发电企业信息安全探讨.pdfVIP

曼曼墼矍矍篓圣：：：：：：三：焦皇塞全墨窒壅!圭生』丝堕圭皇垄堑些盟堡垒叁丝塞苎 2、缺乏信息安全管理规范。发电企业信息化的发展虽然很快，但是起步较晚，各项管理规范和规 章制度还不够健全，已有的规章制度也多是写在纸上，没有严格落实执行。对信息的管理，信息部门的 设置，信息技术人员的配备，各发电企业参差不齐，没有一个统一的、完善的管理规范。 3、内部捣乱及外部攻击。早期的计算机网络一般都是内部的局域网，没有同外界相连，内部人员 的应用水平不高，内部捣乱的几率比较小。现在各行各业都要求网络互联、信息共享，甚至通过防火 墙或者代理服务器直接与互联网相连。网络互联给大家带来了极大的方便，以及海量的信息，但是同 时也带来了许多不安全因素。现在内部的信息网络系统不仅要防范内部人员的捣乱，还要面对广域网 及互联网上各种安全攻击及病毒感染。 4、缺乏安全的加密措施。发电企业的应用系统一般都是采用C／S或B／S架构，这些应用系统对数 据的存储、交换、传输基本上是采用明文方式。这些明文数据不管是在存储介质上还是在网络上传输， 都很容易被非法访问、木马程序或侦听程序获取，从而造成信息泄露。 5、身份认证及脆弱的密码。发电企业的应用系统基本上基于内部的应用需求而设计开发的，这些 应用系统的用户身份认证，基本上是采用基于口令的鉴别模式，而用户密码的设置往往是非常简单的， b 比如用a c、123、姓名简拼、生日、系统初始密码、空密码等等，而且从来不去更改，随意告诉 同事，甚至系统管理员的口令也是如此。有些应用系统的口令还是以明文形式记录在数据库或文件中。 应用系统的这种设计以及在这样的用户环境中是没有安全可言的。 6、缺乏完善的数据备份机制。对于信息系统来讲，数据是最重要的，对企业来讲，数据是最有价 值的。设备坏了，可以更换，系统瘫痪了，可以恢复，但是数据丢失了，就不好办。目前多数的发电 企业都没有配置专门的数据备份设备、没有数据备份策略、没有数据备份的管理制度、没有对数据备 份的介质妥善保管。 三、发电企业信息安全解决方案 信息系统安全体系遵循“木桶原理”，其安全等级取决于“最短的那块木板”，所以要提升信息 系统的安全等级，必须对信息环境、信息系统的管理、信息技术的运用等进行一次全方位的安全评估， 制定切实可行的信息安全管理制度，有计划、有步骤地实施企业信息安全体系建设方案，全方位落实 信息安全策略。 1、建立完善的安全管理制度，落实安全责任人 “三分技术，七分管理”，技术是安全的主体，管理是安全的灵魂。只有建立完善的安全管理制 度，落实安全责任人，将安全管理自始至终贯彻落实于信息系统的方方面面，企业信息安全策略才能 够得以实现，企业信息安全的长久性和稳定性才能有所保证。 2、加强信息安全培训与交流 信息安全培训交流是企业信息安全管理中重要的内容，其实施力度将直接关系到企业安全体系的完 善、安全策略的制定以及被理解的程度和被执行的效果。为了保证信息安全的成功和有效，信息主管 部门应当对企业各级管理人员、普通用户、信息技术人员进行相应的安全培训。培训交流要有层次性、 普遍性和针对性，并应当定期的、持续地进行，要让企业所有的人员了解并严格执行企业信息安全策 略，这样企业信息安全才能有所保证。 3、加强信息系统的物理安全 信息系统的物理安全是指信息系统运行所必需的各种硬件设备的安全，主要包括信息机房以及机 房中的各种设备、用户计算机、存储数据的各种存储介质等等，对这些设备要有防火、防盗、防水、 丝堕垒堕塑型盟丝叁塑塞』盟妻塑墨壅楚 =!=三黧墼塑舅 防潮、防尘、防静电等措施。特别是信息机房，耍对温度、湿度、UPS电源、进出人员实时进行监控， 对机房设备所做的任何操作，要有授权，要有监护人。 4、网络分层分区防护 根据国家经贸委30号令，电力系统的信息网络必须实施二次系统安全防护方案，防护的原则是： 安全分区、网络专用、横向隔离、纵向认证。根据这个原则，发电企业信息网络可划分如下四个分区： 安全I区：实时控制区，实现实时监控功能，电力生产系统实时在线运行。该区是电力二次系统 中最重要的系统，安全等级最高，是安全防护的重点与核心。 安全II区：非控制生产区，所实现的功能为电力生产的必要环节，但不具备控制功能，比如SIS 系统、故障录波系统、电能量计量系统、电力市场竞价技术支持系统等。 安全IⅡ区：生产管理区，实现电力生产的管理功能，但不具备控制功能，不在线运行，与安全区 Iv