搜索
浅析电力行业信息安全管理作者:刘诚来源:安全管理网点击:1840评论:0更新日期:2012年09月06日摘要:随着Internet的迅速发展,信息安全问题面临新的挑战。电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着“数字电力系统”的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。本文总结了目前我国电力企业信息化的优势特征,列举了电力企业网络信息管理存在的主要问题,对问题的成因进行深入分析,并提出了一系列可行性较强的加强电力企业网络信息安全的建议和方法,对建立长效机制,使电力企业网络信息安全管理成为企业安全文化的重要组成部分,提出了比较切实有效的思路。关键词:电力企业信息化;网络信息安全管理前言信息技术在电力企业的生产运行中发挥着重要作用,特别是随着厂网分开、电力市场构建,电力企业已建立起庞大复杂的调度数据网和综合信息网,计算机网络信息系统成为企业日益重要的技术支持系统。信息安全所面临的危险同时渗透到电力企业生产、经营的各个方面。电力企业调度数据网和综合信息网在物理上实现隔离,在一定程度上保证了调度数据网的安全运行,避免受到来自综合信息网的可能的攻击;然而,财务、营销、客户管理等系统的网络信息安全还相当薄弱。网络信息安全已成为影响电力安全生产的重大问题。电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。结合电力工业特点,电力工业信息网络系统和电力运行实时控制系统,分析电力系统信息安全存在的问题,电力系统信息没有建立安全体系,只是购买了防病毒软件和防火墙。有的网络连防火墙也没有,没有对网络安全做统一长远的归划。网络中有许多的安全隐患。由于近十几年计算机信息技术高速发展,计算机信息安全策略和技术也取得了非常大的进展。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。电力系统虽然对计算机安全一直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。急需建立同电力行业特点相适应的计算机信息安全体系。近几年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术、和安全措施投入较少。所以,为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在就必须要面对互联网上各种安全攻击,如网络病毒和电脑“黑客”等。然而,人是信息安全中的关键因素,同时人也是信息安全中最薄弱的环节。当网络中的硬件和软件技术处于时代发展主流水平,升级系统已不能明显提升网络信息安全水平时,信息系统的安全往往取决于系统中最薄弱的环节:人。经常听到这样的信息:病毒、蠕虫造成了严重的破坏,黑客获取了信用卡的信息,大型网站主页被黑等等。人们普遍认为这是由于企业没有安装安全产品(如防火墙、入侵检测系统等)造成的,而实际上有许多是由于安全管理没有有效实施造成的。安全管理是信息安全的核心。一、我国电力企业信息化发展的优势特征近十几年来,我国电力企业信息化得到长足发展,同时由于电力生产运行的特殊行业特点,在网络信息安全方面具有相对其他行业更具优势的特征。(一)信息化基础设施相对完善电力行业相比其他行业的信息化进程较为领先。各电力公司本部主要岗位工作人员使用计算机的比率接近100%,各省电力公司本部局域网覆盖本部机关业务工作达90%以上。(二)电力生产、调度自动化系统应用成熟发电生产自动化监控系统的广泛应用大大提高了生产过程自动化水平。提高电力调度自动化水平、提高电网运行质量是电网企业信息化建设的重点方向。目前省电力调度机构全部建立了SCADA系统,电网的三级调度100%实现了自动化。我国电厂、电力调度的自动化水平达到国际先进水平。(三)电力营销管理系统得到广泛应用各省电力公司普遍建立了用电管理信息系统,地(市)级供电企业基本实现业务受理的计算机化。各地供电部门积极进行客户服务中心的建设,一批供电客户服务呼叫中心初步建立起来。(四)管理信息系统的建设与应用逐渐推进国家电网公司所属各级分、子公司积极开展管理信息系统的建设,开发了生产、设备、安全监督、电力负荷、营销管理等企业管理信息系统,实现了办公环境网络化和计算机化。各发电集团公司也把企业信息化建设放到重要位置,重新规划企业信息化发展蓝图,借助信息化改造和推动电力工业现代化。二、目前电力企业网络信息安全管理存在的主要问题虽然具备以上优势特征,电力企业在网络信息安全管理方面仍然存在较多问题。(一)信息化机构建设尚需进一步健全信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,信息部门附属在生产技术部下,有的作为设在科技部下的科室,有的设在总经理工作部门下,还有的仅设一个信息化专责人员。信息化作为一项系统工程,需要专门的机构来推动和企业各个部门的配合。这种状况势必不能适应信息化对人才、机构的要求。(二)企业管理革新滞后于信息化发展进程相对于信息技术的发展与应用,电力企业管理革新处于落后状况,有的企业引入了先进的业务系统、管理系统,而管理模式未能实施有效革新,最终导致了信息系统未能发挥预期的、应有的作用。(三)网络信息安全管理需要成为企业安全文化的重要组成部分电力信息网络已经深入到电力生产和管理的全过程,涉及电力生产的各个层面,电力生产与管理对其依赖性日益增大。目前,在电力企业安全文化建设中,信息安全管理仍然处于从属地位,需要进行不断努力,使之成为企业安全文化的中坚力量。