當(dāng)前電力企業(yè)信息安全保護(hù)中存在的問(wèn)題及措施

步入二十一世紀(jì)，信息技術(shù)發(fā)展日新月異，信息的交流與匯總越來(lái)越頻繁和迅速，誰(shuí)擁有最前沿的一手信息就把握住了最好的市場(chǎng)時(shí)機(jī)，就會(huì)在競(jìng)爭(zhēng)中取得優(yōu)勢(shì)。在信息化帶動(dòng)工業(yè)化，促進(jìn)現(xiàn)代化的企業(yè)發(fā)展大潮中，信息安全建設(shè)已經(jīng)成為企業(yè)管理中重中之重，但有些企業(yè)對(duì)信息安全管理沒有提高到重視地位，造成信息泄漏而遭受巨大的經(jīng)濟(jì)損失，那么下面就結(jié)合電力企業(yè)信息泄漏情況和采取怎樣的保護(hù)措施闡述一下個(gè)人觀點(diǎn)。

1.信息安全的重要性

信息在現(xiàn)代經(jīng)濟(jì)生活中的作用越來(lái)越大，已經(jīng)成為市場(chǎng)競(jìng)爭(zhēng)的重要手段。對(duì)于電力企業(yè)來(lái)說(shuō)，信息的重要性更是不言而喻。缺乏信息，即使有了資金、物資和能源，要把電力企業(yè)管理好也是十分困難的。信息化時(shí)代的到來(lái)，信息已經(jīng)成為最重要的資源，企業(yè)占有的信息多、掌握的信息準(zhǔn)確，誰(shuí)就在行業(yè)中占有主動(dòng)權(quán)，有了制勝的先機(jī)。

中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院曾經(jīng)做過(guò)預(yù)測(cè)，針對(duì)中國(guó)電力企業(yè)調(diào)查他們對(duì)信息安全需求，企業(yè)對(duì)于信息安全的認(rèn)知也跨出了一大步，有相當(dāng)一部分電力企業(yè)擔(dān)心信息安全問(wèn)題，而網(wǎng)絡(luò)問(wèn)題則是他們關(guān)心的第一位，調(diào)查還顯示只有五分之一的電力企業(yè)沒有信息泄密的事實(shí)，卻也足以讓人心驚膽戰(zhàn)。電力企業(yè)的正常運(yùn)作離不開信息資源的支持，包括經(jīng)營(yíng)計(jì)劃、知識(shí)產(chǎn)權(quán)、生產(chǎn)工藝、方案圖紙、客戶資源以及各種重要數(shù)據(jù)等，這些都是電力企業(yè)全體員工努力拼搏、刻苦鉆研、殫精竭慮、長(zhǎng)期積累下來(lái)的智慧結(jié)晶，是企業(yè)發(fā)展的方向和動(dòng)力，關(guān)乎著我國(guó)電力事業(yè)的健康快速發(fā)展，如果企業(yè)的重要信息一旦被泄露，就會(huì)使企業(yè)失去市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)，甚至?xí)馐軠珥斨疄?zāi)。

2.當(dāng)前電力企業(yè)信息安全保護(hù)中存在的問(wèn)題

據(jù)有關(guān)資料統(tǒng)計(jì)，當(dāng)前我國(guó)電力企業(yè)的信息安全管理才剛剛起步，而60%以上的企業(yè)存在的信息安全問(wèn)題來(lái)自于內(nèi)部的電子信息系統(tǒng)，如木馬、內(nèi)部人員有意、無(wú)意攻擊、泄密、病毒傳播、內(nèi)部資源濫用等。而國(guó)內(nèi)信息產(chǎn)業(yè)長(zhǎng)期桎梏：“重硬輕軟”，始終制約著信息系統(tǒng)監(jiān)管體系的建立與完善。在防火墻、入侵檢測(cè)等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品占據(jù)信息安全市場(chǎng)半壁江山的同時(shí)，電力企業(yè)內(nèi)部審計(jì)、信息安全監(jiān)管類技術(shù)仍處于起步階段，電力企業(yè)信息安全還有許多問(wèn)題需要解決。

