电力信息安全保障体系建设研究

电力信息安全保障体系建设研究

张峰顾波都朋谢天琳张婧

（国网辽宁省电力有限公司盘锦供电公司辽宁盘锦124010）

摘要：随着我国科学技术及社会经济的飞速发展，计算机技术广泛应用在电力企业日常工作中的各个方面，所以，各个电力企业也逐渐普遍关注于电力信息的安全问题。保证电力信息系统的安全就是保证安全稳定的基础条件。本文就针对电力安全保障体系建设进行深入研究。

关键词：电力信息；安全；保障；建设

所谓的电力信息系统,主要的内容包括信息网络、应用系统、网络服务系统、存储与备份系统、安全系统、辅助系统等。除此以外,上述系统的附属设备也在电力信息系统的行列内。本系统所涉及的技术,大致有数据加密技术、防火墙、人侵检测技术、网络扫描技术,以及访问控制技术等。虽然安全架构在设计上出现问题与管理方面出现问题,是引发信息系统安全问题的主要因素,但还是有其他因素存在。因此,在电力信息系统安全保障体系的建设,要考虑电网运行安全方面以外,还要经过信息安全系统的的建设、信息安全管理的建设和信息安全策略的建设三个阶段。

1、信息系统安全保障体系建立原则

电力信息系统安全保障体系不仅需要提高电力系统的整体安全水平，还应消除电力系统运行中的信息安全隐患，因此电力信息系统安全的建设的四要素为安全运行、安全管理、安全技术措施以及安全策略，其中安全策略为其中的核心。

1.1法定原则

对于构件电力信息系统的安全保障体系，我国颁布的《电力二次系统安全防护规定》中阐述：“为满足管理信息大区对生产控制大区数据的访问，生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，来实现系统数据的安全访问。”如果在构建信息安全保障体系时违背了该原则，则该方案和项目对电网生产有安全隐患。

1.2动态原则

对于电力信息系统的安全防护，再完美的信息安全保障体系也不能设计出一劳永逸的防护方案。电力信息系统是一个不断发展和变化的系统，随着实际情况以及运作状况的不同，其安全问题的形式也各不相同，固定的方案难以解决所有的安全问题。所以，为了满足电力信息系统发展的需求，构建的安全保障体系方案应具有一定程度的可扩展性。

1.3均衡原则

在构建电力信息系统安全保障体系时需要考虑的一个前提条件是：确保整个电力系统能够依据生产计划完成电力的生产工作。所以在构建保障体系时需要考虑每项技术和产品成本——效益分析情况。

1.4立体性原则

信息系统的安全问题不仅仅涉及到技术，还包含了管理、制度以及环境等相关的内容，其保障体系是一个系统工程。因此，在进行信息安全的保障体系构建时应着眼于与信息和网络安全相关的各个层面，遵循立体性原则。

2、电力信息系统在当前的现状问题分析

电力系统的组件自身存在着脆弱性以及缺陷，由于在对其组件的设计、组装以及制造的过程中在各种因素的影响下，就可能存有多方面的隐患。在硬件的组件方面主要是来源于设计，由于设计问题的因素就在物理的存取上存在隐患。软件组件的安全隐患主要是设计以及软件工程的实施过程中所留下的问题，主要是表现在安全漏洞上。还有是网络以及通信协议方面的安全隐患，因特网自身就是没有明确物理界限的网际是虚拟的网络现实，这在安全问题上也较容易发生。其次是自然威胁以及意外的人为威胁和恶意的人为威胁。在电力信息系统方面的发展过程中同时也存在着一些问题，首先就是人员信息安全意识的薄弱，当前的电力企业对于信息的安全以及保密的意识还有待进一步的提高，各个单位领导以及相关的工作人员对于信息安全的问题没有得到充分的重视，在个人的办公终端有的不设置口令或者是口令的密度较低，对于软件的安装以及下载都是没有授权的，这些问题都是源自对信息安全意识的薄弱。另外就是在电力信息的安全管理机制方面还不够完善，制度的执行力度还不够，在相关人员的配备上没有做到位，安全监管职责也没有得到有效的落实，对于信息安全事件还存在着不通报以及通报不及时的现象，并且在信息安全的原因分析方面还不够充分，对于整改的措施没有落实到位，同时在电力信息安全事件的调查处理以及考核机制方面还有待进一步的完善，在其信息系统的边界安全防护方面还存在着能够被黑客高手利用的一些较为薄弱的环节，在安全体系以及可评估的安全模型方面比较的缺乏。

