隨著我國電力企業的不斷迅速發展,以及電網的不斷互聯和電力市場的逐步實施,使得我國電力系統的運行環境更加復雜,相應的我國電網的安全穩定運行要求也越來越高。因此, 建立和完善電力信息安全管理制度與規范是目前我國電力企業面臨的首要任務,所以,采用業界先進、主流和穩定的技術措施和手段從而可以有效的降低或控制我國電力企業風險,從而提高我國電力企業整體防護水平。本文主要針對闡述電力系統信息安全的現狀解決措施,其觀點僅供參考。
1、電力企業信息安全管理問題的成因分析
我國在電力系統信息安全管理發展比較緩慢,特別是電力工業主管部門及其研發機構對電力基礎設施脆弱性的系統性研究和評估至今尚未列入其重要日程,成為我國電網安全性管理中的一個極具危險的、潛在的脆弱性。這對日益發展和復雜的我國電網的安全性是一個重大的威脅。
1.1 安全意識淡薄是電力系統信息安全的瓶頸
電力企業人員利用網絡來工作和學習,這對網絡信息的安全性自顧不暇,安全意識相當薄弱。電力企業比較注重的是網絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求,系統信息安全處于被動的封堵漏洞狀態。從上到下普遍存在僥幸心理,沒有形成主動防范、積極應對的全民意識,更無法從根本上提高網絡監測、防護和抗擊能力。
1.2 日常管理機制的缺陷和不足制約了安全防范的力度
1.2.1 網絡安全管理方面人才缺乏
由于技術應用的進一步擴展,技術的管理也應同步擴展,但參與系統管理的人員卻往往并不具備安全管理所必需的技能。
1.2.2 安全措施有待加強
配置不當或不安全的操作系統、內部網絡和郵件程序等都有可能給入侵者提供機會,因此如果網絡缺乏周密有效的安全措施,那么就無法及時發現和阻止安全漏洞。當供應商發布補丁或升級軟件來解決安全問題時,一大部分用戶的系統又不進行同步升級,這歸根結底是管理者未充分意識到網絡不安全的風險所在,所以未引起重視。
1.2.3 缺乏有效的綜合性的解決方案
大多數用戶缺乏有效的綜合性的安全管理解決方案,稍有安全意識的用戶都指望升級防火墻或加密技術,由此產生不切實際的安全感。事實上,一次性使用一種方案并不能保證系統永遠不被入侵,網絡安全問題遠遠不能靠防毒軟件和防火墻來解決的,也并不是使用大量標準安全產品簡單壘砌就能解決的。
2、加強電力企業網絡信息安全管理的建議
電力信息的網絡安全對保證人民財產安全和企業的日常營運都具有非常重要的意義。不僅如此,電力信息的網絡安全還關系到國家的安全、穩定和發展。所以,若沒有信息安全做保障,那么將會攪亂社會的正常秩序,給國家安全帶來不可估量的損失。
2.1 重視安全規劃
網絡安全問題的全面思考是企業網絡安全規劃的目的,那么企業就應以系統的觀點去考慮網絡安全的問題。要進行必要的安全管理。必須給系統建立起一套全面的信息安全管理體系。這可以選用國際上通行的一些標準來實現,如:BS7799、ISO17799、IOS27001、ISO15408等。
2.2 合理劃分安全領域
雖然電力企業是全部實行物理隔離的企業網絡,但是在企業內網上仍然要劃分合理的安全領域。要根據整體的安全規劃和信息安全密級,從而劃分一級重點防范區域、次級防范區域和開放區域。一級重點防范區域是網絡安全的首要重點,這部分區域是大眾用戶不能直接訪問的區域, 具有很高的安全級別。企業各種重要數據、服務器和數據庫服務器都應當放置在該區域,當然,企業的各種應用系統、OA系統等都在該區域運行。
2.3 加強安全管理,重視制度建設
為確保電力系統信息的安全,企業應把電力系統信息安全作為一個系統工程來對待。因此,電力系統的安全問題、安全管理和制度建設就顯得非常重要(尤其是企業內網)。
2.3.1 加強日志管理和安全審計
市面上一般的防火墻和入侵檢測系統都具有審計功能,因此要充分利用它們的這種功能, 管理好網絡的日志和安全審計工作。對審計數據要嚴格保管,不允許任何人修改或刪除審計記錄。
