公務(wù)員期刊網(wǎng) 論文中心 正文

電力企業(yè)信息安全管理策略

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電力企業(yè)信息安全管理策略范文,希望能給你帶來靈感和參考,敬請閱讀。

電力企業(yè)信息安全管理策略

摘要:隨著信息技術(shù)與電力行業(yè)的深度融合,一定程度上提高了電力企業(yè)的生產(chǎn)經(jīng)營效率和管理水平。但由于存在信息管理問題和網(wǎng)絡(luò)問題,對電力企業(yè)信息安全造成巨大威脅。本文通過分析當(dāng)前電力企業(yè)信息安全管理存在的問題,針對性地提出了信息安全管理策略,以期為電力系統(tǒng)正常運(yùn)行提供保障。

關(guān)鍵詞:電力企業(yè);信息安全;企業(yè)管理策略

0引言

電力是國民經(jīng)濟(jì)的命脈,對社會生產(chǎn)生活起著積極地推動作用。隨著信息技術(shù)的不斷發(fā)展,電力企業(yè)的信息化水平得到提高,一定程度上提高了電力企業(yè)的生產(chǎn)經(jīng)營效率、管理水平以及市場競爭力。但是,信息的收集處理、交換傳輸以及共享等離不開互聯(lián)網(wǎng)技術(shù)的支持,而互聯(lián)網(wǎng)本身存在很大的自由性和不確定性,對電力企業(yè)信息安全造成巨大威脅。同時(shí)也為一些不法分子提供了可乘之機(jī),使得其通過竊取或篡改重要的信息數(shù)據(jù),以獲取經(jīng)濟(jì)利益或達(dá)到破壞電力系統(tǒng)正常運(yùn)行的目的。因此,為了保證電力系統(tǒng)正常運(yùn)行,加強(qiáng)電力企業(yè)信息系統(tǒng)管理力度很有必要,也有助于推動電力企業(yè)信息化進(jìn)一步發(fā)展。

1電力企業(yè)信息安全管理內(nèi)容

電力企業(yè)信息安全管理主要包括安全策略、風(fēng)險(xiǎn)管理和安全教育三方面,其中安全策略屬于電力企業(yè)信息安全管理的最高方針,在制定安全策略時(shí)需要電力企業(yè)根據(jù)自身的發(fā)展規(guī)模、安全需求、業(yè)務(wù)特點(diǎn)等綜合考慮,最終確保形成的書面材料通俗易懂、簡單明了,便于信息安全管理人員實(shí)施操作;風(fēng)險(xiǎn)管理屬于電力企業(yè)信息安全管理的對策建議,主要是對影響信息安全的風(fēng)險(xiǎn)因素進(jìn)行識別、評估和防控,可以事先假定存在某方面的風(fēng)險(xiǎn),然后通過有效規(guī)避風(fēng)險(xiǎn)、合理轉(zhuǎn)嫁風(fēng)險(xiǎn)、科學(xué)降低風(fēng)險(xiǎn)和適度接受風(fēng)險(xiǎn)等手段來盡量降低信息風(fēng)險(xiǎn)給企業(yè)帶來的經(jīng)濟(jì)損失;安全教育的目的是確保信息安全管理的有效執(zhí)行,可以通過信息安全培訓(xùn)的方式直接對企業(yè)信息安全管理人員進(jìn)行信息安全教育,使其了解信息安全管理策略,掌握信息風(fēng)險(xiǎn)防控對策,將信息安全管理的內(nèi)容內(nèi)化于心、外化于形,同時(shí)將信息安全管理納入企業(yè)文化建設(shè)當(dāng)中。

2電力企業(yè)信息化發(fā)展特征

2.1基礎(chǔ)設(shè)施建設(shè)完善

電力企業(yè)經(jīng)過多年的信息化發(fā)展,與傳統(tǒng)的其他行業(yè)相比,信息化建設(shè)水平相對較高,計(jì)算機(jī)普及率高達(dá)100%,局域網(wǎng)覆蓋率達(dá)到90%以上,從管理人員到一線具體操作人員均對計(jì)算機(jī)技術(shù)有所了解和掌握。

2.2自動化系統(tǒng)建設(shè)成熟

信息技術(shù)在電力企業(yè)日常生產(chǎn)經(jīng)營活動中的廣泛應(yīng)用,使得生產(chǎn)自動化系統(tǒng)建設(shè)較為成熟,極大地提高了生產(chǎn)效率。目前多數(shù)電力企業(yè)采用更為先進(jìn)的SCADA系統(tǒng),電網(wǎng)三級調(diào)度也完全實(shí)現(xiàn)了自動化目標(biāo),成為引領(lǐng)全球電力調(diào)度的航標(biāo)。

