引言
電力系統(tǒng)是一項(xiàng)涉及電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)、廠站自動(dòng)化、配電網(wǎng)自動(dòng)化、電力負(fù)荷控制、電力市場(chǎng)交易、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營(yíng)和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。隨著電力企業(yè)信息化的不斷發(fā)展,信息安全所面臨的危險(xiǎn)同時(shí)滲透到電力企業(yè)生產(chǎn)、經(jīng)營(yíng)的各個(gè)方面,信息安全問(wèn)題已成為影響電力安全生產(chǎn)的重大問(wèn)題。
1 電力企業(yè)信息安全管理現(xiàn)狀
1.1電力企業(yè)信息安全形勢(shì)嚴(yán)峻
電力企業(yè)內(nèi)部各業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)流轉(zhuǎn),一旦出現(xiàn)信息泄密或篡改數(shù)據(jù)的情況,將給國(guó)家造成難以估量的損失。電力企業(yè)網(wǎng)絡(luò)每天遭受惡意試探式攻擊達(dá)數(shù)萬(wàn)次,如此龐大的信息網(wǎng)絡(luò)和高頻率的網(wǎng)絡(luò)攻擊,使電力企業(yè)信息安全的局勢(shì)尤為嚴(yán)峻。同時(shí)電力企業(yè)各種信息在業(yè)務(wù)流程的參與者之間流動(dòng),如果系統(tǒng)關(guān)鍵數(shù)據(jù)被竊取和篡改,信息系統(tǒng)的非正常停運(yùn)和癱瘓,將會(huì)嚴(yán)重影響電力企業(yè)和電力系統(tǒng)的正常運(yùn)行。
1.2電力企業(yè)信息安全防護(hù)困難
電力企業(yè)信息系統(tǒng)是由眾多復(fù)雜的子系統(tǒng)(如廣泛分布于各級(jí)調(diào)度中心、發(fā)電廠、變電站的業(yè)務(wù)系統(tǒng))所組成的超大規(guī)模、廣域分布和分級(jí)遞階的大系統(tǒng),各種業(yè)務(wù)系統(tǒng)之間需要進(jìn)行復(fù)雜的信息交換和相互協(xié)作。如何確保電力系統(tǒng)不同企業(yè)之間及其內(nèi)部在進(jìn)行方便、高效信息交換和相互協(xié)作的同時(shí),防止來(lái)自于內(nèi)外域各種用戶(hù)非法或無(wú)意的攻擊、誤操作,防止信息泄漏等,就成為一個(gè)極為關(guān)鍵的瓶頸問(wèn)題。
1.3電力企業(yè)信息安全防護(hù)相關(guān)規(guī)程
2005年國(guó)家電力監(jiān)管委員會(huì)頒布了《電力二次系統(tǒng)安全防護(hù)規(guī)定》用以指導(dǎo)電力部門(mén)在信息化和安全方面的建設(shè)。國(guó)際電工委員會(huì)的IEC 27001標(biāo)準(zhǔn)規(guī)定了信息安全管理體系(ISMS)要求與信息安全控制要求,與之配套的IEC 17799標(biāo)準(zhǔn)提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則。IEC 27001和IEC 17799標(biāo)準(zhǔn)已在我國(guó)電網(wǎng)企業(yè)廣泛應(yīng)用。國(guó)際大電網(wǎng)會(huì)議(CIGRE)于2006年至2009年成立了工作組,并發(fā)布了適用于電力公司信息安全框架、風(fēng)險(xiǎn)評(píng)估和安全技術(shù)的規(guī)范,將基線控制、邏輯圖等引入電力公司信息安全管理中。
2 電力企業(yè)信息安全管理風(fēng)險(xiǎn)分析
2.1信息安全體系層面
2.1.1信息網(wǎng)絡(luò)結(jié)構(gòu)和邊界風(fēng)險(xiǎn)
電力企業(yè)在信息網(wǎng)絡(luò)結(jié)構(gòu)上存在核心交換機(jī)選型不合理等問(wèn)題,如核心交換機(jī)是一臺(tái)二層交換機(jī),網(wǎng)絡(luò)的安全問(wèn)題只有通過(guò)應(yīng)用系統(tǒng)去解決。另外,電力企業(yè)的信息大多以各種方式與互聯(lián)網(wǎng)連接,由于不同安全域之間的網(wǎng)絡(luò)連接沒(méi)有有效的訪問(wèn)控制措施,來(lái)自互聯(lián)網(wǎng)的訪問(wèn)存在潛在的掃描攻擊、DOS攻擊、非法侵入等。
