摘要:  根據電力企業(yè)面臨的安全風險和問題,本文提出了信息安全工作開展的一般原則,從信息安全技術上和安全管理上提出了解決安全問題的思路和方法,最后闡述了信息安全問題隨技術和應用的發(fā)展而發(fā)展,應在發(fā)展中求安全的觀點。

關鍵詞:  信息 安全管理 對策

一、電力企業(yè)信息安全風險分析

隨著企業(yè)的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數(shù)據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業(yè)的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。

1、電力公司信息安全的主要風險分析

信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統(tǒng)面臨的主要風險存在于如下幾個方面:

(1)計算機病毒的威脅最為廣泛：計算機病毒自產生以來,一直就是計算機系統(tǒng)的頭號敵人,在電力企業(yè)信息安全問題中,計算機病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統(tǒng)數(shù)據和文件系統(tǒng)破壞,系統(tǒng)無法提供服務甚至破壞后無法恢復,特別是系統(tǒng)中多年積累的重要數(shù)據的丟失,損失是災難性的。

在目前的局域網建成,廣域網聯(lián)通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區(qū)域內所有單位的計算機系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網絡尚未聯(lián)通之時相比,高出幾個數(shù)量級。

(2)網絡安全問題日益突出：企業(yè)網絡的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應用系統(tǒng)如:辦公自動化系統(tǒng),用電營銷系統(tǒng),遠程教育培訓系統(tǒng)等,通過廣域網傳遞數(shù)據。企業(yè)開通了互聯(lián)網專線寬帶上網,企業(yè)內部職工可以通過互聯(lián)網方便地收集獲取信息,發(fā)送電子郵件等。

網絡聯(lián)通也帶來了網絡安全問題。企業(yè)內部廣域網上的用戶數(shù)量多且難于進行管理,互聯(lián)網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯(lián)網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統(tǒng)和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統(tǒng)和數(shù)據,盜取企業(yè)商業(yè)秘密和機密信息,非法使用網絡資源等,給企業(yè)造成巨大的損失。更有極少數(shù)人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。

如何加強網絡的安全防護,保護企業(yè)內部網上的信息系統(tǒng)和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業(yè)面臨的一個非常突出的安全問題。

(3)信息傳遞的安全不容忽視：隨著辦公自動化,財務管理系統(tǒng),用電營銷系統(tǒng)等生產,經營方面的重要系統(tǒng)投入在線運行,越來越多的重要數(shù)據和機密信息都通過企業(yè)的內部廣域網來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關公司都有著許多的工作聯(lián)系,日常許多信息,數(shù)據都需要通過互聯(lián)網來傳輸。

網絡中傳輸?shù)倪@些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業(yè)機密;被非法篡改,造成數(shù)據混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產經營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

(4)用戶身份認證和信息系統(tǒng)的訪問控制急需加強：企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用,信息系統(tǒng)中包含的信息和數(shù)據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統(tǒng)中都設計了用戶管理功能,在系統(tǒng)中建立用戶,設置權限,管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強系統(tǒng)的安全性。但在實際應用中仍然存在一些問題。

一是部分應用系統(tǒng)的用戶權限管理功能過于簡單,不能靈活實現(xiàn)更細的權限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統(tǒng)沒有一個統(tǒng)一的用戶管理,企業(yè)的一個員工要使用到好幾個系統(tǒng)時,在每個應用系統(tǒng)中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。

如何為各應用系統(tǒng)提供統(tǒng)一的用戶管理和身份認證服務,是我們開發(fā)建設應用系統(tǒng)時必須考慮的一個共性的安全問題。

(5)實時控制系統(tǒng)和數(shù)據網絡的安全至關重要：電網的調度指揮,自動控制,微機保護等領域的計算機應用在電力企業(yè)中起步早,應用水平高,不但實現(xiàn)了對電網運行狀況的實時監(jiān)視,還實現(xiàn)了對電網一次設備的遙控,遙調以及保護設備的遠方管理。隨著數(shù)據網的建設和應用,這些電網監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據轉移到通過數(shù)據網絡來傳送數(shù)據和下發(fā)控制指控令。由于這些計算機系統(tǒng)可以直接管理和操作控制電網一次設備,系統(tǒng)的安全可靠,數(shù)據網的安全可靠,信息指令傳輸?shù)膶崟r性等直接關系著電網的安全,其安全等級要求高于一般的廣域網系統(tǒng)。

同時,這些電網控制和監(jiān)視系統(tǒng)中的許多信息又是生產指揮,管理決策必不可少的,需要通過和生產管理局域網互聯(lián),將數(shù)據傳送生產管理信息系統(tǒng)中,供各級領導和各專業(yè)管理人員察看,使用。數(shù)據網和生產管理局域網的互聯(lián)帶來了不同安全等級的網絡互連的安全問題。

(6)電子商務的安全逐步提上議事日程：隨著計算機信息系統(tǒng)在電力市場,用電營銷,財務管理等業(yè)務中的深入應用,電子商務在電力企業(yè)的應用開始起步。例如:電力市場系統(tǒng)中發(fā)電廠和電網公司之間的報價,電力交易,電費結算等都將通過計算機信息系統(tǒng)來實現(xiàn)和完成,這可以視為電子商務中常提到的B2B模式。用電營銷系統(tǒng)中的電費計費結算,用戶買電交費,銀電聯(lián)網代收電費等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務中的B2C模式;以后還有物資采購等方面的電子商務系統(tǒng)。

隨著電子商務在電力企業(yè)中的應用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務安全問題也會越來越突出。