淺析電力行業(yè)信息安全管理
作者:劉誠(chéng)
評(píng)論: 更新日期:2012年09月06日
??????? 摘? 要: 隨著Internet的迅速發(fā)展,信息安全問(wèn)題面臨新的挑戰(zhàn)����。電力系統(tǒng)信息安全問(wèn)題已威脅到電力系統(tǒng)的安全����、穩(wěn)定����、經(jīng)濟(jì)、優(yōu)質(zhì)運(yùn)行����,影響著“數(shù)字電力系統(tǒng)”的實(shí)現(xiàn)進(jìn)程。研究電力系統(tǒng)信息安全問(wèn)題����、開(kāi)發(fā)相應(yīng)的應(yīng)用系統(tǒng)、制定電力系統(tǒng)信息遭受外部攻擊時(shí)的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當(dāng)前信息化工作的重要內(nèi)容����。電力系統(tǒng)信息安全已經(jīng)成為電力企業(yè)生產(chǎn)、經(jīng)營(yíng)和管理的重要組成部分����。
??????? 本文總結(jié)了目前我國(guó)電力企業(yè)信息化的優(yōu)勢(shì)特征,列舉了電力企業(yè)網(wǎng)絡(luò)信息管理存在的主要問(wèn)題����,對(duì)問(wèn)題的成因進(jìn)行深入分析����,并提出了一系列可行性較強(qiáng)的加強(qiáng)電力企業(yè)網(wǎng)絡(luò)信息安全的建議和方法����,對(duì)建立長(zhǎng)效機(jī)制����,使電力企業(yè)網(wǎng)絡(luò)信息安全管理成為企業(yè)安全文化的重要組成部分,提出了比較切實(shí)有效的思路����。
??????? 關(guān)鍵詞: 電力企業(yè)信息化;網(wǎng)絡(luò)信息安全管理
??????? 前言
??????? 信息技術(shù)在電力企業(yè)的生產(chǎn)運(yùn)行中發(fā)揮著重要作用����,特別是隨著廠網(wǎng)分開(kāi)、電力市場(chǎng)構(gòu)建����,電力企業(yè)已建立起龐大復(fù)雜的調(diào)度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng),計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)成為企業(yè)日益重要的技術(shù)支持系統(tǒng)����。信息安全所面臨的危險(xiǎn)同時(shí)滲透到電力企業(yè)生產(chǎn)����、經(jīng)營(yíng)的各個(gè)方面����。電力企業(yè)調(diào)度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng)在物理上實(shí)現(xiàn)隔離,在一定程度上保證了調(diào)度數(shù)據(jù)網(wǎng)的安全運(yùn)行����,避免受到來(lái)自綜合信息網(wǎng)的可能的攻擊;然而����,財(cái)務(wù)、營(yíng)銷(xiāo)����、客戶管理等系統(tǒng)的網(wǎng)絡(luò)信息安全還相當(dāng)薄弱。網(wǎng)絡(luò)信息安全已成為影響電力安全生產(chǎn)的重大問(wèn)題����。
??????? 電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電的保障,是一項(xiàng)涉及電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)及安全裝置����、廠、站自動(dòng)化����、配電網(wǎng)自動(dòng)化、電力負(fù)荷控制����、電力市場(chǎng)交易����、電力營(yíng)銷(xiāo)、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)����、經(jīng)營(yíng)和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程����。結(jié)合電力工業(yè)特點(diǎn),電力工業(yè)信息網(wǎng)絡(luò)系統(tǒng)和電力運(yùn)行實(shí)時(shí)控制系統(tǒng)����,分析電力系統(tǒng)信息安全存在的問(wèn)題����,電力系統(tǒng)信息沒(méi)有建立安全體系����,只是購(gòu)買(mǎi)了防病毒軟件和防火墻。有的網(wǎng)絡(luò)連防火墻也沒(méi)有����,沒(méi)有對(duì)網(wǎng)絡(luò)安全做統(tǒng)一長(zhǎng)遠(yuǎn)的歸劃。網(wǎng)絡(luò)中有許多的安全隱患����。