2.3營銷管理系統(tǒng)完善

盡管電力行業(yè)屬于國家的民生工程,享受國家的補(bǔ)貼政策,但仍然需要面對市場的殘酷競爭,信息技術(shù)與營銷管理系統(tǒng)的有機(jī)融合,進(jìn)一步完善了營銷管理系統(tǒng),實(shí)現(xiàn)了用電管理、業(yè)務(wù)受理、客戶服務(wù)等信息化,為電力企業(yè)開展?fàn)I銷活動注入了新的活力。

2.4管理信息系統(tǒng)建設(shè)穩(wěn)步推進(jìn)

電力企業(yè)在管理信息系統(tǒng)建設(shè)過程中,相繼開發(fā)出滿足生產(chǎn)、營銷、設(shè)備、安全等管理要求的各種信息系統(tǒng),實(shí)現(xiàn)了各個(gè)層面上的管理系統(tǒng)信息化建設(shè),改善了企業(yè)工作環(huán)境,推動了企業(yè)現(xiàn)代化發(fā)展。

3電力企業(yè)信息安全管理存在的問題

3.1機(jī)構(gòu)設(shè)置不完善

當(dāng)前很多電力企業(yè)的領(lǐng)導(dǎo)層都沒有對信息安全管理引起足夠的重視,在機(jī)構(gòu)建置上沒有設(shè)置專門的信息安全管理部門和科學(xué)合理的信息安全管理崗位,缺乏專業(yè)技能良好、綜合素質(zhì)較高的復(fù)合型管理人才,更沒有嚴(yán)格的管理制度保障信息安全管理工作的順利開展。即使有些電力企業(yè)設(shè)置了信息安全管理部門,但也被規(guī)劃進(jìn)科技部或總經(jīng)理部門下管理,工作缺乏獨(dú)立性,不利于與企業(yè)的其他部門進(jìn)行協(xié)作配合,嚴(yán)重影響電力企業(yè)信息化建設(shè)。

3.2管理地位不高

電力企業(yè)信息貫穿于生產(chǎn)、經(jīng)營、管理的全過程,涉及的內(nèi)容點(diǎn)多面廣,對互聯(lián)網(wǎng)技術(shù)依賴程度不斷增強(qiáng)。但信息安全管理沒有納入企業(yè)文化建設(shè)中,只是作為一種長期管理、經(jīng)營過程中形成的特定安全文化獨(dú)立于企業(yè)文化之外,與企業(yè)文化是一種附屬關(guān)系,而不是將信息安全管理看作是企業(yè)文化的重要組成部分,這樣就降低了信息安全管理的地位,影響了信息安全管理的實(shí)施力度,阻礙了電力企業(yè)信息化發(fā)展。

3.3管理水平偏低

多數(shù)電力企業(yè)的管理水平較低,管理工作流于形式,工作成效偏低,跟不上自身信息化建設(shè)的進(jìn)程,導(dǎo)致信息系統(tǒng)不能有效發(fā)揮應(yīng)有的作用。雖然部分電力企業(yè)在推進(jìn)信息化建設(shè)中引入了先進(jìn)的管理系統(tǒng)與業(yè)務(wù)系統(tǒng),但由于管理模式滯后,開展的管理活動缺少深度,實(shí)效性不強(qiáng),嚴(yán)重影響對信息化管理的及時(shí)優(yōu)化和革新,使得信息系統(tǒng)的使用效果欠佳。

3.4信息安全存在風(fēng)險(xiǎn)

(1)網(wǎng)絡(luò)結(jié)構(gòu)不合理:雖然電力企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間采用物理隔離,但交換機(jī)設(shè)置很多企業(yè)使用一臺二層交換機(jī),結(jié)構(gòu)存在明顯缺陷,導(dǎo)致網(wǎng)絡(luò)中所有用戶地位平等,容易出現(xiàn)安全問題。(2)企業(yè)內(nèi)部風(fēng)險(xiǎn):專業(yè)技術(shù)人員對網(wǎng)絡(luò)信息結(jié)構(gòu)與系統(tǒng)應(yīng)用較為熱悉,一旦因網(wǎng)絡(luò)管理人員私心作祟將重要信息泄漏,將給企業(yè)造成致命的信息安全威脅。(3)計(jì)算機(jī)病毒:計(jì)算機(jī)病毒具有擴(kuò)散速度快、侵襲范圍廣的特點(diǎn),一旦計(jì)算機(jī)感染網(wǎng)絡(luò)病毒,輕則導(dǎo)致數(shù)據(jù)被竊取或篡改,重則導(dǎo)致整個(gè)電力網(wǎng)絡(luò)系統(tǒng)崩潰。(4)互聯(lián)網(wǎng)自身開發(fā)風(fēng)險(xiǎn):電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)是以互聯(lián)網(wǎng)為基礎(chǔ)的,而互聯(lián)網(wǎng)自身的開放特點(diǎn)使得客戶可以直接訪問電力企業(yè)內(nèi)部的網(wǎng)絡(luò)資源,這樣在為客戶提供方便的同時(shí),也給電力企業(yè)帶來信息安全和計(jì)算軟硬件安全風(fēng)險(xiǎn)。(5)系統(tǒng)本身的安全風(fēng)險(xiǎn):操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、各種應(yīng)用軟件系統(tǒng)等均存在一定的風(fēng)險(xiǎn),很容易遭受黑客惡意攻擊。

