針對(duì)電力信息安全風(fēng)險(xiǎn)的研究

一、電力信息安全風(fēng)險(xiǎn)分析

信息安全風(fēng)險(xiǎn)不僅和信息化應(yīng)用情況有密切關(guān)系，和采用的信息技術(shù)也密切相關(guān)。目前電力生產(chǎn)、經(jīng)營(yíng)管理等活動(dòng)已經(jīng)離不開信息系統(tǒng)，但高技術(shù)在帶來(lái)便利與效率的同時(shí)，也帶來(lái)了新的安全風(fēng)險(xiǎn)和問(wèn)題。圖一所列的就是電力信息安全所面臨的主要威脅：

圖一 信息安全威脅歸類

1.計(jì)算機(jī)病毒的威脅

計(jì)算機(jī)病毒是目前信息安全中最嚴(yán)重的威脅，它發(fā)生的頻度大，影響的面廣，并且能對(duì)信息網(wǎng)絡(luò)造成極大的破壞。在當(dāng)前的網(wǎng)絡(luò)條件下，計(jì)算機(jī)病毒的傳播迅速，若一臺(tái)計(jì)算機(jī)感染病毒，在一兩天甚至幾小時(shí)內(nèi)可以感染到系統(tǒng)內(nèi)所有的計(jì)算機(jī)，使網(wǎng)絡(luò)通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，最后導(dǎo)致系統(tǒng)根本無(wú)法提供服務(wù)。

2.各個(gè)信息系統(tǒng)之間的互聯(lián)以及外聯(lián)的安全隱患

電力信息系統(tǒng)有發(fā)電信息網(wǎng)、供電信息網(wǎng)、電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)、管理信息系統(tǒng)(MIS)、辦公自動(dòng)化系統(tǒng)、財(cái)務(wù)管理信息系統(tǒng)、客戶服務(wù)支持系統(tǒng)、遠(yuǎn)程教育培訓(xùn)系統(tǒng)、ERP系統(tǒng)等應(yīng)用信息系統(tǒng)。他們之間的互聯(lián)是必不可少的。

3.來(lái)自身份鑒別的安全隱患

當(dāng)前電力系統(tǒng)擁有的眾多信息系統(tǒng)一般為特定范圍的用戶使用，所包含的信息和數(shù)據(jù)也只對(duì)一定范圍的用戶開放，沒(méi)有得到授權(quán)的用戶不能訪問(wèn)。各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶管理模塊，該模塊具有建立用戶、設(shè)置權(quán)限、管理和控制用戶對(duì)本信息系統(tǒng)資源的訪問(wèn)的功能。這些措施在一定程度上能夠加強(qiáng)系統(tǒng)的安全性，但在實(shí)際應(yīng)用中仍然存在撥號(hào)號(hào)碼、用戶名和密碼等資料有可能外泄;靜態(tài)用戶名和密碼容易被黑客試探猜出的隱患。

4.企業(yè)內(nèi)系統(tǒng)漏洞和使用非法工具的安全隱患

目前電力信息系統(tǒng)擁有大量用戶，其中個(gè)別用戶出于好奇的心理或者蓄意破壞的動(dòng)機(jī)，利用系統(tǒng)漏洞和非法工具，對(duì)網(wǎng)絡(luò)上連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵、攻擊等行為，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)等。因此如何杜絕系統(tǒng)漏洞和防止使用非法工具，保護(hù)網(wǎng)上的信息系統(tǒng)和信息資源的安全，保證對(duì)網(wǎng)絡(luò)和信息資源的合法使用，是電力面臨的另一個(gè)非常突出的安全性問(wèn)題。

二、信息安全事件發(fā)生原因分析

針對(duì)電力系統(tǒng)以往發(fā)生的信息安全事件，分析發(fā)生原因，主要有以下幾方面因素：

1.信息安全防護(hù)意識(shí)不強(qiáng)，思想麻痹，沒(méi)有重視內(nèi)外黑客入侵將造成的嚴(yán)重后果而舍不得或不知道要投入必要的人力、物力、財(cái)力來(lái)加強(qiáng)信息的安全防護(hù)。

2.信息技術(shù)人員總體業(yè)務(wù)水平較低，缺少必要的技術(shù)培訓(xùn)，跟不上信息技術(shù)快速發(fā)展的要求。

3.缺乏先進(jìn)可靠的信息安全技術(shù)、工具和產(chǎn)品。

4.對(duì)重要系統(tǒng)缺少應(yīng)急預(yù)案，并缺乏防事故演練;大多數(shù)縣局缺乏可靠的系統(tǒng)備份、恢復(fù)技術(shù)和工具。

5.重信息化建設(shè)，輕信息化管理。

三、加強(qiáng)電力信息安全的對(duì)策

1.針對(duì)計(jì)算機(jī)防病毒的安全對(duì)策

計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時(shí)間最長(zhǎng)的信息安全技術(shù)，技術(shù)成熟且應(yīng)用效果非常明顯。電力目前已統(tǒng)一安裝了企業(yè)版Norton防病毒系統(tǒng)，架設(shè)了微軟SUS打補(bǔ)丁服務(wù)系統(tǒng)，能夠提供系統(tǒng)集中管理、服務(wù)器自動(dòng)升級(jí)、客戶端自動(dòng)更新等功能。

2.對(duì)各個(gè)信息系統(tǒng)之間的互聯(lián)以及外聯(lián)網(wǎng)絡(luò)安全對(duì)策

目前電力信息網(wǎng)絡(luò)在與外單位、系統(tǒng)單位間、重要服務(wù)器等關(guān)鍵關(guān)口處設(shè)置了防火墻，下一步將考慮逐步實(shí)施漏洞掃描、入侵檢測(cè)、網(wǎng)站保護(hù)等安全措施。

3.開展全員信息安全教育和培訓(xùn)活動(dòng)

開展安全教育和培訓(xùn)應(yīng)該注意安全教育知識(shí)的層次性。主管信息安全工作的負(fù)責(zé)人和各級(jí)信息安全員，重點(diǎn)要了解和掌握信息安全的整體策略及目標(biāo)、安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系統(tǒng)的安全維護(hù)技術(shù)等;廣大信息系統(tǒng)用戶重點(diǎn)要學(xué)習(xí)各種安全操作流程和行為規(guī)范，了解和掌握與其相關(guān)的信息安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

參考文獻(xiàn)：

[1] 潘明惠,偏瑞琪,李志民,陳學(xué)允. 電力系統(tǒng)信息安全應(yīng)用研究[J]中國(guó)電力, 2001,(S1) .

[2] 李文武,王先培,孟波,賀鵬. 電力行業(yè)信息安全體系結(jié)構(gòu)初探[J]中國(guó)電力, 2002,(05) .

[3] 黃成哲. 信息安全風(fēng)險(xiǎn)評(píng)估工具綜述[J]黑龍江工程學(xué)院學(xué)報(bào), 2006,(01) .