淺析電力行業(yè)信息安全管理

1、淺析電力行業(yè)信息安全管理作者：劉誠(chéng)來源：安全管理網(wǎng)點(diǎn)擊： 1840 評(píng)論：0更新日期：2012年09月06日        摘  要： 隨著Internet的迅速發(fā)展，信息安全問題面臨新的挑戰(zhàn)。電力系統(tǒng)信息安全問題已威脅到電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)運(yùn)行，影響著“數(shù)字電力系統(tǒng)”的實(shí)現(xiàn)進(jìn)程。研究電力系統(tǒng)信息安全問題、開發(fā)相應(yīng)的應(yīng)用系統(tǒng)、制定電力系統(tǒng)信息遭受外部攻擊時(shí)的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當(dāng)前信息化工作的重要內(nèi)容。電力系統(tǒng)信息安全已經(jīng)成為電力企業(yè)生產(chǎn)、經(jīng)營(yíng)和管理的重要組成部分。 &

2、#160;      本文總結(jié)了目前我國(guó)電力企業(yè)信息化的優(yōu)勢(shì)特征，列舉了電力企業(yè)網(wǎng)絡(luò)信息管理存在的主要問題，對(duì)問題的成因進(jìn)行深入分析，并提出了一系列可行性較強(qiáng)的加強(qiáng)電力企業(yè)網(wǎng)絡(luò)信息安全的建議和方法，對(duì)建立長(zhǎng)效機(jī)制，使電力企業(yè)網(wǎng)絡(luò)信息安全管理成為企業(yè)安全文化的重要組成部分，提出了比較切實(shí)有效的思路。        關(guān)鍵詞: 電力企業(yè)信息化；網(wǎng)絡(luò)信息安全管理        前言   

3、;     信息技術(shù)在電力企業(yè)的生產(chǎn)運(yùn)行中發(fā)揮著重要作用，特別是隨著廠網(wǎng)分開、電力市場(chǎng)構(gòu)建，電力企業(yè)已建立起龐大復(fù)雜的調(diào)度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng)，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)成為企業(yè)日益重要的技術(shù)支持系統(tǒng)。信息安全所面臨的危險(xiǎn)同時(shí)滲透到電力企業(yè)生產(chǎn)、經(jīng)營(yíng)的各個(gè)方面。電力企業(yè)調(diào)度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng)在物理上實(shí)現(xiàn)隔離，在一定程度上保證了調(diào)度數(shù)據(jù)網(wǎng)的安全運(yùn)行，避免受到來自綜合信息網(wǎng)的可能的攻擊；然而，財(cái)務(wù)、營(yíng)銷、客戶管理等系統(tǒng)的網(wǎng)絡(luò)信息安全還相當(dāng)薄弱。網(wǎng)絡(luò)信息安全已成為影響電力安全生產(chǎn)的重大問題。      

4、0; 電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電的保障，是一項(xiàng)涉及電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)及安全裝置、廠、站自動(dòng)化、配電網(wǎng)自動(dòng)化、電力負(fù)荷控制、電力市場(chǎng)交易、電力營(yíng)銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營(yíng)和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。結(jié)合電力工業(yè)特點(diǎn)，電力工業(yè)信息網(wǎng)絡(luò)系統(tǒng)和電力運(yùn)行實(shí)時(shí)控制系統(tǒng)，分析電力系統(tǒng)信息安全存在的問題，電力系統(tǒng)信息沒有建立安全體系，只是購買了防病毒軟件和防火墻。有的網(wǎng)絡(luò)連防火墻也沒有，沒有對(duì)網(wǎng)絡(luò)安全做統(tǒng)一長(zhǎng)遠(yuǎn)的歸劃。網(wǎng)絡(luò)中有許多的安全隱患。        由于近十幾年計(jì)算機(jī)信息技術(shù)高速發(fā)展，

