公务员期刊网 论文中心 正文

电力企业信息安全管理策略

电力企业信息安全管理策略

摘要:随着信息技术与电力行业的深度融合,一定程度上提高了电力企业的生产经营效率和管理水平。但由于存在信息管理问题和网络问题,对电力企业信息安全造成巨大威胁。本文通过分析当前电力企业信息安全管理存在的问题,针对性地提出了信息安全管理策略,以期为电力系统正常运行提供保障。

关键词:电力企业;信息安全;企业管理策略

0引言

电力是国民经济的命脉,对社会生产生活起着积极地推动作用。随着信息技术的不断发展,电力企业的信息化水平得到提高,一定程度上提高了电力企业的生产经营效率、管理水平以及市场竞争力。但是,信息的收集处理、交换传输以及共享等离不开互联网技术的支持,而互联网本身存在很大的自由性和不确定性,对电力企业信息安全造成巨大威胁。同时也为一些不法分子提供了可乘之机,使得其通过窃取或篡改重要的信息数据,以获取经济利益或达到破坏电力系统正常运行的目的。因此,为了保证电力系统正常运行,加强电力企业信息系统管理力度很有必要,也有助于推动电力企业信息化进一步发展。

1电力企业信息安全管理内容

电力企业信息安全管理主要包括安全策略、风险管理和安全教育三方面,其中安全策略属于电力企业信息安全管理的最高方针,在制定安全策略时需要电力企业根据自身的发展规模、安全需求、业务特点等综合考虑,最终确保形成的书面材料通俗易懂、简单明了,便于信息安全管理人员实施操作;风险管理属于电力企业信息安全管理的对策建议,主要是对影响信息安全的风险因素进行识别、评估和防控,可以事先假定存在某方面的风险,然后通过有效规避风险、合理转嫁风险、科学降低风险和适度接受风险等手段来尽量降低信息风险给企业带来的经济损失;安全教育的目的是确保信息安全管理的有效执行,可以通过信息安全培训的方式直接对企业信息安全管理人员进行信息安全教育,使其了解信息安全管理策略,掌握信息风险防控对策,将信息安全管理的内容内化于心、外化于形,同时将信息安全管理纳入企业文化建设当中。

2电力企业信息化发展特征

2.1基础设施建设完善

电力企业经过多年的信息化发展,与传统的其他行业相比,信息化建设水平相对较高,计算机普及率高达100%,局域网覆盖率达到90%以上,从管理人员到一线具体操作人员均对计算机技术有所了解和掌握。

2.2自动化系统建设成熟

信息技术在电力企业日常生产经营活动中的广泛应用,使得生产自动化系统建设较为成熟,极大地提高了生产效率。目前多数电力企业采用更为先进的SCADA系统,电网三级调度也完全实现了自动化目标,成为引领全球电力调度的航标。

2.3营销管理系统完善

尽管电力行业属于国家的民生工程,享受国家的补贴政策,但仍然需要面对市场的残酷竞争,信息技术与营销管理系统的有机融合,进一步完善了营销管理系统,实现了用电管理、业务受理、客户服务等信息化,为电力企业开展营销活动注入了新的活力。

2.4管理信息系统建设稳步推进

电力企业在管理信息系统建设过程中,相继开发出满足生产、营销、设备、安全等管理要求的各种信息系统,实现了各个层面上的管理系统信息化建设,改善了企业工作环境,推动了企业现代化发展。

3电力企业信息安全管理存在的问题

3.1机构设置不完善

当前很多电力企业的领导层都没有对信息安全管理引起足够的重视,在机构建置上没有设置专门的信息安全管理部门和科学合理的信息安全管理岗位,缺乏专业技能良好、综合素质较高的复合型管理人才,更没有严格的管理制度保障信息安全管理工作的顺利开展。即使有些电力企业设置了信息安全管理部门,但也被规划进科技部或总经理部门下管理,工作缺乏独立性,不利于与企业的其他部门进行协作配合,严重影响电力企业信息化建设。

3.2管理地位不高

电力企业信息贯穿于生产、经营、管理的全过程,涉及的内容点多面广,对互联网技术依赖程度不断增强。但信息安全管理没有纳入企业文化建设中,只是作为一种长期管理、经营过程中形成的特定安全文化独立于企业文化之外,与企业文化是一种附属关系,而不是将信息安全管理看作是企业文化的重要组成部分,这样就降低了信息安全管理的地位,影响了信息安全管理的实施力度,阻碍了电力企业信息化发展。

3.3管理水平偏低

多数电力企业的管理水平较低,管理工作流于形式,工作成效偏低,跟不上自身信息化建设的进程,导致信息系统不能有效发挥应有的作用。虽然部分电力企业在推进信息化建设中引入了先进的管理系统与业务系统,但由于管理模式滞后,开展的管理活动缺少深度,实效性不强,严重影响对信息化管理的及时优化和革新,使得信息系统的使用效果欠佳。

3.4信息安全存在风险

(1)网络结构不合理:虽然电力企业内网和外网之间采用物理隔离,但交换机设置很多企业使用一台二层交换机,结构存在明显缺陷,导致网络中所有用户地位平等,容易出现安全问题。(2)企业内部风险:专业技术人员对网络信息结构与系统应用较为热悉,一旦因网络管理人员私心作祟将重要信息泄漏,将给企业造成致命的信息安全威胁。(3)计算机病毒:计算机病毒具有扩散速度快、侵袭范围广的特点,一旦计算机感染网络病毒,轻则导致数据被窃取或篡改,重则导致整个电力网络系统崩溃。(4)互联网自身开发风险:电力企业网络信息系统是以互联网为基础的,而互联网自身的开放特点使得客户可以直接访问电力企业内部的网络资源,这样在为客户提供方便的同时,也给电力企业带来信息安全和计算软硬件安全风险。(5)系统本身的安全风险:操作系统、数据库系统、各种应用软件系统等均存在一定的风险,很容易遭受黑客恶意攻击。

