針對電力信息安全風(fēng)險的研究

一、電力信息安全風(fēng)險分析

信息安全風(fēng)險不僅和信息化應用情況有密切關(guān)系，和采用的信息技術(shù)也密切相關(guān)。目前電力生產(chǎn)、經(jīng)營(yíng)管理等活動(dòng)已經(jīng)離不開(kāi)信息系統，但高技術(shù)在帶來(lái)便利與效率的同時(shí)，也帶來(lái)了新的安全風(fēng)險和問(wèn)題。圖一所列的就是電力信息安全所面臨的主要威脅：

圖一 信息安全威脅歸類(lèi)

1.計算機病毒的威脅

計算機病毒是目前信息安全中最嚴重的威脅，它發(fā)生的頻度大，影響的面廣，并且能對信息網(wǎng)絡(luò )造成極大的破壞。在當前的網(wǎng)絡(luò )條件下，計算機病毒的傳播迅速，若一臺計算機感染病毒，在一兩天甚至幾小時(shí)內可以感染到系統內所有的計算機，使網(wǎng)絡(luò )通信阻塞，系統數據和文件系統破壞，最后導致系統根本無(wú)法提供服務(wù)。

2.各個(gè)信息系統之間的互聯(lián)以及外聯(lián)的安全隱患

電力信息系統有發(fā)電信息網(wǎng)、供電信息網(wǎng)、電網(wǎng)調度自動(dòng)化系統、管理信息系統(MIS)、辦公自動(dòng)化系統、財務(wù)管理信息系統、客戶(hù)服務(wù)支持系統、遠程教育培訓系統、ERP系統等應用信息系統。他們之間的互聯(lián)是必不可少的。

3.來(lái)自身份鑒別的安全隱患

當前電力系統擁有的眾多信息系統一般為特定范圍的用戶(hù)使用，所包含的信息和數據也只對一定范圍的用戶(hù)開(kāi)放，沒(méi)有得到授權的用戶(hù)不能訪(fǎng)問(wèn)。各個(gè)信息系統中都設計了用戶(hù)管理模塊，該模塊具有建立用戶(hù)、設置權限、管理和控制用戶(hù)對本信息系統資源的訪(fǎng)問(wèn)的功能。這些措施在一定程度上能夠加強系統的安全性，但在實(shí)際應用中仍然存在撥號號碼、用戶(hù)名和密碼等資料有可能外泄;靜態(tài)用戶(hù)名和密碼容易被黑客試探猜出的隱患。

4.企業(yè)內系統漏洞和使用非法工具的安全隱患

目前電力信息系統擁有大量用戶(hù)，其中個(gè)別用戶(hù)出于好奇的心理或者蓄意破壞的動(dòng)機，利用系統漏洞和非法工具，對網(wǎng)絡(luò )上連接的計算機系統和設備進(jìn)行入侵、攻擊等行為，影響網(wǎng)絡(luò )上信息的傳輸，破壞軟件系統和數據等。因此如何杜絕系統漏洞和防止使用非法工具，保護網(wǎng)上的信息系統和信息資源的安全，保證對網(wǎng)絡(luò )和信息資源的合法使用，是電力面臨的另一個(gè)非常突出的安全性問(wèn)題。

二、信息安全事件發(fā)生原因分析

針對電力系統以往發(fā)生的信息安全事件，分析發(fā)生原因，主要有以下幾方面因素：

1.信息安全防護意識不強，思想麻痹，沒(méi)有重視內外黑客入侵將造成的嚴重后果而舍不得或不知道要投入必要的人力、物力、財力來(lái)加強信息的安全防護。

2.信息技術(shù)人員總體業(yè)務(wù)水平較低，缺少必要的技術(shù)培訓，跟不上信息技術(shù)快速發(fā)展的要求。

3.缺乏先進(jìn)可靠的信息安全技術(shù)、工具和產(chǎn)品。

4.對重要系統缺少應急預案，并缺乏防事故演練;大多數縣局缺乏可靠的系統備份、恢復技術(shù)和工具。

5.重信息化建設，輕信息化管理。

三、加強電力信息安全的對策

1.針對計算機防病毒的安全對策

計算機防病毒系統是發(fā)展時(shí)間最長(cháng)的信息安全技術(shù)，技術(shù)成熟且應用效果非常明顯。電力目前已統一安裝了企業(yè)版Norton防病毒系統，架設了微軟SUS打補丁服務(wù)系統，能夠提供系統集中管理、服務(wù)器自動(dòng)升級、客戶(hù)端自動(dòng)更新等功能。

2.對各個(gè)信息系統之間的互聯(lián)以及外聯(lián)網(wǎng)絡(luò )安全對策

目前電力信息網(wǎng)絡(luò )在與外單位、系統單位間、重要服務(wù)器等關(guān)鍵關(guān)口處設置了防火墻，下一步將考慮逐步實(shí)施漏洞掃描、入侵檢測、網(wǎng)站保護等安全措施。

3.開(kāi)展全員信息安全教育和培訓活動(dòng)

開(kāi)展安全教育和培訓應該注意安全教育知識的層次性。主管信息安全工作的負責人和各級信息安全員，重點(diǎn)要了解和掌握信息安全的整體策略及目標、安全管理部門(mén)的建立和管理制度的制定等;負責信息安全運行管理及維護的技術(shù)人員，重點(diǎn)要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系統的安全維護技術(shù)等;廣大信息系統用戶(hù)重點(diǎn)要學(xué)習各種安全操作流程和行為規范，了解和掌握與其相關(guān)的信息安全策略，包括自身應該承擔的安全職責等。

參考文獻：

[1] 潘明惠,偏瑞琪,李志民,陳學(xué)允. 電力系統信息安全應用研究[J]中國電力, 2001,(S1) .

[2] 李文武,王先培,孟波,賀鵬. 電力行業(yè)信息安全體系結構初探[J]中國電力, 2002,(05) .

[3] 黃成哲. 信息安全風(fēng)險評估工具綜述[J]黑龍江工程學(xué)院學(xué)報, 2006,(01) .