在信息化飛速發(fā)展的今天，電力企業(yè)信息安全水平也在不斷隨著各種信息安全產(chǎn)品的產(chǎn)生、應(yīng)用而不斷得到提升。隨著未來(lái)信息化不斷發(fā)展，信息安全防護(hù)要求不斷增加，安全設(shè)備系統(tǒng)將不斷增多。與此同時(shí)，電力企業(yè)在安全管理中也逐漸顯露出一些難點(diǎn)問(wèn)題。

安全管理人員少、安全分析技術(shù)水平參差不齊。電力企業(yè)早期信息安全管理工作隨著信息化發(fā)展得到了很大的提高，因此在電力企業(yè)內(nèi)部，早期安全管理人員主要由之前網(wǎng)絡(luò)運(yùn)維人員轉(zhuǎn)化而來(lái)，早期安全管理任務(wù)主要集中在對(duì)少數(shù)的安全設(shè)備系統(tǒng)進(jìn)行運(yùn)行管理、以及通過(guò)安全設(shè)備監(jiān)視發(fā)電、輸變電等安全預(yù)警，及時(shí)發(fā)現(xiàn)電力運(yùn)營(yíng)中的安全問(wèn)題。但是一直以來(lái)電力企業(yè)存在信息專業(yè)安全管理人員少、安全分析技術(shù)水平參差不齊。隨著電力投入的不斷增加，安全設(shè)備系統(tǒng)不斷增多，運(yùn)行管理工作量大增，安全預(yù)警數(shù)量海量增加，分析預(yù)警發(fā)現(xiàn)問(wèn)題的技術(shù)要求越來(lái)越高，這些對(duì)信息安全管理人員的數(shù)量和技術(shù)水平提出了越來(lái)越高的要求。

沒有一個(gè)綜合平臺(tái)支持。在眾多電力安全設(shè)備系統(tǒng)預(yù)警中分析發(fā)現(xiàn)的安全問(wèn)題越來(lái)越多，需要在多個(gè)安全管理人員之間進(jìn)行協(xié)同處理從而提高安全問(wèn)題處理效率和專業(yè)性，但是缺乏有效的協(xié)同平臺(tái)進(jìn)行支撐。隨著電力安全設(shè)備系統(tǒng)不斷增多，安全數(shù)據(jù)分析不再是單獨(dú)的安全設(shè)備系統(tǒng)的數(shù)據(jù)分析，需要通過(guò)對(duì)所有涉及電力運(yùn)營(yíng)的安全設(shè)備系統(tǒng)數(shù)據(jù)綜合分析來(lái)展示安全域的指標(biāo)狀態(tài)和趨勢(shì)。沒有一個(gè)綜合平臺(tái)支持，靠安全管理人員很難完成。

電力企業(yè)員工信息安全防護(hù)意識(shí)差。當(dāng)前在電力企業(yè)運(yùn)行過(guò)程中出現(xiàn)信心安全問(wèn)題的里另一個(gè)重要原因就是員工上網(wǎng)安全防護(hù)意識(shí)差，沒有深刻認(rèn)識(shí)到信息安全對(duì)電力企業(yè)，對(duì)自己發(fā)展的重要性，只是一成不變，按部就班的完成自己的工作，并不把信息安作為對(duì)自己工作的特殊要求來(lái)重視，沒有通過(guò)每天重復(fù)的工作加深電力安全意識(shí)，反思檢查工作中存在的漏洞，因此一些事關(guān)電力企業(yè)正常運(yùn)作的信息就在工作人員的疏忽大意中泄漏，從而給電力企業(yè)帶來(lái)莫大的危機(jī)。

