电力信息安全保障体系建设探究.docVIP

电力信息安全保障体系建设探究 【摘要】当今世界计算机技术发展迅速，电力企业各个方面的工作也在计算机技术的支持下得到了大幅度的提升，各个企业对于如何保障好信息的安全、管理好数字化电网、规避信息风险已经成为了企业发展十分重要和突出的问题。本文主要就我国当前的电力信息安全保障体系建设进行详细的分析探究，并提出一些电力行业信息安全体系建设的方案，希望本文能够对电力信息安全保障建设领域的发展起到一定的促进作用。 【关键词】电力信息；安全保障体系；建设 当前我国的互联网快速发展，但也遇到了黑客攻击这样重大的安全问题，黑客攻击的主要目标是电信、电力以及政府，所以最近几年我国在大力的推行信息系统的等级保护政策，这使信息系统抵御风险的能力有了较大的提升，但在我国实际的电力信息安全保障体系建设的过程中，还存在着诸多的漏洞没有及时科学的进行处理。所以，对电力信息安全保障体系建设进行探究具有重要的现实意义。 信息安全的重要性 信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的重点是有所区别的。 我国电力系统在计算机的应用比较早的行业，信息技术的快速发展为电网调度、生产运行、资金管理、自动化的办公、网络营销提供了有力的保障和支撑。2012年初，国家电网颁布了最新版《安全事故调查规程》，首次将信息系统事件与人身、设备、电网事故一起列入了安全事故体系，并且进行了5-8级的详细定义。省公司确定了不发生五级信息系统事件的安全目标，如果本单位发生六级及以上信息事件，考核总分为0，可以说，电力部门对信息安全的重视程度达到了前所未有的高度。 电力信息系统安全风险分析 对电力信息系统进行攻击的黑客可能来自内部，也可能来自于外部，风险存在于网络的两端。就电力行业的整体情况分析，很大部分的问题来自于内部（据统计有80%的安全问题来自于内部攻击），我们可以把威胁大致分为两类：一是对网络中信息的威胁，二是对网络中设备的威胁。就电力行业来说，主要是保护数据的安全性，包含数据的存储、传输和处理的安全。 电力信息网络安全中，应当把重点集中在网络信息安全系统和网络安全管理制度的建设，要防止黑客的恶意攻击对电力实时系统的干扰造成重大事故，保障电力系统稳定、安全、高效、经济的运行，同时确保系统中的信息安全，防止被盗和丢失。 以下是笔者结合自己在电力信息安全保障领域的多年从业经验和查阅资料，总结的电力信息系统面临的风险和问题： 电力信息系统面临的风险主要是以下几个方面： (1)用户标识获取。暗中发现合法用户的身份信息，通常是用户名和口令 （2）病毒。一种自我复制、广泛传染，对计算机及其数据进行严重破坏的计算机程序。具有隐蔽性与随机性的特点 （3）后门。系统、程序漏洞，存在被人利用来控制、破坏系统的威胁 （4）社会工程攻击。利用人的心理进行攻击。 （5）非法使用。非授权使用计算机或网络资源 （6）拒绝服务。向电力数据网络或通信网关发送大量雪崩数据，造成拒绝服务 电力信息系统面临的问题主要是以下几个方面： 1.电力信息系统内计算机网络设备不统一。电力信息系统自动化是现代计算机控制技术应用的一个重要领域。这一时期自动化存在的主要问题是系统结构、功能、通信协议等方面缺乏一个统一的工业标准，不同厂家的设备不能互联。计算机与各设备的通信主要采用星型点对点连接，主要采用低速率的串，并行口通信方式，系统实时性不好，设备配置的灵活性较差。 2.缺乏管理规范。到目前为止，尚未建立一个统一的、符合电力行业特点的、权威的电力信息安全管理规范。 3.电力部门计算机系统的漏洞。不管使用哪一种操作系统，都存在大量已知和未知的安全漏洞，而这些漏洞可以导致入侵者获得管理员的权限，可以被用来实施对整体网络信息系统的攻击。 4.信息安全体系尚未建立。电力行业内存在缺乏计算机信息网络安全的意识、缺少完善的计算机数据备份系统，防护能力较弱的身份认证及过去大量使用的孤立局域网联成广域网后，使的整体网络的安全问题大幅提高。 电力行业信息安全保障体系建设方案 满足当前和未来电力行业发展需要的安全保障体系是电力行业信息安全保障体系建设首先需要考虑的问题。安全体系建设是一个整体的、系统的工程，不是简单的技术堆积，不是刻板的管理条例。在安全体系建设过程中我们必须以预防为主，管理与技术并行，相辅相成实现全面、高效、保密、完整、可用、可认证的一体化安全体系建设。笔者结合多年的电力行业信息安全保障体系建设的工作经验，对电力行业信息安全