5、計(jì)算機(jī)信息安全策略和技術(shù)也取得了非常大的進(jìn)展。電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大，對(duì)新出現(xiàn)的信息安全問題認(rèn)識(shí)不足。        電力系統(tǒng)雖然對(duì)計(jì)算機(jī)安全一直非常重視，但由于各種原因，目前還沒有一套統(tǒng)一、完善的能夠指導(dǎo)整個(gè)電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。        急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系。近幾年來，計(jì)算機(jī)在整個(gè)電力系統(tǒng)的生產(chǎn)、經(jīng)營(yíng)、管理等方面應(yīng)用越來越多。但是，在計(jì)算機(jī)安全策略、安全技術(shù)

6、、和安全措施投入較少。所以，為保證電力系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。        計(jì)算機(jī)網(wǎng)絡(luò)化使過去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后，面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng)，并沒有同外界連接。所以，早期的計(jì)算機(jī)安全只是防止意外破壞或者內(nèi)部人員的安全控制就可以了，但現(xiàn)在就必須要面對(duì)互聯(lián)網(wǎng)上各種安全攻擊，如網(wǎng)絡(luò)病毒和電腦“黑客”等。        然而，人是信息安全中的關(guān)鍵因素，同時(shí)人

7、也是信息安全中最薄弱的環(huán)節(jié)。當(dāng)網(wǎng)絡(luò)中的硬件和軟件技術(shù)處于時(shí)代發(fā)展主流水平，升級(jí)系統(tǒng)已不能明顯提升網(wǎng)絡(luò)信息安全水平時(shí)，信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)：人。        經(jīng)常聽到這樣的信息：病毒、蠕蟲造成了嚴(yán)重的破壞，黑客獲取了信用卡的信息，大型網(wǎng)站主頁被黑等等。人們普遍認(rèn)為這是由于企業(yè)沒有安裝安全產(chǎn)品（如防火墻、入侵檢測(cè)系統(tǒng)等）造成的，而實(shí)際上有許多是由于安全管理沒有有效實(shí)施造成的。安全管理是信息安全的核心。        一、我國(guó)電力企業(yè)信息

8、化發(fā)展的優(yōu)勢(shì)特征        近十幾年來，我國(guó)電力企業(yè)信息化得到長(zhǎng)足發(fā)展，同時(shí)由于電力生產(chǎn)運(yùn)行的特殊行業(yè)特點(diǎn)，在網(wǎng)絡(luò)信息安全方面具有相對(duì)其他行業(yè)更具優(yōu)勢(shì)的特征。        （一）信息化基礎(chǔ)設(shè)施相對(duì)完善        電力行業(yè)相比其他行業(yè)的信息化進(jìn)程較為領(lǐng)先。各電力公司本部主要崗位工作人員使用計(jì)算機(jī)的比率接近100%，各省電力公司本部局域網(wǎng)覆蓋本部機(jī)關(guān)業(yè)務(wù)工作達(dá)90%以上。

9、        （二）電力生產(chǎn)、調(diào)度自動(dòng)化系統(tǒng)應(yīng)用成熟        發(fā)電生產(chǎn)自動(dòng)化監(jiān)控系統(tǒng)的廣泛應(yīng)用大大提高了生產(chǎn)過程自動(dòng)化水平。提高電力調(diào)度自動(dòng)化水平、提高電網(wǎng)運(yùn)行質(zhì)量是電網(wǎng)企業(yè)信息化建設(shè)的重點(diǎn)方向。目前省電力調(diào)度機(jī)構(gòu)全部建立了SCADA系統(tǒng)，電網(wǎng)的三級(jí)調(diào)度100%實(shí)現(xiàn)了自動(dòng)化。我國(guó)電廠、電力調(diào)度的自動(dòng)化水平達(dá)到國(guó)際先進(jìn)水平。        （三）電力營(yíng)銷管理系統(tǒng)得到廣泛應(yīng)用