2.4企業(yè)信息安全管理制度不健全

信息安全管理在國(guó)內(nèi)各個(gè)行業(yè)中還是處于相當(dāng)弱勢(shì)的地位，從電力企業(yè)管理者對(duì)信息安全的認(rèn)識(shí)上來(lái)說(shuō)，有很多的管理層領(lǐng)導(dǎo)還沒有建立這方面的意識(shí)和理念，其認(rèn)識(shí)也剛剛從單機(jī)用戶到局域網(wǎng)，雖然國(guó)家各部委也都在提倡提高信息化的水平，而在實(shí)際的工作中實(shí)施信息系統(tǒng)的層次比較低，技術(shù)管理還沒有跟上，所以在目前的電力企業(yè)中，有很大一部分是沒有專門的團(tuán)隊(duì)負(fù)責(zé)內(nèi)部信息技術(shù)相關(guān)事宜或者只是管理日常的應(yīng)用，缺乏應(yīng)對(duì)信息系統(tǒng)安全漏洞的偵測(cè)修補(bǔ)以及突發(fā)事故的應(yīng)急對(duì)策。因此，當(dāng)新破壞力強(qiáng)的病毒傳播開來(lái)時(shí)，電力企業(yè)受到的影響也較大。而且對(duì)于自身系統(tǒng)中存在的問(wèn)題也難以主動(dòng)發(fā)現(xiàn)，使得信息數(shù)據(jù)有被入侵，竊取和破壞的隱患。所以很多電力企業(yè)都在遭受信息安全事故帶來(lái)的損失時(shí)，缺乏可行的應(yīng)對(duì)辦法和有效的手段來(lái)改變這一狀況。關(guān)鍵是信息安全管理系統(tǒng)沒有建立，或者沒有在電力企業(yè)的信息化戰(zhàn)略中加以足夠的重視。

3.解決信息安全問(wèn)題對(duì)的措施

信息管理采用集中化管理。電力企業(yè)信息安全管理人員不用再去為了獲取電力運(yùn)營(yíng)安全設(shè)備系統(tǒng)狀態(tài)而去登錄各個(gè)設(shè)備系統(tǒng)，不用再去為了將多個(gè)設(shè)備系統(tǒng)的監(jiān)視指標(biāo)進(jìn)行綜合監(jiān)視分析而發(fā)愁.定時(shí)自動(dòng)巡檢協(xié)助運(yùn)維安全管理人員不用再花更多的時(shí)間去效率低下的檢查每個(gè)需要被巡檢設(shè)備的指標(biāo)狀況，每天定時(shí)去查看一下集中化管理平臺(tái)給出的巡檢結(jié)果就可以完成巡檢。該文原載于中國(guó)社會(huì)科學(xué)院文獻(xiàn)信息中心主辦的《環(huán)球市場(chǎng)信息導(dǎo)報(bào)》雜志http：//www.ems86.com總第543期2014年第11期-----轉(zhuǎn)載須注名來(lái)源通過(guò)信息化管理平臺(tái)，及時(shí)進(jìn)行通報(bào)發(fā)布、預(yù)警發(fā)布、多級(jí)機(jī)構(gòu)協(xié)同、電力安全事故處置等等業(yè)務(wù)流程。安全數(shù)據(jù)綜合分析通過(guò)自動(dòng)發(fā)現(xiàn)機(jī)制從海量的安全設(shè)備系統(tǒng)預(yù)警信息中挑揀出需要安全管理人員跟蹤處理的安全事件。

降低電力企業(yè)核心應(yīng)用系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)。為了有效地降低電力企業(yè)核心應(yīng)用系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)，電力運(yùn)營(yíng)信息網(wǎng)絡(luò)應(yīng)分為物理隔離的信息內(nèi)網(wǎng)和信息外網(wǎng)。黑客可以通過(guò)Internet公共信息網(wǎng)采用木馬、蠕蟲和病毒等攻擊手段，破壞電力企業(yè)辦公系統(tǒng)、竊取核心系統(tǒng)機(jī)密數(shù)據(jù)、篡改公司網(wǎng)站信息、截獲公司郵件等等。所有這些攻擊行為都會(huì)對(duì)電力企業(yè)運(yùn)行造成損失。為了保障機(jī)密數(shù)據(jù)的安全，電力企業(yè)應(yīng)分別建立兩套獨(dú)立的信息網(wǎng)絡(luò)。信息內(nèi)網(wǎng)承載電力企業(yè)核心業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、OA辦公系統(tǒng)、人力資源管理系統(tǒng)、投資管理系統(tǒng)、呼叫中心系統(tǒng)、內(nèi)部視頻會(huì)議系統(tǒng)以及保險(xiǎn)企業(yè)與上級(jí)機(jī)構(gòu)、保監(jiān)會(huì)、行業(yè)協(xié)會(huì)、銀行等國(guó)家金融機(jī)構(gòu)的專線互聯(lián)系統(tǒng)。信息外網(wǎng)承載電子商務(wù)系統(tǒng)、企業(yè)郵箱系統(tǒng)、企業(yè)門戶系統(tǒng)、人力資源招聘系統(tǒng)以及員工對(duì)Internet公共信息網(wǎng)的訪問(wèn)等等。電力系統(tǒng)信息內(nèi)外網(wǎng)分離的方式有效地降低了來(lái)自Internet公共信息網(wǎng)對(duì)企業(yè)機(jī)密數(shù)據(jù)的攻擊風(fēng)險(xiǎn)。