2.3.2 建立內網的一致認證系統
認證是網絡信息安全的首要技術之一,其主要目的是實現身份識別、訪問控制、機密性和不可否認服務等。
2.3.3 建立病毒防護系統
a.在電力系統網絡上安裝最先進的防病毒軟件。防病毒軟件必須要具有遠程安裝、遠程報警和集中管理等多種有效功能。b.要建立防病毒的管理機制。嚴禁隨意在網上下載的數據往內網主機上拷貝;嚴禁隨意在聯網計算機上使用來歷不明的移動存儲設備。c.職員應熟練掌握發現病毒后的處理方法。
2.4 重視電力系統網絡管理制度建設
保證電力企業信息系統安全的重要措施是制定嚴格的管理制度。
(1)企業領導要高度重視系統信息的安全管理和安全制度建設,不能把安全管理和制度建設看成是相關部門的事。
(2)加強基礎設施和運行環境的管理建設。電力系統信息管理部門(信息中心)的機房、配電房等重要基礎設施應嚴格把關,必須配備防盜、防火、防水等設施,同時還應當安裝監控系統和監控報警裝置等。這些還不夠,還應該建立嚴格的設備運行記錄,記錄設備每天的運行狀況。要規范操作流程,從根本上確保計算機系統的安全、可靠運行。
(3)建立安全管理制度。在電力系統里的信息網絡中心機房和各業務部門計算機都要建立計算機系統使用管理制度,同時,在信息網絡系統管理員、安全員、各業務部門主管和計算機操作人員上的計算機進行密碼管理制度,對應用系統重要數據的修改要經過授權并由專人負責。還應建立健全的數據備份制度,核心程序及數據要嚴格保密,交由專人保管。
(4)為了保障電力系統信息安全:a.必須在安全管理原則下進行管理,并采用多人負責制。在進行電力系統安全檢查時,需要采取多人或者是兩人配合的制度,使其達到一個互相制約的目的。b.對于那些進行安全活動的當事人,每次進行系統信息安全檢查工作時,應至少兩人在場,同時要做好各項工作情況記錄。c.任期有限原則,在進行電力系統信息安全維護工作時,任何人不長期擔任與安全有關的職務。如果電力企業系統安全工作人員離任時, 此時需要對電力系統信息進行及時的調整。
(5)制度的定期督導檢查。管理制度具有嚴格性、權威性和強制性,管理制度一旦形成,就要嚴格執行。
2.5 建立健全信息安全工作機制
有效加強組織和領導,把信息安全納入電力安全生產體系,堅持一方面抓信息化建設,另一方面抓信息安全保障工作。各級主管領導要親自研究、協調處理信息安全、健全信息安全管理體制,落實責任部門,明確責任人員,提高各級人員的信息安全意識,各盡其職,常抓不懈,確保信息安全積極防御措施和綜合防范工作落到實處,確保信息安全管理機構、人員、職能、責任“四到位”。
2.6 提高全員信息安全意識
人——是電力系統信息安全最薄弱的環節,那么加強全員安全信息培訓是必不可少的。同時更應該全面加強決策層、管理層、操作層信息安全風險意識,不斷積累信息安全管理經驗。開展安全教育和培訓工作,適應信息技術日新月異發展的需求。充分利用電力系統科研單位和高校的信息安全研發力量,加強企業內部技術人員對安全技術的支撐作用,進一步提高電力系統信息安全核心技術的創新、評估和認證能力。
3、結束語
電力系統信息安全是一個系統的、全局的管理問題,系統上的任何一個漏洞,都會導致全網的安全問題。因此,這就要求相關人員應該用系統工程的觀點、方法,分析網絡的安全及具體措施。建立健全一個較好的安全措施,并且要從系統綜合整體的角度去看待、分析,采取有效、可行的措施來進行電力系統信息安全維護,從而保證整個電力系統的信息安全。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:淺談電力系統信息安全
本文網址:http://m.hanmeixuan.com/html/consultation/10839514636.html
相關文章
