浅析最电力行业信息安全管理.docVIP

浅析电力企业网络信息安全管理该文总结了目前我国电力企业信息化的特征，列举了电力企业网络信息存在的主要问题，对问题的成因进行深入分析，并提出了一系列可行性较强的加强电力企业网络信息安全的建议和方法关键字：电力行业信息安全 1、前言信息技术在电力企业发挥着重要作用，特别是随着厂网分开、电力市场构建，电力企业已建立起庞大复杂的调度数据网和综合信息网，计算机网络信息系统成为企业日益重要的技术支持系统。信息安全所面临的危险同时渗透到电力企业生产、经营的各个方面。电力企业调度数据网和综合信息网在物理上实现隔离，在一定程度上保证了调度数据网的安全运行，避免受到来自综合信息网的可能的攻击；然而，财务、营销、客户管理等系统的网络信息安全还相当薄弱。网络信息安全已成为影响电力安全生产的重大问题。近几年来，计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是，在计算机安全策略、安全技术和安全措施投入较少。所以，为保证电力系统安全、稳定、高效运行，应建立一套结合电力计算机应用特点的计算机安全体系。目前电力企业在网络信息安全管理方面存在以下问题。2.1 企业管理革新滞后于信息化发展进程相对于信息技术的发展与应用，电力企业管理革新处于落后状况，有的企业引入了先进的业务系统、管理系统，而管理模式未能实施有效革新，最终导致了信息系统未能发挥预期的、应有的作用。2.2 网络信息安全管理需要成为企业安全文化的重要组成部分电力信息网络已经深入到电力生产和管理的全过程，涉及电力生产的各个层面，电力生产与管理对其依赖性日益增大。目前，在电力企业安全文化建设中，信息安全管理仍然处于从属地位，需要进行不断努力，使之成为企业安全文化的中坚力量。2.3网络信息安全风险的存在电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险，主要表现在以下几方面：1) 网络结构不合理电力企业依据有关规定将网络分为内网和外网，内外网实行物理隔离，但网络结构都存在着一些不合理的地方。常见的有：核心交换机选择不合理。不少企业网络的核心交换机是一台二层交换机，这样，所有网络用户在网络中的地位将是平等的，安全问题只有通过应用系统去解决。(2) 来自互联网的风险几乎所有电力企业的网络都是以各种方式与互联网连接，企业用户可以直接访问互联网的资源，这给企业职工带来很大方便；同样，任何能上互联网的用户也可以访问企业网络的资源，这对宣传企业、扩大企业的影响和知名度很有好处。但是，在带来方便的同时，也带来安全风险。 (3) 来自企业内部的风险对于电力企业网络来说，来自内部的风险是非常主要的安全风险。内部人员（特别是网络管理人员）对网络结构、应用系统都非常熟悉，不经意之间泄露的重要信息，都将可能成为导致系统受攻击的最致命的安全威胁。(4) 病毒的侵害计算机病毒对计算机网络的影响是灾难性的。电子邮件系统的广泛使用，使计算机病毒的扩散速度大大加快，网络成了病毒传播的最好途径，电力企业网络同样难以幸免。因此，计算机病毒成为企业网络最严重的安全风险之一。 (5) 管理人员素质风险许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明，安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如，网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等，都会给信息安全带来严重威胁。(6) 系统的安全风险系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前不少企业网络使用的操作系统仍然是以Windows 系列操作系统为主。不管使用哪一种操作系统都存在大量已知和未知的漏洞，这些漏洞可以导致入侵者获得管理员的权限，可以被用来实施拒绝服务攻击。电力企业网络信息安全管理问题的成因分析3.1 安全意识淡薄是网络信息安全的瓶颈企业人员忙于利用网络工作学习，对网络信息的安全性无暇顾及，安全意识相当淡薄。电力企业注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求，网络信息安全处于被动的封堵漏洞状态。从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。3.2 运行管理机制的缺陷和不足制约了安全防范的力度从目前的运行管理机制来看，有以下几方面的缺陷和不足：1) 网络安全管理方面人才匮乏由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。2) 安全措施不到位配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。(3) 缺乏综合性的解决方案大多数