2.1.2病毒侵害和網(wǎng)絡(luò)攻擊
電子郵件系統(tǒng)的廣泛使用,使計(jì)算機(jī)病毒擴(kuò)散速度大大加快,網(wǎng)絡(luò)成了病毒傳播的最好途徑,計(jì)算機(jī)病毒已成為電力企業(yè)網(wǎng)絡(luò)最嚴(yán)重的安全風(fēng)險(xiǎn)之一。目前網(wǎng)絡(luò)攻擊手法已經(jīng)融合了多種技術(shù),部分電力企業(yè)中的防病毒軟件只能查殺病毒,卻不能有效地阻止病毒的傳播;入侵檢測(cè)系統(tǒng)可以檢查出蠕蟲(chóng)在網(wǎng)絡(luò)上傳播,卻不能清除蠕蟲(chóng);補(bǔ)丁管理可以防止蠕蟲(chóng)的感染,卻不能查殺蠕蟲(chóng)。企業(yè)各個(gè)安全產(chǎn)品單獨(dú)工作,無(wú)法系統(tǒng)地查殺病毒并防止病毒傳播。
2.1.3系統(tǒng)安全風(fēng)險(xiǎn)
系統(tǒng)安全風(fēng)險(xiǎn)主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險(xiǎn)。目前不少電力企業(yè)網(wǎng)絡(luò)使用的操作系統(tǒng)仍然是以Windows系列操作系統(tǒng)為主。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞,這些漏洞可以導(dǎo)致人侵者獲得管理員的權(quán)限,可以被用來(lái)實(shí)施拒絕服務(wù)等攻擊。
2.1.4信息日常傳遞風(fēng)險(xiǎn)
電力企業(yè)和外部的單位都有著許多工作聯(lián)系,日常許多信息數(shù)據(jù)都需要通過(guò)互聯(lián)網(wǎng)來(lái)傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn),例如被非法用戶(hù)截取,從而泄露企業(yè)機(jī)密;被非法篡改,造成數(shù)據(jù)混亂、信息錯(cuò)誤從而造成工作失誤等。非法用戶(hù)還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產(chǎn)經(jīng)營(yíng)秩序帶來(lái)棍亂,造成企業(yè)損失。
2.2信息安全管理層面
2.2.1信息安全管理措施不到位
電力企業(yè)因配置不當(dāng)或使用過(guò)時(shí)的操作系統(tǒng)、郵件程序等,造成企業(yè)內(nèi)部網(wǎng)絡(luò)存在入侵者可利用的缺陷。當(dāng)廠商通過(guò)發(fā)布補(bǔ)丁或升級(jí)軟件來(lái)解決安全問(wèn)題時(shí),許多用戶(hù)系統(tǒng)不進(jìn)行同步升級(jí),原因是管理者未充分意識(shí)到網(wǎng)絡(luò)不安全的風(fēng)險(xiǎn)所在,未引起重視。有些信息系統(tǒng)采用開(kāi)放的操作系統(tǒng),安全級(jí)別低,又沒(méi)有附加安全措施,難以抵御黑客和信息炸彈的攻擊。
2.2.2企業(yè)信息管理革新明顯滯后技術(shù)發(fā)展
相對(duì)于信息技術(shù)的發(fā)展與應(yīng)用,電力企業(yè)管理革新處于落后狀況。有的企業(yè)引入了先進(jìn)的業(yè)務(wù)系統(tǒng)、管理系統(tǒng),而管理模式未能實(shí)施有效革新,最終導(dǎo)致了信息系統(tǒng)未能發(fā)揮預(yù)期的、應(yīng)有的作用。由于信息安全工作具有專(zhuān)業(yè)性強(qiáng),知識(shí)面廣的特點(diǎn),目前電力企業(yè)從事信息安全管理工作的技術(shù)人才顯得相對(duì)缺乏。
2.2.3用戶(hù)身份認(rèn)證和訪問(wèn)控制不夠
在實(shí)際應(yīng)用中,電力企業(yè)部分應(yīng)用系統(tǒng)的用戶(hù)權(quán)限管理功能過(guò)于簡(jiǎn)單,不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制;部分應(yīng)用系統(tǒng)沒(méi)有一個(gè)統(tǒng)一的用戶(hù)管理,無(wú)法保證賬號(hào)的有效管理和安全;同時(shí)因缺乏嚴(yán)格的驗(yàn)證機(jī)制,導(dǎo)致非法用戶(hù)使用關(guān)鍵業(yè)務(wù)系統(tǒng);不同業(yè)務(wù)系統(tǒng)之間缺少較細(xì)粒度的訪問(wèn)控制。