3、电力企业信息安全保障体系建设

安全体系建设是一个整体、系统的工程，不是刻板的“管理教条”，不是简单的“技术积木”。必须以预防为主，管理与技术双管齐下，相辅相成实现全面、完整、高效的一体化安全体系建设，为公司的生产经营业务发展提供坚实的信息安全保障。

3.1信息安全管理保障体系建设

3.1.1组织机构

人力资源是体系正常运转的首要保证，信息安全管理体系建设需形成决策层、管理层、执行层等机构，确保人员的配置和安全责任制的落实。常州公司构建了从公司领导到各部门分管负责人为成员的信息安全组织体系，公司设置信息安全管理岗位，各基层单位均明确信息化网络管理成员专职（兼职）人员，负责本单位信息安全工作的组织和项目实施。

3.1.2规章制度

“没有规矩，不成方圆。”建章立制、明确职责是加强和规范公司信息安全工作，做到“流程管事，制度管人，规范管理”的前提与基础。常州公司修订完善了《信息化工作考核办法》、《信息设备管理办法》、《网络与信息系统突发事件应急预案》等一系列制度。对于制度的执行情况，公司每季组织安全检查，每月发布《信息安全月报》，在公司安全网络会议上通报近期信息安全情况、分析违章原因，实现闭环管理，取得显著成效。

3.1.3人员教育

人的不安全行为是导致信息系统事件发生的主要原因，仅凭信息人员“救火式”的维护只能“头疼医头、脚痛治脚”，治标不治本。提升全体员工的信息安全意识才是保障安全的最关键因素。常州公司在人员培训方面采用分层面教育，多方式宣传，创新新式，不留死角，全方位营造安全氛围，普及安全教育，做到全民动员，共筑安全。

3.2安全管理建设

对于电力信息系统的安全问题，其安全不仅取决于技术，也和管理有很重要的关系。因此，安全管理建设在构建电力信息系统安全保障体系工作中能够发挥很重要的作用。由于在电力企业中所使用的安全系统种类繁多，包括网络防火墙、入侵检测、漏洞扫描等九类安全技术和产品，这些安全技术和产品不仅来自不同的商家，其物理位置的分布也相当广泛，由于其系统配置、反应处理以及设备管理等的不同，不仅增加了管理成本，也使管理难度增大，为电力信息带来安全隐患。因此，为了解决上述问题，需要建立一种特殊的安全管理模式，以实现对其进行集中式、全方位、动态的管理。建立安全管理中心的目的是：“为了解决用户大量采用的安全产品以及安全技术所造成的混乱的局面，充分发挥各个安全技术与产品的优势，增加信息安全管理的经济效益。”安全管理主要功能为：对安全术和产品的实时状态和历史数据进行必要的搜集，直观、方便地通过网络拓扑显示和管理安全设备，数据分析功能，应急报警功能等。

4、结束语

电力信息安全与企业生产经营管理密切相关,但由于信息安全无法量化,很多信息安全保障工作容易流于形式或忙于应付,信息安全保障工作大多没有常态化、体系化。各电力企业应充分意识到信息安全形势的严峻,制定企业信息安全策略,统一规划安全保障体系。本文分析了电力企业常见的信息安全风险,阐述了电力信息安全保障体系框架和建设要点,各电力企业在规划和建设安全保障体系时,必须分析企业信息化建设的阶段,结合自身现状,分步骤实施,以确保电力信息系统安全、可靠、稳定、高效地运行。

参考文献：

[1]高峻,李订芳.AES算法的改进用法及其在数据库加密中的应用[J].中南民族大学学报(自然科学版),2012(21):67-70

[2]朱鲁华,陈荣良.数据库加密系统的设计与实现[J].计算机工程,2012(8):61-63