电力企业信息安全问题探究.docVIP

电力企业信息安全问题探究 　　【摘 要】近年来，国家电网公司提出了”坚强智能电网”的发展战略，对公司信息化水平有了更高的要求。建立健全信息安全保障体系是加快推进信息化工作的前提。本文通过对电力企业信息安全风险的分析，就电力企业信息安全防护技术措施进行了阐述。 【关键词】电力企业；信息安全；研究 1.前言 随着电力信息化建没和应用高潮的到来，信息技术在电力企业的生产运行中发挥着重要作用，特别是随着厂网分开、电力市场构建，电力企业已建立起庞大复杂的调度数据网和综合信息网，计算机网络信息系统成为电力企业日益重要的技术支持系统。信息安全问题已日益突出，信息安全所面临的危险同时渗透到电力企业生产、经营的各个方面。信息安全的内涵也随着计算机技术的发展而不断变化，进入二十一世纪以来，信息安全的重点放在了保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。电力企业调度数据网和综合信息网在物理上实现隔离，在一定程度上保证了调度数据网的安全运行，避免受到来自综合信息网的可能的攻击；然而，财务、营销、客户管理等系统的网络信息安全还相当薄弱。网络信息安全已成为影响电力安全生产的重大问题。 2.电力企业信息安全风险分析 2.1网络安全问题日益突出：企业网络的联通为信息传递提供了方便的途径。电力企业有许多应用系统如：办公自动化系统、用电营销系统、远程教育培训系统等，通过广域网传递数据。电力企业开通了互联网专线宽带上网，企业内部职工可以通过互联网方便地收集获取信息，发送电子邮件等。网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理，互联网更是连接到国际上的各个地方，什么样的用户都有。内部网，互联网上的一些用户出于好奇的心理，或者蓄意破坏的动机，对电力企业网络上的连接的计算机系统和设备进行入侵，攻击等，影响网络上信息的传输，破坏软件系统和数据，盗取电力企业商业秘密和机密信息，非法使用网络资源等。给电力企业造成巨大的损失。如何加强网络的安全防护，保护电力企业内部网上的信息系统和信息资源的安全，保证对信息网络的合法使用，是目前一个热门的安全课题，也是电力企业面临的一个非常突出的安全问题。 2.2缺乏信息安全管理规范。电力企业信息化的发展虽然很快，但是起步较晚，各项管理规范和规章制度还不够健全，已有的规章制度也多是写在纸上，没有严格落实执行。对信息的管理，信息部门的设置，信息技术人员的配备，各电力企业参差不齐，没有一个统一的、完善的管理规范。 2.3身份认证及脆弱的密码。电力企业的应用系统基本上基于内部的应用需求而设计开发的，这些应用系统的用户身份认证，基本上是采用基于口令的鉴别模式，而用户密码的设置往往是非常简单的，比如用abc、1 2 3、姓名简拼、生日、系统初始密码、空密码等等，而且从来不去更改，随意告诉同事，甚至系统管理员的口令也是如此。有些应用系统的口令还是以明文形式记录在数据库或文件中。应用系统的这种设计以及在这样的用户环境中是没有安全可言的。 2.4信息系统的访问控制急需加强。企业中的信息系统一般为特定范围的用户使用，信息系统中包含的信息和数据，也只对一定范围的用户开放，没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能，在系统中建立甩户，设置权限，管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单，不能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理，使用起来非常不方便，更不用说账号的有效管理和安全了。如何为各应用系统提供统一的用户管理和身份认证服务，是我们开发建设应用系统时必须考虑的一个共性的安全问题。 2.5没有完善的数据备份措施：缺乏重要系统备份恢复应用经验。目前维护员对公文等重要数据基本上都能做到“每周一备”，做到每周刻录数据备份光盘，而在实际工作中，备份数据的有效性只有也仅有通过实战恢复演练才能检验。但由于数据恢复演练需要搭建系统运行环境，其操作复杂性远远大于数据备份过程。因此，很多维护员宁可“天天做备份、月月做拷贝”，也不愿尝试做一次数据恢复演练。更有甚者，连一年一次数据恢复演练都无法实现。数据备份就像为汽车配备用车钥匙一样，钥匙配好了，如果不去检验用车钥匙是否能正常使用，那么下次紧急要用的时候非常有可能新配的车钥匙没法启动车。 3.电力企业信息安全防护技术措施 3.1网络防火墙：防火墙是网络安全的屏障，网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段进入内部网络，访问内部网络资源， 保护内部网络操作环境的特殊网络互联设备。