2.2.4企業(yè)工作人員安全意識(shí)淡薄
企業(yè)人員忙于利用網(wǎng)絡(luò)工作學(xué)習(xí),對(duì)網(wǎng)絡(luò)信息的安全性無(wú)暇顧及,安全意識(shí)淡薄。電力企業(yè)注重的是網(wǎng)絡(luò)效應(yīng),對(duì)安全領(lǐng)域的投入和管理不能滿(mǎn)足安全防范的要求,網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏捌狀態(tài)。工作人員安全意識(shí)不強(qiáng),如共用口令、隨意復(fù)制及傳播企業(yè)內(nèi)部信息等,增加了黑客進(jìn)攻的機(jī)會(huì)和信息泄露的風(fēng)險(xiǎn),這都將給企業(yè)網(wǎng)絡(luò)信息安全埋下隱患。
2.2.5企業(yè)信息資產(chǎn)管理風(fēng)險(xiǎn)較高
信息資產(chǎn)的高風(fēng)險(xiǎn)性源自于信息資產(chǎn)傳播的低成本性。在激烈競(jìng)爭(zhēng)的市場(chǎng)環(huán)境中信息資產(chǎn)的安全風(fēng)險(xiǎn)較高。一般來(lái)說(shuō),信息資產(chǎn)經(jīng)常處于公共的介質(zhì)中或處于流動(dòng)狀態(tài),這就使信息資產(chǎn)的復(fù)制成本較低,從而導(dǎo)致企業(yè)擁有和控制的信息資產(chǎn)的安全性很差。沒(méi)有安全保障的信息資產(chǎn),談不上資產(chǎn)價(jià)值。信息資產(chǎn)具有工程性和社會(huì)性的軟硬屬性,短期無(wú)法量化,價(jià)值的確認(rèn)存在風(fēng)險(xiǎn),管理的過(guò)程中也存在類(lèi)似風(fēng)險(xiǎn)。
3 電力企業(yè)信息安全管理對(duì)策
3.1建立信息安全管理組織架構(gòu)
電力企業(yè)信息安全管理可按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”原則,實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理。信息安全領(lǐng)導(dǎo)小組由企業(yè)的決策層組成。信息安全工作小組由企業(yè)各部門(mén)管理成員組成,是企業(yè)信息安全工作的管理層。信息安全執(zhí)行層包含信息安全規(guī)劃、信息安全監(jiān)督審計(jì)、信息安全運(yùn)行保障等職能小組和企業(yè)各業(yè)務(wù)支撐部門(mén)。企業(yè)信息安全實(shí)行專(zhuān)業(yè)化管理,進(jìn)行監(jiān)督。圖1是一個(gè)典型的電力企業(yè)信息安全管理組織架構(gòu)。
圖1 典型電力企業(yè)信息安全管理組織架構(gòu)
3.2構(gòu)建信息安全管理體系框架
電力企業(yè)信息安全管理體系可建立在信息安全模型與電力信息化的基礎(chǔ)上,分為信息安全策略、安全管理、安全運(yùn)行、安全技術(shù)措施4個(gè)模塊,信息安全管理通過(guò)安全運(yùn)行實(shí)現(xiàn),安全技術(shù)作為信息安全的基礎(chǔ)支撐,可輔助實(shí)現(xiàn)安全管理和運(yùn)行安全。典型電力企業(yè)信息安全管理體系框架如圖2所示。
3.3確立企業(yè)信息安全防護(hù)策略
在管理信息系統(tǒng)安全防護(hù)策略方面:進(jìn)行雙網(wǎng)雙機(jī)管理,將信息網(wǎng)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng),內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離裝置進(jìn)行隔離,內(nèi)外網(wǎng)分別采用獨(dú)立的服務(wù)器及桌面終端;根據(jù)業(yè)務(wù)系統(tǒng)類(lèi)型,進(jìn)行安全域劃分,以實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù);將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次進(jìn)行縱深防御的安全防護(hù)措施設(shè)計(jì)。
