电力信息安全保障体系建设研究符怡

电力信息安全保障体系建设研究符怡

符怡马智超曹丁元杜龙奇

（国网新疆电力有限公司昌吉供电公司新疆昌吉831100）

摘要：如今,伴随着科学技术的迅猛发展,我国电力企业各个方面的工作,也得到了大幅度的进步。电力信息安全保障体系,是电力发展事业各组成部分中的重要环节,在维持电力企业的正常运行、日常管理和营销管理等方面,起着至关重要的作用。因此,电力信息的安全问题,一直是电力企业所关注的重要内容之一,各个企业对于电力信息也逐渐重视起来。以下是笔者结合当前电力信息安全保障体系建设的实际情况,就在电力企业中,电力信息系统的安全领域出现的问题,进行有效详细的研究与分析,希望通过此次研究,能够对电力信息安全保障体系的建设领域的发展,起到一定的促进作用,为我国电力工作的发展,献计献策。

关键词：电力信息安全保障体系建设探讨研究

在当前我国的互联网管理中心有超过90%的境内外的黑客进行过攻击以及侵入，其中电信以及电力、政府等领域对这一信息的安全威胁问题得到了重视。在最近这几年的发展中，我国已经在信息系统的等级保护政策上进行了大力的推行，这一政策的实行对信息系统的抵御风险能力有了很大程度的提高，从电力信息安全体系建设的实际来看，还存在着诸多的安全漏洞没有及时科学的进行处理。

1.电力信息系统安全体系建设的原则

对电力信息安全水平进行提高能够有效的对电力系统安全事件的发生率有效的降低，关于信息系统的安全建设并不是仅仅局限于安全产品的集成，要在电力信息安全系统建设以及管理建设和策略建设方面得到重视，而对于这一安全体系的建设完备的标志也要具备安全管理体系以及技术完备的成功建立和安全策略的完善及安全团队的成功建设等几个重要的要素。

在电力信息系统的安全保障体系方面，不仅要对电力系统整体安全水平进行提高，同时还要对其中的信息安全的隐患进行消除，电力系统对我国的国民经济的发展起到了决定性的作用，由于其自身具有的特殊性，故此在建立电力信息系统的安全保障体系中就要遵循几个基本原则，即：法定原则、动态原则、均衡原则、立体性原则。

其中法定原则根据我国的有关规定的内容可以得知，为了能够满足管理信息大区对生产控制大区数据的访问，生产控制大区和管理信息大区间要设置经国家相关部门检测的安全隔离装置，进而起到安全访问的作用。倘若是对这一原则没有遵循，那么就很可能在电网生产上存有安全隐患。在动态原则方面就是任何的系统在安全保障的提供上是一成不变的，在科技的不断发展过程中，各种的安全问题也不断的涌现，所以在对方案进行策划的时候都要能够在可扩展性的方面进行充分的考虑，并能够及时的提供安全系统维护以及预防和应急的相关服务。在均衡原则方面指的是在整个的电力信息安全体系的建设要能够按照电力的生产安全目标进行，要在各个产品以及技术上进行效益分析。立体性原则方面就是在电力信息安全保障上应该在各个层面得到重视，严格的按照立体性的原则进行实施。

2.电力信息系统在当前的现状问题分析

电力系统的组件自身存在着脆弱性以及缺陷，由于在对其组件的设计、组装以及制造的过程中在各种因素的影响下，就可能存有多方面的隐患。在硬件的组件方面主要是来源于设计，由于设计问题的因素就在物理的存取上存在隐患。软件组件的安全隐患主要是设计以及软件工程的实施过程中所留下的问题，主要是表现在安全漏洞上。还有是网络以及通信协议方面的安全隐患，因特网自身就是没有明确物理界限的网际是虚拟的网络现实，这在安全问题上也较容易发生。其次是自然威胁以及意外的人为威胁和恶意的人为威胁。

在电力信息系统方面的发展过程中同时也存在着一些问题，首先就是人员信息安全意识的薄弱，当前的电力企业对于信息的安全以及保密的意识还有待进一步的提高，各个单位领导以及相关的工作人员对于信息安全的问题没有得到充分的重视，在个人的办公终端有的不设置口令或者是口令的密度较低，对于软件的安装以及下载都是没有授权的，这些问题都是源自对信息安全意识的薄弱。另外就是在电力信息的安全管理机制方面还不够完善，制度的执行力度还不够，在相关人员的配备上没有做到位，安全监管职责也没有得到有效的落实，对于信息安全事件还存在着不通报以及通报不及时的现象，并且在信息安全的原因分析方面还不够充分，对于整改的措施没有落实到位，同时在电力信息安全事件的调查处理以及考核机制方面还有待进一步的完善，在其信息系统的边界安全防护方面还存在着能够被黑客高手利用的一些较为薄弱的环节，在安全体系以及可评估的安全模型方面比较的缺乏。