??????? 由于近十幾年計(jì)算機(jī)信息技術(shù)高速發(fā)展,計(jì)算機(jī)信息安全策略和技術(shù)也取得了非常大的進(jìn)展����。電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大,對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足����。
??????? 電力系統(tǒng)雖然對(duì)計(jì)算機(jī)安全一直非常重視,但由于各種原因����,目前還沒(méi)有一套統(tǒng)一����、完善的能夠指導(dǎo)整個(gè)電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范����。
??????? 急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系。近幾年來(lái)����,計(jì)算機(jī)在整個(gè)電力系統(tǒng)的生產(chǎn)、經(jīng)營(yíng)����、管理等方面應(yīng)用越來(lái)越多����。但是,在計(jì)算機(jī)安全策略����、安全技術(shù)、和安全措施投入較少����。所以����,為保證電力系統(tǒng)安全����、穩(wěn)定、高效運(yùn)行����,應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。
??????? 計(jì)算機(jī)網(wǎng)絡(luò)化使過(guò)去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后����,面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng)����,并沒(méi)有同外界連接。所以����,早期的計(jì)算機(jī)安全只是防止意外破壞或者內(nèi)部人員的安全控制就可以了,但現(xiàn)在就必須要面對(duì)互聯(lián)網(wǎng)上各種安全攻擊����,如網(wǎng)絡(luò)病毒和電腦“黑客”等����。
??????? 然而����,人是信息安全中的關(guān)鍵因素,同時(shí)人也是信息安全中最薄弱的環(huán)節(jié)����。當(dāng)網(wǎng)絡(luò)中的硬件和軟件技術(shù)處于時(shí)代發(fā)展主流水平,升級(jí)系統(tǒng)已不能明顯提升網(wǎng)絡(luò)信息安全水平時(shí)����,信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié):人。
??????? 經(jīng)常聽(tīng)到這樣的信息:病毒����、蠕蟲(chóng)造成了嚴(yán)重的破壞����,黑客獲取了信用卡的信息,大型網(wǎng)站主頁(yè)被黑等等����。人們普遍認(rèn)為這是由于企業(yè)沒(méi)有安裝安全產(chǎn)品(如防火墻����、入侵檢測(cè)系統(tǒng)等)造成的����,而實(shí)際上有許多是由于安全管理沒(méi)有有效實(shí)施造成的。安全管理是信息安全的核心����。
??????? 一、我國(guó)電力企業(yè)信息化發(fā)展的優(yōu)勢(shì)特征
??????? 近十幾年來(lái)����,我國(guó)電力企業(yè)信息化得到長(zhǎng)足發(fā)展,同時(shí)由于電力生產(chǎn)運(yùn)行的特殊行業(yè)特點(diǎn)����,在網(wǎng)絡(luò)信息安全方面具有相對(duì)其他行業(yè)更具優(yōu)勢(shì)的特征。
??????? (一)信息化基礎(chǔ)設(shè)施相對(duì)完善
??????? 電力行業(yè)相比其他行業(yè)的信息化進(jìn)程較為領(lǐng)先����。各電力公司本部主要崗位工作人員使用計(jì)算機(jī)的比率接近100%,各省電力公司本部局域網(wǎng)覆蓋本部機(jī)關(guān)業(yè)務(wù)工作達(dá)90%以上����。
??????? (二)電力生產(chǎn)����、調(diào)度自動(dòng)化系統(tǒng)應(yīng)用成熟
