電力企業(yè)信息安全管理策略

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電力企業(yè)信息安全管理策略范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著信息技術與電力行業(yè)的深度融合，一定程度上提高了電力企業(yè)的生產(chǎn)經(jīng)營效率和管理水平。但由于存在信息管理問題和網(wǎng)絡問題，對電力企業(yè)信息安全造成巨大威脅。本文通過分析當前電力企業(yè)信息安全管理存在的問題，針對性地提出了信息安全管理策略，以期為電力系統(tǒng)正常運行提供保障。

關鍵詞：電力企業(yè)；信息安全；企業(yè)管理策略

0引言

電力是國民經(jīng)濟的命脈，對社會生產(chǎn)生活起著積極地推動作用。隨著信息技術的不斷發(fā)展，電力企業(yè)的信息化水平得到提高，一定程度上提高了電力企業(yè)的生產(chǎn)經(jīng)營效率、管理水平以及市場競爭力。但是，信息的收集處理、交換傳輸以及共享等離不開互聯(lián)網(wǎng)技術的支持，而互聯(lián)網(wǎng)本身存在很大的自由性和不確定性，對電力企業(yè)信息安全造成巨大威脅。同時也為一些不法分子提供了可乘之機，使得其通過竊取或篡改重要的信息數(shù)據(jù)，以獲取經(jīng)濟利益或達到破壞電力系統(tǒng)正常運行的目的。因此，為了保證電力系統(tǒng)正常運行，加強電力企業(yè)信息系統(tǒng)管理力度很有必要，也有助于推動電力企業(yè)信息化進一步發(fā)展。

1電力企業(yè)信息安全管理內(nèi)容

電力企業(yè)信息安全管理主要包括安全策略、風險管理和安全教育三方面，其中安全策略屬于電力企業(yè)信息安全管理的最高方針，在制定安全策略時需要電力企業(yè)根據(jù)自身的發(fā)展規(guī)模、安全需求、業(yè)務特點等綜合考慮，最終確保形成的書面材料通俗易懂、簡單明了，便于信息安全管理人員實施操作；風險管理屬于電力企業(yè)信息安全管理的對策建議，主要是對影響信息安全的風險因素進行識別、評估和防控，可以事先假定存在某方面的風險，然后通過有效規(guī)避風險、合理轉嫁風險、科學降低風險和適度接受風險等手段來盡量降低信息風險給企業(yè)帶來的經(jīng)濟損失；安全教育的目的是確保信息安全管理的有效執(zhí)行，可以通過信息安全培訓的方式直接對企業(yè)信息安全管理人員進行信息安全教育，使其了解信息安全管理策略，掌握信息風險防控對策，將信息安全管理的內(nèi)容內(nèi)化于心、外化于形，同時將信息安全管理納入企業(yè)文化建設當中。

2電力企業(yè)信息化發(fā)展特征

2.1基礎設施建設完善

電力企業(yè)經(jīng)過多年的信息化發(fā)展，與傳統(tǒng)的其他行業(yè)相比，信息化建設水平相對較高，計算機普及率高達100%，局域網(wǎng)覆蓋率達到90%以上，從管理人員到一線具體操作人員均對計算機技術有所了解和掌握。

2.2自動化系統(tǒng)建設成熟

信息技術在電力企業(yè)日常生產(chǎn)經(jīng)營活動中的廣泛應用，使得生產(chǎn)自動化系統(tǒng)建設較為成熟，極大地提高了生產(chǎn)效率。目前多數(shù)電力企業(yè)采用更為先進的SCADA系統(tǒng)，電網(wǎng)三級調(diào)度也完全實現(xiàn)了自動化目標，成為引領全球電力調(diào)度的航標。

2.3營銷管理系統(tǒng)完善

盡管電力行業(yè)屬于國家的民生工程，享受國家的補貼政策，但仍然需要面對市場的殘酷競爭，信息技術與營銷管理系統(tǒng)的有機融合，進一步完善了營銷管理系統(tǒng)，實現(xiàn)了用電管理、業(yè)務受理、客戶服務等信息化，為電力企業(yè)開展營銷活動注入了新的活力。

2.4管理信息系統(tǒng)建設穩(wěn)步推進

電力企業(yè)在管理信息系統(tǒng)建設過程中，相繼開發(fā)出滿足生產(chǎn)、營銷、設備、安全等管理要求的各種信息系統(tǒng)，實現(xiàn)了各個層面上的管理系統(tǒng)信息化建設，改善了企業(yè)工作環(huán)境，推動了企業(yè)現(xiàn)代化發(fā)展。

3電力企業(yè)信息安全管理存在的問題

3.1機構設置不完善

當前很多電力企業(yè)的領導層都沒有對信息安全管理引起足夠的重視，在機構建置上沒有設置專門的信息安全管理部門和科學合理的信息安全管理崗位，缺乏專業(yè)技能良好、綜合素質(zhì)較高的復合型管理人才，更沒有嚴格的管理制度保障信息安全管理工作的順利開展。即使有些電力企業(yè)設置了信息安全管理部門，但也被規(guī)劃進科技部或總經(jīng)理部門下管理，工作缺乏獨立性，不利于與企業(yè)的其他部門進行協(xié)作配合，嚴重影響電力企業(yè)信息化建設。

