關于電力企業構筑安全網的思考

孫偉

【摘 要】我國國民經濟的重要支柱產業是電力工業，電力工業的安全問題就顯得至關重要，它直接關系到各行各業的發展和人民的生活水平。從近年來電力行業發生的大的安全事件看，絕大多數都造成了嚴重的經濟損失和人員傷亡?？陀^分析這些事件發生的原因并科學制定防范措施，才能避免類似事件的發生。這些安全問題，在某種程度上都可以歸結為信息安全管理。因此，要構筑電力企業堅固的信息安全網，必須加強電力系統的信息安全管理工作。具體說，應該從以下幾方面構筑電力企業的安全網。

【關鍵詞】電力企業；安全；策略；風險評估

一、實施安全教育是構筑電力企業安全網的前提

安全教育主要是指安全意識和相關技能的教育，這是電力企業信息安全管理的重要內容。從一定意義上說，電力企業安全管理被理解的程度和被執行的效果就取決于能否確保安全教育順利貫徹實施，二者的關系十分密切。

電力企業的安全教育不可一概而論，應按照各級管理人員、技術人員、一般員工三個層次進行，這樣才能保證電力企業信息安全的成功和有效。因此，電力企業高級管理部門在安全教育具體實施過程中，應參照如下層次進行：

第一，對主管信息安全工作的高級負責人或各級管理人員，重點進行企業信息安全的整體策略與目標、信息安全體系的構成、安全管理部門的建立與管理制度的制定等的教育。第二，對負責信息安全運行管理及維護的技術人員，重點進行信息安全管理策略、安全評估的基本方法、安全操作與維護技術的合理運用等的教育。第三，對一般員工，要重點進行各種安全操作流程及與其相關的安全策略，包括自身應該承擔的安全職責等的教育。需要強調的是，電力企業的信息安全教育應貫穿于整個企業文化體系之中，必須定期、持續地進行，不可以搞突擊。

二、高層領導支持是構筑電力企業安全網的關鍵

電力企業要科學制定并順利執行安全實施，一個重要基礎就是組織保證體系，這就是高層領導的支持。安全措施是否科學合理，能否得以順利執行，需要有一套了解掌握企業狀況、掌握信息安全技術手段的領導班子，從而形成電力企業信息安全的決策層、管理層、執行層等基礎機構，確保人員的配置、安全責任制的落實?？v觀我國電力企業的領導機構，應該說，都確立了以企業黨政“一把手”為領導的組織體系。這為構筑電力企業的安全網提供了組織保證。

三、科學制定安全策略是構筑電力企業安全網的的基礎

電力企業的安全策略包括的內容很廣，主要包括：分區防護、實現兩類隔離、識別和保護網絡接口邊界、關閉不必要的服務和協議、制定完善的備份與恢復等策略。這些安全策略的具體內容是：

第一，分區防護。根據我國電力企業的具體特點、目前狀況以及安全要求等，分區防護可分為實時控制區、非控制生產區、生產管理區、管理信息區四個安全工作區，將所有業務系統都置于相應的安全區內，并重點保護實時控制系統及生產業務系統。第二，兩類隔離。其中，一類是制定電力監控系統與辦公自動化系統以及管理信息系統的有效物理隔離措施；二是制定電力調度數據專用網絡與綜合信息網絡和因特網的有效物理隔離措施。第三，識別與保護網絡接口邊界。這是指通過識別電力網絡接口邊界，從而斷開不必要的接口，旨在防止跨多網接口通道的存在，實現對剩余接口的安全保護。第四，關閉不必要的服務和協議。通過合理地設置電力系統網絡與主機系統的配置、服務、權限，關閉不必要的服務和協議，禁止使用默認配置，減少安全漏洞，尤其要及時更新系統的安全補丁，消除系統的內核漏洞與后門。第五，制定完善的備份與恢復策略。這個策略主要是對關鍵應用的數據與應用系統進行備份，確保數據損壞、系統崩潰情況下快速恢復數據與系統的可用性。其中，對關鍵主機設備、網絡的設備與部件要進行相應的熱備份與冷備份，以避免單點故障影響系統可靠性。在具備條件的前提下，還要對實時控制系統、電力市場交易系統，進行異地的數據與系統備份，提供系統的容災功能，從而保證在災難情況下系統業務的連續性。

四、定期進行風險評估是構筑電力企業安全網的途徑

安全風險評估是科學分析目前我國電力企業現有的網絡框架、核心路由器、交換機、數據庫服務器、郵件服務器、應用服務器、業務流程以及安全策略的安全漏洞、安全威脅和潛在影響等，旨在提出科學合理的安全建議，從而保證系統資產的機密性、完整性和可用性等基本安全屬性，根據評估的結果采取相應的安全控制措施，并及時調整電力企業的安全策略。信息安全的動態變化特征，決定了只有定期進行安全風險評估，才能發現和防范電力企業最新的安全風險，這也是決定安全風險評估必然是一個長期持續的工作的主要原因。目前，我國電力企業的安全風險評估還有待進一步完善，以逐漸實現制度化和規范化。

五、完善安全制度是構筑電力企業安全網的保障

電力企業要切實增加企業的風險承受能力，僅依賴技術手段是遠遠不夠的，要彌補技術手段的不足，還需要制定完善的安全管理制度。需要指出的是，在制定安全管理制度過程中，必須參考相關的國際安全標準、國家安全標準和安全法規政策等。

從共性上說，電力企業的安全制度包括安全管理制度和安全技術制度。安全管理制度應該包括機房管理、防病毒系統的維護與使用、數據備份中心與災難恢復、防火墻管理、IDS管理、安全事件應急處理、認證中心機房管理、信息發布管理等制度；電力企業的安全技術制度主要包括安全評估與加固規范、CA中心的建設規范、軟件安全開發規范等。在各種安全管理制度和規范正式發布后，還應該建立一套培訓機制，經常組織員工學習，從而確保制度的順利貫徹執行。