电力信息系统安全与建设

来源:用户上传      作者: 余姬 苏旗

　　摘 要 电力信息系统安全是电网安全运行和可靠供电的保障。在电力信息系统安全的基础上，介绍电力信息系统所面临的安全风险，提出可行的电力信息系统安全建设方案。
　　关键词 电力企业；信息系统；信息安全
　　中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2011)122-0116-01
　　
　　电力作为国民经济的基础设施行业，在国内较早开始了信息化建设工作。企业门户、安全生产、营销管理、协同办公、电力负荷控制、客户服务等信息网络技术已经成功应用到各级电力企业。随着电力信息化建没和应用的快速发展，信息安全问题已日益突出，并成为国家安全战略的重要组成部分。
　　研究信息安全技术，建立电力信息系统的安全防护体系和安全模型，对确保电力系统安全稳定、经济优质运行，加速实现“数字电力系统”的进程具有重要的现实意义。
　　1 电力信息系统安全需求
　　一个全面、合理的电力信息系统安全体系和模型，应该满足下列安全需求。
　　1）机密性。即确保信息仅对被授权者可用。信息的保护通过确保数据被限制于授权者（这里通过可审性来配合）使用，另外还应考虑信息所在的形式和状态，是物理的纸面形式、电子文档形式，还是传输中的介质形式。
　　2）完整性。是指数据不以未经授权方式进行改变或损坏的特性。电力企业的许多开放系统应用都有依赖于数据完整性的安全需求。完整性同样应考虑信息所在的形式和形态。
　　3）可用性。指确保被授权用户在需要时可以访问系统中的信息和相关资产，不会因自然或人为原因使系统中信息的存储、传输或处理延迟，或者系统服务被破坏、被拒绝达到不能容忍的程度。
　　4）可控性。指授权机构对信息的内容及传播具有控制能力，可以控制授权访问内的信息流向以及方式。
　　5）不可抵赖性。也称信息的可确认性，是传统社会的不可否认需求在信息社会的延伸。不可抵赖性包括：证据的生成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。
　　6）可审性。可审性不是信息自身的安全需求，不能针对攻击提供保护，但具有信息的责任需求，和他安全需求相结合使之更加有效。虽然可审性需求会增加系统的复杂性，降低系统的使用能力。但是其事后可追查这一特性，在电力信息系统安全中是重要的。
　　以上六个方面是保证信息系统的信息安全最基本的需求，它们互不能蕴含。
　　2 电力信息系统面临的威胁和安全风险
　　电力信息系统安全在过去几年虽然已经取得了长足发展，但是在信息系统的规划、建设和运行维护过程中需要研究和解决的问题还很多。
　　1）面临的威胁电力信息系统面临的威胁来自各个方面。归结起来主要包括以下几个方面：①电力信息系统组件固有的脆弱性和缺陷；②地震、雷击、洪灾和火灾等自然威胁；③意外人为威胁；④恶意人为威胁。
　　2）电力信息系统存在的安全风险。信息安全风险和信息化应用情况及采用的信息技术密切相关，电力企业信息系统面临的主要风险存在于以下几个方面：①计算机病毒的威胁最为广泛；②网络中服务器被黑客攻击的事件层出不穷；③网络安全问题日益突出，这是电力企业面临的一个非常突出的问题；④电力企业与外单位信息传递的安全不容忽视；⑤电力企业用户身份认证和信息系统的访问控制急需加强。
　　3 电力信息系统安全的建设
　　为加强和规范信息安全工作，提高信息系统整体安全防护水平，实现信息安全的可控、能控、在控，结合电力企业自身的特点，坚持“安全第一，防御为主”方针，有目的、合理地设计电力信息系统安全体系和模型，建立健全与信息化相适应的信息安全保障、监督体系，积极防御和综合防范信息技术风险。
　　1）建立信息安全工作机制。信息系统实行统一领导、分级管理，明确各单位主要负责人是本单位信息系统安全第一责任人。将信息系统安全纳入公司安全管理体系，实行专业管理、归口监督，明确责任人员，提高各级人员的信息安全意识，实现信息系统安全管理和防御措施落实到位。
　　2）明确信息安全管理范围和任务。全面加强一体化企业级信息集成平台和八大业务应用的安全管理，确保信息系统持续、稳定、可靠运行。坚持“分区、分级、分域”总体防护策略，实行“双网双机”，按照 “三同步”原则，与信息系统建设同步规划、同步建设、同步投入
　　运行。
　　3）完善信息安全管理制度体系。统筹规划，突出重点，加快信息安全管理制度和标准规范建设步伐，强化信息安全规章制度落实工作。严格遵守“涉密不上网、上网不涉密”纪律，开展网络与信息系统定级、审批、备案工作。加强信息系统运行维护全过程管理，不断完善应急预案。建立备份与恢复管理相关安全管理制度。
　　4）严格执行电力二次系统安全防护规定。要切实贯彻落实电力二次系统安全防护总体方案及各级调度中心二次系统安全防护方案，切实将其纳入电力安全生产管理体系，建立健全电力二次系统安全联合防护和应急机制，制定并完善应急预案。按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则，加强调度数据网络的建设和安全符理。
　　5）加快信息安全管控手段建设。全面推进个人终端标准化建设工作，实现个人终端补丁程序、病毒软件自动更新、升级，强化防木马病毒等安全措施。增加信息安全监控措施，加快建立信息安全监控手段，实现对防火墙、入侵检测等安全防护设施的集中监视和事件预警。
　　6）强化信息安全应急与通报工作。不断完善信息安全应急机制，制定预案，加强演练。规范信息安全事件通报程序，及时传达国家和企业信息安全运行动态，及时响应和处理信息安全事件，加强事件分析，实时发布安全通告。
　　7）高度重视信息安全保密工作。严格做到“涉密计算机不上网，上网计算机不涉密”，禁止涉密内容在互联网上存储和交叉使用，加强安全保密管理，严格人员审批，及时开展信息系统安全保密检查，做好涉密文档的登记、存档、销毁、定密、解密等各环节工作，及时发现泄密隐患。
　　8）提高全员信息安全意识。开展全员信息安全培训，全面树立决策层、管理层、操作层信息安全风险意识，不断积累信息安全管理经验。开展不同层面的安全教育和培训工作，适应信息技术发展的潜在
　　要求。
　　
　　参考文献
　　[1]计算机网络技术[M].西安电子科技大学出版社,2006.
　　[2]计算机网络与通信[M].清华大学出版社,2008.
　　[3]计算机学报[M].2005-2011.

转载注明来源:https://www.xzbu.com/8/view-47128.htm