浅谈电力信息安全分析及其措施

武晓磊 刘磊

【摘 要】近年来，随着我国电力企业信息化的快速发展，信息网络带来的安全防范问题也逐渐较多，电力信息网络的安全也成为了人们所关注的重点。电力企业信息网络对大型企业来讲已经成为了不可缺少的一部分，加强信息网络也给企业带来更高的价值。本文就对电力信息存在的安全问题进行分析，同时提出相应的改进措施。

【关键词】电力企业;信息;安全;措施

随着Internet的飞速发展，计算机网络已广泛应用于电力企业的各个方面，信息化网络承载了电力企业财务、物资、用电、生产、劳资、安全监察、电网调度信息等子系统和业务综合信息查询、办公自动化、WEB、E-mail系统等应用。尤其在电网调度、厂站自动控制、管理信息系统、电力营销系统、电力负荷管理、人力资源以及教育培训等方面取得了较好的应用效果，在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益。然而，基于Internet的电力信息系统是一个开放性的、非可信的网络，一旦遭受破坏，其影响或损失也十分巨大，严重影响了信息系统的安全运行和对社会的可靠性。结合电力工业特点，分析电力企业信息安全存在的问题，对信息安全做统一长远的规划，是当前电力企业信息化工作的重要内容。

1、电力信息化应用和发展

目前电力企业信息化建设硬件环境已经基本构建完成，硬件设备数量和网络建设状况良好，在电力生产、电力调度、输变电、配网自动化等关键环节已大部分实施了信息化。在网络硬件方面，基本上已经实现千兆骨干网，百兆交换到桌面，三层交换，VLAN，MPLS等技术也在普及使用。在软件方面，应用主要包括电网（国调、网、省、地市以及县级）调度自动化系统、电力市场技术支持系统、用电营销信息系统、配网自动化以及企业ERP等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用，尤其在电网调度自动化、厂站自动控制、管理信息系统、电力市场技术支持系统、电力营销系统、办公自动化系统、财务管理信息系统、客户服务支持系统、电力负荷管理、计算机辅助设计、科学计算以及教育培训等方面取得了较好的应用效果，在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益，同时也逐步健全和完善了信息化管理机制，培养和建立了一支强有力的技术队伍，有力促进了电力工业的发展。

2、电力信息网安全现状分析

电力系统信息安全是电力系统安全运行和对社会可靠供电的保障，是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。电力信息化的发展使电力生产、经营很多环节完全依赖电力信息网的正常运行与否，如电网调度自动化系统对无人值班变电所的运行影响，用电营销信息系统对电费回收的影响等。结合电力生产特点，从电力信息系统和电力运行实时控制系统两个方面，分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系，将电力信息网络和电力运行实时控制网络进行隔离，网络间设置了防火墙，购买了网络防病毒软件，有了数据备份设备。但电力信息网络的安全是不平衡的，很多单位没有网络防火墙，没有数据备份的观念，更没有对网络安全做统一、长远的规划，网络中有许多的安全隐患。

3、电力信息网络的安全防范措施

3.1不断完善信息安全管理制度体系

统筹规划，突出重点，加快信息安全管理制度和标准规范建设步伐，强化信息安全规章制度落实工作，尽快编制电力企业有关实施意见，明确电力信息系统安全重大任务和重要项目，统筹规划电力企业信息安全工作。落实电力信息系统分区安全策略，有效指导各企业信息安全防护设施新建和更新工作，规范信息事故发生后的调查处理，加强信息安全事件监督。尽快出台电力信息系统安全体系建设规范，加强身份认证、授权管理和跟踪审计工作。抓紧研究和编制灾难恢复系统建设规范，确定灾难恢复策略，统筹规划各企业灾难恢复系统建设。

3.2加强电力信息网安全教育

安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。為了保证安全的成功和有效，高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性：1）主管信息安全工作的高级负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。2）负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。3）信息用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。当然，对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并容纳到整个企业文化体系中才是最根本的解决办法。

3.3加快信息安全技术管控手段建设

一是加强身份认证。在电力企业内网中，各用户要凭各自的口令（密码）进入到计算机系统中进行操作。用户要保管好自己的用户名和密码，使口令达到系统管理的要求和规定。二是要选择合适的漏洞扫描系统。扫描网络系统的各个端口，侦测漏洞，并对漏洞进行分析，找出可能被黑客利用的漏洞。从而能有效的解决软件自身的缺陷所造成的危害。有效的提高网络安全等级。三是合理的配置防火墙。防火墙是确保电力系统网络安全的首要选项。防火墙类型主要包括包过滤防火墙、代理防火墙和双穴防火墙。针对电力系统的实际，选择合适的防火墙并做好定期的升级工作。三是要把电力信息网的不同区域隔离。设置物理隔离装置。防止黑客的攻击。同时要在电力网络安装入侵检测系统和网络隐患扫描系统。全天侯的对电力信息安全进行检测。四是为了预防意外的破坏造成信息丢失和网络瘫痪，有必要事先做好网络信息和系统的备份。电力企业要建立数据备份中心，对电力信息数据和系统进行定期的备份。要制定数据库故障恢复预案经常演练，使其能在各种自然灾害导致系统瘫痪时能快速的恢复。

3.4政府系统保护

没有百分之百安全的技术和防护系统黑客技术，计算机病毒等信息安全攻击技术在不断发展的，人们对它们的认识，掌握也不是完全的，安全防护软件系统由于技术复杂，在研制开发过程中不可避免的会出现这样或者那样的问题，这势必决定了安全防护系统和设备不可能百分百的防御各种已知的，未知的信息安全威胁。企业的信息化应用是随着企业的发展而不断发展的，信息技术更是日新月异的发展的，安全的需求也是逐步变化的，新的安全问题也不断产生，原来建设的防护系统可能不满足新形势下的安全需求，这些都决定了信息安全是一个动态过程，需要定期对信息网络安全状况进行评估，改进安全方案，调整安全策略。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。

4、结语

由于Internet的多样性和互连性，单一的信息技术已经无法解决电力企业信息安全问题。电力系统信息安全是一个系统的、全局的管理问题，我们必须从综合整体的角度看待、分析，综合各种高科技手段和信息安全技术，采取多级安全措施制定出合理的信息安全体系结构，才能形成信息安全问题的最终一体化解决方案，以适应电力企业信息网络化的要求。

参考文献：

[1]李涛.网络安全概论[M].北京：电子工业出版社，2016.

（作者单位：中共国网山西省电力公司党校）