浅谈电力“互联网+信息安全管理”

计算机网络和信息安全的概念理解大致可以理解为：是一门现代的多种学科组成的综合性学科，近年来得到快速发展，涉及计算机技术、密码学、网络技术、拓扑论、信息通信技术、应用数学等学科。其内容大致包括了计算机网络系统中软件、硬件及其操作系统的文件、数据得到保护，不被未经授权的随机或蓄意的因素影响而遭受修改、泄密或破坏；整个计算机网络系统能够连续、可靠、不间断地运行，各种应用服务不中断、退出。

计算机网络和信息安全含有信息安全及网络系统的安全两个方面的意义。信息的安全是确保基础信息、设备信息、使用者信息、内容资源等信息或数据的可用性、完整性和机密性。网络系统安全是确保网络系统中的软、硬件及网络系统的正常状态和持续、稳定运行。总体上说，网络和信息安全就是指采用制度、管理、技术等立体全面的方式，保证网络系统持续、稳定、正常运行。

如今的网络信息系统已成为电力运行的基础支撑平台，以输配电数据网、调度数据网和综合信息网为基础的不同管理区域的电力网络信息系统的基本结构逐步形成。信息资源持续共享，包括工程建设项目、电网生产经营、客户营销服务、管理信息系统等生产经营管理的方方面面。对于公用事业企业来说，网络安全保障能力和网络信息安全直接影响公司的发展和效益，直接影响南方电网的“智能电网”的建设应用。计算机与网络信息在紧跟时代飞速发展，与此同时，计算机的网络信息安全技术也在不断更新发展，导致部分电力企业在电力网络信息安全认知上存在着一定的差异，电力网络信息安全存在薄弱环节。计算机网络和信息安全问题已成为影响电力安全运行的重要因素。

然而，一些事业单位对计算机网络和信息安全问题并不重视，企业计算机网络和信息安全管理存在许多潜在问题。网络和信息安全控制没有得到有效实施，缺乏指导企业网络信息系统安全运行的管理标准。

1.网络信息安全现状分析

（1）安全意识不够是计算机网络信息系统安全的瓶颈

对安全意识存在着不足，一直都是网络信息安全的一个难点。从管理员到最终用户，从架构设计到技术实现，没有积极防范网络和信息安全问题的意识。

在网络和信息系统设计之初，通常会遇到资金或理解上的不足，系统架构普遍减少或不投资于安全。网络和信息系统操作通常让管理员或用户产生麻痹思想，管理或使用一般出于是否削弱安全的考虑。

（2）运行管理机制的缺陷和不足制约了安全防范的力度

网络和信息系统安全没有健全有效的规章制度，在日常运维中只是对整个网络和信息系统做局部防御和基本防御，缺乏综合措施。网络和信息系统的安全运行不仅仅是达到技术水平的要求，还需要全面而严格的设计、操作、维护的管理机制。需要系统设计者、管理员、操作者和用户共同遵守，对每个角色的安全负责，建立一个标准化的统一体，保证上述规则的强制建立、有效实施和可用性。

（3）设施、人员等配置不足是网络信息安全防御难的基本原因

网络与信息安全管理专业人才紧缺，网络与信息技术的范围和领域不断扩大，安全专业人员的数量跟不上企业的实际需求。网络和信息安全基础设施不足，防火墙、路由器或其他网络设备配置不当，或缺乏策略，忽视操作系统、服务器程序等漏洞，对设备的杀毒软件、客户端软件等未及时更新。网络和信息安全基础防御设施不充分或人员疏忽，使得入侵者很容易将企业网络和信息系统作为目标进行攻击和破坏。

2.电力网络和信息安全存在的风险

（1） 网络安全风险

电力计算机网络和信息系统涵盖了电网公司业务领域的所有领域，其范围包括电网公司各个部门的所有员工。在电力网络和信息系统的不断建设和扩展中，没有统一的安全规划和科学的配置，逻辑网络的子网划分不合理，不同子网之间存在互联互通，没有安全特性，无大型网络设备和通信线路重复建设，网络存在其他安全风险因素。