10、0;       各省電力公司普遍建立了用電管理信息系統(tǒng)，地（市）級(jí)供電企業(yè)基本實(shí)現(xiàn)業(yè)務(wù)受理的計(jì)算機(jī)化。各地供電部門積極進(jìn)行客戶服務(wù)中心的建設(shè)，一批供電客戶服務(wù)呼叫中心初步建立起來。        （四）管理信息系統(tǒng)的建設(shè)與應(yīng)用逐漸推進(jìn)        國(guó)家電網(wǎng)公司所屬各級(jí)分、子公司積極開展管理信息系統(tǒng)的建設(shè)，開發(fā)了生產(chǎn)、設(shè)備、安全監(jiān)督、電力負(fù)荷、營(yíng)銷管理等企業(yè)管理信息系統(tǒng)，實(shí)現(xiàn)了辦公環(huán)境網(wǎng)絡(luò)化和計(jì)

11、算機(jī)化。各發(fā)電集團(tuán)公司也把企業(yè)信息化建設(shè)放到重要位置，重新規(guī)劃企業(yè)信息化發(fā)展藍(lán)圖，借助信息化改造和推動(dòng)電力工業(yè)現(xiàn)代化。        二、目前電力企業(yè)網(wǎng)絡(luò)信息安全管理存在的主要問題        雖然具備以上優(yōu)勢(shì)特征，電力企業(yè)在網(wǎng)絡(luò)信息安全管理方面仍然存在較多問題。        （一）信息化機(jī)構(gòu)建設(shè)尚需進(jìn)一步健全      &

12、#160; 信息部門未受到應(yīng)有的重視。信息部門在電力公司沒有專門機(jī)構(gòu)配置，沒有規(guī)范的建制和崗位，信息部門附屬在生產(chǎn)技術(shù)部下，有的作為設(shè)在科技部下的科室，有的設(shè)在總經(jīng)理工作部門下，還有的僅設(shè)一個(gè)"信息化專責(zé)"人員。信息化作為一項(xiàng)系統(tǒng)工程，需要專門的機(jī)構(gòu)來推動(dòng)和企業(yè)各個(gè)部門的配合。這種狀況勢(shì)必不能適應(yīng)信息化對(duì)人才、機(jī)構(gòu)的要求。        （二）企業(yè)管理革新滯后于信息化發(fā)展進(jìn)程        相對(duì)于信息技術(shù)的發(fā)展與應(yīng)用，電力企業(yè)管理革新處

13、于落后狀況，有的企業(yè)引入了先進(jìn)的業(yè)務(wù)系統(tǒng)、管理系統(tǒng)，而管理模式未能實(shí)施有效革新，最終導(dǎo)致了信息系統(tǒng)未能發(fā)揮預(yù)期的、應(yīng)有的作用。        （三）網(wǎng)絡(luò)信息安全管理需要成為企業(yè)安全文化的重要組成部分        電力信息網(wǎng)絡(luò)已經(jīng)深入到電力生產(chǎn)和管理的全過程，涉及電力生產(chǎn)的各個(gè)層面，電力生產(chǎn)與管理對(duì)其依賴性日益增大。目前，在電力企業(yè)安全文化建設(shè)中，信息安全管理仍然處于從屬地位，需要進(jìn)行不斷努力，使之成為企業(yè)安全文化的中堅(jiān)力量。  

14、60;     （四）網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的存在        電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息同樣具備多方面的安全風(fēng)險(xiǎn)，主要表現(xiàn)在以下幾方面：        1. 網(wǎng)絡(luò)結(jié)構(gòu)不合理        電力企業(yè)依據(jù)有關(guān)規(guī)定將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)，內(nèi)外網(wǎng)實(shí)行物理隔離，但網(wǎng)絡(luò)結(jié)構(gòu)都存在著一些不合理的地方。常見的有：核心交換機(jī)選擇不合理。不少企業(yè)網(wǎng)絡(luò)的核心交換

