國的電力信息安全問題的分析就可以有針對性的對其進(jìn)行建設(shè)信息安全保障體系，從而有效的確保信息的完整性以及機(jī)密性和可控性等等。

對于電力信息的安全它主要是在企業(yè)的信息安全策略的指導(dǎo)下和管理的體制下通過運(yùn)作機(jī)制然后再借助一定的手段來進(jìn)行實(shí)現(xiàn)的，其中就有安全管理以及安全技術(shù)措施和安全運(yùn)行、安全策略，如下圖所示。

圖1 電力信息安全模型

在電力信息安全模型進(jìn)行運(yùn)轉(zhuǎn)之后就會形成一套管理規(guī)定以及運(yùn)行記錄的文檔，具體的可以將其分為四個(gè)重要的文檔，與安全策略相對應(yīng)的是策略政策，和安全管理相對應(yīng)的是管理制度技術(shù)規(guī)范，和安全運(yùn)行相對應(yīng)的是作業(yè)指導(dǎo)書以及操作規(guī)程和記錄性文件，與安全技術(shù)措施相對應(yīng)的是管理制度技術(shù)規(guī)范[4]。

在具體的方案建設(shè)上首先要建立并完善電力信息安全的工作機(jī)制，切實(shí)加強(qiáng)組織以及領(lǐng)導(dǎo)，將信息安全歸納到電力的安全生產(chǎn)體系當(dāng)中，要把信息化建設(shè)和信息安全的保障工作得到兼顧，把信息安全管理制度落實(shí)到責(zé)任部門，并明確責(zé)任人員，同時(shí)在人員信息安全的意識方面也要得到加強(qiáng)。在電力信息安全管理制度體系方面要不斷的進(jìn)行完善，統(tǒng)籌規(guī)劃突出重點(diǎn)，強(qiáng)化信息安全規(guī)章制度的落實(shí)工作，根據(jù)相關(guān)的規(guī)劃，要對電力信息系統(tǒng)安全重大任務(wù)以及項(xiàng)目進(jìn)行繼續(xù)的落實(shí)，在電力信息安全體系建設(shè)規(guī)范要盡快的出臺并落實(shí)。對于電力二次系統(tǒng)安全防護(hù)規(guī)定要嚴(yán)格的得以執(zhí)行，加快信息安全的管控手段建設(shè)，強(qiáng)化信息安全應(yīng)急和通報(bào)工作，對于信息安全的保密工作要能夠高度重視，對全員信息安全意識要進(jìn)行提高。

在安全系統(tǒng)的建設(shè)過程當(dāng)中，最為重要的就是整體系統(tǒng)的規(guī)劃，可以將其分為三個(gè)重要的步驟，即：結(jié)構(gòu)安全以及流程安全和對象安全。在安全管理建設(shè)方面它和安全策略的建設(shè)的關(guān)系非常的密切，而管理又是在策略的指導(dǎo)下進(jìn)行的，在安全系統(tǒng)的建設(shè)方面主要包括網(wǎng)絡(luò)防火墻以及漏洞掃描等，所以要能夠建立集中式以及全方位和動態(tài)的安全管理中心[5]。安全管理中心建設(shè)包含著機(jī)構(gòu)的設(shè)立以及基礎(chǔ)建設(shè)和智能的明確等，而在信息安全綜合管理系統(tǒng)方面它主要包括數(shù)據(jù)分析功能以及應(yīng)急報(bào)警功能等。另外在電力信息的安全運(yùn)行方面要進(jìn)行有效加強(qiáng)。

4 結(jié)語

對于電力信息系統(tǒng)的安全體系的建設(shè)，要能夠把安全保障以及安全管理得到有機(jī)的結(jié)合，在我國的電力信息化的不斷發(fā)展以及推進(jìn)的過程中，信息系統(tǒng)以及網(wǎng)絡(luò)安全管理已經(jīng)愈來愈廣泛的得到了電力企業(yè)的重視，這對于保障電力信息的安全有著極其重要的作用。

［1］李志茹,張華峰,黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)措施的研究與探討[J].電力信息化,2012(04).

［2］關(guān)良輝.電力企業(yè)局域網(wǎng)的信息安全(續(xù)完)[J].電力安全技術(shù),2012(06).

［3］香柱平.有關(guān)電力企業(yè)信息中心網(wǎng)絡(luò)安全及防護(hù)措施的探討[J].中小企業(yè)管理與科技(下旬刊)，2011(05).