（2）系统安全风险

电力网络和信息系统的系统安全风险较大。各种主机操作系统和硬件设备固件都有安全漏洞和畸形配置，没有适当的补丁管理方法和系统。这在系统级别人为地在高度脆弱的网络和信息系统之间创建了连接，给攻击者留下可乘之机。

（3）应用安全风险

电力企业应用软件系统总的来说分为三大类：第一类是 WPS、 Office 办公软件、AutoCAD 制图软件等通用软件；第二类是企业 OA 协同软件、财务系统、GIS 地理信息系统等行业软件；第三类是针对电力企业生产经营方式特定开发的调度自动化系统、资产管理系统、营销系统等独立软件。第一、二类应用的编制厂商都是国内、外实力较强的厂商，基本都能够及时对软件漏洞发布补丁程序。在电力企业的实际运用过程中，其安全风险来源于是否及时安装相关软件的补丁程序，是否进行相关软件的口令授权以及权限设置，是否进行相关软件系统的数据及配置备份以防程序崩溃造成数据及配置丢失情况，相关系统是否稳定、高效运行。第三类应用一般都是针对电力企业实际运营情况所特有的应用，通常没有进行过大规模的测试，没有经过专业的机构审核，而所承担的业务形式却又更具体、更复杂、涉及面更广，因此相关应用系统在设计、编制、运行等各个环节中难免会存在漏洞、缺陷。但是相关的快速反馈机制又没有建立，Bug 出现后往往得不到快速修补。

（4）计算机病毒侵害风险

计算机网络和信息系统也面临着计算机病毒的风险。传播方式常见于当前网络中的计算机病毒传播方式，如浏览互联网、携带电子邮件、携带文档、携带存储设备、自愿传输网络等，尤其是微机用户数量与背景相似。公共工程计算机网络和信息系统中的计算机病毒由于结构不一致、管理回路不明确，通过网络浏览和移动存储携带，会降低相关主机的性能。

1.重视安全规划

建立起一项计算机网络和信息系统安全问题建设的中、长期的建设准则；建立起一套系统的、全面的、可操作的计算机网络和信息安全管理体系；建立的准则和体系参照国内、外一些通行的制度、标准来实现，为网络和信息系统有效安全管理提供依据。

2.加强基础设施和运行环境的管理建设

信息中心是计算机网络和信息系统的管理机构，对计算机网络和信息系统机房、配电室等服务器、相关设备、重要核心设施等进行重点管控；将监控系统和警报安装在房间和所有通道的门口，以监控和通知进出人员的状态；对于机房的物理硬件设备，严格建立各种相关设备的运行记录，实时记录各种重要设备的运行状态；规范各项作业指导书，确保计算机网络和信息系统安全可靠、运行良好。

3.合理划分安全区域

计算机网络与信息系统对电网调度自动化系统进行物理网络分离，与综合信息网络交换数据采用经国家专门机构审查批准的物理前向分离装置；综合信息网与互联网由高性能的外部防火墙隔开，互联网访问信息的数据流仅从内网连接；在外围防火墙内部，通过三个核心交换机规划不同的逻辑子网，为不同的应用系统提供虚拟专用网络；按不同部门划分VLAN，保证各部门只能访问本部门的工作站及内网服务器。

4.加强安全管理，重视制度建设

依据计算机网络和信息安全管理体系相关要求，建立健全机房、设备、系统、应用等各项管理制度，建立健全管理者、运维者、使用者等各项责任制度，建立健全各项考核制度，以制度为根基，以领导机构带头执行来保证各项制度的强制、有效实施。建立健全版本管理、配置修改、数据备份等各项管理业务及流程操作手册，并保证随业务及流程实时变化及时更新，以规范网络和信息系统各业务管理行为。

计算机网络与信息系统安全管理项目分阶段实施完成后，电力计算机网络与信息系统安全防护不断增强。然而，随着世界范围内计算机网络和信息系统技术的快速发展和变化，在保护电网信息系统安全方面仍面临诸多问题。随着计算机网络和电力信息系统安全管理要求的提高，实施统一高效的安全管理成为电力网络信息安全的必要课题。