15、機(jī)是一臺(tái)二層交換機(jī)，這樣，所有網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)中的地位將是平等的，安全問題只有通過應(yīng)用系統(tǒng)去解決。        2. 來自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)        幾乎所有電力企業(yè)網(wǎng)絡(luò)都以各種方式與互聯(lián)網(wǎng)連接，企業(yè)用戶可以直接訪問互聯(lián)網(wǎng)的資源，這給企業(yè)職工帶來很大方便；同樣任何能上互聯(lián)網(wǎng)的用戶也可以訪問企業(yè)網(wǎng)絡(luò)的資源，這對(duì)宣傳企業(yè)、擴(kuò)大企業(yè)的影響和知名度很有好處。但是，在帶來方便的同時(shí)，也帶來安全風(fēng)險(xiǎn)。     

16、0;  3. 來自企業(yè)內(nèi)部的風(fēng)險(xiǎn)        對(duì)于電力企業(yè)網(wǎng)絡(luò)來說，來自內(nèi)部的風(fēng)險(xiǎn)是非常主要的安全風(fēng)險(xiǎn)。內(nèi)部人員（特別是網(wǎng)絡(luò)管理人員）對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)都非常熟悉，不經(jīng)意之間泄露的重要信息，都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命的安全威脅。        4. 病毒的侵害        計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的影響是災(zāi)難性的。電子郵件系統(tǒng)的廣泛使用，使計(jì)算機(jī)病毒的擴(kuò)散速度大大加

17、快，網(wǎng)絡(luò)成了病毒傳播的最好途徑，電力企業(yè)網(wǎng)絡(luò)同樣難以幸免。因此，計(jì)算機(jī)病毒成為企業(yè)網(wǎng)絡(luò)最嚴(yán)重的安全風(fēng)險(xiǎn)之一。        5. 管理人員素質(zhì)風(fēng)險(xiǎn)        許多電力企業(yè)網(wǎng)絡(luò)都存在重建設(shè)、重技術(shù)、輕管理的傾向。實(shí)踐證明，安全管理制度不完善、人員素質(zhì)不高是網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要來源之一。比如，網(wǎng)絡(luò)管理員配備不當(dāng)、企業(yè)員工安全意識(shí)不強(qiáng)、用戶口令設(shè)置不合理等，都會(huì)給信息安全帶來嚴(yán)重威脅。      

18、0; 6. 系統(tǒng)的安全風(fēng)險(xiǎn)        系統(tǒng)的安全風(fēng)險(xiǎn)主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險(xiǎn)。目前不少企業(yè)網(wǎng)絡(luò)使用的操作系統(tǒng)仍然是以Windows系列操作系統(tǒng)為主。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞，這些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，可以被用來實(shí)施拒絕服務(wù)攻擊。三、電力企業(yè)網(wǎng)絡(luò)信息安全管理問題的成因分析        （一）安全意識(shí)淡薄是網(wǎng)絡(luò)信息安全的瓶頸     &

19、#160;  企業(yè)人員忙于利用網(wǎng)絡(luò)工作學(xué)習(xí)，對(duì)網(wǎng)絡(luò)信息的安全性無暇顧及，安全意識(shí)相當(dāng)?shù)?。電力企業(yè)注重的是網(wǎng)絡(luò)效應(yīng)，對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求，網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏洞狀態(tài)。從上到下普遍存在僥幸心理，沒有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí)，更無法從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。        （二）運(yùn)行管理機(jī)制的缺陷和不足制約了安全防范的力度        從目前的運(yùn)行管理機(jī)制來看，有以下幾方面的缺陷和

20、不足。        1. 網(wǎng)絡(luò)安全管理方面人才匱乏        由于技術(shù)應(yīng)用的擴(kuò)展，技術(shù)的管理也應(yīng)同步擴(kuò)展，但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能、資源和利益導(dǎo)向。        2. 安全措施不到位        配置不當(dāng)或過時(shí)的操作系統(tǒng)、郵件程序和內(nèi)部網(wǎng)絡(luò)都存在入侵者可利用的缺陷，如果缺乏周密有效

