電網(wǎng)企業(yè)網(wǎng)絡信息安全現(xiàn)狀與改進措施

0 引言

信息網(wǎng)絡技術在電力企業(yè)的生產(chǎn)運行中發(fā)揮著重要作用，特別是隨著廠網(wǎng)分開、電力市場構(gòu)建，電力企業(yè)已建立起龐大復雜的調(diào)度數(shù)據(jù)網(wǎng)和信息網(wǎng)，計算機網(wǎng)絡信息系統(tǒng)成為企業(yè)日益重要的技術支持系統(tǒng)。網(wǎng)絡安全所面臨的危險同時滲透到電力企業(yè)生產(chǎn)、經(jīng)營的各個方面。然而，財務、營銷、OA、客戶管理等系統(tǒng)的網(wǎng)絡信息安全還相當薄弱。網(wǎng)絡信息安全已成為影響電力安全生產(chǎn)的重大問題。

1 我國電網(wǎng)企業(yè)網(wǎng)絡信息安全發(fā)展的現(xiàn)狀

近十幾年來，我國電力企業(yè)信息化得到長足發(fā)展，同時由于電力生產(chǎn)運行的特殊行業(yè)特點，在網(wǎng)絡信息安全方面具有相對其他行業(yè)更具優(yōu)勢。

1.1 網(wǎng)絡信息基礎設施相對完善

目前，電力企業(yè)信息化建設硬件環(huán)境已經(jīng)基本構(gòu)建完成，硬件設備數(shù)量和網(wǎng)絡建設狀況良好，無論是在生產(chǎn)、調(diào)度還是營業(yè)等部門都已實現(xiàn)了信息化，企業(yè)信息化已經(jīng)成為新世紀開局階段的潮流。在網(wǎng)絡硬件方面，基本上已經(jīng)實現(xiàn)千兆骨干網(wǎng)；百兆到桌面，三層交換；VLAN，MPLS等技術也普及使用。在軟件方面，各應用主要包括調(diào)度自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營銷信息系統(tǒng)、負荷監(jiān)控系統(tǒng)及各專業(yè)相關的應用子系統(tǒng)等。計算機及信息網(wǎng)絡系統(tǒng)在電力生產(chǎn)、建設、經(jīng)營、管理、科研、設計等各個領域有著十分廣泛的應用，安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動生產(chǎn)率等方面取得了明顯的社會效益和經(jīng)濟效益。

1.2 電力生產(chǎn)、調(diào)度自動化網(wǎng)絡相對獨立

目前省電力調(diào)度機構(gòu)全部建立了SCADA系統(tǒng)，電網(wǎng)的三級調(diào)度 100%實現(xiàn)了自動化，我國電力調(diào)度自動化水平達到國際先進水平。電力企業(yè)調(diào)度數(shù)據(jù)網(wǎng)和信息網(wǎng)在物理上實現(xiàn)隔離，在很大程度上保證了調(diào)度數(shù)據(jù)網(wǎng)的安全運行，避免受到來自互聯(lián)網(wǎng)的可能的攻擊。

1.3 初步建立網(wǎng)絡安全體系

近些年國家電網(wǎng)公司規(guī)范了信息網(wǎng)絡安全管理，將信息網(wǎng)絡分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)實行物理隔離，在一定程度上保證了信息內(nèi)網(wǎng)的安全運行，避免受到來自互聯(lián)網(wǎng)的可能的攻擊。信息安全系統(tǒng)項目不斷增加：網(wǎng)絡間設置了防火墻，安裝網(wǎng)絡防病毒軟件，數(shù)據(jù)備份系統(tǒng)、桌面管控等信息安全設備。

2 目前電力企業(yè)網(wǎng)絡信息安全管理存在的主要問題

雖然具備以上優(yōu)勢，電力企業(yè)在信息安全管理方面仍然存在較多問題：

2.1 辦公計算機仍存在內(nèi)外網(wǎng)混用情況

按照國網(wǎng)公司的要求，單位辦公用臺式電腦已明確要求內(nèi)外網(wǎng)隔離，即杜絕一機兩網(wǎng)現(xiàn)象。但對攜帶方便的筆記本管理卻成為兩網(wǎng)隔離的薄弱環(huán)節(jié)，很可能因為出差、回家加班等原因造成一臺筆記本公司內(nèi)網(wǎng)與Internet、公司內(nèi)網(wǎng)與其他網(wǎng)絡混用情況，電力企業(yè)信息安全帶來一定的隱患。同時虛擬機程序和一機雙系統(tǒng)等技術手段導致普通的桌面檢測終端對同一臺計算機不同操作系統(tǒng)連入不同網(wǎng)絡很難予以檢測發(fā)現(xiàn)。

2.2 內(nèi)外網(wǎng)邏輯隔離強度不夠

電力企業(yè)目前的辦公內(nèi)網(wǎng)和Internet已實現(xiàn)了物理隔離和邏輯強隔離，但是因為網(wǎng)絡布線、IP地址分配等問題，涉及到電子教室等計算機比較集中的場所，大多使用無線網(wǎng)絡以及自動獲取IP技術連入辦公內(nèi)網(wǎng)，因為無線網(wǎng)絡覆蓋范圍的不確定性，無線信號很可能發(fā)送到公司周邊范圍，導致公司周邊存在能接收并聯(lián)入企業(yè)內(nèi)網(wǎng)的情況，如果被別有用心之人利用，將對企業(yè)內(nèi)網(wǎng)信息安全造成嚴重隱患。