一、桌面終端操作系統(tǒng)安全。大部分PC所使用的操作系統(tǒng)是微軟公司的Windows XP或者Windows Vista，針對(duì)黑客攻擊行為，微軟公司會(huì)定期發(fā)布系統(tǒng)安全補(bǔ)丁包。信息內(nèi)外網(wǎng)應(yīng)各部署一套微軟WSUS補(bǔ)丁服務(wù)器，定期統(tǒng)一下載操作系統(tǒng)安全補(bǔ)丁。

二、系統(tǒng)防病毒策略。計(jì)算機(jī)病毒是電腦系統(tǒng)癱瘓的元兇。防病毒策略由部署在信息內(nèi)外網(wǎng)的防病毒服務(wù)器來(lái)實(shí)現(xiàn)。在信息內(nèi)外網(wǎng)各部署一套防病毒服務(wù)器，信息內(nèi)外網(wǎng)PC設(shè)備安裝防病毒客戶端，定期自動(dòng)從防病毒服務(wù)器更新防病毒庫(kù)。

三、移動(dòng)存儲(chǔ)介質(zhì)安全。缺乏有效保護(hù)的移動(dòng)介質(zhì)是傳播病毒的有效載體，是泄露電力企業(yè)機(jī)密和國(guó)家機(jī)密的罪魁禍?zhǔn)住ｋ娏ζ髽I(yè)應(yīng)部署安全移動(dòng)存儲(chǔ)系統(tǒng)，對(duì)U盤進(jìn)行加密處理。所有員工均使用安全U盤，規(guī)避移動(dòng)介質(zhì)風(fēng)險(xiǎn)。

提高工作人員的信息安全保護(hù)意識(shí)。目前，許多電力企業(yè)員工對(duì)信息安全存在著誤區(qū)。應(yīng)該盡量使用復(fù)雜的密碼做為保護(hù)，而不是只要隨便設(shè)置個(gè)簡(jiǎn)單的密碼，例如“123456”不同的賬號(hào)和文件，設(shè)置不一樣的密碼，才不會(huì)讓入侵者或“泄密者”有機(jī)可乘。而許多電力企業(yè)對(duì)入職員工培訓(xùn)并沒有涉及到信息安全、保密這一方面。員工對(duì)信息安全、保密意識(shí)的缺失，企業(yè)也有一定的責(zé)任。員工安全上網(wǎng)行為對(duì)于企業(yè)數(shù)據(jù)信息安全來(lái)說(shuō)越來(lái)越重要，這也正是步入信息時(shí)代上網(wǎng)行為管理產(chǎn)品市場(chǎng)需求逐步擴(kuò)大的重要原因。上網(wǎng)行為管理產(chǎn)品已經(jīng)成為企業(yè)用戶最喜歡的網(wǎng)絡(luò)增值類產(chǎn)品之一，例如在中央政府招標(biāo)網(wǎng)上可以看到，上網(wǎng)行為管理類產(chǎn)品的廠商有41家之多，一些傳統(tǒng)的國(guó)內(nèi)安全廠商也紛紛加入該領(lǐng)域。電力企業(yè)使用適合的上網(wǎng)行為管理產(chǎn)品、引導(dǎo)員工安全上網(wǎng)，勢(shì)必會(huì)大大保障了電力企業(yè)信息的安全。 要安裝防火墻、殺毒軟件，當(dāng)今互聯(lián)網(wǎng)的發(fā)展，使得電力企業(yè)不能夠不使用網(wǎng)絡(luò)進(jìn)行各個(gè)方面的洽談，正是由于互聯(lián)網(wǎng)的開放性，導(dǎo)致了電力企業(yè)信息無(wú)時(shí)無(wú)刻都可能暴露在廣大網(wǎng)民面前。所以，在管理好內(nèi)網(wǎng)的同時(shí)，還需要對(duì)外網(wǎng)的行為進(jìn)行管控，及時(shí)的更新防火墻、殺毒軟件的版本，做好計(jì)算機(jī)網(wǎng)絡(luò)的防護(hù)，也是防止電力企業(yè)信息失竊的重要手段。

