韩文君 崔 鑫

（国网陕西省电力公司铜川供电公司，陕西 铜川727031）

0 引言

在当前我国的互联网管理中心有超过90%的境内外的黑客进行过攻击以及侵入，其中电信以及电力、政府等领域对这一信息的安全威胁问题得到了重视。在最近这几年的发展中，我国已经在信息系统的等级保护政策上进行了大力的推行，这一政策的实行对信息系统的抵御风险能力有了很大程度的提高，从电力信息安全体系建设的实际来看，还存在着诸多的安全漏洞没有及时科学的进行处理。

1 电力信息系统安全体系建设的原则

对电力信息安全水平进行提高能够有效的对电力系统安全事件的发生率有效的降低，关于信息系统的安全建设并不是仅仅局限于安全产品的集成，要在电力信息安全系统建设以及管理建设和策略建设方面得到重视，而对于这一安全体系的建设完备的标志也要具备安全管理体系以及技术完备的成功建立和安全策略的完善及安全团队的成功建设等几个重要的要素。

在电力信息系统的安全保障体系方面，不仅要对电力系统整体安全水平进行提高，同时还要对其中的信息安全的隐患进行消除，电力系统对我国的国民经济的发展起到了决定性的作用，由于其自身具有的特殊性，故此在建立电力信息系统的安全保障体系中就要遵循几个基本原则，即：法定原则、动态原则、均衡原则、立体性原则[1]。

其中法定原则根据我国的有关规定的内容可以得知，为了能够满足管理信息大区对生产控制大区数据的访问，生产控制大区和管理信息大区间要设置经国家相关部门检测的安全隔离装置，进而起到安全访问的作用。倘若是对这一原则没有遵循，那么就很可能在电网生产上存有安全隐患。在动态原则方面就是任何的系统在安全保障的提供上是一成不变的，在科技的不断发展过程中，各种的安全问题也不断的涌现，所以在对方案进行策划的时候都要能够在可扩展性的方面进行充分的考虑，并能够及时的提供安全系统维护以及预防和应急的相关服务[2]。在均衡原则方面指的是在整个的电力信息安全体系的建设要能够按照电力的生产安全目标进行，要在各个产品以及技术上进行效益分析。立体性原则方面就是在电力信息安全保障上应该在各个层面得到重视，严格的按照立体性的原则进行实施。

2 电力信息系统在当前的现状问题分析

电力系统的组件自身存在着脆弱性以及缺陷，由于在对其组件的设计、组装以及制造的过程中在各种因素的影响下，就可能存有多方面的隐患。在硬件的组件方面主要是来源于设计，由于设计问题的因素就在物理的存取上存在隐患。软件组件的安全隐患主要是设计以及软件工程的实施过程中所留下的问题，主要是表现在安全漏洞上。还有是网络以及通信协议方面的安全隐患，因特网自身就是没有明确物理界限的网际是虚拟的网络现实，这在安全问题上也较容易发生。其次是自然威胁以及意外的人为威胁和恶意的人为威胁。

在电力信息系统方面的发展过程中同时也存在着一些问题，首先就是人员信息安全意识的薄弱，当前的电力企业对于信息的安全以及保密的意识还有待进一步的提高，各个单位领导以及相关的工作人员对于信息安全的问题没有得到充分的重视，在个人的办公终端有的不设置口令或者是口令的密度较低，对于软件的安装以及下载都是没有授权的，这些问题都是源自对信息安全意识的薄弱[3]。另外就是在电力信息的安全管理机制方面还不够完善，制度的执行力度还不够，在相关人员的配备上没有做到位，安全监管职责也没有得到有效的落实，对于信息安全事件还存在着不通报以及通报不及时的现象，并且在信息安全的原因分析方面还不够充分，对于整改的措施没有落实到位，同时在电力信息安全事件的调查处理以及考核机制方面还有待进一步的完善，在其信息系统的边界安全防护方面还存在着能够被黑客高手利用的一些较为薄弱的环节，在安全体系以及可评估的安全模型方面比较的缺乏。

3 电力信息安全保障体系的建设方案探究

通过以上对于我国的电力信息安全问题的分析就可以有针对性的对其进行建设信息安全保障体系，从而有效的确保信息的完整性以及机密性和可控性等等。

对于电力信息的安全它主要是在企业的信息安全策略的指导下和管理的体制下通过运作机制然后再借助一定的手段来进行实现的，其中就有安全管理以及安全技术措施和安全运行、安全策略，如下图所示。

图1 电力信息安全模型

在电力信息安全模型进行运转之后就会形成一套管理规定以及运行记录的文档，具体的可以将其分为四个重要的文档，与安全策略相对应的是策略政策，和安全管理相对应的是管理制度技术规范，和安全运行相对应的是作业指导书以及操作规程和记录性文件，与安全技术措施相对应的是管理制度技术规范[4]。

在具体的方案建设上首先要建立并完善电力信息安全的工作机制，切实加强组织以及领导，将信息安全归纳到电力的安全生产体系当中，要把信息化建设和信息安全的保障工作得到兼顾，把信息安全管理制度落实到责任部门，并明确责任人员，同时在人员信息安全的意识方面也要得到加强。在电力信息安全管理制度体系方面要不断的进行完善，统筹规划突出重点，强化信息安全规章制度的落实工作，根据相关的规划，要对电力信息系统安全重大任务以及项目进行继续的落实，在电力信息安全体系建设规范要尽快的出台并落实。对于电力二次系统安全防护规定要严格的得以执行，加快信息安全的管控手段建设，强化信息安全应急和通报工作，对于信息安全的保密工作要能够高度重视，对全员信息安全意识要进行提高。

在安全系统的建设过程当中，最为重要的就是整体系统的规划，可以将其分为三个重要的步骤，即：结构安全以及流程安全和对象安全。在安全管理建设方面它和安全策略的建设的关系非常的密切，而管理又是在策略的指导下进行的，在安全系统的建设方面主要包括网络防火墙以及漏洞扫描等，所以要能够建立集中式以及全方位和动态的安全管理中心[5]。安全管理中心建设包含着机构的设立以及基础建设和智能的明确等，而在信息安全综合管理系统方面它主要包括数据分析功能以及应急报警功能等。另外在电力信息的安全运行方面要进行有效加强。

4 结语

对于电力信息系统的安全体系的建设，要能够把安全保障以及安全管理得到有机的结合，在我国的电力信息化的不断发展以及推进的过程中，信息系统以及网络安全管理已经愈来愈广泛的得到了电力企业的重视，这对于保障电力信息的安全有着极其重要的作用。

［1］李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化,2012(04).

［2］关良辉.电力企业局域网的信息安全(续完)[J].电力安全技术,2012(06).

［3］香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技(下旬刊)，2011(05).