電力信息體系安全探究以及考慮

電力信息體系安全探究以及考慮

電力企業(yè)是最早實現(xiàn)生產(chǎn)經(jīng)營信息化的企業(yè)之一，電網(wǎng)調(diào)度自動化、網(wǎng)絡(luò)運營市場化和管理現(xiàn)代化等都與電力信息系統(tǒng)密切相關(guān)，電力負荷控制、MIS、資費管理、客戶服務(wù)等信息網(wǎng)絡(luò)技術(shù)也成功應(yīng)用到各級電力企業(yè)。同時網(wǎng)絡(luò)的負面影響也滲透到電力企業(yè)生產(chǎn)的各個方面，對電力系統(tǒng)的安全穩(wěn)定、優(yōu)質(zhì)運行構(gòu)成了嚴重威脅。電力信息系統(tǒng)安全和電力生產(chǎn)安全同等重要，是國家安全的重要組成部分。因此研究信息安全技術(shù)，建立電力信息系統(tǒng)的安全防護體系和安全模型，對確保電力系統(tǒng)安全穩(wěn)定、經(jīng)濟優(yōu)質(zhì)運行，加速實現(xiàn)“數(shù)字電力系統(tǒng)”的進程具有重要的現(xiàn)實意義，是當前電力信息系統(tǒng)建設(shè)中亟待解決的大問題。

1電力信息系統(tǒng)安全需求

一個全面、合理的電力信息系統(tǒng)安全體系和模型，應(yīng)該滿足下列安全需求。

1．1機密性即確保信息僅對被授權(quán)者可用。信息的保護通過確保數(shù)據(jù)被限制于授權(quán)者使用，另外還應(yīng)考慮信息所在的形式和狀態(tài)，是物理的紙面形式、電子文檔形式，還是傳輸中的介質(zhì)形式。

1．2完整性是指數(shù)據(jù)不以未經(jīng)授權(quán)方式進行改變或損壞的特性。電力企業(yè)的許多開放系統(tǒng)應(yīng)用都有依賴于數(shù)據(jù)完整性的安全需求。完整性同樣應(yīng)考慮信息所在的形式和形態(tài)。

1．3可用性指確保被授權(quán)用戶在需要時可以訪問系統(tǒng)中的信息和相關(guān)資產(chǎn)，不會因自然或人為原因使系統(tǒng)中信息的存儲、傳輸或處理延遲，或者系統(tǒng)服務(wù)被破壞、被拒絕達到不能容忍的程度。

1．4可控性指授權(quán)機構(gòu)對信息的內(nèi)容及傳播具有控制能力，可以控制授權(quán)訪問內(nèi)的信息流向以及方式。

1．5不可抵賴性也稱信息的可確認性，是傳統(tǒng)社會的不可否認需求在信息社會的延伸。不可抵賴性包括證據(jù)的生成、驗證和記錄，以及在解決糾紛時隨即進行的證據(jù)恢復(fù)和再次驗證。

1．6可審性可審性不是信息自身的安全需求，不能針對攻擊提供保護，但具有信息的責任需求，和他安全需求相結(jié)合使之更加有效。雖然可審性需求會增加系統(tǒng)的復(fù)雜性，降低系統(tǒng)的使用能力。但是其事后可追查這一特性，在電力信息系統(tǒng)安全中是重要的。

以上六個方面是保證信息系統(tǒng)的信息安全最基本的需求，它們互不能蘊含。

2電力信息系統(tǒng)面臨的威脅和存在的問題

2．1面臨的威脅電力信息系統(tǒng)面臨的威脅來自各個方面。歸結(jié)起來主要包括以下幾個方面。

系統(tǒng)組件固有的脆弱性和缺陷。電力信息系統(tǒng)組件在設(shè)計、制造和組裝中，可能留下各種隱患：①電力信息系統(tǒng)硬件組件的安全隱患，這種問題多數(shù)來源于設(shè)計。②軟件組件的安全隱患，來源于軟件設(shè)計和軟件工程實施中的遺留問題。③基于TCP／IP協(xié)議棧的因特網(wǎng)在設(shè)計之初只考慮了互聯(lián)互通和資源共享的問題，無法兼容解決來自網(wǎng)際的大量安全問題。

自然威脅。自然威脅是不以人的意志為轉(zhuǎn)移的不可抗拒的自然事件，如地震、雷擊、洪災(zāi)和火災(zāi)等。

意外人為威脅。這是一類具有各種不確定因素綜合時偶然發(fā)生的安全威脅。不是有人故意造成的，但是發(fā)生的概率大，產(chǎn)生的損失也可能是非常巨大、無法挽回的。

惡意人為威脅。惡意的人為威脅包括欺詐或偷竊、內(nèi)部員工的惡意破壞、懷有惡意的黑客行為、惡意代碼、侵犯他人個人隱私等行為。

2．2電力信息系統(tǒng)存在的問題

電力信息系統(tǒng)安全在過去幾年雖然已經(jīng)取得了長足發(fā)展，但是在信息系統(tǒng)的規(guī)劃、建設(shè)和運行維護過程中需要研究和解決的問題還很多。分析現(xiàn)狀，筆者認為電力信息系統(tǒng)目前存在的問題主要表現(xiàn)在：人員信息安全意識薄弱；信息安全管理機制不完善；系統(tǒng)邊界安全防護薄弱，安全隱患依然存在；缺乏安全體系和可評估的安全模型等幾個方面。

