广东电网有限责任公司肇庆鼎湖供电局广东肇庆526070
摘要:随着我国经济社会的快速发展及人们生活水平的不断提高,我国的用电量也在不断增加。电力行业作为一种重要的能源供应,与人民群众息息相关。因此,做好电力企业信息安全防护工作的意义不言而喻。本文首先简要介绍电力企业信息安全的概述,针对电力企业信息安全工作中存在的问题进行分析,并提出相应的防护建议,供同行参考。
关键词:电力企业;信息安全;问题;建议
引言
电力企业在我国能源行业中占有非常重要的地位,随着信息化的不断发展,电力信息系统日益成为我国电力企业信息化的发展核心。然而,随着电力企业对信息化的依赖程度越来越高,其信息系统的安全问题也越来越严重,面临的风险也越来越大。因此,电力企业信息系统的安全已迫在眉睫,对电力企业信息安全进行有效的管理显得尤为重要。
1电力企业信息安全的概述
电力企业信息安全是指确保电力信息的机密性、完整性、可用性和可控性。作为基础公共事业之一,确保电力系统信息的安全运行是整个电力系统正常运行的基础。电力企业信息安全工作由两个部分组成。第一,电力企业信息流结构。为了保证电力企业信息的安全和保护,有必要正确认识电力企业信息流的结构。电力系统安全可靠运行需要电力企业信息的安全传输。电力企业信息,特别是实时监控信息,是电力企业信息安全保护的重中之重。此外,电力生产信息,营销信息和资源信息也是重要内容。第二,电力企业信息安全保护结构。根据信息功能,电力企业信息系统可分为三个层次,即自动化系统,生产管理系统和电力信息管理系统。在这个框架下,我国的电力企业,从安全技术,安全管理和安全战略的角度进行了电力企业信息安全保护工作,采取必要的安全措施,如防火墙,防病毒系统,以及一些备用系统等,但大多属于当地的一般保护措施,没有达到高水平的防御阶段。
2电力企业信息安全问题分析
2.1网络安全意识差
近年来,我国电网的发展非常迅速,电力企业信息化建设也取得快速发展,但是电力企业信息化安全系统的建设远远落后于电网发展的步伐,电力企业信息中存在很多的安全隐患。虽然很多企业都开展了信息安全风险评估,但是大多数都是借鉴外国的信息安全评估体系,未能对其进行创新,也没有结合企业自身的实际情况开展评估工作。有很多评估工作都是按照国家的基本要求进行,只有单一的检查和加固的安全问题,缺乏完整性。
2.2信息安全防护技术不当
目前,电力企业加大网络信息化建设,虽然信息化程度有所提高,但是却忽略了网络信息安全建设,包括防火墙设备、安全审计系统、入侵监测系统等。另外,有些单位的计算机病毒库老旧,数据加密以及其他的网络安全措施不足,网络信息系统存在极大的安全隐患。而一些网络黑客和不法分子就是利用网络信息系统中存在的一系列安全漏洞,通过计算机病毒、木马、网络窃听以及邮件截取和窃取管理权限等手段,对数据的安全性、保密性、可靠性构成了威胁,直接或间接地将国家、社会、经济陷于风险之中。目前,电力行业所使用的办公计算机仍然存在内外网混用的情况,內外网之间的隔离还有待加强。
2.3缺乏专业的技术人员
电力企业信息安全保护存在问题的主要原因之一是相关技术人员的技术能力不足。许多电力企业在网络的使用上花费了大量的人力物力,使计算机能够收集和统计信息的能力越来越强,但在网络安全保护方面投入的精力却不够,导致电力企业的信息安全问题越来越多。此外,一些电力企业对计算机网络的监管不到位,网络运行中存在极大的安全隐患,也没有采取任何的安全防护措施,导致企业的信息被泄露,各种信息安全问题层出不穷。
2.4信息网络管理机制不健全
随着大数据时代的到来,互联网技术不断发展。虽然开放的网络环境有助于人们更快地了解时事,但许多信息混乱在一起很难分辨。电力企业不仅要记录和规划人们的用电情况,还需要了解民生动态,信息的混乱导致电力部门无法真正的了解民生情况,严重影响了电力部门的工作效率。而且电力企业的一些负面信息一旦被发现,就会在网络上迅速传播,电力企业无法控制舆论的方向,导致人们对电力企业部门失去信任,给企业造成更大的经济损失。此外,信息网络管理机制的不完善会使信息的传播与实际工作不能及时衔接,许多重要的信息无法尽快传递给用户。
3加强电力企业信息安全工作的几点建议
3.1完善电力企业安全风险的评估