21、的安全措施，就無法發(fā)現(xiàn)和及時(shí)查堵安全漏洞。當(dāng)廠商發(fā)布補(bǔ)丁或升級(jí)軟件來解決安全問題時(shí)，許多用戶的系統(tǒng)不進(jìn)行同步升級(jí)，原因是管理者未充分意識(shí)到網(wǎng)絡(luò)不安全的風(fēng)險(xiǎn)所在，未引起重視。        3. 缺乏綜合性的解決方案        大多數(shù)用戶缺乏綜合性的安全管理解決方案，稍有安全意識(shí)的用戶依賴升級(jí)防火墻和加密技術(shù)，產(chǎn)生虛假的安全感。實(shí)際上，一次性使用一種方案并不能保證系統(tǒng)永遠(yuǎn)安全，網(wǎng)絡(luò)安全問題遠(yuǎn)遠(yuǎn)不是防毒軟件和防火墻能夠解決的，也不是大量標(biāo)準(zhǔn)安全產(chǎn)品簡(jiǎn)單堆砌

22、就能解決的。        四、網(wǎng)絡(luò)信息安全管理的內(nèi)容        安全管理包括風(fēng)險(xiǎn)管理、安全策略和安全教育。這3個(gè)組件是企業(yè)安全規(guī)劃的基礎(chǔ)。        （一）風(fēng)險(xiǎn)管理        識(shí)別企業(yè)的信息資產(chǎn)，評(píng)估威脅這些資產(chǎn)的風(fēng)險(xiǎn)，評(píng)估假定這些風(fēng)險(xiǎn)成為現(xiàn)實(shí)時(shí)企業(yè)所承受的災(zāi)難和損失。通過降低風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)

23、嫁風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)等多種風(fēng)險(xiǎn)管理方式來協(xié)助管理部門制定企業(yè)信息安全策略。        （二）安全策略        隨著企業(yè)規(guī)模、業(yè)務(wù)發(fā)展、安全需求的不同，信息安全策略可能各有不同。但是安全策略都應(yīng)該簡(jiǎn)單清晰、通俗易懂并直接反映主題，避免含糊不清的情況出現(xiàn)。信息安全策略是企業(yè)安全的最高方針，由高級(jí)管理部門支持，必須形成書面文檔，廣泛發(fā)布到企業(yè)所有員工手中。        （三）安全教育&

24、#160;       信息安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實(shí)施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證信息安全的成功和有效，高級(jí)管理部門應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)，所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)信息安全策略。        安全管理通過適當(dāng)?shù)刈R(shí)別企業(yè)的信息資產(chǎn)，評(píng)估信息資產(chǎn)的價(jià)值，制定、實(shí)施安全策略、安全標(biāo)準(zhǔn)、安全方針、安全措施來保證企業(yè)信息資產(chǎn)的完整性、機(jī)密性、可用性，通過安全教育形成企

25、業(yè)安全文化的重要組成部分，保障安全管理的順利實(shí)現(xiàn)。        五、加強(qiáng)電力企業(yè)網(wǎng)絡(luò)信息安全管理的建議        （一）重視安全規(guī)劃        企業(yè)網(wǎng)絡(luò)安全規(guī)劃的目的就是要對(duì)網(wǎng)絡(luò)的安全問題有一個(gè)全面的思考，要以系統(tǒng)的觀點(diǎn)去考慮安全問題。        要進(jìn)行有效的安全管理，必須建立起一套系統(tǒng)全面的信息安全管理