圖2 典型電力企業(yè)信息安全保陳體系框架
在電力二次系統(tǒng)安全防護(hù)策略方面:將電力企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用系統(tǒng),原則上劃分為生產(chǎn)控制區(qū)和管理信息區(qū);建立電力調(diào)度數(shù)據(jù)網(wǎng)專(zhuān)用網(wǎng)絡(luò),承載電力實(shí)時(shí)控制、在線生產(chǎn)交易等業(yè)務(wù);采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū),在生產(chǎn)控制區(qū)與管理信息區(qū)之間設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置。采用認(rèn)證、加密、訪問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。
3.4加強(qiáng)信息安全管理制度建設(shè)
3.4.1信息安全管理基本制度
建立計(jì)算機(jī)系統(tǒng)使用管理制度,對(duì)應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改,需要經(jīng)過(guò)授權(quán)并由專(zhuān)人負(fù)責(zé)并登記日志。建立資產(chǎn)管理制度,根據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)和管理。建立健全變更管理制度,保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。建立和執(zhí)行密碼使用管理制度,使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。
3.4.2分等級(jí)信息安全保護(hù)措施
嚴(yán)格按照國(guó)家有關(guān)部門(mén)要求,開(kāi)展企業(yè)網(wǎng)絡(luò)信息系統(tǒng)定級(jí)、審批、備案工作。針對(duì)確定的網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí),根據(jù)等級(jí)保護(hù)有關(guān)要求,落實(shí)必要的管理和技術(shù)措施,嚴(yán)格執(zhí)行等級(jí)保護(hù)制度。對(duì)于核心程序和數(shù)據(jù)嚴(yán)格保密,實(shí)行專(zhuān)人保管。
3.4.3信息安全運(yùn)行保障管理
對(duì)信息系統(tǒng)軟硬件設(shè)備選型、采購(gòu)、使用等實(shí)行規(guī)范化管理。強(qiáng)化存儲(chǔ)介質(zhì)存放、使用、維護(hù)和銷(xiāo)毀等各項(xiàng)措施。及時(shí)升級(jí)防病毒軟件,加強(qiáng)全員防病毒木馬的意識(shí)。嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問(wèn)和系統(tǒng)接人申報(bào)和審批程序。及時(shí)報(bào)告信息系統(tǒng)事故情況,認(rèn)真開(kāi)展信息系統(tǒng)事故原因分析,堅(jiān)持“四不放過(guò)”原則,有效落實(shí)整改。
3.5信息安全技術(shù)保障措施
依據(jù)“分區(qū)、分級(jí)、分域”總體防護(hù)策略,切實(shí)執(zhí)行信息安全等級(jí)保護(hù)制度要求,有效落實(shí)信息安全防護(hù)方案,做好各區(qū)之間安全隔離,落實(shí)管理信息內(nèi)、外網(wǎng)之間實(shí)施強(qiáng)邏輯隔離的措施。根據(jù)信息系統(tǒng)定級(jí)水平,科學(xué)合理地做好安全域劃分和安全域之間隔離工作。
3.6加強(qiáng)企業(yè)工作人員的規(guī)范管理
加強(qiáng)企業(yè)高管的管理,實(shí)施更加嚴(yán)格的信息安全管理制度。一方面,高管是公司的核心力量,也是信息安全管理推行的主要支持者,只有以身作則,方可讓全體員工有遵循信息安全要求的動(dòng)力。另一方面,高管掌握的信息資產(chǎn)多,密級(jí)也高,無(wú)論是故意或者過(guò)失導(dǎo)致這些資產(chǎn)的喪失,都會(huì)給企業(yè)造成重大的影響。
