??????? 摘? 要： 隨著Internet的迅速發展，信息安全問題面臨新的挑戰。電力系統信息安全問題已威脅到電力系統的安全、穩定、經濟、優質運行，影響著“數字電力系統”的實現進程。研究電力系統信息安全問題、開發相應的應用系統、制定電力系統信息遭受外部攻擊時的防范與系統恢復措施等信息安全戰略是當前信息化工作的重要內容。電力系統信息安全已經成為電力企業生產、經營和管理的重要組成部分。
??????? 本文總結了目前我國電力企業信息化的優勢特征，列舉了電力企業網絡信息管理存在的主要問題，對問題的成因進行深入分析，并提出了一系列可行性較強的加強電力企業網絡信息安全的建議和方法，對建立長效機制，使電力企業網絡信息安全管理成為企業安全文化的重要組成部分，提出了比較切實有效的思路。
??????? 關鍵詞: 電力企業信息化；網絡信息安全管理
??????? 前言
??????? 信息技術在電力企業的生產運行中發揮著重要作用，特別是隨著廠網分開、電力市場構建，電力企業已建立起龐大復雜的調度數據網和綜合信息網，計算機網絡信息系統成為企業日益重要的技術支持系統。信息安全所面臨的危險同時滲透到電力企業生產、經營的各個方面。電力企業調度數據網和綜合信息網在物理上實現隔離，在一定程度上保證了調度數據網的安全運行，避免受到來自綜合信息網的可能的攻擊；然而，財務、營銷、客戶管理等系統的網絡信息安全還相當薄弱。網絡信息安全已成為影響電力安全生產的重大問題。
??????? 電力系統信息安全是電力系統安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠、站自動化、配電網自動化、電力負荷控制、電力市場交易、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。結合電力工業特點，電力工業信息網絡系統和電力運行實時控制系統，分析電力系統信息安全存在的問題，電力系統信息沒有建立安全體系，只是購買了防病毒軟件和防火墻。有的網絡連防火墻也沒有，沒有對網絡安全做統一長遠的歸劃。網絡中有許多的安全隱患。
??????? 由于近十幾年計算機信息技術高速發展，計算機信息安全策略和技術也取得了非常大的進展。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大，對新出現的信息安全問題認識不足。
??????? 電力系統雖然對計算機安全一直非常重視，但由于各種原因，目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。
??????? 急需建立同電力行業特點相適應的計算機信息安全體系。近幾年來，計算機在整個電力系統的生產、經營、管理等方面應用越來越多。但是，在計算機安全策略、安全技術、和安全措施投入較少。所以，為保證電力系統安全、穩定、高效運行，應建立一套結合電力計算機應用特點的計算機信息安全體系。
??????? 計算機網絡化使過去孤立的局域網在聯成廣域網后，面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網，并沒有同外界連接。所以，早期的計算機安全只是防止意外破壞或者內部人員的安全控制就可以了，但現在就必須要面對互聯網上各種安全攻擊，如網絡病毒和電腦“黑客”等。
??????? 然而，人是信息安全中的關鍵因素，同時人也是信息安全中最薄弱的環節。當網絡中的硬件和軟件技術處于時代發展主流水平，升級系統已不能明顯提升網絡信息安全水平時，信息系統的安全往往取決于系統中最薄弱的環節：人。
??????? 經常聽到這樣的信息：病毒、蠕蟲造成了嚴重的破壞，黑客獲取了信用卡的信息，大型網站主頁被黑等等。人們普遍認為這是由于企業沒有安裝安全產品（如防火墻、入侵檢測系統等）造成的，而實際上有許多是由于安全管理沒有有效實施造成的。安全管理是信息安全的核心。
??????? 一、我國電力企業信息化發展的優勢特征
??????? 近十幾年來，我國電力企業信息化得到長足發展，同時由于電力生產運行的特殊行業特點，在網絡信息安全方面具有相對其他行業更具優勢的特征。
??????? （一）信息化基礎設施相對完善
??????? 電力行業相比其他行業的信息化進程較為領先。各電力公司本部主要崗位工作人員使用計算機的比率接近100%，各省電力公司本部局域網覆蓋本部機關業務工作達90%以上。
??????? （二）電力生產、調度自動化系統應用成熟
