李路民 陈建新 马宗达 巩锐

摘 要：随着信息时代的到来，信息安全已经融入电力企业生产经营活动的方方面面。本文主要针对电力企业信息安全管理中存在的问题展开分析，指出电力企业目前在信息安全管理以及信息安全体系中存在的风险，并相应地制定了高效的信息安全管理措施，以促进信息安全管理问题的解决，并推进电力企业信息安全管理水平的提升。

关键词：电力信息；安全现状；改善策略

中图分类号：TP309 文献标识码：A 文章编号：2096-4706（2018）02-0164-02

Current Situation and Improvement Strategy of Power Information Security

LI Lumin1，CHEN Jianxin1，MA Zongda1，GU Yue2

（1.State Grid Xinjiang Electric Power Co.，Ltd.，Information and Communication Company，Urumqi 830000，China；2. Xinjiang Information Industry Co.，Ltd.，Urumqi 830000，China）

Abstract：With the advent of the information age，information security has been integrated into all aspects of the production and operation of electric power enterprises. This paper mainly aimed at the existing information security management of electric power enterprise issues analysis，pointed out that the risk existing in the electric power enterprise information security management and information security system，and formulate corresponding measures of effective information security management，information security management so as to promote solve problems，promote the level of safety management of power enterprise information.

Keyword：power information；security status；improvement strategy

0 引 言

電力系统是一个涉及了继电保护、电网调度自动化、配电网自动化等方面的大型系统工程。在电力企业快速发展的背景之下，信息安全问题与电力企业生产经营活动存在紧密的联系，直接影响着电力企业能否进行安全生产。

1 电力企业存在的主要信息安全管理风险

1.1 信息安全体系层面

（1）信息网络结构与边界风险。从信息网络结构方面来看，电力企业面临着核心交换机选型缺乏合理性这一问题，比如，核心交换机属于一台二层交换机，只有充分利用系统才能够有效地解决网络安全问题。除此之外，绝大部分的电力企业会采用多种形式连接互联网，但是不同的安全域间的网络连接并未采取任何的访问控制措施，导致互联网访问的过程中会面临扫描攻击、非法侵入以及DOS攻击等各种问题。

（2）病毒侵害与网络攻击。随着电子邮件系统运用范围地扩大，加快了计算机病毒扩散的速度，各种病毒会通过网络进行传播，越来越多的电力企业网络面临着计算机病毒入侵的安全风险。现在的网络攻击手法结合了许多技术，多数电力企业虽然安装了防病毒软件，但是这些软件仅仅起到病毒查杀的作用，无法阻止病毒传播。针对网络中传播的蠕虫，虽然入侵检测系统可以检查出来，但是无法对蠕虫进行彻底地清除。此外，运用补丁管理虽然可以避免蠕虫的感染，但是同样无法实现对蠕虫的查杀。除此之外，在现阶段，企业各个安全产品大多是独立工作，不能对病毒进行系统化地查杀。

（3）系统安全风险。就系统安全风险内容来看，它具体指的是下面几点内容：第一，操作系统风险；第二，数据库系统风险，第三，各类运用系统风险。在现阶段，许多电力企业将Windows操作系统作为主要的操作系统，然而任何操作系统都不可避免地存在漏洞，漏洞会给入侵者提供可乘之机，一旦入侵者掌握了管理员权限，必然会对网络系统进行攻击。

1.2 信息安全管理层面

（1）信息安全管理措施落实不到位。由于资金不足，许多的电力企业不能及时替换陈旧的操作系统和邮件程序，而入侵者极容易利用内部网络的缺陷来进行攻击。此外，由于企业的管理人员网络安全意识淡薄，就会忽视同步升级用户系统。另外，部分电力企业使用开放程度过高的操作系统，由于安全级别低下，加上未采取任何安全措施，就无法实现对黑客与信息炸弹地有效抵御。

（2）企业信息管理革新滞后于技术发展。近些年，我国的信息技术快速发展，但是电力企业的管理水平一直没有得到提升，虽然部分企业采用了最新的业务系统以及管理系统，但是并未及时更新管理模式，以至于无法充分发挥出信息系统的价值。信息安全工作是一项兼具复杂性与系统性的工作，对工作人员的专业水平有着较高的要求，所涉及的知识面十分的广泛。很显然，现阶段的技术人员无法满足新时期电力企业对信息安全管理工作的要求。