4電力企業(yè)信息安全管理策略

4.1完善組織架構(gòu)

電力企業(yè)信息安全管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理原則,領(lǐng)導(dǎo)小組由決策層組成,管理層由各部門管理者組成,包括信息安全的規(guī)劃、監(jiān)督審計(jì)、運(yùn)行保障等各職能部門,實(shí)施專業(yè)化管理。同時(shí)構(gòu)建信息安全管理體系框架,包括信息安全的策略、運(yùn)行、管理和技術(shù)措施四個(gè)模塊。

4.2做好安全規(guī)劃

電力企業(yè)需要根據(jù)自身實(shí)際情況,從系統(tǒng)角度和網(wǎng)絡(luò)安全特點(diǎn)出發(fā)優(yōu)先做好信息安全規(guī)劃工作,對網(wǎng)絡(luò)信息安全從整體上進(jìn)行綜合考慮和規(guī)劃,也可以參照一些國外的通行標(biāo)準(zhǔn)構(gòu)建信息安全管理體系,以達(dá)到防范網(wǎng)絡(luò)安全問題的目的。同時(shí)電力企業(yè)信息安全實(shí)行雙網(wǎng)雙機(jī)管理,內(nèi)外網(wǎng)之間采用物理隔離,應(yīng)結(jié)合實(shí)際情況合理規(guī)劃內(nèi)網(wǎng)安全域,通常劃分為一般防范區(qū)域和重點(diǎn)防范區(qū)域,其中重點(diǎn)防范區(qū)域?qū)儆陔娏ζ髽I(yè)信息安全的內(nèi)部核心,必須實(shí)施重點(diǎn)安全防范,因此設(shè)置的訪問級別較高,用戶訪問受權(quán)限限制,未經(jīng)許可用戶無法進(jìn)入,目的是防止不法分子侵入系統(tǒng)。安全區(qū)域運(yùn)行OA系統(tǒng)、應(yīng)用系統(tǒng)等與核心數(shù)據(jù)相關(guān)的重要數(shù)據(jù),以保證數(shù)據(jù)信息安全。

4.3強(qiáng)化安全管理

(1)加強(qiáng)日常安全審計(jì):入侵檢測系統(tǒng)均具有審計(jì)功能,能夠?qū)Σ《竟艋虿环ǚ肿尤肭旨皶r(shí)啟動警報(bào)系統(tǒng),將計(jì)算機(jī)自動從局域網(wǎng)中隔離,盡可能降低安全隱患問題。因此應(yīng)當(dāng)將安全審計(jì)工作落實(shí)到位,在加強(qiáng)網(wǎng)絡(luò)日志管理的同時(shí)做好審計(jì)數(shù)據(jù)的保存,以確保審計(jì)數(shù)據(jù)真實(shí)、全面、可靠,促使系統(tǒng)安全運(yùn)行。另外,未經(jīng)授權(quán)不得私自更改或刪除審計(jì)記錄。(2)構(gòu)建病毒防護(hù)體系:安裝的防病毒軟件必須具有遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警、集中管理等特點(diǎn),同時(shí)建立防病毒管理制度,嚴(yán)禁將來歷不明的存儲設(shè)備或隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)接入聯(lián)網(wǎng)計(jì)算機(jī),一旦發(fā)現(xiàn)病毒應(yīng)及時(shí)進(jìn)行處理。(3)信息安全保障舉措:根據(jù)信息安全分級保護(hù)等級落實(shí)好“分級、分區(qū)、分域”的信息安全防護(hù)策略,嚴(yán)格保密核心程序和數(shù)據(jù),有效落實(shí)信息安全防護(hù)預(yù)案,實(shí)施強(qiáng)邏輯隔離措施,做好安全區(qū)域的隔離和劃分工作。(4)建立網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)IPS:IPS是一種快速主動的防御體系,能夠阻止惡意數(shù)據(jù)侵入電力系統(tǒng),提升電力企業(yè)網(wǎng)絡(luò)信息安全管理指標(biāo)。與常規(guī)的防火墻相比,IPS的安全防御功能更加完善,不僅可以對網(wǎng)絡(luò)惡意數(shù)據(jù)流量進(jìn)行數(shù)據(jù)安全檢測,及時(shí)消除隱患,還能提供網(wǎng)絡(luò)虛擬補(bǔ)丁,起到預(yù)先攔截黑客攻擊或網(wǎng)絡(luò)病毒傳播的作用,以保證電力企業(yè)信息系統(tǒng)免受損害。(5)加大對信息安全管理的投入:對新建信息安全系統(tǒng)要做到對設(shè)備和部件進(jìn)行嚴(yán)格檢查,明確要求供應(yīng)商提供相應(yīng)的安檢報(bào)告,確保信息安全系統(tǒng)符合標(biāo)準(zhǔn);對已使用信息安全系統(tǒng)要做到對設(shè)備和部件進(jìn)行定期檢查,確保信息安全系統(tǒng)有效開展防護(hù)工作。

