浅谈电力企业信息安全的防护
在电力企业信息管理中,信息安全是电力企业信息化建设开展的保障和基础。当前,我国电力企业信息安全形势严峻,无论是在内外网隔离、系统安全防护,还是员工信息安全意识方面都存在诸多问题。要提高我国电力企业信息安全,必须从职责划分、系统研发和员工培训等诸多方面进行努力,提高企业信息安全。 当前,信息网络日益普及,网络时代已然来临,但随之而来的网络信息安全也逐渐引起人们的关注。我国电力企业资金实力较为雄厚,其信息化建设硬件环境与之前已经有了根本的改善。榆次同时,网络建设状况也较为良好,电力企业的生产、调度以及营销等部门也基本实现了信息化。然而,由于电力企业不同单位和部门对信息安全的认知参差不齐、信息管理不规范,企业内部员工对网络信息安全意识薄弱,使得电力企业在运营过程中,信息安全问题不断。拒不完全统计,全球被控的僵尸网络有7l%位于我国,黑客入侵网站盗取、篡改信息的事件频发,无疑是一次一次暴露我国信息安全保护的不足。
一、电力企业信息安全的必要性
电力事关国计民生的顺利实现,在信息化建设高速发展的今天,电力企业信息安全的防护举措力度如何,对于电力安全和电力稳定至关重要。因特网的开放性、自由性和国际性日益增强,也对网络中的各种信息的安全性提出了更高的要求。当前,我国网络和信息技术不断取得新的成绩,电力公司的管理也逐步高效化和智能化,其生产运营成本得以降低,信息安全管理变得越来越重要。电力系统一旦出现安全问题,将可能导致电力供应中断,引发局部甚至大范围的停电事故,造成巨额的损失。本世纪初二滩电厂的控制系统死机造成机组甩负荷890MW,导致川渝地区大面积停电,造成数亿元经济损失。在事后事故分析中,认为此次大面积停电是二滩电厂控制系统与办公自动化系统互联引发的。电力企业信息安全已经备受电力行业和学界的关注,电力公司也将电力系统信息安全作为信息系统研发过程中的重要内容。随着我国电力系统建设对智能化和自动化需求的增加,电力系统信息化规模日益庞大。电力系统是设计硬软件、系统运行环境、企业组织管理等多方面的一项工程,电力系统的设计、实现、运行等各个环节都可能对信息安全造成影响。电力企业信息的安全性如果得不到保障,其将为网络攻击提供入口,对电力系统造成严重威胁。我国电力企业在企业信息安全组织管理的不重视和不完善,使得信息系统安全事故频发,给电力企业造成巨额的经济损失,也不利于国计民生。因此,探讨电力系统信息安全具有重要意义。
二、我国电力企业信息安全存在的问题
(一)信息安全防护技术不当。当前,我国电力企业信息安全防护的硬件设施已经较为完备,电力公司基本都按照网络安全防护要求设置了防火墙等网络隔离装置,并安排相关人员定期对计算机进行安全扫描通报漏洞和病毒情况。然而,如果电力企业信息安全策略和装置还不完备,防火墙、桌面终端等网络隔离装置在强大黑客的攻击面前将形同虚设。当前,根据我国电力企业的要求,办公电脑应实行内网网隔离,同一台电脑不能同时使用内网和外网,然而我国电力企业很多办公计算机内外网是通用的。内外网隔离在办公室的台式电脑前可能容易实施,而相比而言笔记本电脑在内外网隔离上却难以杜绝,因为出差与回家加班等原因使得私人的笔记本电脑极易与其他外网进行混用,使得电力企业信息安全隐患重重。此外,即使电力企业在内外网隔离上进行了努力,但内外网逻辑隔离强度仍然存在不足。电力企业现在广泛实施的物理隔离和逻辑强隔离由于在网络布线、IP地址分配、无线网络等问题使得信号可能发送到公司周边范围,进而导致公司无线网所覆盖区域的用户容易被别有用心的人利用,从而使得企业信息安全难以保障。
(二)电力企业信息系统漏洞广泛存在。
当前,电力企业信息系统的操作系统和应用软件不可能达到100%的安全,任何系统都会因为其程序编写考虑不周而存在系统漏洞。这些漏洞有些是因为程序编写员为了自身便利而设置的,有的是目前技术难以克服的,无论这些系统的漏洞的成因如何,都将成为黑客入侵电力企业的首选,进而严重影响电力企业信息系统的安全。电力企业的信息都以数据的形式存储于计算机中,信息数据的安全性成为企业安全管理的重要内容。电力企业对信息安全防范已经较为重视,但是这些信息系统的源代码程序却为软件开发公司所有,少有电力公司掌握了这些源代码程序,相关信息安全隐患和后门很难发现。在信息系统使用上,过度依赖国外产品,如微软Windows操作系统。Windows操作系统的核心代码是属于微软公司的商业秘密未予公开的,但该系统的漏洞却非常多,从微软公司每月发布的系统漏洞补丁就可以看出,信息系统安全漏洞之多,这些漏洞为系统安全运行带来了严重的隐患问题。
(三)电气企业职员信息安全保护意识欠缺。
信息安全在电力企业管理中越来越重要,可以说谁掌握更多的信息,谁将可能掌握更多的市场,更好地促进企业的发展。电力企业对信息安全的认识也不断提升,对职员的信息安全培训也不断加强。但从现有电力企业职员的信息安全保护现状来看,与信息安全保护的要求还有很大的一段距离。当前,电力企业由于职工年龄和工作种类的差异,职员的信息安全意识不平衡现象日益明显。青年职工和高层管理对信息安全的认识度和重视度普遍高于普通岗位的中老年职员和基层一线职工。职员信息安全意识水平的差异使得信息防范保护工作难以取得预期的效果。
三、电力企业加强信息安全防护的思考
第一,对电力企业现有的信息进行安全风险评估。信息安全必须依托技术,技术是安全的主体,信息管理才是信息安全的灵魂。电力企业信息安全的提高离不开安全技术的部署和实施。市面上的信息安全产品可谓种类繁多,让人眼花缭乱,难以进行选择。此时,必须对电力企业自身的信息安全进行风险评估,根据企业特点选择合适的信息安全产品,综合考虑,企业信息管理的安全与效率。
第二,要不断完善电力企业的信息管理责权划分。电力企业要明确信息安全责任,责任到人,推行“谁主管谁负责、谁使用谁负责”的管理要求。同时要强化信息管理的一把手建设,从上而下进行信息安全管理工作。
第三,不断提升电力企业职员的信息安全素质。根据不同岗位、不同部门职员的工作内容差异,进行针对性的进行信息安全普及培训,进而提高全员的信息安全意识。通过讲座、考核等多样化的形式考察职员的信息安全意识,培养职员对信息安全重要性的认知,对于一些常见、常用的信息安全技术可以通过案例讲解的方式,深入浅出,并敦促全体职员都予以掌握。
第四,确保电力企业信息安全产品的易操作性和可控性,及时防控系统漏洞造成的损失。为了保证信息系统的易操作性和可控性,电力企业在系统开发之前就要和软件公司进行书面约定,要求软件公司对自己公开程序源代码,便于自身内部技术人员定期进行系统升级和安全隐患分析,对企业信息数据实现有效的监管。
上一篇:面向慕课的信息安全课程建设思考
下一篇:刑法对信息安全保障功能的发挥