??????? 發電生產自動化監控系統的廣泛應用大大提高了生產過程自動化水平。提高電力調度自動化水平、提高電網運行質量是電網企業信息化建設的重點方向。目前省電力調度機構全部建立了SCADA系統，電網的三級調度100%實現了自動化。我國電廠、電力調度的自動化水平達到國際先進水平。
??????? （三）電力營銷管理系統得到廣泛應用
??????? 各省電力公司普遍建立了用電管理信息系統，地（市）級供電企業基本實現業務受理的計算機化。各地供電部門積極進行客戶服務中心的建設，一批供電客戶服務呼叫中心初步建立起來。
??????? （四）管理信息系統的建設與應用逐漸推進
??????? 國家電網公司所屬各級分、子公司積極開展管理信息系統的建設，開發了生產、設備、安全監督、電力負荷、營銷管理等企業管理信息系統，實現了辦公環境網絡化和計算機化。各發電集團公司也把企業信息化建設放到重要位置，重新規劃企業信息化發展藍圖，借助信息化改造和推動電力工業現代化。
??????? 二、目前電力企業網絡信息安全管理存在的主要問題
??????? 雖然具備以上優勢特征，電力企業在網絡信息安全管理方面仍然存在較多問題。
??????? （一）信息化機構建設尚需進一步健全
??????? 信息部門未受到應有的重視。信息部門在電力公司沒有專門機構配置，沒有規范的建制和崗位，信息部門附屬在生產技術部下，有的作為設在科技部下的科室，有的設在總經理工作部門下，還有的僅設一個"信息化專責"人員。信息化作為一項系統工程，需要專門的機構來推動和企業各個部門的配合。這種狀況勢必不能適應信息化對人才、機構的要求。
??????? （二）企業管理革新滯后于信息化發展進程
??????? 相對于信息技術的發展與應用，電力企業管理革新處于落后狀況，有的企業引入了先進的業務系統、管理系統，而管理模式未能實施有效革新，最終導致了信息系統未能發揮預期的、應有的作用。
??????? （三）網絡信息安全管理需要成為企業安全文化的重要組成部分
??????? 電力信息網絡已經深入到電力生產和管理的全過程，涉及電力生產的各個層面，電力生產與管理對其依賴性日益增大。目前，在電力企業安全文化建設中，信息安全管理仍然處于從屬地位，需要進行不斷努力，使之成為企業安全文化的中堅力量。
??????? （四）網絡信息安全風險的存在
??????? 電力企業網絡信息安全與一般企業網絡信息同樣具備多方面的安全風險，主要表現在以下幾方面：
??????? 1. 網絡結構不合理
??????? 電力企業依據有關規定將網絡分為內網和外網，內外網實行物理隔離，但網絡結構都存在著一些不合理的地方。常見的有：核心交換機選擇不合理。不少企業網絡的核心交換機是一臺二層交換機，這樣，所有網絡用戶在網絡中的地位將是平等的，安全問題只有通過應用系統去解決。
??????? 2. 來自互聯網的風險
??????? 幾乎所有電力企業網絡都以各種方式與互聯網連接，企業用戶可以直接訪問互聯網的資源，這給企業職工帶來很大方便；同樣任何能上互聯網的用戶也可以訪問企業網絡的資源，這對宣傳企業、擴大企業的影響和知名度很有好處。但是，在帶來方便的同時，也帶來安全風險。
??????? 3. 來自企業內部的風險
??????? 對于電力企業網絡來說，來自內部的風險是非常主要的安全風險。內部人員（特別是網絡管理人員）對網絡結構、應用系統都非常熟悉，不經意之間泄露的重要信息，都將可能成為導致系統受攻擊的最致命的安全威脅。
??????? 4. 病毒的侵害
??????? 計算機病毒對計算機網絡的影響是災難性的。電子郵件系統的廣泛使用，使計算機病毒的擴散速度大大加快，網絡成了病毒傳播的最好途徑，電力企業網絡同樣難以幸免。因此，計算機病毒成為企業網絡最嚴重的安全風險之一。
??????? 5. 管理人員素質風險
??????? 許多電力企業網絡都存在重建設、重技術、輕管理的傾向。實踐證明，安全管理制度不完善、人員素質不高是網絡風險的重要來源之一。比如，網絡管理員配備不當、企業員工安全意識不強、用戶口令設置不合理等，都會給信息安全帶來嚴重威脅。
??????? 6. 系統的安全風險
??????? 系統的安全風險主要指操作系統、數據庫系統和各種應用系統所存在的安全風險。目前不少企業網絡使用的操作系統仍然是以Windows系列操作系統為主。不管使用哪一種操作系統都存在大量已知和未知的漏洞，這些漏洞可以導致入侵者獲得管理員的權限，可以被用來實施拒絕服務攻擊。