??????? 發(fā)電生產(chǎn)自動(dòng)化監(jiān)控系統(tǒng)的廣泛應(yīng)用大大提高了生產(chǎn)過(guò)程自動(dòng)化水平����。提高電力調(diào)度自動(dòng)化水平、提高電網(wǎng)運(yùn)行質(zhì)量是電網(wǎng)企業(yè)信息化建設(shè)的重點(diǎn)方向����。目前省電力調(diào)度機(jī)構(gòu)全部建立了SCADA系統(tǒng),電網(wǎng)的三級(jí)調(diào)度100%實(shí)現(xiàn)了自動(dòng)化����。我國(guó)電廠、電力調(diào)度的自動(dòng)化水平達(dá)到國(guó)際先進(jìn)水平����。
??????? (三)電力營(yíng)銷(xiāo)管理系統(tǒng)得到廣泛應(yīng)用
??????? 各省電力公司普遍建立了用電管理信息系統(tǒng),地(市)級(jí)供電企業(yè)基本實(shí)現(xiàn)業(yè)務(wù)受理的計(jì)算機(jī)化����。各地供電部門(mén)積極進(jìn)行客戶服務(wù)中心的建設(shè),一批供電客戶服務(wù)呼叫中心初步建立起來(lái)����。
??????? (四)管理信息系統(tǒng)的建設(shè)與應(yīng)用逐漸推進(jìn)
??????? 國(guó)家電網(wǎng)公司所屬各級(jí)分、子公司積極開(kāi)展管理信息系統(tǒng)的建設(shè)����,開(kāi)發(fā)了生產(chǎn)、設(shè)備����、安全監(jiān)督、電力負(fù)荷����、營(yíng)銷(xiāo)管理等企業(yè)管理信息系統(tǒng),實(shí)現(xiàn)了辦公環(huán)境網(wǎng)絡(luò)化和計(jì)算機(jī)化����。各發(fā)電集團(tuán)公司也把企業(yè)信息化建設(shè)放到重要位置,重新規(guī)劃企業(yè)信息化發(fā)展藍(lán)圖����,借助信息化改造和推動(dòng)電力工業(yè)現(xiàn)代化。
??????? 二����、目前電力企業(yè)網(wǎng)絡(luò)信息安全管理存在的主要問(wèn)題
??????? 雖然具備以上優(yōu)勢(shì)特征����,電力企業(yè)在網(wǎng)絡(luò)信息安全管理方面仍然存在較多問(wèn)題����。
??????? (一)信息化機(jī)構(gòu)建設(shè)尚需進(jìn)一步健全
??????? 信息部門(mén)未受到應(yīng)有的重視。信息部門(mén)在電力公司沒(méi)有專(zhuān)門(mén)機(jī)構(gòu)配置����,沒(méi)有規(guī)范的建制和崗位,信息部門(mén)附屬在生產(chǎn)技術(shù)部下����,有的作為設(shè)在科技部下的科室,有的設(shè)在總經(jīng)理工作部門(mén)下����,還有的僅設(shè)一個(gè)"信息化專(zhuān)責(zé)"人員。信息化作為一項(xiàng)系統(tǒng)工程����,需要專(zhuān)門(mén)的機(jī)構(gòu)來(lái)推動(dòng)和企業(yè)各個(gè)部門(mén)的配合。這種狀況勢(shì)必不能適應(yīng)信息化對(duì)人才����、機(jī)構(gòu)的要求����。
??????? (二)企業(yè)管理革新滯后于信息化發(fā)展進(jìn)程
??????? 相對(duì)于信息技術(shù)的發(fā)展與應(yīng)用����,電力企業(yè)管理革新處于落后狀況����,有的企業(yè)引入了先進(jìn)的業(yè)務(wù)系統(tǒng)、管理系統(tǒng)����,而管理模式未能實(shí)施有效革新,最終導(dǎo)致了信息系統(tǒng)未能發(fā)揮預(yù)期的����、應(yīng)有的作用。
??????? (三)網(wǎng)絡(luò)信息安全管理需要成為企業(yè)安全文化的重要組成部分
??????? 電力信息網(wǎng)絡(luò)已經(jīng)深入到電力生產(chǎn)和管理的全過(guò)程����,涉及電力生產(chǎn)的各個(gè)層面,電力生產(chǎn)與管理對(duì)其依賴性日益增大����。目前����,在電力企業(yè)安全文化建設(shè)中����,信息安全管理仍然處于從屬地位,需要進(jìn)行不斷努力����,使之成為企業(yè)安全文化的中堅(jiān)力量。
??????? (四)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的存在
??????? 電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息同樣具備多方面的安全風(fēng)險(xiǎn)����,主要表現(xiàn)在以下幾方面:
