電力企業信息安全防護體系建設探索

于石蒙

【摘 要】本文概述了電力企業信息安全防護工作的核心思想，分析了企業信息安全存在的問題，結合行業信息系統安全等級保護基本要求，從安全管理體系和安全技術體系兩個大方面，探討了電力企業網絡信息安全防護系統建設思路。

【關鍵詞】電力企業；信息網絡；安全體系

【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158（2013）07-0498-02

引言

隨著電力企業不斷發展，信息化已廣泛應用于生產運營管理過程中的各個環節，信息化在為企業帶來高效率的同時，也為企業帶來了安全風險。一方面企業對信息化依賴性越來越強，尤其是生產監控信息系統及電力二次系統直接關系到電力安全生產；另一方面黑客技術發展迅速，今天行之有效的防火墻或隔離裝置也許明天就可能出現漏洞。因此，建設信息安全防護體系建設工作是刻不容緩的。

1 信息安全防護體系的核心思想

電力企業信息安全防護體系的核心思想是“分級、分區、分域”（如圖1所示）。分級是將各系統分別確定安全保護級別實現等級化防護；分區是將信息系統劃分為生產控制大區和管理信息大區兩個相對獨立區進行安全防護；分域是依據系統級別及業務系統類型劃分不同的安全域，實現不同安全域的獨立化、差異化防護。

2 信息安全防護系統建設方針

2.1整體規劃：在全面調研的基礎上，分析信息安全的風險和差距，制訂安全目標、安全策略，形成安全整體架構。

2.2分步實施：制定信息安全防護系統建設計劃，分階段組織項目實施。

2.3分級分區分域：根據信息系統的重要程度，確定該系統的安全等級，省級公司的信息系統分為二級和三級系統；根據生產控制大區和管理信息大區，劃分為控制區（安全I區）、非控制區（安全II區）、管理信息大區（III區）；依據業務系統類型進行安全域劃分，二級系統統一成域，三級系統獨立成域。

2.4等級防護：按照國家和電力行業等級保護基本要求，進行安全防護措施設計，合理分配資源，做好重點保護和適度保護。

2.5多層防御：在分域防護的基礎上，將各安全域的信息系統劃分為邊界、網絡、主機、應用、數據層面進行安全防護設計，以實現縱深防御。

2.6持續改進：定期對信息系統進行安全檢測，發現潛在的問題和系統可能的脆弱性并進行修正；檢查防護系統的運行及安全審計日志，通過策略調整及時防患于未然；定期對信息系統進行安全風險評估，修補安全漏洞、改進安全防護體系。

3 信息安全防護體系建設探索

一個有效的信息安全體系是在信息安全管理、信息安全技術、信息安全運行的整體保障下，構建起來并發揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個信息安全防護體系的基石，它包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理五個方面，信息安全組織機構的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權的信息安全小組，負責整體信息安全管理工作，審批信息安全方針，分配安全管理職責，支持和推動組織內部信息安全工作的實施，對信息安全重大事項進行決策。處置信息安全事件，對安全管理體系進行評審。

3.1.2分配管理者權限

按照管理者的責、權、利一致的原則，對信息管理人員作級別上的限制；根據管理者的角色分配權限，實現特權用戶的權限分離。對工作調動和離職人員及時調整授權，根據管理職責確定使用對象，明確某一設備配置、使用、授權信息的劃分，制訂相應管理制度。

3.1.3職責明確，層層把關

制訂操作規程要根據職責分離和多人負責的原則各負其責，不能超越自己的管轄范圍。系統維護時要經信息管理部門審批，有信息安全管理員在場，對故障原因、維護內容和維護前后情況做詳細記錄。

（1）多人負責制度 每一項與安全有關的活動必須有2人以上在場，簽署工作情況記錄，以證明安全工作已得到保障。

（2）重要崗位定期輪換制度 應建立重要崗位應定期輪換制度，在工作交接期間必須更換口令，重要技術文件或數據必須移交清楚，明確泄密責任。

（3）在信息管理中實行問責制，各信息系統專人專管。

3.1.5系統應急處理

制定信息安全應急響應管理辦法，按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級，采取措施，防止破壞的蔓延與擴展，使危害降到最低，通過對事件或行為的分析結果，查找事件根源，徹底消除安全隱患。

3.2 建立信息安全技術策略

3.2.1物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；確保計算機系統有一個良好的工作環境；防止非法進入機房和各種偷竊、破壞活動的發生，抑制和防止電磁泄露等采取的安全措施。

3.2.2 網絡安全策略

網絡安全防護措施主要包括以下幾種類型：

（1）防火墻技術。通過防火墻配置，控制內部和外部網絡的訪問策略，結合上網行為管理，監控網絡流量分配，對于重要數據實行加密傳輸或加密處理，使只有擁有密鑰的授權人才能解密獲取信息，保證信息在傳輸過程中的安全。

（2）防病毒技術。根據有關資料統計，對電力信息網絡和二次系統的威脅除了黑客以外，很大程度上是計算機病毒造成的。當今計算機病毒技術發展迅速，對計算機網絡和信息系統造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件，保障升級和更新的時效性，是行之有效的措施。

（3）安全檢測系統。通過專用工具，定期查找各種漏洞，監控網絡的運行狀況。在電力二次系統之間安裝IDS入侵檢測軟件等，確保對網絡非法訪問、入侵行為做到及時報警，防止非法入侵。

3.2.3安全策略管理

對建的電力二次系統必須在建設過程中進行安全風險評估，并根據評估結果制定安全策略；對已投運且已建立安全體系的系統定期進行漏洞掃描，以便及時發現系統的安全漏洞；定期分析本系統的安全風險，分析當前黑客非法入侵的特點，及時調整安全策略。

3.2.4 數據庫的安全策略

數據庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數據庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言，它可以分為以下幾種策略。

（1） 最小特權策略： 是讓用戶可以合法的存取或修改數據庫的前提下，分配最小的特權，使得這些權限恰好可以讓用戶完成自己的工作，其余的權利一律不給。

（2） 數據庫加密策略： 數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。

（3）數據庫備份策略：就是保證在數據庫系統出故障時，能夠將數據庫系統還原到正常狀態。

（4）審計追蹤策略：是指系統設置相應的日志記錄，特別是對數據更新、刪除、修改的記錄，以便日后查證。

4、結束語

電力企業在全面落實國家信息安全等級保護制度的同時，結合電力企業信息化的特點，建立主動防御機制，形成安全防護動態的體系，安全防護建設不是一次性任務，而是一項長期不懈的工作。