3.2管理地位不高

電力企業(yè)信息貫穿于生產(chǎn)、經(jīng)營、管理的全過程，涉及的內(nèi)容點多面廣，對互聯(lián)網(wǎng)技術依賴程度不斷增強。但信息安全管理沒有納入企業(yè)文化建設中，只是作為一種長期管理、經(jīng)營過程中形成的特定安全文化獨立于企業(yè)文化之外，與企業(yè)文化是一種附屬關系，而不是將信息安全管理看作是企業(yè)文化的重要組成部分，這樣就降低了信息安全管理的地位，影響了信息安全管理的實施力度，阻礙了電力企業(yè)信息化發(fā)展。

3.3管理水平偏低

多數(shù)電力企業(yè)的管理水平較低，管理工作流于形式，工作成效偏低，跟不上自身信息化建設的進程，導致信息系統(tǒng)不能有效發(fā)揮應有的作用。雖然部分電力企業(yè)在推進信息化建設中引入了先進的管理系統(tǒng)與業(yè)務系統(tǒng)，但由于管理模式滯后，開展的管理活動缺少深度，實效性不強，嚴重影響對信息化管理的及時優(yōu)化和革新，使得信息系統(tǒng)的使用效果欠佳。

3.4信息安全存在風險

（1）網(wǎng)絡結構不合理：雖然電力企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間采用物理隔離，但交換機設置很多企業(yè)使用一臺二層交換機，結構存在明顯缺陷，導致網(wǎng)絡中所有用戶地位平等，容易出現(xiàn)安全問題。（2）企業(yè)內(nèi)部風險：專業(yè)技術人員對網(wǎng)絡信息結構與系統(tǒng)應用較為熱悉，一旦因網(wǎng)絡管理人員私心作祟將重要信息泄漏，將給企業(yè)造成致命的信息安全威脅。（3）計算機病毒：計算機病毒具有擴散速度快、侵襲范圍廣的特點，一旦計算機感染網(wǎng)絡病毒，輕則導致數(shù)據(jù)被竊取或篡改，重則導致整個電力網(wǎng)絡系統(tǒng)崩潰。（4）互聯(lián)網(wǎng)自身開發(fā)風險：電力企業(yè)網(wǎng)絡信息系統(tǒng)是以互聯(lián)網(wǎng)為基礎的，而互聯(lián)網(wǎng)自身的開放特點使得客戶可以直接訪問電力企業(yè)內(nèi)部的網(wǎng)絡資源，這樣在為客戶提供方便的同時，也給電力企業(yè)帶來信息安全和計算軟硬件安全風險。（5）系統(tǒng)本身的安全風險：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、各種應用軟件系統(tǒng)等均存在一定的風險，很容易遭受黑客惡意攻擊。

4電力企業(yè)信息安全管理策略

4.1完善組織架構

電力企業(yè)信息安全管理實行統(tǒng)一領導、分級管理原則，領導小組由決策層組成，管理層由各部門管理者組成，包括信息安全的規(guī)劃、監(jiān)督審計、運行保障等各職能部門，實施專業(yè)化管理。同時構建信息安全管理體系框架，包括信息安全的策略、運行、管理和技術措施四個模塊。

4.2做好安全規(guī)劃

電力企業(yè)需要根據(jù)自身實際情況，從系統(tǒng)角度和網(wǎng)絡安全特點出發(fā)優(yōu)先做好信息安全規(guī)劃工作，對網(wǎng)絡信息安全從整體上進行綜合考慮和規(guī)劃，也可以參照一些國外的通行標準構建信息安全管理體系，以達到防范網(wǎng)絡安全問題的目的。同時電力企業(yè)信息安全實行雙網(wǎng)雙機管理，內(nèi)外網(wǎng)之間采用物理隔離，應結合實際情況合理規(guī)劃內(nèi)網(wǎng)安全域，通常劃分為一般防范區(qū)域和重點防范區(qū)域，其中重點防范區(qū)域?qū)儆陔娏ζ髽I(yè)信息安全的內(nèi)部核心，必須實施重點安全防范，因此設置的訪問級別較高，用戶訪問受權限限制，未經(jīng)許可用戶無法進入，目的是防止不法分子侵入系統(tǒng)。安全區(qū)域運行OA系統(tǒng)、應用系統(tǒng)等與核心數(shù)據(jù)相關的重要數(shù)據(jù)，以保證數(shù)據(jù)信息安全。

