【摘要】信息安全作为信息管理工作的核心部分,是电力企业信息化建设有序开展的重要保障措施。随着电力企业信息化的应用越来越广泛,其信息网络安全系数要求也越来越高。本文就电力企业信息安全体系存在的问题进行了分析,并提出了相关的防范措施。
【关键词】电力企业,信息安全工作
在信息化程度不断提高、信息技术给民众生活带来巨大便利的同时,信息泄密、网络入侵等信息安全隐患也带来了不可忽视的问题。随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。现今智能电网的建设已经全面启动,信息系统的安全性对未来智能化电网的稳定起到至关重要的作用,如何做好向智能化电网过渡时期的信息安全工作,成为摆在电力企业面前的一个新的挑战。本文就电力企业信息安全所存在的隐患进行了分析,并提出了相关的防范措施。
一、电力企业信息安全隐患分析
随着电力企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,我认为电力企业信息面临的主要风险存在于如下几个方面:
1、网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径,同时网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
2、计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
3、人员素质风险:许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等,都会给信息安全带来严重威胁。
4、用户身份认证和信息系统的访问控制需加强:一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
二、加强电力企业信息安全工作的几点建议
1、加强信息安全监管。针对电力企业信息安全现状,信息安全工作首先要明确安全责任,并将其纳入公司安全生产考核范围,对于信息业务应用部门应实行“谁主管谁负责、谁使用谁负责”的管理要求,将责任落实到人。同时应强化信息管理的一把手建设,确保信息安全工作责权清晰,进一步完善信息安全监管。
2、加强网络安全管理。一是加强日志管理与安全审计一般的防火墙与入侵检测系统都具备审计功能,要充分利用它们的审计功能,做好网络的日志管理和安全审计工作。对审计数据要严格管理,不允许任何人修改、删除审计记录;二是建立内网的统一认证系统。认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等;三是重视网络管理制度建设严格的管理制度,是保证企业信息网络安全的重要措施之一。企业领导应高度重视网络信息安全问题,加强基础设施和运行环境的管理建设及建立必要的安全管理制度。并坚持安全管理原则和制度的定期督导检查。
3、建立病毒防护体系。在企业网络上安装防病毒体系,防病毒软件系统要具有远程安装、远程报警、集中管理等多种功能。其次,要建立防病毒的管理制度。不能随意将互联网上下载的数据往内网主机上拷贝,来历不明的移动存储设备不能随意在联网计算机上使用,职员应熟练掌握发现病毒后的处置办法。
4、加强企业员工和网络管理人员安全意识教育对于网络信息安全,企业员工和网络管理人员的素质非常重要。对于特定的人员要进行特定的安全培训对于关键岗位和特殊岗位的人员,通过送往专业机构学习和培训,使其获得特定的安全方面的知识和技能。通过安全培训,确保在电力信息安全保障体系逐步建立的过程中,各类人员的安全意识和技术能力获得提高,各岗位人员的技术能力和管理能力与安全保障体系的运行和维护相适应。
在信息安全领域没有绝对安全防护技术,也没有不露痕迹的入侵手段。信息安全的重要性在于成本和时限的控制,对于花费比所得涉密信息更大的成本、承担更大风险的信息窃密,其得到相关信息也是不划算的。再重要的涉密信息如果过了安全保密时限,即使被恶意获取其损失也是微不足道的。综上所述,信息安全工作不在于万无一失的措施,而在于确保重要信息在其价值成本和安全时限内的安全性和保密性。
参考文献:
[1]潘明惠,偏瑞琪,张亚军.电力系统信息安全应用研究[J].东北电力技术,2001(12),44-48.
[2]王宝义,张少敏.电力企业信息网络系统的综合安全策略[J].华北电力技术,2003,(4):19-22
[3]刘劲风,王述洋.电力信息安全关键技术的研究[J].森林工程,2007,7(4),88-91