（3）工作人员安全意识十分淡薄。目前，许多工作人员不能够认识到网络信息安全的重要性，没有拿出足够的时间与精力投入到网络信息安全的学习之中。此外，大多数电力企业的安全意识淡薄，忽视安全领域的投入，以至于网络信息安全长时间处于封堵漏涮状态。与此同时，绝大部分工作人员缺乏良好的安全意识，对于共用口令、企业内部信息传播以及复制等涉及的安全问题了解不够，给了黑客攻击可乘之机，导致经常出现信息泄露问题，最终影响了企业网络信息的安全性。

2 电力企业信息安全管理对策

2.1 强化对企业工作人员的规范化管理

首先，强化对企业高层管理人员的管理，严格执行信息安全管理制度。作为一个企业的重要力量，高层管理人员务必以身作则，积极落实信息安全管理工作，为企业全体员工树立起良好的榜样。此外，高层管理人员要做好信息资产的保管工作，避免工作中因失误而失去宝贵的资产，只有这样才能够保障企业的健康发展。其次，针对离职人员要做好信息安全审查工作，在其出现离职倾向后，要即刻变更其信息资源访问权限，仔细清点离职人员手中掌握的信息资产。此外，离职人员在企业的剩余时间，对其要加强监督与控制，避免发生各种异常事件。再次，针对以下几种特殊人员务必要实行严格的信息安全管理制度，需要对其展开多次全面的检查。具体来说，包括以下几类人群：第一，与开发源代码直接接触的人员；第二，与企业核心商业机密直接接触的人员；第三，直接从事信息安全管理的人员等。最后，强化供应商与合作伙伴之间的信息安全管理。针对合作伙伴以及供应商有必要制定信息安全管理规定，防止对方有目的性地收集我方重要的商业情报。此外，对于日常的沟通与交流，务必要严格遵守有关规定，禁止随意对外公开以及透露其他重要信息。

2.2 强化对企业信息资产的分析与管理

首先，根据信息资产的载体质、价值实现形式以及来源等方面内容，认真地识别信息资源。树立信息资源理念，形成良好的信息资产商品观、资产观以及素质观，提升企业的劳动生产率，在社会范围内塑造良好的企业形象。其次，构建完善的信息资产管理组织体系，制定科学的信息资产管理制度，改进信息资产管理方式，以实现对信息系统地全方位管理，充分发挥信息资产的价值，增强电力企业的市场竞争实力。再次，强化对信息资源运用的管理。实现信息资产资源与其他各种生产力要素的结合，在保证生产要素保值增值的同时，帮助电力企业实现经济效益最大化的目标。最后，加快构建信息资源共享机制，推进信息资产的再创新，不断形成企業内部信息资产，从而推进外源信息资产的再增值。

2.3 构建完善的信息安全应急保障机制

电力企业有必要加快制定应急预案，强化对工作人员的培训，保障具备充足的人力技术设备等资源。同时，电力企业要建立健全备份与恢复管理制度，对数据备份与恢复过程进行严格控制，认真做好备份记录的保存工作，保证定期恢复程序地严格执行。除此之外，还要加强对容灾方案可行性的相关研究，并结合实际需要进行容灾系统的建设工作。

3 结 论

综上所述，电力信息安全是影响企业生产经营与管理活动的重要因素，因此电力企业要高度重视信息安全管理工作，从系统工程方法出发，制定有效的管理措施，避免管理漏洞影响信息安全。除此之外，在发展过程之中，电力企业务必要统筹兼顾，建立健全信息安全管理系统，最大程度地消除信息安全管理风险，正确处理信息安全管理中的问题，不断地提高信息安全管理水平，为电力信息系统的安全性、稳定性与可靠性提供重要保障。

参考文献：

[1] 王凤彬.信息安全技术在电力信息系统中的应用分析 [J].现代国企研究，2015（16）：83.

[2] 张鑫，陈雪华，刘新.电力系统信息安全基线标准体系的构建 [J].电力信息与通信技术，2013，11（11）：110-114.

[3] 王舒.电力企业网络信息安全现状与分析 [J].电脑知识与技术，2016，12（6）：30-32.