??????? 1. 網(wǎng)絡(luò)結(jié)構(gòu)不合理
??????? 電力企業(yè)依據(jù)有關(guān)規(guī)定將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng),內(nèi)外網(wǎng)實(shí)行物理隔離����,但網(wǎng)絡(luò)結(jié)構(gòu)都存在著一些不合理的地方。常見(jiàn)的有:核心交換機(jī)選擇不合理����。不少企業(yè)網(wǎng)絡(luò)的核心交換機(jī)是一臺(tái)二層交換機(jī),這樣����,所有網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)中的地位將是平等的����,安全問(wèn)題只有通過(guò)應(yīng)用系統(tǒng)去解決����。
??????? 2. 來(lái)自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)
??????? 幾乎所有電力企業(yè)網(wǎng)絡(luò)都以各種方式與互聯(lián)網(wǎng)連接����,企業(yè)用戶可以直接訪問(wèn)互聯(lián)網(wǎng)的資源,這給企業(yè)職工帶來(lái)很大方便����;同樣任何能上互聯(lián)網(wǎng)的用戶也可以訪問(wèn)企業(yè)網(wǎng)絡(luò)的資源,這對(duì)宣傳企業(yè)����、擴(kuò)大企業(yè)的影響和知名度很有好處。但是����,在帶來(lái)方便的同時(shí),也帶來(lái)安全風(fēng)險(xiǎn)����。
??????? 3. 來(lái)自企業(yè)內(nèi)部的風(fēng)險(xiǎn)
??????? 對(duì)于電力企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)����,來(lái)自內(nèi)部的風(fēng)險(xiǎn)是非常主要的安全風(fēng)險(xiǎn)����。內(nèi)部人員(特別是網(wǎng)絡(luò)管理人員)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)都非常熟悉����,不經(jīng)意之間泄露的重要信息,都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命的安全威脅����。
??????? 4. 病毒的侵害
??????? 計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的影響是災(zāi)難性的。電子郵件系統(tǒng)的廣泛使用����,使計(jì)算機(jī)病毒的擴(kuò)散速度大大加快,網(wǎng)絡(luò)成了病毒傳播的最好途徑����,電力企業(yè)網(wǎng)絡(luò)同樣難以幸免。因此����,計(jì)算機(jī)病毒成為企業(yè)網(wǎng)絡(luò)最嚴(yán)重的安全風(fēng)險(xiǎn)之一����。
??????? 5. 管理人員素質(zhì)風(fēng)險(xiǎn)
??????? 許多電力企業(yè)網(wǎng)絡(luò)都存在重建設(shè)����、重技術(shù)、輕管理的傾向����。實(shí)踐證明,安全管理制度不完善����、人員素質(zhì)不高是網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要來(lái)源之一����。比如,網(wǎng)絡(luò)管理員配備不當(dāng)����、企業(yè)員工安全意識(shí)不強(qiáng)、用戶口令設(shè)置不合理等����,都會(huì)給信息安全帶來(lái)嚴(yán)重威脅����。
??????? 6. 系統(tǒng)的安全風(fēng)險(xiǎn)
??????? 系統(tǒng)的安全風(fēng)險(xiǎn)主要指操作系統(tǒng)����、數(shù)據(jù)庫(kù)系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險(xiǎn)。目前不少企業(yè)網(wǎng)絡(luò)使用的操作系統(tǒng)仍然是以Windows系列操作系統(tǒng)為主����。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞,這些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限����,可以被用來(lái)實(shí)施拒絕服務(wù)攻擊。
