关于电力企业构筑安全网的思考

孙伟

【摘 要】我国国民经济的重要支柱产业是电力工业，电力工业的安全问题就显得至关重要，它直接关系到各行各业的发展和人民的生活水平。从近年来电力行业发生的大的安全事件看，绝大多数都造成了严重的经济损失和人员伤亡。客观分析这些事件发生的原因并科学制定防范措施，才能避免类似事件的发生。这些安全问题，在某种程度上都可以归结为信息安全管理。因此，要构筑电力企业坚固的信息安全网，必须加强电力系统的信息安全管理工作。具体说，应该从以下几方面构筑电力企业的安全网。

【关键词】电力企业；安全；策略；风险评估

一、实施安全教育是构筑电力企业安全网的前提

安全教育主要是指安全意识和相关技能的教育，这是电力企业信息安全管理的重要内容。从一定意义上说，电力企业安全管理被理解的程度和被执行的效果就取决于能否确保安全教育顺利贯彻实施，二者的关系十分密切。

电力企业的安全教育不可一概而论，应按照各级管理人员、技术人员、一般员工三个层次进行，这样才能保证电力企业信息安全的成功和有效。因此，电力企业高级管理部门在安全教育具体实施过程中，应参照如下层次进行：

第一，对主管信息安全工作的高级负责人或各级管理人员，重点进行企业信息安全的整体策略与目标、信息安全体系的构成、安全管理部门的建立与管理制度的制定等的教育。第二，对负责信息安全运行管理及维护的技术人员，重点进行信息安全管理策略、安全评估的基本方法、安全操作与维护技术的合理运用等的教育。第三，对一般员工，要重点进行各种安全操作流程及与其相关的安全策略，包括自身应该承担的安全职责等的教育。需要强调的是，电力企业的信息安全教育应贯穿于整个企业文化体系之中，必须定期、持续地进行，不可以搞突击。

二、高层领导支持是构筑电力企业安全网的关键

电力企业要科学制定并顺利执行安全实施，一个重要基础就是组织保证体系，这就是高层领导的支持。安全措施是否科学合理，能否得以顺利执行，需要有一套了解掌握企业状况、掌握信息安全技术手段的领导班子，从而形成电力企业信息安全的决策层、管理层、执行层等基础机构，确保人员的配置、安全责任制的落实。纵观我国电力企业的领导机构，应该说，都确立了以企业党政“一把手”为领导的组织体系。这为构筑电力企业的安全网提供了组织保证。

三、科學制定安全策略是构筑电力企业安全网的的基础

电力企业的安全策略包括的内容很广，主要包括：分区防护、实现两类隔离、识别和保护网络接口边界、关闭不必要的服务和协议、制定完善的备份与恢复等策略。这些安全策略的具体内容是：

第一，分区防护。根据我国电力企业的具体特点、目前状况以及安全要求等，分区防护可分为实时控制区、非控制生产区、生产管理区、管理信息区四个安全工作区，将所有业务系统都置于相应的安全区内，并重点保护实时控制系统及生产业务系统。第二，两类隔离。其中，一类是制定电力监控系统与办公自动化系统以及管理信息系统的有效物理隔离措施；二是制定电力调度数据专用网络与综合信息网络和因特网的有效物理隔离措施。第三，识别与保护网络接口边界。这是指通过识别电力网络接口边界，从而断开不必要的接口，旨在防止跨多网接口通道的存在，实现对剩余接口的安全保护。第四，关闭不必要的服务和协议。通过合理地设置电力系统网络与主机系统的配置、服务、权限，关闭不必要的服务和协议，禁止使用默认配置，减少安全漏洞，尤其要及时更新系统的安全补丁，消除系统的内核漏洞与后门。第五，制定完善的备份与恢复策略。这个策略主要是对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。其中，对关键主机设备、网络的设备与部件要进行相应的热备份与冷备份，以避免单点故障影响系统可靠性。在具备条件的前提下，还要对实时控制系统、电力市场交易系统，进行异地的数据与系统备份，提供系统的容灾功能，从而保证在灾难情况下系统业务的连续性。

四、定期进行风险评估是构筑电力企业安全网的途径

安全风险评估是科学分析目前我国电力企业现有的网络框架、核心路由器、交换机、数据库服务器、邮件服务器、应用服务器、业务流程以及安全策略的安全漏洞、安全威胁和潜在影响等，旨在提出科学合理的安全建议，从而保证系统资产的机密性、完整性和可用性等基本安全属性，根据评估的结果采取相应的安全控制措施，并及时调整电力企业的安全策略。信息安全的动态变化特征，决定了只有定期进行安全风险评估，才能发现和防范电力企业最新的安全风险，这也是决定安全风险评估必然是一个长期持续的工作的主要原因。目前，我国电力企业的安全风险评估还有待进一步完善，以逐渐实现制度化和规范化。

五、完善安全制度是构筑电力企业安全网的保障

电力企业要切实增加企业的风险承受能力，仅依赖技术手段是远远不够的，要弥补技术手段的不足，还需要制定完善的安全管理制度。需要指出的是，在制定安全管理制度过程中，必须参考相关的国际安全标准、国家安全标准和安全法规政策等。

从共性上说，电力企业的安全制度包括安全管理制度和安全技术制度。安全管理制度应该包括机房管理、防病毒系统的维护与使用、数据备份中心与灾难恢复、防火墙管理、IDS管理、安全事件应急处理、认证中心机房管理、信息发布管理等制度；电力企业的安全技术制度主要包括安全评估与加固规范、CA中心的建设规范、软件安全开发规范等。在各种安全管理制度和规范正式发布后，还应该建立一套培训机制，经常组织员工学习，从而确保制度的顺利贯彻执行。