論文關鍵詞:電力企業 資訊系統 資訊安全
論文摘要:電力企業是最早實現生產經營資訊化的企業之一,電力資訊系統安全是電網安全執行和可靠供電的保障。本文在分析研究電力資訊系統安全的現狀基礎上,提出了電力資訊系統安全保障的建設規劃。
近年來隨着通信技術和資訊技術的飛速發展,資訊網絡已經滲透到社會每一個角落。電力企業是最早實現生產經營資訊化的企業之一,電網調度自動化、網絡運營市場化和管理現代化等都與電力資訊系統密切相關,電力負荷控制、MIS、資費管理、客戶服務等資訊網絡技術也成功應用到各級電力企業。同時網絡的負面影響也滲透到電力企業生產的各個方面,對電力系統的安全穩定、優質執行構成了嚴重威脅。電力資訊系統安全和電力生產安全同等重要,是國家安全的重要組成部分。因此研究資訊安全技術,建立電力資訊系統的安全防護體系和安全模型,對確保電力系統安全穩定、經濟優質執行,加速實現“數字電力系統”的進程具有重要的現實意義,是當前電力資訊系統建設中亟待解決的大問題。
1電力資訊系統安全需求
一個全面、合理的電力資訊系統安全體系和模型,應該滿足下列安全需求。
1.1機密性
即確保資訊僅對被授權者可用。資訊的保護透過確保數據被限制於授權者(這裏透過可審性來配合)使用,另外還應考慮資訊所在的形式和狀態,是物理的紙面形式、電子文檔形式,還是傳輸中的介質形式。
1.2完整性
是指數據不以未經授權方式進行改變或損壞的特性。電力企業的許多開放系統應用都有依賴於數據完整性的安全需求。完整性同樣應考慮資訊所在的形式和形態。
1.3可用性
指確保被授權用戶在需要時可以訪問系統中的資訊和相關資產,不會因自然或人爲原因使系統中資訊的存儲、傳輸或處理延遲,或者系統服務被破壞、被拒絕達到不能容忍的程度。
1.4可控性
指授權機構對資訊的內容及傳播具有控制能力,可以控制授權訪問內的資訊流向以及方式。
1.5不可抵賴性
也稱資訊的可確認性,是傳統社會的不可否認需求在資訊社會的延伸。不可抵賴性包括證據的生成、驗證和記錄,以及在解決糾紛時隨即進行的證據恢復和再次驗證。
1.6可審性
可審性不是資訊自身的安全需求,不能針對攻擊提供保護,但具有資訊的責任需求,和他安全需求相結合使之更加有效。雖然可審性需求會增加系統的複雜性,降低系統的使用能力。但是其事後可追查這一特性,在電力資訊系統安全中是重要的。
以上六個方面是保證資訊系統的資訊安全最基本的需求,它們互不能蘊含。
2電力資訊系統面臨的威脅和存在的問題
2.1面臨的威脅電力資訊系統面臨的威脅來自各個方面。歸結起來主要包括以下幾個方面。
(1)系統組件固有的脆弱性和缺陷。電力資訊系統組件在設計、製造和組裝中,可能留下各種隱患:①電力資訊系統硬件組件的安全隱患,這種問題多數來源於設計。②軟件組件的安全隱患,來源於軟件設計和軟件工程實施中的遺留問題。③基於TCP/IP協議棧的因特網在設計之初只考慮了互聯互通和資源共享的問題,無法相容解決來自網際的大量安全問題。
(2)自然威脅。自然威脅是不以人的意志爲轉移的不可抗拒的自然事件,如地震、雷擊、洪災和火災等。
(3)意外人爲威脅。這是一類具有各種不確定因素(如不正確的操作、配置、設計或人員的疏忽大意)綜合時偶然發生的安全威脅。不是有人故意造成的,但是發生的概率大,產生的損失也可能是非常巨大、無法挽回的。
(4)惡意人爲威脅。惡意的人爲威脅包括欺詐或偷竊、內部員工的惡意破壞、懷有惡意的電腦高手行爲、惡意代碼、侵犯他人個人隱私等行爲。
2.2電力資訊系統存在的問題
電力資訊系統安全在過去幾年雖然已經取得了長足發展,但是在資訊系統的規劃、建設和執行維護過程中需要研究和解決的`問題還很多。分析現狀,筆者認爲電力資訊系統目前存在的問題主要表現在:(1)人員資訊安全意識薄弱;(2)資訊安全管理機制不完善;(3)系統邊界安全防護薄弱,安全隱患依然存在;(4)缺乏安全體系和可評估的安全模型等幾個方面。