4.3強化安全管理

（1）加強日常安全審計：入侵檢測系統(tǒng)均具有審計功能，能夠?qū)Σ《竟艋虿环ǚ肿尤肭旨皶r啟動警報系統(tǒng)，將計算機自動從局域網(wǎng)中隔離，盡可能降低安全隱患問題。因此應當將安全審計工作落實到位，在加強網(wǎng)絡日志管理的同時做好審計數(shù)據(jù)的保存，以確保審計數(shù)據(jù)真實、全面、可靠，促使系統(tǒng)安全運行。另外，未經(jīng)授權不得私自更改或刪除審計記錄。（2）構建病毒防護體系：安裝的防病毒軟件必須具有遠程安裝、遠程報警、集中管理等特點，同時建立防病毒管理制度，嚴禁將來歷不明的存儲設備或隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)接入聯(lián)網(wǎng)計算機，一旦發(fā)現(xiàn)病毒應及時進行處理。（3）信息安全保障舉措：根據(jù)信息安全分級保護等級落實好“分級、分區(qū)、分域”的信息安全防護策略，嚴格保密核心程序和數(shù)據(jù)，有效落實信息安全防護預案，實施強邏輯隔離措施，做好安全區(qū)域的隔離和劃分工作。（4）建立網(wǎng)絡入侵保護系統(tǒng)IPS：IPS是一種快速主動的防御體系，能夠阻止惡意數(shù)據(jù)侵入電力系統(tǒng)，提升電力企業(yè)網(wǎng)絡信息安全管理指標。與常規(guī)的防火墻相比，IPS的安全防御功能更加完善，不僅可以對網(wǎng)絡惡意數(shù)據(jù)流量進行數(shù)據(jù)安全檢測，及時消除隱患，還能提供網(wǎng)絡虛擬補丁，起到預先攔截黑客攻擊或網(wǎng)絡病毒傳播的作用，以保證電力企業(yè)信息系統(tǒng)免受損害。（5）加大對信息安全管理的投入：對新建信息安全系統(tǒng)要做到對設備和部件進行嚴格檢查，明確要求供應商提供相應的安檢報告，確保信息安全系統(tǒng)符合標準；對已使用信息安全系統(tǒng)要做到對設備和部件進行定期檢查，確保信息安全系統(tǒng)有效開展防護工作。

4.4提升信息安全管理意識

（1）高度重視信息安全管理工作：信息安全問題已經(jīng)成為制約電力企業(yè)發(fā)展的瓶頸，領導層應不斷提升信息安全管理意識，高度重視信息安全管理工作，結合企業(yè)實際情況成立信息安全領導小組，組織所有員工進行信息系統(tǒng)安全運行管理培訓，讓其了解信息安全管理目標，掌握信息安全評估方法，提高信息安全管理技能，在企業(yè)內(nèi)部形成良好的信息安全管理氛圍。（2）建立健全信息安全管理制度：完善的信息安全管理制度應明確相關負責人的工作職責和權限，落實信息安全管理工作責任到人，定期開展信息安全管理工作督導檢查，對發(fā)現(xiàn)的問題要求及時進行整改，對相關的責任人按規(guī)定進行嚴肅處理，以確保信息安全管理制度的嚴肅性、強制性、權威性和可執(zhí)行性。同時也使工作人員在具體操作時，有章可循、有法可依、更加規(guī)范，從而避免因操作失誤帶來的信息安全問題。（3）建立信息安全應急保障機制和不同信息安全風險的預警機制：電力企業(yè)信息安全問題較為嚴重，信息風險無處不在，建立信息安全應急保障機制和不同信息安全風險的預警機制是確保信息系統(tǒng)安全、穩(wěn)定運行的重要保障，尤其需要加強信息系統(tǒng)的容災建設、數(shù)據(jù)保存?zhèn)浞莺突謴凸芾碇贫冉ㄔO。

5結論

總之，信息貫穿于電力企業(yè)各項工作中，信息安全與生產(chǎn)、經(jīng)營、管理密不可分，不論是硬件還是軟件出現(xiàn)問題都會威脅整個網(wǎng)絡系統(tǒng)安全，因此必須在電力企業(yè)信息化建設的過程中強化信息安全管理，確保信息系統(tǒng)安全、穩(wěn)定、可靠、高效運行，幫助電力企業(yè)創(chuàng)造更大的經(jīng)濟效益和社會效益，謀求更長遠的發(fā)展。

參考文獻：

[1]鄭玉山.電力企業(yè)網(wǎng)絡和信息安全管理策略思考[J].網(wǎng)絡安全技術與應用，2017（6）：121+123.

[2]楊艷輝.淺析電力企業(yè)網(wǎng)絡信息安全管理[J].工程建設與設計，2016（14）：170-171.

[3]何江南.電力企業(yè)信息網(wǎng)絡安全問題及對策分析[J].中國新通信，2015，17（7）：63.

[4]張毅慶.淺談電力企業(yè)信息網(wǎng)絡安全防護技術[J].科技創(chuàng)新與應用，2014（27）：162.

作者：張志 常永娟 單位：國網(wǎng)河北省電力有限公司信息通信分公司