1 電力信息系統(tǒng)概述

電力信息系統(tǒng)是實現(xiàn)電力信息傳遞的神經(jīng)網(wǎng)絡(luò)，它使電力系統(tǒng)具有可觀測性與可控性，是電力系統(tǒng)必不可少的組成部分。電力信息網(wǎng)絡(luò)是發(fā)電機(jī)構(gòu)、電網(wǎng)單位、供電部門企業(yè)內(nèi)依賴于計算機(jī)及網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)和通信數(shù)據(jù)網(wǎng)絡(luò)的統(tǒng)稱，從功能上來說由監(jiān)控系統(tǒng)、管理系統(tǒng)、數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)組成。電力信息系統(tǒng)在不同水平上的完善和發(fā)展，從概念上、方法上對電力系統(tǒng)運(yùn)行分析和經(jīng)營管理賦予新的內(nèi)容，保證了電能質(zhì)量，提高了電力系統(tǒng)安全運(yùn)行水平，改善了勞動條件，提高了勞動生產(chǎn)率，還為電力系統(tǒng)的經(jīng)營決策提供有力支援，它使電能的廣泛應(yīng)用成為現(xiàn)實。

2 電力信息系統(tǒng)安全風(fēng)險分析

電力信息系統(tǒng)的安全風(fēng)險存在于物理、管理、系統(tǒng)、網(wǎng)絡(luò)、技術(shù)等多個層面，千變?nèi)f化、錯綜復(fù)雜，梳理出各個層面的安全風(fēng)險，是著手進(jìn)行防范、有效進(jìn)行維護(hù)的基礎(chǔ)。

（1）物理層面上的風(fēng)險：物理風(fēng)險主要是指支持網(wǎng)絡(luò)運(yùn)行的物理載體所存在的風(fēng)險，包括計算機(jī)、網(wǎng)絡(luò)通信設(shè)備等硬件設(shè)施發(fā)生故障，從而引起網(wǎng)絡(luò)癱瘓。我們可以通過加強(qiáng)對設(shè)備的檢修和維護(hù)，來防控部分物理風(fēng)險，但是，有很大程度的物理風(fēng)險是不可預(yù)見和防控的。如水災(zāi)、火災(zāi)、地震等自然災(zāi)害引起的線路中斷、數(shù)據(jù)丟失等，載體的本身特性及環(huán)境因子導(dǎo)致的線路故障，嚴(yán)重的災(zāi)害對這些設(shè)備的破壞性是極大的，會引起整個網(wǎng)絡(luò)的癱瘓。同時，人為的不當(dāng)操作或者故意破壞，以及電磁干擾等，也會造成數(shù)據(jù)信息損壞及丟失。

（2）管理層面上的風(fēng)險：管理層面上的安全風(fēng)險主要存在于企業(yè)內(nèi)部的安全管理不到位，網(wǎng)絡(luò)安全防范措施不健全，對與電力工作無關(guān)的網(wǎng)絡(luò)運(yùn)行和操作管理不到位等等。企業(yè)內(nèi)部的管理直接影響到信息網(wǎng)絡(luò)的安全，管理職責(zé)不明確、制度缺失、對從業(yè)人員的監(jiān)控力度不足、對需要加密的重要數(shù)據(jù)管理不重視等這些問題，都會對信息系統(tǒng)安全造成嚴(yán)重威脅，以致信息網(wǎng)絡(luò)遭到破壞甚至癱瘓。

（3）系統(tǒng)層面上的風(fēng)險：主機(jī)系統(tǒng)層面的風(fēng)險主要是由于系統(tǒng)自身安全措施不完善或是人為的干擾性破壞，所引起的系統(tǒng)超級權(quán)限被不正當(dāng)手段獲取，造成信息系統(tǒng)威脅。如系統(tǒng)安裝了不必要的附加模塊，造成自身缺陷，引起多余端口的開放，同時不及時更新安全補(bǔ)丁修補(bǔ)漏洞，造成系統(tǒng)感染惡意網(wǎng)絡(luò)病毒，都會極易被非法入侵。人為的干擾破壞對信息系統(tǒng)安全來說是危害性最大的。人為針對系統(tǒng)自身缺陷或者薄弱環(huán)節(jié)進(jìn)行主動攻擊，竊取重要信息或者破壞信息的傳輸和系統(tǒng)的運(yùn)行。

（4）網(wǎng)絡(luò)層面上的風(fēng)險：網(wǎng)絡(luò)安全風(fēng)險主要存在于內(nèi)網(wǎng)外網(wǎng)邏輯隔離強(qiáng)度不夠，如便攜式電腦的流動性會造成公司內(nèi)網(wǎng)與其他網(wǎng)絡(luò)混用，是兩網(wǎng)隔離的薄弱環(huán)節(jié)。同時虛擬機(jī)程序和一機(jī)雙系統(tǒng)等技術(shù)手段，導(dǎo)致一般的桌面檢測終端對同一臺計算機(jī)不同操作系統(tǒng)連入不同網(wǎng)絡(luò)很難予以檢測發(fā)現(xiàn)。目前電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)已實現(xiàn)了物理隔離和邏輯強(qiáng)隔離，但由于網(wǎng)絡(luò)布線、IP地址分配、使用無線網(wǎng)絡(luò)以及DHCP自動獲取IP技術(shù)等問題，使內(nèi)網(wǎng)無線信號范圍不準(zhǔn)確，信號能夠發(fā)送到周邊區(qū)域，導(dǎo)致周邊能夠接收并聯(lián)入企業(yè)內(nèi)網(wǎng)。