26、體系。這可以參照國(guó)際上通行的一些標(biāo)準(zhǔn)來實(shí)現(xiàn)，如：BS7799、ISO17799、ISO15408等。        （二）合理劃分安全域        電力企業(yè)是完全實(shí)行物理隔離的企業(yè)網(wǎng)絡(luò)，在內(nèi)網(wǎng)上仍然要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全密級(jí)，從邏輯上劃分核心重點(diǎn)防范區(qū)域、一般防范區(qū)域和開放區(qū)域。重點(diǎn)防范的區(qū)域是網(wǎng)絡(luò)安全的核心，這部分區(qū)域是一般用戶不能直接訪問的區(qū)域，有很高的安全級(jí)別。各種重要數(shù)據(jù)、服務(wù)器、數(shù)據(jù)庫服務(wù)器應(yīng)當(dāng)放置在該區(qū)域，各種應(yīng)用

27、系統(tǒng)、OA系統(tǒng)等在該區(qū)域運(yùn)行。        （三）加強(qiáng)安全管理，重視制度建設(shè)        為保證企業(yè)網(wǎng)絡(luò)信息安全，要把企業(yè)網(wǎng)絡(luò)信息安全作為一個(gè)系統(tǒng)工程來考慮。因此，企業(yè)網(wǎng)絡(luò)的安全問題，安全管理和制度建設(shè)非常重要（特別是內(nèi)網(wǎng)）?，F(xiàn)提出如下建議：        1. 加強(qiáng)日志管理與安全審計(jì)        一般的防火墻與

28、入侵檢測(cè)系統(tǒng)都具備審計(jì)功能，要充分利用它們的審計(jì)功能，作好網(wǎng)絡(luò)的日志管理和安全審計(jì)工作。對(duì)審計(jì)數(shù)據(jù)要嚴(yán)格管理，不允許任何人修改、刪除審計(jì)記錄。        2. 建立內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)        認(rèn)證是網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)之一，其目的是實(shí)現(xiàn)身份鑒別服務(wù)、訪問控制服務(wù)、機(jī)密性服務(wù)和不可否認(rèn)服務(wù)等。        3. 建立病毒防護(hù)體系    

29、    在企業(yè)網(wǎng)絡(luò)上安裝防病毒體系。防病毒軟件系統(tǒng)要具有遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警、集中管理等多種功能。其次，要建立防病毒的管理制度。不能隨意將互聯(lián)網(wǎng)上下載的數(shù)據(jù)往內(nèi)網(wǎng)主機(jī)上拷貝，來歷不明的移動(dòng)存儲(chǔ)設(shè)備不能隨意在聯(lián)網(wǎng)計(jì)算機(jī)上使用，職員應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。        4. 重視網(wǎng)絡(luò)管理制度建設(shè)        嚴(yán)格的管理制度，是保證企業(yè)信息網(wǎng)絡(luò)安全的重要措施之一。     

30、   （1）領(lǐng)導(dǎo)應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全問題。企業(yè)領(lǐng)導(dǎo)要高度重視安全管理和安全制度建設(shè)問題，不能把安全管理和制度建設(shè)看成是技術(shù)部門的事。企業(yè)應(yīng)當(dāng)成立信息安全領(lǐng)導(dǎo)小組，由分管領(lǐng)導(dǎo)抓網(wǎng)絡(luò)安全工作，并明確其職責(zé)和工作制度。要制訂安全事故處理程序、應(yīng)急計(jì)劃等。        （2）加強(qiáng)基礎(chǔ)設(shè)施和運(yùn)行環(huán)境的管理建設(shè)。企業(yè)網(wǎng)絡(luò)的管理機(jī)構(gòu)（信息中心）的機(jī)房、配電房等計(jì)算機(jī)系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴(yán)格管理，配備防盜、防火、防水等設(shè)施，應(yīng)當(dāng)安裝監(jiān)控系統(tǒng)、監(jiān)控報(bào)警裝置等。建立嚴(yán)格的設(shè)備運(yùn)行日志，記錄設(shè)備運(yùn)行狀況。要規(guī)范操作規(guī)程，確