3電力資訊系統安全的建設
透過分析,針對電力資訊系統目前存在的問題,我們應該結合企業自身的特點,堅持“安全第一,防禦爲主”方針,有目的地、合理地設計電力資訊系統安全體系和模型,建立健全與資訊化相適應的資訊安全保障、監督體系,積極防禦和綜合防範資訊技術風險,增強資訊系統安全預警、應急處理和災難恢復能力,以確保滿足基本安全需求。
3.1建立健全資訊安全工作機制
切實加強組織和領導,把資訊安全納入電力安全生產體系,堅持一手抓資訊化建設,一手抓資訊安全保障工作。各級主管領導要親自研究、協調處理資訊安全l_日]題,健全資訊安全管理體制,落實責任部門,明確責任人員,提高各級人員的資訊安全意識,各盡其職,常抓不懈,確保資訊安全積極防禦措施和綜合防範工作落到實處,確保資訊安全管理機構、人員、職能、責任“四到位”。
3.2不斷完善資訊安全管理制度體系
統籌規劃,突出重點,加快資訊安全管理制度和標準規範建設步伐,強化資訊安全規章制度落實工作,儘快編制電力企業有關實施意見,明確電力資訊系統安全重大任務和重要項目,統籌規劃電力企業資訊安全工作。落實電力資訊系統分區安全策略,有效指導各企業資訊安全防護設施新建和更新工作,規範資訊事故發生後的調查處理,加強資訊安全事件監督。儘快出臺電力資訊系統安全體系建設規範,加強身份認證、授權管理和跟蹤審計工作。抓緊研究和編制災難恢復系統建設規範,確定災難恢復策略,統籌規劃各企業災難恢復系統建設。
3.3嚴格執行電力二次系統安全防護規定
要切實貫徹落實電力二次系統安全防護總體方案及各級調度中心二次系統安全防護方案,切實將其納入電力安全生產管理體系,建立健全電力二次系統安全聯合防護和應急機制,制定並完善應急預案。按照“安全分區、網絡專用、橫向隔離、縱向認證”的基本原則,清理生產控制大區與管理資訊大區之間橫向邊界,加強調度數據網絡的建設和安全符理。
3.4加快資訊安全管控手段建設
全面推進個人終端標準化建設工作,嚴格個人終端接入網絡管理,實現個人終端補丁程序、病毒軟件自動更新、升級,嚴禁隨意下載和安裝非正版軟件。強化防木馬病毒等安全措施,嚴格用戶訪問控制。增加資訊安全監控措施,加快建立資訊安全監控手段,實現對防火牆、入侵檢測等安全防護設施的集中監視和事件預警。加快資訊安全模型研究,落實資訊安全整體評估工作,使安全評估常態化、簡易化、科學化。
3.5強化資訊安全應急與通報工作
不斷完善反應靈敏、協調有力的資訊安全應急機制,制定預案,加強演練。應急預案應該能夠確保安全事件進一步蔓延,達到監視恢復時間和損失預期目的。規範資訊安全事件通報程序,堅決杜絕發生資訊事件隱瞞不報的情況。及時傳達國家和企業資訊安全執行動態,及時響應和處理資訊安全事件,加強事件分析,實時發佈安全通告。
3.6高度重視資訊安全保密工作
認清形勢,提高全員保密知識水平和技術防護技能,提高防範網絡竊密泄密能力。嚴禁將涉密計算機與互聯網和其他公共資訊網絡連接,嚴禁在非涉密計算機和互聯網上存儲、處理國家機密和企業祕密,嚴禁涉密移動存儲介質在涉密計算機和非涉密計算機及互聯網上交叉使用,切實落實資訊安全保密責任。加強與諮詢、開發合作單位的安全保密管理,簽署保密協議,嚴格對外部人員訪問的授權和審批,加強監管和備案。及時開展資訊系統安全保密檢查,做好涉密文檔的登記、存檔、銷燬、定密、解密等各環節工作,及時發現並堵塞泄密隱患。
3.7提高全員資訊安全意識
開展全員資訊安全培訓,全面樹立決策層、管理層、操作層資訊安全風險意識,不斷積累資訊安全管理經驗。開展不同層面的安全教育和培訓工作,適應資訊技術日新月異發展的潛在要求。充分利用電力系統科研單位和高校的資訊安全研發力量,加強企業內部專用隊伍對安全技術的支撐作用,提高電力系統資訊安全核心技術的創新、評估和認證能力。