(四)网络信息安全风险的存在电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险,主要表现在以下几方面:1.网络结构不合理电力企业依据有关规定将网络分为内网和外网,内外网实行物理隔离,但网络结构都存在着一些不合理的地方。常见的有:核心交换机选择不合理。不少企业网络的核心交换机是一台二层交换机,这样,所有网络用户在网络中的地位将是平等的,安全问题只有通过应用系统去解决。2.来自互联网的风险几乎所有电力企业网络都以各种方式与互联网连接,企业用户可以直接访问互联网的资源,这给企业职工带来很大方便;同样任何能上互联网的用户也可以访问企业网络的资源,这对宣传企业、扩大企业的影响和知名度很有好处。但是,在带来方便的同时,也带来安全风险。3.来自企业内部的风险对于电力企业网络来说,来自内部的风险是非常主要的安全风险。内部人员(特别是网络管理人员)对网络结构、应用系统都非常熟悉,不经意之间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。4.病毒的侵害计算机病毒对计算机网络的影响是灾难性的。电子邮件系统的广泛使用,使计算机病毒的扩散速度大大加快,网络成了病毒传播的最好途径,电力企业网络同样难以幸免。因此,计算机病毒成为企业网络最严重的安全风险之一。5.管理人员素质风险许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等,都会给信息安全带来严重威胁。6.系统的安全风险系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前不少企业网络使用的操作系统仍然是以Windows系列操作系统为主。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施拒绝服务攻击。三、电力企业网络信息安全管理问题的成因分析(一)安全意识淡薄是网络信息安全的瓶颈企业人员忙于利用网络工作学习,对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏洞状态。从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。(二)运行管理机制的缺陷和不足制约了安全防范的力度从目前的运行管理机制来看,有以下几方面的缺陷和不足。1.网络安全管理方面人才匮乏由于技术应用的扩展,技术的管理也应同步扩展,但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。2.安全措施不到位配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时,许多用户的系统不进行同步升级,原因是管理者未充分意识到网络不安全的风险所在,未引起重视。3.缺乏综合性的解决方案大多数用户缺乏综合性的安全管理解决方案,稍有安全意识的用户依赖升级防火墙和加密技术,产生虚假的安全感。实际上,一次性使用一种方案并不能保证系统永远安全,网络安全问题远远不是防毒软件和防火墙能够解决的,也不是大量标准安全产品简单堆砌就能解决的。四、网络信息安全管理的内容安全管理包括风险管理、安全策略和安全教育。这3个组件是企业安全规划的基础。(一)风险管理识别企业的信息资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险、避免风险、转嫁风险、接受风险等多种风险管理方式来协助管理部门制定企业信息安全策略。(二)安全策略随着企业规模、业务发展、安全需求的不同,信息安全策略可能各有不同。但是安全策略都应该简单清晰、通俗易懂并直接反映主题,避免含糊不清的情况出现。信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档,广泛发布到企业所有员工手中。(三)安全教育信息安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。安全管理通过适当地识别企业的信息资产,评估信息资产的价值,制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信息资产的完整性、机密性、可用性,通过安全教育形成企业安全文化的重要组成部分,保障安全管理的顺利实现。五、加强电力企业网络信息安全管理的建议(一)重视安全规划企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。这可以参照国际上通行的一些标准来实现,如:BS7799、ISO17799、ISO15408等。(二)合理划分安全域电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域。重点防范的区域是网络安全的核心,这部分区域是一般用户不能直接访问的区域,有很高的安全级别。各种重要数据、服务器、数据库服务器应当放置在该区域,各种应用系统、OA系统等在该区域运行。(三)加强安全管理,重视制度建设为保证企业网络信息安全,要把企业网络信息安全作为一个系统工程来考虑。因此,企业网络的安全问题,安全管理和制度建设非常重要(特别是内网)。现提出如下建议:1.加强日志管理与安全审计一般的防火墙与入侵检测系统都具备审计功能,要充分利用它们的审计功能,作好网络的日志管理和安全审计工作。对审计数据要严格管理,不允许任何人修改、删除审计记录。2.建立内网的统一认证系统认证是