摘要:建立起安全有效的信息网络对电力企业的发展刻不容缓。文中阐述了当前我国电力信息网络风险评估技术的发展现状,指出了其有待改进的地方,提出了相应的解决措施,从技术和治理两个方面进行了详细地探讨。
关键词:电力信息网络安全;风险评估;措施
中图分类号:TK124文献标识码:A
信息安全工作对信息网络的安全状况进行评估,对信息系统起到保障作用,在高新科技时代,电力企业建立安全有效的信息网络刻不容缓。面对越来越重要的电力信息网络的风险评估,本文结合当前电力信息系统现状,分析了信息安全评估的方法,总结了风险评估技术。
1电力信息网络风险评估技术的现状
目前,我国的电力信息系统已经建立了安全管理体系,并在不断地完善,将原先信息网络和实施控制体系相互分离开来。然而,我国电力信息网络的安全存在着许多缺陷,包括缺乏网络防火墙、数据备份问题、缺少长远的规划等,系统的安全管理体系还需要更进一步地完善建设。
1.1电力信息网络的风险评估技术的运用
电力企业信息化硬件设备足够,网络建设成功完成。信息化在电力生产、电力调度、输变电、配网自动化等方面广泛使用。在网络硬件上采用多种技术,如千兆骨干网等;在软件上运用电网自动化体系调度和相关技术系统,并有效运用营销系统、配网自动化等系统。现在的电力信息网络在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面发挥了社会效益和经济效益,信息化治理机制逐步改善,在电力生产、建设、经营、治理、科研、设计等方面得到充分的利用。
1.2电力信息网络的风险评估技术有待改进的地方
1.2.1增加安全防范
计算机信息技术高速发展带动计算机信息安全策略和技术的发展。建立完善的、有指导意义的电力系统计算机及信息网络系统,才能保证体系的安全运行。
1.2.2建立计算机信息安全体系
计算机运用在电力系统的生产、经营、治理等方面,但是安全策略、安全技术以及安全措施的投资力度不足。
1.2.3防范黑客攻击
建立广域网之后,计算机网络化使之前孤立的局域网面临巨大的外部安全攻击。现在不仅仅要防止意外破坏和内部职员的安全控制,还要能防止互联网上的安全攻击。
1.2.4保护数据信息
以明文形式存储的信息存在泄漏的可能,要防止存储介质的泄露,以及黑客可以绕过操纵系统、数据库治理系统的控制而得到信息,要注意系统后门和来自软硬件系统制造商的风险。
1.2.5完善数据备份措施
不能只用一台工作站备份数据,要有完善的数据备份设备、数据备份策略和数据备份的管理制度,并且对数据备份的介质妥善保管。
2面对的风险、解决措施和风险控制
2.1风险
2.1.1操作系统安全风险
系统安全管理保证了操作系统的安全性,但是当前许多服务器都存在信息安全隐患。
2.1.2数据库安全风险
数据库是全部业务应用、决策支持、行政办公和外部信息系统的信息管理核心,相关的生产数据都要得到保护。统一的数据备份和恢复,以及可用性高的保障机制,安全管理数据库等可以提升安全管理的级别,规避风险。目前,电力的数据库管理系统的安全级别还算高,但是还有安全漏洞。应用系统软件在数据的安全管理也有安全漏洞,要综合评估数据库和应用的安全性。
2.1.3Web系统安全风险
要访问电力系统企业内部资源,WebServer是其中的通道,但其服务器越来越复杂,安全漏洞也越来越多。
2.1.4桌面应用系统的安全风险
桌面应用系统是优化整个应用系统的重要部分,是访问系统资源和管理系统资源的入口,因此对于系统风险的防范尤为重要。桌面应用系统的管理和使用不当,就会产生安全风险。
2.1.5病毒危害
电力信息系统中办公自动化,作为核心的电子邮件传送是传播计算机病毒的媒介,防病毒软件的安装还不够。此外,新病毒越来越多,威胁性也越来越大。病毒感染方式的改变,要求防毒工作要从整体安全考虑,思考如何网络防毒。
2.1.6黑客入侵
黑客入侵一般是来源于内部,入侵者通过网络探测、扫描网络及操作系统存在的安全漏洞,用相应的攻击程序攻击,使得服务器超负荷工作,最后系统瘫痪。当然还有来自于外部的,如入侵者通过网络监听、用户渗透、系统渗透、拒绝服务、木马等得到用户的用户名以及口令登录后偷取内部网的重要信息,令系统终止服务。出于以上原因,要防止信息外泄就要对外部和内部网络隔离,过滤外网的服务请求,只接收正常通信的数据。
2.2解决措施
2.2.1做好经管工作
在人员管理方面,首先需要加强安全教育工作,保证网络管理者和安全管理者相对稳定,这样能够尽可能地避免网络机密泄露,在人员调离工作岗位时,也尤其需要注意进行保密工作。对于一些具有风险的操作,包括对网络装备、服务器、存储设备的操作,需要相关手续才能进行,应包括签字和监督,杜绝修改错误、非法修改、机密泄露等情况的发生。在密码管理方面,尤其需要妥善保管,不能够使用默认密码、原始密码,甚至不设立密码,每次登陆均需要重新输入,保障网络的安全,并且密码的设置不能过于简单,需要时常更换,尤其是在人员岗位变动的时候。数据的管理方面,需要及时进行备份工作,备份介质的保管需要稳妥。
2.2.2确定风险评估范围和策略
对安全系统进行有效评估,需要对该体系进行详细分析,包括电力网络拓扑结构、带宽、硬件、Internet的接口、业务系统的配置防火墙的策略配置等多个方面,最终得出相关的风险分析报告,制作改进建议书。要评估主机和信息网络等基础设施、系统软件、应用系统及服务、现有的安全技术措施以及安全管理措施。还有要制定资产评估,其中有物理资产、信息资产、软件资产、人员资产和服务。
2.3风险控制
对于电力信息网络的风险控制可以通过多个方面来进行,不仅需要技术完备,管理机制的健全也是非常重要的。
2.3.1技术手段
技术手段是把威胁降低到最低危害程度的第一道保障,可以对关键数据定期或实时容灾备份,使用信息加密技术和防火墙、入侵检测系统。
2.3.2管理机制
对于电力系统信息安全风险控制而言不可缺少管理机制,安全管理机制应包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化影响着系统的安全。为了组织建立科学、系统的安全管理体系基础,应该建立安全评价,实现组织安全绩效的持续改进。降低安全风险,制定严格的安全管理制度,明确划分好部门安全职责,并且合理安排人员的工作。
3结束语
电力系统的生产运作要用到计算机信息系统和计算机网络,所以信息安全管理要进行信息网络的风险评估,保证信息系统的安全。虽然现在电力信息网络风险评估强度很高,但是还需要改进。面对越来越重要的电力信息网络风险评估,要解决的问题是保证电力系统信息安全,重点解决网络风险的问题和评估,解决操作系统安全风险、数据库安全风险、Web系统安全风险、桌面应用系统的安全风险、病毒危害风险以及黑客入侵风险,做好经管工作和风险控制等。
参考文献:
[1]李梅.电力信息网络的风险评估技术研究[D].保定:华北电力大学,2008.
[2]彭著熙.电力信息网络的风险评估技术分析[J].电子技术与软件工程,2013,(22):230-231.
[3]张佩.对电力信息网络的风险评估技术研究[J].信息通信,2013,(10):84-84.
作者:王蕾 单位:国网湖南省电力公司常德供电分公司
相关专题:企业并购中的文化整合 河北农业大学