（5）技術(shù)層面上的風(fēng)險：網(wǎng)絡(luò)備份、應(yīng)用等技術(shù)層面的風(fēng)險主要體現(xiàn)在重要數(shù)據(jù)的備份和恢復(fù)過程中，是否對關(guān)鍵信息進(jìn)行了備份處理、是否有完善有效的數(shù)據(jù)恢復(fù)系統(tǒng)等，應(yīng)用風(fēng)險主要是指在電力系統(tǒng)企業(yè)網(wǎng)絡(luò)中進(jìn)行身份識別、安全監(jiān)督、訪問監(jiān)控、信息的完整與不公開性、信息轉(zhuǎn)發(fā)的確定性及資源的合理有效控制方面所引發(fā)的安全風(fēng)險。

3 電力信息系統(tǒng)安全風(fēng)險應(yīng)對措施

（1）加強(qiáng)基礎(chǔ)設(shè)施建設(shè)：提高硬件設(shè)施水平，是保證電力信息系統(tǒng)安全的基礎(chǔ)性措施。機(jī)房、信息中心等網(wǎng)絡(luò)運(yùn)行環(huán)境直接關(guān)系著網(wǎng)絡(luò)運(yùn)行的安全。機(jī)房要配有門禁、監(jiān)控、報警系統(tǒng)、滅火器、應(yīng)急燈以及接地防雷等設(shè)施。機(jī)房、配電間保持環(huán)境干燥整潔，設(shè)備標(biāo)識、布線清晰整齊，UPS、空調(diào)定期檢查。推廣桌面管理系統(tǒng)和網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對計算機(jī)定期進(jìn)行安全檢查，嚴(yán)格監(jiān)管計算機(jī)登陸外網(wǎng)現(xiàn)象，在網(wǎng)絡(luò)監(jiān)管軟件上設(shè)置檢查計算機(jī)各硬盤是否除系統(tǒng)盤外還有其他的系統(tǒng)文件（如WINDOWS文件夾下的系統(tǒng)文件）以及對目前常用的虛擬機(jī)軟件的安裝監(jiān)控等技術(shù)措施。網(wǎng)絡(luò)規(guī)劃應(yīng)盡量多點迂回，傳輸網(wǎng)絡(luò)盡量成環(huán)、成網(wǎng)，避免單節(jié)點失效導(dǎo)致多點失去網(wǎng)絡(luò)連接的情況發(fā)生。

（2）完善管理機(jī)制：加強(qiáng)對影響電力信息系統(tǒng)安全人為因素的管理，建立完整的信息安全管理體系、運(yùn)行維護(hù)體系，明確崗位職責(zé)，規(guī)范相關(guān)操作人員的操作。對設(shè)備定期維護(hù)、網(wǎng)絡(luò)故障處理等進(jìn)行詳細(xì)登記，對網(wǎng)絡(luò)布線圖、信息點、網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D、網(wǎng)絡(luò)設(shè)備等進(jìn)行備案。明確安全責(zé)任，責(zé)任細(xì)化到人，確保信息安全工作責(zé)權(quán)清晰。將信息安全工作納入全方位目標(biāo)考核制度，實行一票否決制，同時嚴(yán)格落實獎懲。

（3）提高網(wǎng)絡(luò)防護(hù)技術(shù)水平：采用防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）和虛擬專用網(wǎng)（VPN）等有效的網(wǎng)絡(luò)硬件，是加強(qiáng)網(wǎng)絡(luò)安全管理的關(guān)鍵環(huán)節(jié)。防火墻可以實現(xiàn)網(wǎng)絡(luò)安全隔離。IDS能夠檢測出對網(wǎng)絡(luò)和計算機(jī)系統(tǒng)的惡意入侵，是防火墻之后的第二道安全閘門。IPS在IDS檢測到攻擊之后，可以在這種攻擊擴(kuò)散到網(wǎng)絡(luò)其他地方之前進(jìn)行阻止。VPN主要解決企業(yè)或系統(tǒng)之間跨地域訪問與數(shù)據(jù)傳輸?shù)陌踩珕栴}，保證企業(yè)內(nèi)部的關(guān)鍵數(shù)據(jù)能夠安全地借助公共網(wǎng)絡(luò)進(jìn)行交換。

（4）強(qiáng)化內(nèi)外網(wǎng)隔離：將局域網(wǎng)與外網(wǎng)進(jìn)行物理隔離，使局域網(wǎng)內(nèi)的用戶只能訪問內(nèi)網(wǎng)資源，外網(wǎng)計算機(jī)無法與內(nèi)網(wǎng)相連接。也可以實行雙網(wǎng)雙機(jī)模式，直接避免由于上外網(wǎng)而使計算機(jī)感染病毒的可能性。機(jī)要部門和人員的辦公計算機(jī)應(yīng)設(shè)立單獨的VLAN并通過ACL（訪問控制列表）等信息技術(shù)，實現(xiàn)在不影響正常工作的前提下，同其他辦公計算機(jī)終端通過安全領(lǐng)域的邏輯防護(hù)措施隔開。對于接入公司內(nèi)網(wǎng)的計算機(jī)應(yīng)采取MAC碼和計算機(jī)IP地址綁定策略，這樣，外來用戶由于網(wǎng)卡MAC碼和IP地址不一致，而無法連接到公司內(nèi)網(wǎng)。

4 結(jié)語

電力信息系統(tǒng)是整個電力系統(tǒng)中十分關(guān)鍵的一環(huán)，其安全地位至關(guān)重要，理清安全隱患，并從安全管理和安全技術(shù)著手，積極應(yīng)對，電力信息系統(tǒng)的安全風(fēng)險是可防可控的。