4电力企业信息安全管理策略

4.1完善组织架构

电力企业信息安全管理实行统一领导、分级管理原则,领导小组由决策层组成,管理层由各部门管理者组成,包括信息安全的规划、监督审计、运行保障等各职能部门,实施专业化管理。同时构建信息安全管理体系框架,包括信息安全的策略、运行、管理和技术措施四个模块。

4.2做好安全规划

电力企业需要根据自身实际情况,从系统角度和网络安全特点出发优先做好信息安全规划工作,对网络信息安全从整体上进行综合考虑和规划,也可以参照一些国外的通行标准构建信息安全管理体系,以达到防范网络安全问题的目的。同时电力企业信息安全实行双网双机管理,内外网之间采用物理隔离,应结合实际情况合理规划内网安全域,通常划分为一般防范区域和重点防范区域,其中重点防范区域属于电力企业信息安全的内部核心,必须实施重点安全防范,因此设置的访问级别较高,用户访问受权限限制,未经许可用户无法进入,目的是防止不法分子侵入系统。安全区域运行OA系统、应用系统等与核心数据相关的重要数据,以保证数据信息安全。

4.3强化安全管理

(1)加强日常安全审计:入侵检测系统均具有审计功能,能够对病毒攻击或不法分子入侵及时启动警报系统,将计算机自动从局域网中隔离,尽可能降低安全隐患问题。因此应当将安全审计工作落实到位,在加强网络日志管理的同时做好审计数据的保存,以确保审计数据真实、全面、可靠,促使系统安全运行。另外,未经授权不得私自更改或删除审计记录。(2)构建病毒防护体系:安装的防病毒软件必须具有远程安装、远程报警、集中管理等特点,同时建立防病毒管理制度,严禁将来历不明的存储设备或随意从互联网上下载的数据接入联网计算机,一旦发现病毒应及时进行处理。(3)信息安全保障举措:根据信息安全分级保护等级落实好“分级、分区、分域”的信息安全防护策略,严格保密核心程序和数据,有效落实信息安全防护预案,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。(4)建立网络入侵保护系统IPS:IPS是一种快速主动的防御体系,能够阻止恶意数据侵入电力系统,提升电力企业网络信息安全管理指标。与常规的防火墙相比,IPS的安全防御功能更加完善,不仅可以对网络恶意数据流量进行数据安全检测,及时消除隐患,还能提供网络虚拟补丁,起到预先拦截黑客攻击或网络病毒传播的作用,以保证电力企业信息系统免受损害。(5)加大对信息安全管理的投入:对新建信息安全系统要做到对设备和部件进行严格检查,明确要求供应商提供相应的安检报告,确保信息安全系统符合标准;对已使用信息安全系统要做到对设备和部件进行定期检查,确保信息安全系统有效开展防护工作。

4.4提升信息安全管理意识

(1)高度重视信息安全管理工作:信息安全问题已经成为制约电力企业发展的瓶颈,领导层应不断提升信息安全管理意识,高度重视信息安全管理工作,结合企业实际情况成立信息安全领导小组,组织所有员工进行信息系统安全运行管理培训,让其了解信息安全管理目标,掌握信息安全评估方法,提高信息安全管理技能,在企业内部形成良好的信息安全管理氛围。(2)建立健全信息安全管理制度:完善的信息安全管理制度应明确相关负责人的工作职责和权限,落实信息安全管理工作责任到人,定期开展信息安全管理工作督导检查,对发现的问题要求及时进行整改,对相关的责任人按规定进行严肃处理,以确保信息安全管理制度的严肃性、强制性、权威性和可执行性。同时也使工作人员在具体操作时,有章可循、有法可依、更加规范,从而避免因操作失误带来的信息安全问题。(3)建立信息安全应急保障机制和不同信息安全风险的预警机制:电力企业信息安全问题较为严重,信息风险无处不在,建立信息安全应急保障机制和不同信息安全风险的预警机制是确保信息系统安全、稳定运行的重要保障,尤其需要加强信息系统的容灾建设、数据保存备份和恢复管理制度建设。

5结论

总之,信息贯穿于电力企业各项工作中,信息安全与生产、经营、管理密不可分,不论是硬件还是软件出现问题都会威胁整个网络系统安全,因此必须在电力企业信息化建设的过程中强化信息安全管理,确保信息系统安全、稳定、可靠、高效运行,帮助电力企业创造更大的经济效益和社会效益,谋求更长远的发展。

参考文献:

[1]郑玉山.电力企业网络和信息安全管理策略思考[J].网络安全技术与应用,2017(6):121+123.

[2]杨艳辉.浅析电力企业网络信息安全管理[J].工程建设与设计,2016(14):170-171.

[3]何江南.电力企业信息网络安全问题及对策分析[J].中国新通信,2015,17(7):63.

[4]张毅庆.浅谈电力企业信息网络安全防护技术[J].科技创新与应用,2014(27):162.

作者:张志 常永娟 单位:国网河北省电力有限公司信息通信分公司