加強(qiáng)對(duì)離職人員的信息安全審查,在其提出離職傾向之后,必須立即著手其信息資源訪問(wèn)權(quán)限的變更,對(duì)其己經(jīng)持有的信息資產(chǎn)進(jìn)行清點(diǎn),并要對(duì)其在公司剩余的時(shí)間內(nèi),實(shí)施更加嚴(yán)格的監(jiān)控,避免異常事件的發(fā)生。
加強(qiáng)關(guān)鍵崗位員工信息安全管理。對(duì)于直接接觸開(kāi)發(fā)源代碼的人員、直接接觸企業(yè)核心商業(yè)機(jī)密的人員,當(dāng)然還包括直接從事信息安全管理的人員等等,需要實(shí)施特殊的信息安全管理制度,檢查頻率也應(yīng)該更加頻繁,以減少“堡壘從內(nèi)部突破”的機(jī)會(huì)。
加強(qiáng)供應(yīng)商和合作伙伴信息安全管理。有必要對(duì)于供應(yīng)商和合作伙伴制定一定的信息安全管理規(guī)定,避免對(duì)方在有意的收集我方的商業(yè)情報(bào)以做他用。在日常的交流中要嚴(yán)格遵守相關(guān)規(guī)定,除了必須公開(kāi)的內(nèi)容,一律不得隨意公開(kāi)和透露其他信息。
3.7加強(qiáng)企業(yè)信息資產(chǎn)的分析和管理
按照信息資產(chǎn)的載體性質(zhì)不同、價(jià)值實(shí)現(xiàn)形式不同、來(lái)源不同,對(duì)信息資產(chǎn)進(jìn)行識(shí)別。強(qiáng)化信息資產(chǎn)觀念,樹(shù)立信息資產(chǎn)的資產(chǎn)觀、商品觀、素質(zhì)觀,提高企業(yè)勞動(dòng)生產(chǎn)率、管理效率和經(jīng)營(yíng)利潤(rùn),樹(shù)立企業(yè)良好形象。
健全信息資產(chǎn)管理組織體系,建立健全信息資產(chǎn)管理制度,完善信息資產(chǎn)管理手段,對(duì)信息資產(chǎn)進(jìn)行全面、系統(tǒng)、科學(xué)的管理,提高有效運(yùn)用信息資產(chǎn)創(chuàng)造效益和參與市場(chǎng)競(jìng)爭(zhēng)的能力。
加強(qiáng)信息資產(chǎn)運(yùn)營(yíng)管理,利用信息資產(chǎn)資源與其他生產(chǎn)力要素的組合,使生產(chǎn)力要素保值增值并獲取最佳經(jīng)濟(jì)效益。
推動(dòng)信息資產(chǎn)共享共建,創(chuàng)造條件使信息資源實(shí)現(xiàn)在管理權(quán)限內(nèi)的有效共享,實(shí)現(xiàn)信息資產(chǎn)再創(chuàng)新,產(chǎn)生企業(yè)的內(nèi)源信息資產(chǎn),實(shí)現(xiàn)外源信息資產(chǎn)的再增值。
3.8建立信息安全應(yīng)急保障機(jī)制
對(duì)于電力企業(yè)來(lái)說(shuō),在不斷完善應(yīng)急預(yù)案,加強(qiáng)培訓(xùn)和演練,確保人力、設(shè)備、技術(shù)和財(cái)務(wù)等應(yīng)急保障資源可用的同時(shí),還需要建立備份與恢復(fù)管理相關(guān)安全管理制度,嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過(guò)程,妥善保存?zhèn)浞萦涗,?zhí)行定期恢復(fù)程序。認(rèn)真做好容災(zāi)方案可行性研究,切實(shí)根據(jù)需要開(kāi)展容災(zāi)系統(tǒng)建設(shè)。
4 結(jié)束語(yǔ)
電力信息安全與企業(yè)生產(chǎn)經(jīng)營(yíng)管理密切相關(guān)。電力企業(yè)應(yīng)該充分認(rèn)識(shí)到信息安全管理工作是一個(gè)系統(tǒng)性、整體性的管理工作,用系統(tǒng)工程的觀點(diǎn)、方法,來(lái)分析電力企業(yè)信息安全問(wèn)題及具體管理對(duì)策。管理過(guò)程中的任何一個(gè)漏洞,都會(huì)導(dǎo)致信息安全問(wèn)題。電力企業(yè)需要統(tǒng)籌兼顧,統(tǒng)一規(guī)劃并建立一套完善的信息安全管理體系,規(guī)避企業(yè)信息安全管理的風(fēng)險(xiǎn),解決電力企業(yè)信息安全管理間題,提升電力企業(yè)信息安全管理水平,以確保電力信息系統(tǒng)安全、可靠、穩(wěn)定、高效地運(yùn)行。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112189378.html