(国网湘西供电公司湖南吉首416000)
摘要:随着信息与网络技术的快速发展,电力公司信息网络系统越来越复杂,信息资源越来越庞大,不管是操作系统还是应用软件,都有可能存在系统漏洞等安全风险,因此为了保证电力公司信息网络安全,本文阐述了电力公司信息网络安全风险控制的必要性,对电力公司信息网络安全存在的主要风险及其控制策略进行了论述分析。
关键词:电力公司;信息网络安全;风险;控制;必要性;策略
信息网络安全是电力公司健康发展的前提与核心支持,因此必须构建完善的电力公司信息网络安全控制系统,从而促进电力公司健康发展。基于此,以下就电力公司信息网络安全存在的风险及其控制策略进行了探讨分析。
1电力公司信息网络安全风险控制的必要性
电力公司作为关乎国计民生的基础行业,随着信息技术与网络技术的快速发展,电力公司内部各业务数据已基本在网络流转,电力公司管理工作对信息系统产生了巨大的依赖性。但是电力公司在享受着信息系统所带来巨大经济效益的同时,也面临着安全风险。一旦出现信息泄密或篡改数据的情况,将给国家造成难以估量的损失。尤其是近几年,全球范围内的病毒泛滥、黑客入侵、计算机犯罪等问题,信息安全控制已成重中之重,因此电力公司必须加强对信息网络安全风险进行控制。
2电力公司信息网络安全存在的主要风险分析
电力公司信息网络安全存在的风险主要表现为:(1)信息传递的安全风险。在电力公司的计算机网络系统中,信息传输基本上是明文方式或采用低安全级别的加密进行传输,当这些信息在网络上传输时,其安全性就不能得到足够的保障,不具备信息网络安全所要求的机密性、数据完整性和身份认证。(2)恶意入侵风险。计算机系统本身并不具有一定的防御性,其通信设备也较为脆弱,因此,计算机网络中的潜在威胁对计算机来说是十分危险的。尤其是现在的信息网络公开化、信息利用自由化,这也造成了一些秘密的信息资源被共享,而这些信息也容易被不法分子所利用。而有极少数人利用网络进行恶意入侵进行非法操作,危机网络系统的安全,恶意入侵其实是由四个步骤构成的:首先扫描IP地址,寻找存活主机;然后确定IP地址,扫描主机端口和漏洞;接着通过漏洞和开放端口放置后门程序;最后通过客户端程序实施远程控制。由于系统被入侵,电力公司信息泄露会造成不良后果,更严重的是系统被恶意控制,不但会给电力公司本身造成严重的后果,还会给社会和用户带来重大的损失。(3)网络病毒风险。计算机病毒对计算机来说是最普遍的一种威胁,伴随着因特网的发展,各个企业开始创建或发展企业网络应用,这无形也增加了病毒感染的可能性,病毒的危害十分巨大,它是通过数据的传输来传播的,其能够对计算机的软硬件造成破坏,同时它还能够进行自我复制,因此一旦感染病毒,其危害性十分巨大。(4)恶意破坏网页的风险。网络共享性与开放性使得人人都可以在互联网上所取和存放信息,由于信息的传递和反馈快速灵敏,网络资源的社会性和共享性,电力公司职工都在不断地点击各种网页,并在网络中寻找他们所需要的资源,网页中的病毒是挂靠在网页上的一种木马病毒,它的实质是一些不法分子通过编程来编写的恶意代码并植入IE漏洞而形成了网页病毒。当用户浏览过含有病毒的网站时,病毒会在无形中被激活,并通过因特网进如用户的计算机系统,当病毒进入计算机后会迅速的自我复制并到处传播病毒,使得用户的计算机系统崩溃,严重的会将用户的系统彻底格式化。(5)软件源代码不能独立控制的安全风险。目前电力公司办公计算机、企业级服务器的操作系统以及使用的信息系统软件因为是绝大部分都是商业性质的,所以其源代码是不公开的,这就代表着软件的核心技术是被对方掌握的,其漏洞却大量存在,虽然有系统补丁发布或者软件升级,但其未公开、未被发现的漏洞对信息安全存在巨大隐患。
