电力信息安全保障体系建设探究(共6页).doc

《电力信息安全保障体系建设探究(共6页).doc》由会员分享，可在线阅读，更多相关《电力信息安全保障体系建设探究(共6页).doc（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上电力信息安全保障体系建设探究此文系我代笔，携稿潜逃，强烈谴责此种诈骗行为，不得好报【摘要】当今世界计算机技术发展迅速，电力企业各个方面的工作也在计算机技术的支持下得到了大幅度的提升，各个企业对于如何保障好信息的安全、管理好数字化电网、规避信息风险已经成为了企业发展十分重要和突出的问题。本文主要就我国当前的电力信息安全保障体系建设进行详细的分析探究，并提出一些电力行业信息安全体系建设的方案，希望本文能够对电力信息安全保障建设领域的发展起到一定的促进作用。【关键词】电力信息；安全保障体系；建设当前我国的互联网快速发展，但也遇到了黑客攻击这样重大的安全问题，黑客攻击的主要目

2、标是电信、电力以及政府，所以最近几年我国在大力的推行信息系统的等级保护政策，这使信息系统抵御风险的能力有了较大的提升，但在我国实际的电力信息安全保障体系建设的过程中，还存在着诸多的漏洞没有及时科学的进行处理。所以，对电力信息安全保障体系建设进行探究具有重要的现实意义。一、 信息安全的重要性信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，

3、其对信息安全的重点是有所区别的。我国电力系统在计算机的应用比较早的行业，信息技术的快速发展为电网调度、生产运行、资金管理、自动化的办公、网络营销提供了有力的保障和支撑。2012年初，国家电网颁布了最新版安全事故调查规程，首次将信息系统事件与人身、设备、电网事故一起列入了安全事故体系，并且进行了5-8级的详细定义。省公司确定了不发生五级信息系统事件的安全目标，如果本单位发生六级及以上信息事件，考核总分为0，可以说，电力部门对信息安全的重视程度达到了前所未有的高度。二、 电力信息系统安全风险分析对电力信息系统进行攻击的黑客可能来自内部，也可能来自于外部，风险存在于网络的两端。就电力行业的整体情况分

4、析，很大部分的问题来自于内部（据统计有80%的安全问题来自于内部攻击），我们可以把威胁大致分为两类：一是对网络中信息的威胁，二是对网络中设备的威胁。就电力行业来说，主要是保护数据的安全性，包含数据的存储、传输和处理的安全。电力信息网络安全中，应当把重点集中在网络信息安全系统和网络安全管理制度的建设，要防止黑客的恶意攻击对电力实时系统的干扰造成重大事故，保障电力系统稳定、安全、高效、经济的运行，同时确保系统中的信息安全，防止被盗和丢失。以下是笔者结合自己在电力信息安全保障领域的多年从业经验和查阅资料，总结的电力信息系统面临的风险和问题：电力信息系统面临的风险主要是以下几个方面： (1)用户标识获

5、取。暗中发现合法用户的身份信息，通常是用户名和口令 （2）病毒。一种自我复制、广泛传染，对计算机及其数据进行严重破坏的计算机程序。具有隐蔽性与随机性的特点 （3）后门。系统、程序漏洞，存在被人利用来控制、破坏系统的威胁 （4）社会工程攻击。利用人的心理进行攻击。 （5）非法使用。非授权使用计算机或网络资源 （6）拒绝服务。向电力数据网络或通信网关发送大量雪崩数据，造成拒绝服务电力信息系统面临的问题主要是以下几个方面： 1.电力信息系统内计算机网络设备不统一。电力信息系统自动化是现代计算机控制技术应用的一个重要领域。这一时期自动化存在的主要问题是系统结构、功能、通信协议等方面缺乏一个统一的工业标

6、准，不同厂家的设备不能互联。计算机与各设备的通信主要采用星型点对点连接，主要采用低速率的串，并行口通信方式，系统实时性不好，设备配置的灵活性较差。 2.缺乏管理规范。到目前为止，尚未建立一个统一的、符合电力行业特点的、权威的电力信息安全管理规范。 3.电力部门计算机系统的漏洞。不管使用哪一种操作系统，都存在大量已知和未知的安全漏洞，而这些漏洞可以导致入侵者获得管理员的权限，可以被用来实施对整体网络信息系统的攻击。 4.信息安全体系尚未建立。电力行业内存在缺乏计算机信息网络安全的意识、缺少完善的计算机数据备份系统，防护能力较弱的身份认证及过去大量使用的孤立局域网联成广域网后，使的整体网络的安全问