3.电力信息安全保障体系建设

3.1信息安全策略

信息安全策略应由安全决策层制定并进行宣贯,可从省级电网层面制定公司安全策略,各地市级供电局负责贯彻落实。电力信息安全策略的制定应结合国家信息安全等级保护政策,以提升企业整体防病毒、防篡改、防攻击、防泄密、防瘫痪能力为基础,并结合自身信息化建设水平。

3.2信息安全管理

对比信息安全保障框架,电力企业在信息安全管理方面亟待加强,集中体现在以下几个方面:虽然建立了信息安全管理组织,但并没有有效运转;公司员工仍认为信息安全是某一个IT部门的事,包括信息技术部内部部分管理人员,没有树立起全员信息安全意识;部分安全职责不明确或不履行职责,对安全管理制度置之不理;缺乏有效的安全通报考核机制;没有建立起风险管理控制机制;信息安全管理体系没有形成计划、实施、检查、处理闭环。

3.2.1信息安全组织方面应建立安全决策机构、管理机构、执行机构和督察机构。安全决策机构应由省级电网公司成立,并至少每年召开信息安全工作会议,通报电力信息安全现状和安全规划;督察机构可抽调企业内部各单位信息安全业务骨干组成,至少每个月对信息安全状况进行检察和上报;明确各级信息安全岗位职责,使安全管理组织真正运转起来。

3.2.2安全风险管理是对企业残余风险的管理控制,防止风险发生。实施信息安全风险管理流程优化,控制变化带来的风险,确保风险受控,实施年度风险管理审核机制,由安全督察机构实施风险审核。

3.2.3电力信息安全保障应引入PDCA闭环管理思想,建立安全监察评价机制和信息安全考核评价指标,通过对信息安全政策、标准、规章制度、措施执行情况的检查及借助信息技术手段分析信息安全情况,不断优化安全管理运作过程。

3.3信息安全运行

电力信息安全运行是通过建立运维技术规范、运维作业指导书、运维流程、运维定检等标准或机制,确保对基础环境、软硬件平台、主营业务系统、终端的安全运行维护。

3.3.1基础环境包括机房、办公环境、IT设备,应建立基础设施或设备运维过程的技术规范、作业指导书、流程等。内容包括:明确计算机机房及其配套设备的定期巡检、安全检查、出入管理、门禁安全防护、操作规范等;指定基础设施或设备管理责任人和维护维修人,规范基础设施或设备访问、操作权限的申请、审批、收回流程及操作规程。

3.3.2硬件平台方面,应建立日常运维检查、配置管理、变更管理、性能管理等规范;明确硬件平台,进行运行状态健康检查、日志检查等工作;各类硬件设备(如服务器、网络设备)配置规范,包括设备配置、端口访问控制、网络连接等,确保维护记录的完整性和正确性;建立各类硬件设备的用户管理,包括用户登记、帐号使用、操作权限等,并进行安全审计。

3.3.3软件平台方面,应建立操作系统、数据库、中间件等平台的日常运维检查、配置管理、变更管理等规范,制定详细的数据库备份与恢复计划,定期进行恢复演练;明确定义软件平台运行状态健康检查、日志检查工作;制定包括操作系统、数据库、中间件、应用系统以及域管理、防病毒系统等系统的配置规范、帐号管理规范、日志管理规范等

结语

总而言之,加强电力信息安全保障体系的建设,是新时期电力工作者热衷研究的一大科题,更是今后的工作方向。在电力信息系统安全保障体系建设的过程中,我们必须要以“坚持实事求是、以人为本”的方针为原则,系统性的分析影响电力信息系统运行安全与管理的因素,结合如今电力信息系统安全保障的实际情况,以最佳的建设原则与思路,对电力信息系统安全保障体系进行完善,为电力企业的健康长远发展做出突出的贡献。

参考文献

［1］李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化,2012(04).

［2］关良辉.电力企业局域网的信息安全(续完)[J].电力安全技术,2012(06).

［3］香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技(下旬刊)，2011(05).