刘 俊

（湖北华电江陵发电有限公司，湖北 荆州 434100）

0 引 言

目前，我国社会经济快速发展，人们对电能的需求量持续增长。同时，我国网络技术快速发展，推动了信息化和智能化技术应用范围的扩大。在电力企业中，信息网络的应用普及率不断提高，提升了电力企业的经济效益，也增加了电力企业信息网络系统运行过程中出现信息泄露的风险。由于上述风险会给电力系统乃至整个国家造成不可估量的经济损失，因此在电力企业管理工作中要不断探索信息网络安全管控措施，不断完善信息网络安全建设，以解决信息安全问题，提升信息网络安全水平。

1 电力企业信息网络安全的目标

1.1 控制访问的目标

该目标保证在电力企业内部的网络资源不允许非法用户进行访问和读取，保证只有符合相应权限的用户才可以访问内部信息网络，并对信息进行内部网络管理和操作等进行监督和控制。为了满足上述目标，通常需要在电力企业内部控制各种管理访问权限，采用的形式为设置加密，保护的内容为内部数据、设备以及系统等网络资源。

1.2 加密信息的目标

此目标是要保护信息网络数据的安全，确保在终端设备上的信息不会被非法盗取。为了实现上述目标，采用信息加密的方式[1]，重点是应用加密机制，采用相应的软件或网络安全设备的应用来保护数据信息，避免在网络中传输数据信息，且不会被非法者盗取，防止发生信息泄密。

1.3 数据完整性的目标

此目标针对信息网络技术具有的完整性和系统兼容性特点，通过确保数据的完整性来防止在操作过程中出现数据被删除、增加或修改等问题，保证与之相关联的信息能够实现同步操作。

2 电力企业信息网络安全风险分析

2.1 软件和信息系统设备中的安全风险

在目前信息时代快速发展的过程中，各种信息技术快速发展进步，使得电力企业中的信息系统、设备功能与配置也更加先进，但也增加了网络黑客对信息系统中软硬件资源的攻击频率，且将电力系统的网络攻击放在前列。尤其是目前的黑客技术门槛低、操作简单便捷、可执行语句随处传播，使得目前的网络攻击行为猖獗。如果电力企业中的应用软件、信息系统设备中存在原始漏洞，将大幅增加网络黑客对电力系统造成的侵害。

2.2 信息安全机构建设中的问题

目前的电力企业通常没有专门设置信息管理部门，通常是在生产技术部或科技部中附属，或者是在办公室部门管理中添加职能岗位。还存在部分电力企业中由兼职人员开展信息安全管理工作的情况，而这部分人员工作态度有待提升，导致信息管理工作没有有效开展。

2.3 信息维护工作中的问题

由于信息网络技术在不断发展和进步，而电力企业中的网络安全防护能力却表现出滞后性，无法紧跟信息技术的发展速度[2]。部分系统、软件无法升级，防火墙和病毒库仅为最初的配置。部分电力企业没有建立信息安全防护系统等级保护机制，导致企业内部的防护能力较弱，易在网络黑客的攻击下出现大面积信息系统瘫痪。再加上没有做好数据备份和数据恢复机制，易在出现系统瘫痪时造成数据库损坏和数据丢失，造成数据不全、数据紊乱等严重后果。可见，上述问题会降低系统的容错能力，导致电力企业受到网络攻击数量增加，同时增加了造成的损失。

2.4 管理人员信息安全观念方面的问题

目前，在电力企业市场竞争更加激烈的形势下，电力企业的管理人员往往更加注重企业运营的经济效益，从而忽视信息网络安全方面的技术问题。此外，信息安全管理制度不够完善，或者仅仅是应付上级检查等，造成管理人员的信息安全观念较为淡薄，增加了企业信息系统的安全风险。究其原因，在于目前的电力企业对技术管理问题不够重视，没有做好对企业职工的相关培训工作，造成企业职工的安全技能水平偏低，增加了电力企业的信息网络安全风险。

3 电力企业信息网络安全风险的管控措施

3.1 重视信息网络安全管理中的基础设施和管理运行环境

一是要做好电力企业信息网络系统中的配电室、信息、通信机房等基础设施的管理工作，针对上述关键设施合理配备相应的防水、防火和防盗装置[3]。二是做好对电力二次设备的安全防护工作，这不仅需要采用物理隔离的方式隔离生产控制大区和信息管理大区，还要做好安全分区、网络专用、横向隔离以及纵向加密认证等工作。三是将监控报警设备和动环监测系统安装在机房内。四是及时做好桌面终端、主机等重要基础设施的补丁更新工作。五是针对其中的基础设施进行针对性的安全策略制定。六是在网络安全管理运行中做好监测各种行为的工作。七是通过设备运行日志的建立实时监测和记录其运行情况，还要建立设备操作规范来确保设备和系统的稳定与安全运行。

3.2 建立和完善信息安全管理制度

首先，要保证建立的信息安全管理制度的完整性与适用合理性，保证可以在安全管理工作中开展操作。其次，为了保证信息系统的安全稳定运行，需要做好安全防护记录，制定应急响应预案、系统操作规程、用户应用手册和网络安全规范等，还要做好口令管理工作，保证安全保密要求有效落实，保证制度中包含人员分工、管理机房建设方案等内容。最后，在安全管理工作开展中主要采用动态性管理方式，目的是确保信息安全，同时优化网络拓扑结构。

3.3 做好信息安全反违章督察工作

建立信息网络安全督察队伍且明确此队伍的职责内容。为了确保信息安全，要对电力企业信息网络安全定期开展督察，并对检查出的问题责令限期整改，以确保满足信息安全要求。上述工作的开展需要信息网络安全督察队伍来执行，重点、定期开展督察内容。通过加固和更新信息网络安全设备以及开展监察队伍之间的检查和监督工作，及时解决发现的问题，从而提升此系统的安全性。

3.4 采取有效的电力企业信息安全保护技术

在电力企业中针对涉及国计民生的基础信息网络和重要信息系统，在应用相应安全保护技术的同时，对上述信息按照重要程度进行分级和分类，然后针对不同的级别和类别，分阶段开展相应的保护策略。

3.5 明确员工的信息安全管理职责

在明确安全管理制度和安全管理机构的基础上，明确人员所承担的安全责任，并保证管理人员掌握相应的安全策略，通过实施策略来保证满足信息安全要求。针对确保系统安全的运维人员来说，在安全管理和评估策略的应用中，需要确保安全保护技术的使用和操作的正确性。对于管理人员来说，需要明确安全管理制度内容、要求和目标，推动企业信息安全文化建设。

3.6 加强对人员信息安全意识的培养

电力企业需要定期开展信息安全知识培训工作，端正职工态度，并培养职工的良好习惯，严格执行企业中的各项安全管理制度，不允许在电脑上使用未加密的存储介质，不允许安装与工作无关的软件。要做好对桌面终端的强口令设置和安全组策略的应用，同时做好对关键文件内容的备份工作，不断提升员工的信息安全意识。

4 结 论

在社会经济和科学技术的快速发展下，电力企业中的信息安全问题成为电力企业管理工作关注的重点。为了确保电力企业中的信息安全，需要电力企业增加此方面的技术管理人员。在分析目前电力企业信息网络安全管理中的软件和信息系统设备问题、信息安全机构建设和维护问题以及管理人员信息安全观念方面的问题时，为了实现信息安全管理目标，需要建立和完善安全管理制度、做好信息安全反违章督察、采取信息安全保护技术、明确信息安全管理职责以及加强对人员信息安全意识的培养等，切实保障电力企业的信息安全，保障电力企业健康发展。