7、题大幅提高。三、 电力行业信息安全保障体系建设方案满足当前和未来电力行业发展需要的安全保障体系是电力行业信息安全保障体系建设首先需要考虑的问题。安全体系建设是一个整体的、系统的工程，不是简单的技术堆积，不是刻板的管理条例。在安全体系建设过程中我们必须以预防为主，管理与技术并行，相辅相成实现全面、高效、保密、完整、可用、可认证的一体化安全体系建设。笔者结合多年的电力行业信息安全保障体系建设的工作经验，对电力行业信息安全保障体系建设有如下方案。3.1 电力行业信息安全保障体系设计原则应该从主机防御、网络防御、应用程序防御等各分层建设纵深防御的安全体系，管理与技术双管齐下，做好应急响应工作。3.2

8、电力行业信息安全管理保障体系建设3.2.1 规章管理制度俗话说：“没有规矩，不成方圆”，建立科学的管理规章制度是为了明确每个人的责任，做到“流程管事，制度管人，规范管理”。每个月就制度的执行情况开一个会议，通报最近公司的信息安全情况、分析违规原因，分析总结经验不断完善规章制度。3.2.2 人员的教育培训人员管理是信息安全管理过程中最复杂的。首先，员工安全意识比较薄弱，不少员工表面上非常重视信息安全，而实际上安全工作是流于形式。其次，员工的技术水平参差不齐。所以，需要定期的对员工进行技术培训，并且上岗之前对其进行考核，保证每个技术人员持证上岗工作。3.3 信息安全技术防护体系建设3.3.1 网络

9、安全建设根据国家电力监管委员会电力二次系统安全防护规定，电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则，保障电力监控系统和电力调度数据网络的安全，对信息网络建设进行三层四区的安全防护。包含的技术：访问控制、防火墙、加密通信(VPN)、入侵防御等。3.3.2 终端安全建设边界防御虽然很好，但确不完善。比如，一旦有黑客攻破网关进入某个内部主机，黑客便可以随便攻击局域网内的其他主机。此外，网关只能防范外部攻击，不能防范来自内部的攻击。因此除了边界防御，还应该采取其他安全产品和技术来保护和管理内部的终端。信息安全是一个整体，任何一个点的薄弱都会使整体安全防御大打折扣，不仅

10、会让边界防御失去作用，而且还会影响电力系统的正常运营，给电力企业在经济、声誉等方面造成重大的负面影响。所以终端安全体系建设也同样非常重要。单一的终端产品中融合了恶意代码防御、主机防御攻击、防火墙、操作系统完整性保障等许多端点安全功能，对这些终端进行定期检查，升级和更新，从而提高其运行的安全和降低设备运行的成本。3.3.3 数据安全体系建设使用ORACLE 10g 网格网络计算技术实现数据处理中心的集群管理，实现IT架构的按需分配，软硬件资源实现共享，从而实现信息的共享。部署物理磁带库、虚拟磁带库，实现基于LAN的集中的数据管理、维护、共享的体系，能够适应多样的数据类型和复杂的多种环境，适应多种

11、备份需求，提高系统的扩展性要求。结语：综上所述，当下的电力系统已经广泛使用了信息技术，信息安全已经成为了企业生产经营管理的重要内容。信息安全任然面临着许多安全威胁，电网安全与信息安全息息相关，建立一个安全、可靠、稳定的电力信息安全保障体系是电力企业、安全部门以及全社会共同的责任。我们必须结合实际情况，研究信息安全各个要素之间的联系，不断进行管理创新和技术实践，建立一套高效、先进、维护方便、自动化程度高的信息安全保障体系，确保电力信息系统安全、稳定、可靠的运行。参考文献：1赵志宇.谈电力信息系统安全保障体系建设原则及思路J.计算机安全,2009(6).2赵玲,刘建华.电信网的信息安全保障模型研究J.西安邮电学院学报.2009,14(3):11-14.3沈昌祥.关于加强信息安全保障体系的思考M.武汉:湖北科学技术出版社.2002.4关良辉.电力企业局域网的信息安全J.电力安全技术,2010(6).专心-专注-专业