1、1浅议电力信息化安全及解决方案摘要:信息技术在电力企业的生产运行中发挥着重要作用,特别是随着厂网分开、电力市场构建,电力企业已建立起庞大复杂的调度数据网和综合信息网,网络信息安全已成为影响电力安全生产的重大问题。作者结合多年工作实践,分析电力信息安全问题所在以及给出解决方案,对行业专业技术人员具有一定的借鉴意义。 关键词:电力;信息化;安全问题 中图分类号:TM622文献标识码:A 一、电力系统信息安全概念和保护现状 电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络
2、系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。结合电力工业特点,电力工业信息网络系统和电力运行实时控制系统,分析电力系统信息安全存在的问题,电力系统信息没有建立安全体系,只是购买了防病毒软件和防火墙。有的网络连防火墙也没有,没有对网络安全做统一长远的归划。网络中有许多的安全隐患。因此急需建立同电力行业特点相适应的计算机信息安全体系。 二、目前电力企业网络信息安全管理存在的主要问题 电力企业在网络信息安全管理方面存在以下问题。 2(一)信息化机构建设尚需进一步健全 信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,这种状况势必不能适应信息化对人才、
3、机构的要求。 (二) 企业管理革新滞后于信息化发展进程 相对于信息技术的发展与应用,电力企业管理革新处于落后状况,最终导致了信息系统未能发挥预期的、应有的作用。 (三)网络信息安全管理需要成为企业安全文化的重要组成部分 目前,在电力企业安全文化建设中,信息安全管理仍然处于从属地位,需要进行不断努力,使之成为企业安全文化的中坚力量。 (四)网络信息安全风险的存在 电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险,主要表现在以下几方面: 1、网络结构不合理 2、来自互联网的风险 3、来自企业内部的风险 4 、病毒的侵害 5 、管理人员素质风险 6、 系统的安全风险 三、电力企业网络信
4、息安全管理问题的成因分析 (一)安全意识淡薄是网络信息安全的瓶颈 技术人员往往对网络信息的安全性无暇顾及,安全意识相当淡薄。3电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。 (二) 运行管理机制的缺陷和不足制约了安全防范的力度 从目前的运行管理机制来看,有以下几方面的缺陷和不足: 1、 网络安全管理方面人才匮乏 2、 安全措施不到位 3、缺乏综合性的解决方案 四、 网络信息安全管理的内容 (一) 风险管理 识别企业的信息资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险、避免风险、转嫁风
5、险、接受风险等多种风险管理方式,来协助管理部门制定企业信息安全策略。 (二)安全策略 信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档,广泛发布到企业所有员工手中。 (三)安全教育 信息安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。 4五、 加强电力企业网络信息安全管理的建议 (一)重视安全规划 企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系
6、统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。 (二)合理划分安全域 电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域。重点防范的区域是网络安全的核心。 (三) 加强安全管理。重视制度建设 1、加强日志管理与安全审计 2、建立内网的统一认证系统 3、建立病毒防护体系 4、重视网络管理制度建设 严格的管理制度,是保证企业信息网络安全的重要措施之一。 (1)领导应当高度重视网络信息安全问题。 (2)加强基础设施和运行环境的管理建设。 (3)建立必要的
7、安全管理制度。 (4)坚持安全管理原则、多人负责原则。 (5)定期督导检查制度。 (四)加强企业员工和网络管理人员安全意识教育 5对于网络信息安全,企业员工和网络管理人员的素质非常重要。 1、在安全教育具体实施过程中应该有一定的层次性。 (1)对主管信息安全工作的高级负责人或各级管理人员,重点掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。 (2)对负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略、安全评估基本方法、安全操作和维护技术运用等。 2、对于特定人员的安全培训 对于关键岗位和特殊岗位的人员,通过送往专业机构学习和培训,使
8、其获得特定的安全方面的知识和技能。 六、总 论 电力网络安全是一个系统的,全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业措施。解决网络信息安全问题,技术是安全的主体,管理是安全的灵魂。加强信息安全管理,建立安全长效机制才能有效的解决电力系统网络安全问题,只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。在企业中建立安全文化,并将网络信息安全管理贯彻到整个企业文化体系中才是最根本的解决办法。 参考文献: 1 周冰.电力信息化切入核心J.信息系统工程 ,2003 年. 62张旭.对于电力信息化几个关键问题的思考J, 电力信息化 ,2004 年. 3赵峰.谈综合自动化变电站的安全运行管理J.改革与探讨2008 年.