4.4提升信息安全管理意識

(1)高度重視信息安全管理工作:信息安全問題已經(jīng)成為制約電力企業(yè)發(fā)展的瓶頸,領(lǐng)導(dǎo)層應(yīng)不斷提升信息安全管理意識,高度重視信息安全管理工作,結(jié)合企業(yè)實(shí)際情況成立信息安全領(lǐng)導(dǎo)小組,組織所有員工進(jìn)行信息系統(tǒng)安全運(yùn)行管理培訓(xùn),讓其了解信息安全管理目標(biāo),掌握信息安全評估方法,提高信息安全管理技能,在企業(yè)內(nèi)部形成良好的信息安全管理氛圍。(2)建立健全信息安全管理制度:完善的信息安全管理制度應(yīng)明確相關(guān)負(fù)責(zé)人的工作職責(zé)和權(quán)限,落實(shí)信息安全管理工作責(zé)任到人,定期開展信息安全管理工作督導(dǎo)檢查,對發(fā)現(xiàn)的問題要求及時(shí)進(jìn)行整改,對相關(guān)的責(zé)任人按規(guī)定進(jìn)行嚴(yán)肅處理,以確保信息安全管理制度的嚴(yán)肅性、強(qiáng)制性、權(quán)威性和可執(zhí)行性。同時(shí)也使工作人員在具體操作時(shí),有章可循、有法可依、更加規(guī)范,從而避免因操作失誤帶來的信息安全問題。(3)建立信息安全應(yīng)急保障機(jī)制和不同信息安全風(fēng)險(xiǎn)的預(yù)警機(jī)制:電力企業(yè)信息安全問題較為嚴(yán)重,信息風(fēng)險(xiǎn)無處不在,建立信息安全應(yīng)急保障機(jī)制和不同信息安全風(fēng)險(xiǎn)的預(yù)警機(jī)制是確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行的重要保障,尤其需要加強(qiáng)信息系統(tǒng)的容災(zāi)建設(shè)、數(shù)據(jù)保存?zhèn)浞莺突謴?fù)管理制度建設(shè)。

5結(jié)論

總之,信息貫穿于電力企業(yè)各項(xiàng)工作中,信息安全與生產(chǎn)、經(jīng)營、管理密不可分,不論是硬件還是軟件出現(xiàn)問題都會威脅整個(gè)網(wǎng)絡(luò)系統(tǒng)安全,因此必須在電力企業(yè)信息化建設(shè)的過程中強(qiáng)化信息安全管理,確保信息系統(tǒng)安全、穩(wěn)定、可靠、高效運(yùn)行,幫助電力企業(yè)創(chuàng)造更大的經(jīng)濟(jì)效益和社會效益,謀求更長遠(yuǎn)的發(fā)展。

參考文獻(xiàn):

[1]鄭玉山.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(6):121+123.

[2]楊艷輝.淺析電力企業(yè)網(wǎng)絡(luò)信息安全管理[J].工程建設(shè)與設(shè)計(jì),2016(14):170-171.

[3]何江南.電力企業(yè)信息網(wǎng)絡(luò)安全問題及對策分析[J].中國新通信,2015,17(7):63.

[4]張毅慶.淺談電力企業(yè)信息網(wǎng)絡(luò)安全防護(hù)技術(shù)[J].科技創(chuàng)新與應(yīng)用,2014(27):162.

作者:張志 常永娟 單位:國網(wǎng)河北省電力有限公司信息通信分公司