电力信息系统安全防护研究.docVIP

电力信息系统安全防护研究 　　摘 要 电力信息系统作为电力企业的生产经营的重要支撑，其面临的安全风险日益突出，本文从多个方面介绍了电力信息系统的信息安全防护现状，深入分析了其存在的信息安全威胁和防护薄弱因素，并有针对性地提出了信息安全防护策略，有效保障电力信息系统安全稳定运行。 　　【关键词】信息 安全 防护 漏洞 　　电力行业是国家能源行业的重要组成部分，近年来随着国家信息化建设的发展，电力行业的信息化建设也在不断深入和加强，各类管理信息系统不断上线，信息化在电力企业日常生产经营中作用日益突出，随着通用网络与信息技术在电力系统中的使用，病毒、网络攻击给电力生产带来了信息安全风险，笔者从事新疆电力行业技术监督多年，本文将主要针对发电企业信息安全现状，分析其防护薄弱环节，并有针对性提出解决措施。 　　1 信息安全现状 　　信息安全是多重因素共同作用的结果，包括人员水平、资金投入、设备部署、制度建设、日常测评及整改等多方面因素。 　　1.1 资金投入 　　信息安全投入力度不足，存在“重视信息化建设、轻视信息安全”的问题，未安排信息安全专项资金，导致对本单位信息安全风险及威胁不清楚。 　　1.2 人员水平 　　人员水平参差不齐，一是信息技术专业人员缺乏，或是信息人员水平不高，甚至未设置专门的信息安全岗位，致使不能有效应对本单位信息安全运维工作，二是发电企业员工安全意识淡薄，信息安全各项规章制度领会不到位，日常培训和学习力度不够。 　　1.3 安全设备 　　信息安全设备部署不到位，甚至在本单位网络边界未设置有效的安全防护设备（防火墙及IPS），或其中安全设置策略粒度不够，甚至未设置安全防护策略，导致安全防护机制形同虚设。 　　1.4 制度建设 　　制度建设严重滞后，部分单位基本信息安全管理制度缺失，并未从人员管控、设备操作、安全运维、日常管理等方面进行综合考虑，以上因素导致制度管控力度缺失。 　　1.5 日常测评 　　日常信息安全测评开展力度不足，未开展本单位信息安全风险评估，全面评析本单位存在的安全风险及威胁，并有针对性的整改，未开展信息安全等级保护相关工作，对信息系统等级备案、建设、测评、整改工作认识不足，导致本单位存在多出信息安全短板和隐患。 　　2 信息安全威胁 　　针对以上信息安全现状，为深入分析其信息安全风险，掌握电力企业面临的各类信息安全威胁，了解电力企业日常信息安全各类风险因素，便于各类安全风险进行总体把控，本节将结合实际分析其面临的各类信息安全风险。本文根据发电企业信息安全实际，判断识别出系统面临的主要威胁，识别出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确定威胁的主体和客体。本文在前期调研的基础上，对搜集的发电企业信息系统安全事件的统计数据进行了深入分析，并通过管理问卷调查、安全顾问访谈等方式对信息系统相关信息人员进行了调查，最终获取了威胁发生的频率或概率的第一手数据，并对各种类型威胁发生的可能性进行了详细的分析。 　　表1分别对这些威胁及其可能发生的各种情形进行简单描述。 　　3 信息安全防护 　　3.1 网络边界防护 　　在本单位网络边界处部署防火墙及IPS，针对本单位进出网络实际，设置严格的安全防护策略，并细化到IP、端口级别，定期查看日常防护日志，不断优化调整细化安全策略，有条件的单位可在单位部署上网行为检测系统，对本单位员工网络行为进行有效监管，防止出现信息安全事件。 　　3.2 信息安全漏洞扫描 　　在本单位内网部署漏洞扫描系统，定期通过漏洞扫描检测目标网络或主机系统存在的安全漏洞，通过漏洞扫描，能够发现所维护的主机的各种端口的开放和分配、开放的服务，各类应用软件存在的安全漏洞，通过漏洞扫描及时发现系统在应用、服务、威胁及弱口令方面存在的漏洞，并根据网络资产的分布情况和存在的漏洞危害程度，制定有效的漏洞修补防范，消除本单位信息安全短板。 　　3.3 信息安全管控 　　采用部署桌面防病毒、网络准入、桌面管理系统等技术手段，强化木马病毒等安全防护措施，严格网络接入管理和用户访问控制，加强对防火墙、入侵检测等安全防护设施的集中监视和事件预警，同时加强对用户桌面终端的管理力度，实现个人终端补丁程序、病毒软件自动更新、升级。 　　3.4 信息安全评测及整改 　　定期开展信息安全风险评估工作，综合考虑本单位的信息安全风险和问题整改工作，根据行业主管部门确定的“统一定级、统一审批、分别备案”的要求部署，做好本单位管理信息系统、工控系统的定级及备案工作，组织开展信息安全等级保护测评工作，落实国家等级保护管理措施和技术措施的要求。 　　4 结语 　　信息系统作为电力行业生产经营的重要支撑，其面临的信息安全风险日益增加，信息安全作为电力生产自动化和管理信息化的