3电力公司信息网络安全风险控制策略的分析
3.1不断完善信息网络安全管理制度。电力公司信息网络安全风险的控制需要建立健全信息安全管理系统,从组织领导的健全、规章制度的完善、硬件设施的建设等方面作出明确而详尽的规定,层层签订责任书;建立一整套U盘、移动硬盘等涉密载体审批和登记管理制度,实行计算机IP地址绑定策略,对载体内的内容、密级、存储和删除时间等严格要求,及时排除和消除保密隐患,从信息安全技术领域进一步健全信息安全管理机制。
3.2科学评估信息网络系统的安全风险。电力公司信息网络系统是一个庞大的、复杂的技术系统,其存在信息安全风险是必然的。在这种情况下,通过适当的、综合的安全策略进行风险控制把残余风险控制在最低限度是必要的,也就是所谓的风险分析、风险评估,分析我们电力公司信息系统面临的风险、分析信息系统的威胁,解决问题或者把残余风险降低到可接受程度。对于电力公司来说,信息安全评估是电力公司信息系统的基础性工作,是当前信息安全工作的客观需求和紧迫需求,是制定安全策略的依据和基础。
3.3加强电力公司信息系统的自主研发。为了避免电力公司办公计算机、服务核心部件和系统源代码被国外开发公司的控制,信息系统开发时应要求其公开系源代码,并在此基础上加快电力公司信息系统的自主研究,以安全策略、安全服务和安全机制的有效结合为中心,提高硬件、软件、数据库、网络等方面的研究水平,保证电力信息系统的自己可控。“以人为本,辅以技术,重在管理,刚柔并济”是安全规划的根本要则。我们了解网络的各种不安全因素之后,目的在于真正把我们的网络加强起来。建设安全、稳定的电力公司网络,保证电力信息安全。
3.4合理运用信息网络安全防护技术。运用电力公司信息安全新技术,建立信息安全防护体系,主要从数据库安全策略(包括系统安全策略、数据安全策略、用户安全策略三个方面)、数据备份和恢复,网络服务和应用系统的安全,网络防病毒,防火墙的相关技术的应用(防火墙的策略、入侵检测系统、虚拟专用网)、数据加密及传输安全等方面着手,以电力公司信息安全为中心,建立一个技术联合的,并且是多层次的技术结构安全体系,提高信息系统总体防护能力,体现“智能、整合、管理”这几个趋势,确保业务数据安全可靠,保证电力公司信息安全。
3.5强化网络安全教育培训。提高职工的安全意识直接关系到电力公司信息安全的首要问题。培训教育是提高职工安全意识和安全素质的有效途径,应该按照岗位需求、工作性质,有针对性的对职工安全素质和关系电力公司安全策略方面,分层次、有重点的进行信息安全技术培训,切实提高职工的信息安全意识和素质,提高职工安全技术水平。而信息安全意识和素质培训又可以建设电力公司安全文化,通过各种形式的安全教育培训,在全面提高人员信息安全意识和技术水平的前提下,为电力公司安全建设提供精神支持并可以容纳到整个企业文化体系中。
4结束语
综上所述,电力公司信息网络安全风险控制对电力公司发展具有重要意义。在电力公司运行过程中,因为安全策略不到位,职工信息安全意识不强,内部网络威胁等因素,均会对电力公司信息网络安全造成威胁,因此必须加强对电力公司信息网络安全风险及其控制进行分析。
参考文献:
[1]尉冀超.对电力企业信息网络安全防护技术的分析[J].大众用电,2017(12)
[2]张静宜.电力系统信息网络安全防护及措施分析[J].电子技术与软件工程,2017(22)
[3]张春丽.浅谈电力企业中如何做好信息网络安全[J].中国战略新兴产业,2018(03)