解决电力企业的网络安全问题不仅仅是一个技术问题,技术是安全的主体,但它不能是安全的灵魂,而管理才是安全的灵魂。首先,电力企业必须进行安全评估和分析,评估需要雇佣专业和权威的信息安全专家或咨询机构,并组织内部信息人员和专业人士深度参与,全面进行信息安全风险评估,并搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的危害和影响,制定详细的风险评估及解决方案并认真实施,并在实施后定期进行评估和改进。其次,网络安全离不开各种安全技术的实施和各种安全产品的部署。然而,市场上的安全技术和产品种类繁多,令人眼花缭乱,决策困难。我们信息安全系统建设中心内容是安全和稳定,所以我们企业应尽量采用成熟的技术和产品,不能过分求全求新。最后,培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全系统和设备的作用。
3.2建立并完善电力企业信息安全管理制度
要建立网络信息安全管理制度,首先,建立计算机资产以及网络使用管理制度、健全变更管理制度,对资产进行标识与管理;其次,实施信息安全分级保护,按照国家相关规定,开展网络信息系统审批、定级、备案工作,严格执行等级保护制度,对核心程序及数据进行保密;再次,对信息系统设备进行规范化管理,及时对防病毒软件进行升级,严格进行系统变更,及时对信息系统事故情况进行报告;最后,建立病毒防护体系,安装具有远程安装、远程报警、集中管理等功能的防病毒软件,严禁在联网计算机上使用来历不明或随意从互联网上下载的数据,一旦发现有病毒存在,应尽快进行处理。
3.3加强对电力企业全员信息安全的教育及培训,提升全员信息安全意识
企业信息安全工作的发展不是一个部门的事情,而是我们电力公司全体员工的事情,所以我们必须提高全体员工的信息安全意识。通过开展各种形式的信息安全知识培训,使可以提高员工的警惕性以及养成良好的计算机使用习惯。在进行信息安全教育和培训时,要注意安全教育知识的水平,各级信息安全工作负责人和信息安全工作人员必须重点了解和掌握信息安全的总体战略和目标,建立安全管理部门,制定管理制度;负责信息安全运行管理和维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户应注重学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。此外,还可以采取一些考核奖罚措施,去激励和约束全员认真进行信息安全培训,认真落实信息安全操作,从而有效提高我们电力企业整体信息安全水平,提高信息安全意识,最终有效避免信息安全问题或失泄密事件的发生。
3.4不断完善和提升电力企业信息安全技术
第一,对电力企业内部和外部网络进行物理隔离。采用最高效的解决信息网络安全问题的办法:将局域网与外网物理隔离,使局域网内的用户只能访问内网资源,外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵,避免企业及用户个人的重要信息与数据的失窃,进而可以控制可能由此造成的无法估计的损失。其次,对于移动介质,应加入认证管理,只有被预先授权的介质才能接入内网,对于数据的拷贝,只能通过加密形式处理。第三,数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。计算机病毒传播广,破坏力大,会严重影响电力企业网络系统的安全运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。最后,建立信息安全身份认证体系。电力企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。
结束语
总之,电力企业信息安全是非常重要的,它关系到人民生产生活的方方面面和国民经济的发展。但由于信息安全无法量化,企业信息安全保障工作容易流于形式,信息安全保障工作大多没有常态化、体系化。因此,电力企业应充分认识到信息安全的严峻形势,并制定企业信息安全策略并积极实施,确保电力信息系统安全、可靠、稳定、高效运行。
参考文献:
[1]黄刚.电力信息安全防护工作刍议[J].科学与财富,2011(08)
[2]杨文旭.电力信息安全存在的问题和对策[J].信息通信,2017(06)
[3]易磊磊,赵博.电力企业网络信息安全的防范措施研究[J].低碳世界,2017(26)
[4]李琼.电力企业信息安全风险评估研究[D].西安:西安理工大学,2017