31、保計(jì)算機(jī)系統(tǒng)的安全、可靠運(yùn)行。        （3）建立必要的安全管理制度。企業(yè)網(wǎng)絡(luò)的中心機(jī)房和各業(yè)務(wù)部門計(jì)算機(jī)系統(tǒng)都要建立計(jì)算機(jī)系統(tǒng)使用管理制度，網(wǎng)絡(luò)系統(tǒng)管理員、安全員、各業(yè)務(wù)部門主管和計(jì)算機(jī)操作人員的計(jì)算機(jī)密碼管理規(guī)定等內(nèi)控管理制度，對(duì)應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權(quán)并由專人負(fù)責(zé)，登記日志。建立健全數(shù)據(jù)備份制度，核心程序及數(shù)據(jù)要嚴(yán)格保密，實(shí)行專人保管。        （4）堅(jiān)持安全管理原則。多人負(fù)責(zé)原則：兩人或多人互相配合、互相制約。從事每項(xiàng)安全活動(dòng)，

32、應(yīng)至少兩人在場(chǎng)，做好工作情況記錄。任期有限原則：任何人不長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)。當(dāng)人員離任時(shí)，應(yīng)立即對(duì)系統(tǒng)進(jìn)行授權(quán)調(diào)整。職責(zé)分離原則：不要打聽、了解或參與職責(zé)以外的任何與安全相關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。最小權(quán)限原則：只授予用戶和系統(tǒng)管理員所需要的最基本權(quán)限，并且超級(jí)用戶的權(quán)限也應(yīng)該越小越好。        （5）制度的定期督導(dǎo)檢查。管理制度具有嚴(yán)肅性、權(quán)威性、強(qiáng)制性，管理制度一旦形成，就要嚴(yán)格執(zhí)行。企業(yè)應(yīng)組織有關(guān)人員對(duì)管理制度進(jìn)行定期督導(dǎo)檢查，保證制度的落實(shí)。     

33、;   （四）加強(qiáng)企業(yè)員工和網(wǎng)絡(luò)管理人員安全意識(shí)教育        對(duì)于網(wǎng)絡(luò)信息安全，企業(yè)員工和網(wǎng)絡(luò)管理人員的素質(zhì)非常重要。        1. 在安全教育具體實(shí)施過程中應(yīng)該有一定的層次性        （1）對(duì)主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員，重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制訂等。 

34、;       （2）對(duì)負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。        （3）對(duì)企業(yè)全體職員，重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。        2. 對(duì)于特定的人員要進(jìn)行特定的安全培訓(xùn)     

35、60;  對(duì)于關(guān)鍵崗位和特殊崗位的人員，通過送往專業(yè)機(jī)構(gòu)學(xué)習(xí)和培訓(xùn)，使其獲得特定的安全方面的知識(shí)和技能。通過安全培訓(xùn)，確保在電力信息安全保障體系逐步建立的過程中，各類人員的安全意識(shí)和技術(shù)能力獲得提高，各崗位人員的技術(shù)能力和管理能力與安全保障體系的運(yùn)行和維護(hù)相適應(yīng)。        六、建立安全長(zhǎng)效機(jī)制        解決網(wǎng)絡(luò)信息安全問題，技術(shù)是安全的主體，管理是安全的靈魂。加強(qiáng)信息安全管理，建立安全長(zhǎng)效機(jī)制，成為電力企業(yè)安全文化的重要組成部分，其必

36、然性由以下因素決定：        （1）電網(wǎng)企業(yè)安全文化對(duì)社會(huì)具有輻射作用。        （2）新形勢(shì)下安全生產(chǎn)要求的重大舉措。        （3）電網(wǎng)科學(xué)技術(shù)發(fā)展的需要。        （4）人本管理是電力企業(yè)先進(jìn)安全文化的核心。        （5）實(shí)現(xiàn)高效的安全生產(chǎn)管理。        建立先進(jìn)的企業(yè)安全文化。企業(yè)安全文化對(duì)企業(yè)安全生產(chǎn)工作起凝聚、協(xié)調(diào)和控制作用