要使用加密軟件，對(duì)文檔進(jìn)行加密。保密和泄密只在一念之間， 在全球范圍內(nèi)信息化浪潮不斷推進(jìn)的今天，企業(yè)只有建立科學(xué)完善的保密意識(shí)、培養(yǎng)專業(yè)的信息安全管理人才，才能在激烈的信息競(jìng)爭(zhēng)中占據(jù)一席之地，維護(hù)好自己的切身利益。做好電力企業(yè)內(nèi)部網(wǎng)的防毒作用，網(wǎng)絡(luò)用機(jī)嚴(yán)禁私接光軟驅(qū)，私自安裝軟件，尤其是游戲軟件。嚴(yán)禁拆換網(wǎng)絡(luò)計(jì)算機(jī)及相關(guān)設(shè)備的零件部。信息中心搞好網(wǎng)絡(luò)管理工作，電力企業(yè)內(nèi)部網(wǎng)必須把好用戶及密碼的關(guān)，合理分配IP地址，搞好虛網(wǎng)劃分及管理。

建立健全企業(yè)信息安全保護(hù)體制。隨著電力企業(yè)電子信息化進(jìn)程的加快，使用的電腦也越來(lái)越多，現(xiàn)在電腦安裝部位普遍存在防范措施薄弱，安全隱患突出。為安全使用電腦，加強(qiáng)信息化管理，凡是配有電腦部門的員工要從思想上重視電腦和信息的安全管理，必須建立健全必要的安全管理制度，認(rèn)真落實(shí)安全防范措施；必須保持高度的警惕性，嚴(yán)格執(zhí)行各項(xiàng)管理制度，完善電腦臺(tái)帳，電腦軟件未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，不得擅自帶出和外借，自覺做好保密、防盜和防病毒工作，更不得用電腦從事任何違法活動(dòng)。有電腦的室內(nèi)必須加強(qiáng)對(duì)火種、電源的管理，不得擅自明火，禁止存放易燃易爆物品，使用電源必須保證安全，人員離開后應(yīng)切斷電源。外來(lái)人員未經(jīng)同意不得擅自操作電腦。

加強(qiáng)電力企業(yè)信息技術(shù)安全人員的技能培訓(xùn)。電力企業(yè)信息系統(tǒng)的開發(fā)由信息中心主持進(jìn)行，盡量減少信息化孤島，開發(fā)的平臺(tái)應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)實(shí)際來(lái)定，避免孤立行事，將開發(fā)納入信息化發(fā)展正常渠道，對(duì)于有難度的開發(fā)由信息中心確認(rèn)后可派專人進(jìn)行。信息中心人員應(yīng)指導(dǎo)、教授業(yè)務(wù)部門人員有關(guān)系統(tǒng)的應(yīng)用，保證生產(chǎn)部門人員能正確使用系統(tǒng)。IT人員做好自己理論學(xué)習(xí)工作，多看書，多交流，做好學(xué)習(xí)總結(jié)。

隨著信息化的發(fā)展，越來(lái)越多地電力企業(yè)信息被置放于企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境中，如何保護(hù)企業(yè)機(jī)密，保障電力企業(yè)信息安全，被越來(lái)越多地?cái)[上了議事日程。電力企業(yè)信息安全建設(shè)已經(jīng)成為電力系統(tǒng)信息化發(fā)展過(guò)程中面臨和解決的問(wèn)題，成為當(dāng)前電力信息化發(fā)展中的一個(gè)焦點(diǎn)。

（作者單位：國(guó)網(wǎng)山東東阿縣供電公司）