2.3 企業(yè)內(nèi)網(wǎng)安全隔離相對薄弱。

電力企業(yè)各公司間內(nèi)網(wǎng)隔離措施則相對薄弱，企業(yè)內(nèi)任何一個公司的辦公計算機出現(xiàn)問題，則會導致一點破全網(wǎng)失守，致使惡意入侵遍及全網(wǎng)，同時因為電力企業(yè)目前存在一部分的多經(jīng)企業(yè)，因業(yè)務需要也要使用公司辦公內(nèi)網(wǎng)，而目前各項安全措施多針對主業(yè)單位，所以多經(jīng)企業(yè)的信息隱患相對明顯。

3 電力企業(yè)網(wǎng)絡信息安全管理問題的成因分析

3.1 安全意識淡薄是網(wǎng)絡安全的瓶頸

企業(yè)人員忙于利用信息網(wǎng)絡工作，對信息的安全性無暇顧及，安全意識相當?shù)?。信息安全處于被動的封堵漏洞狀態(tài)。從上到下普遍存在僥幸心理，沒有形成主動防范、積極應對的全民意識，更無法從根本上提高網(wǎng)絡監(jiān)測、防護、響應、恢復和抗擊能力。

3.2 運行管理機制的缺陷和不足制約了安全防范的力度

從目前的運行管理機制來看，有以下幾方面的缺陷和不足。

3.2.1 信息安全管理方面人才匱乏

由于在電網(wǎng)企業(yè)從事信息安全管理工作地位不高，而且缺乏職業(yè)發(fā)展空間，導致從事信息安全管理方面人才匱乏。

3.2.2 安全措施不到位

配置不當或過時的操作系統(tǒng)、郵件程序和內(nèi)部網(wǎng)絡都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無法發(fā)現(xiàn)和及時查堵安全漏洞。當廠商發(fā)布補丁或升級軟件來解決安全問題時，許多用戶的系統(tǒng)不進行同步升級，原因是管理者未充分意識到網(wǎng)絡不安全的風險所在，未引起重視。

4 加強電網(wǎng)企業(yè)網(wǎng)絡信息安全管理的措施

4.1 合理劃分安全域

電網(wǎng)企業(yè)是完全實行物理隔離的企業(yè)網(wǎng)絡，在內(nèi)網(wǎng)上仍然要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全等級，從邏輯上劃分核心重點防范區(qū)域、一般防范區(qū)域和開放區(qū)域。重點防范的區(qū)域是網(wǎng)絡安全的核心，這部分區(qū)域是一般用戶不能直接訪問的區(qū)域，有很高的安全級別。各種重要數(shù)據(jù)、服務器、數(shù)據(jù)庫服務器應當放置在該區(qū)域，各種應用系統(tǒng)、OA系統(tǒng)等在該區(qū)域運行。

4.2 加強安全管理，重視制度建設

為保證企業(yè)信息安全，要把企業(yè)信息安全作為一個系統(tǒng)工程來考慮。因此，企業(yè)網(wǎng)絡的安全問題，安全管理和制度建設非常重要（特別是內(nèi)網(wǎng)）?，F(xiàn)提出如下建議：

4.2.1 加強日志管理與安全審計

一般的防火墻與入侵檢測系統(tǒng)都具備審計功能，要充分利用它們的審計功能，作好網(wǎng)絡的日志管理和安全審計工作。對審計數(shù)據(jù)要嚴格管理，不允許任何人修改、刪除審計記錄。

4.2.2 重視網(wǎng)絡管理制度建設

嚴格的管理制度，是保證企業(yè)信息安全的重要措施之一。

（1）領導應當高度重視網(wǎng)絡信息安全問題。企業(yè)領導要高度重視安全管理和安全制度建設問題，不能把安全管理和制度建設看成是技術部門的事。企業(yè)應當成立信息安全領導小組，由分管領導抓信息安全工作，并明確其職責和工作制度。要制訂安全事故處理程序、應急計劃等。

（2）加強基礎設施和運行環(huán)境的管理建設。企業(yè)網(wǎng)絡的管理機構(gòu)的機房、配電房等計算機系統(tǒng)重要基礎設施應嚴格管理，配備防盜、防火、防水等設施，應當安裝監(jiān)控系統(tǒng)、監(jiān)控報警裝置等。建立嚴格的設備運行日志，記錄設備運行狀況。要規(guī)范操作規(guī)程，確保計算機系統(tǒng)的安全、可靠運行。

（3）建立必要的安全管理制度。企業(yè)網(wǎng)絡的中心機房和各業(yè)務部門計算機系統(tǒng)都要建立各類管理制度，網(wǎng)絡系統(tǒng)管理員、安全員、各業(yè)務部門主管和計算機操作人員的計算機密碼管理規(guī)定等內(nèi)控管理制度，對應用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權并由專人負責，登記日志。建立健全數(shù)據(jù)備份制度，核心程序及數(shù)據(jù)要嚴格保密，實行專人保管。

5 結(jié)束語

網(wǎng)絡安全是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡上的任何一個漏洞，都會導致全網(wǎng)的安全問題，我們應該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業(yè)措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。這樣才能真正做到整個系統(tǒng)的安全。