3電力信息系統(tǒng)安全的建設(shè)

通過分析，針對電力信息系統(tǒng)目前存在的問題，我們應(yīng)該結(jié)合企業(yè)自身的特點，堅持“安全第一，防御為主”方針，有目的地、合理地設(shè)計電力信息系統(tǒng)安全體系和模型，建立健全與信息化相適應(yīng)的信息安全保障、監(jiān)督體系，積極防御和綜合防范信息技術(shù)風(fēng)險，增強信息系統(tǒng)安全預(yù)警、應(yīng)急處理和災(zāi)難恢復(fù)能力，以確保滿足基本安全需求。

3．1建立健全信息安全工作機制

切實加強組織和領(lǐng)導(dǎo)，把信息安全納入電力安全生產(chǎn)體系，堅持一手抓信息化建設(shè)，一手抓信息安全保障工作。各級主管領(lǐng)導(dǎo)要親自研究、協(xié)調(diào)處理信息安全，健全信息安全管理體制，落實責任部門，明確責任人員，提高各級人員的信息安全意識，各盡其職，常抓不懈，確保信息安全積極防御措施和綜合防范工作落到實處，確保信息安全管理機構(gòu)、人員、職能、責任“四到位”。

3．2不斷完善信息安全管理制度體系

統(tǒng)籌規(guī)劃，突出重點，加快信息安全管理制度和標準規(guī)范建設(shè)步伐，強化信息安全規(guī)章制度落實工作，盡快編制電力企業(yè)有關(guān)實施意見，明確電力信息系統(tǒng)安全重大任務(wù)和重要項目，統(tǒng)籌規(guī)劃電力企業(yè)信息安全工作。落實電力信息系統(tǒng)分區(qū)安全策略，有效指導(dǎo)各企業(yè)信息安全防護設(shè)施新建和更新工作，規(guī)范信息事故發(fā)生后的調(diào)查處理，加強信息安全事件監(jiān)督。盡快出臺電力信息系統(tǒng)安全體系建設(shè)規(guī)范，加強身份認證、授權(quán)管理和跟蹤審計工作。抓緊研究和編制災(zāi)難恢復(fù)系統(tǒng)建設(shè)規(guī)范，確定災(zāi)難恢復(fù)策略，統(tǒng)籌規(guī)劃各企業(yè)災(zāi)難恢復(fù)系統(tǒng)建設(shè)。

3．3嚴格執(zhí)行電力二次系統(tǒng)安全防護規(guī)定

要切實貫徹落實電力二次系統(tǒng)安全防護總體方案及各級調(diào)度中心二次系統(tǒng)安全防護方案，切實將其納入電力安全生產(chǎn)管理體系，建立健全電力二次系統(tǒng)安全聯(lián)合防護和應(yīng)急機制，制定并完善應(yīng)急預(yù)案。按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的基本原則，清理生產(chǎn)控制大區(qū)與管理信息大區(qū)之間橫向邊界，加強調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的建設(shè)和安全符理。

3．4加快信息安全管控手段建設(shè)

全面推進個人終端標準化建設(shè)工作，嚴格個人終端接入網(wǎng)絡(luò)管理，實現(xiàn)個人終端補丁程序、病毒軟件自動更新、升級，嚴禁隨意下載和安裝非正版軟件。強化防木馬病毒等安全措施，嚴格用戶訪問控制。增加信息安全監(jiān)控措施，加快建立信息安全監(jiān)控手段，實現(xiàn)對防火墻、入侵檢測等安全防護設(shè)施的集中監(jiān)視和事件預(yù)警。加快信息安全模型研究，落實信息安全整體評估工作，使安全評估常態(tài)化、簡易化、科學(xué)化。

3．5強化信息安全應(yīng)急與通報工作

不斷完善反應(yīng)靈敏、協(xié)調(diào)有力的信息安全應(yīng)急機制，制定預(yù)案，加強演練。應(yīng)急預(yù)案應(yīng)該能夠確保安全事件進一步蔓延，達到監(jiān)視恢復(fù)時間和損失預(yù)期目的。規(guī)范信息安全事件通報程序，堅決杜絕發(fā)生信息事件隱瞞不報的情況。及時傳達國家和企業(yè)信息安全運行動態(tài)，及時響應(yīng)和處理信息安全事件，加強事件分析，實時發(fā)布安全通告。

3．6高度重視信息安全保密工作

認清形勢，提高全員保密知識水平和技術(shù)防護技能，提高防范網(wǎng)絡(luò)竊密泄密能力。嚴禁將涉密計算機與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴禁在非涉密計算機和互聯(lián)網(wǎng)上存儲、處理國家機密和企業(yè)秘密，嚴禁涉密移動存儲介質(zhì)在涉密計算機和非涉密計算機及互聯(lián)網(wǎng)上交叉使用，切實落實信息安全保密責任。加強與咨詢、開發(fā)合作單位的安全保密管理，簽署保密協(xié)議，嚴格對外部人員訪問的授權(quán)和審批，加強監(jiān)管和備案。及時開展信息系統(tǒng)安全保密檢查，做好涉密文檔的登記、存檔、銷毀、定密、解密等各環(huán)節(jié)工作，及時發(fā)現(xiàn)并堵塞泄密隱患。

3．7提高全員信息安全意識

開展全員信息安全培訓(xùn)，全面樹立