隨著信息技術(shù)的迅速發(fā)展，電力企業(yè)越來越依賴于信息技術(shù)和服務(wù)，因此，電力企業(yè)所依賴的信息的保密性、完整性和可用性成為企業(yè)信息安全所要保障的內(nèi)容。根據(jù)企業(yè)面臨的信息安全風(fēng)險(xiǎn)和問題，本文列舉了信息安全工作的現(xiàn)狀以及解決安全問題的思路和方法。

         電力作為周民經(jīng)濟(jì)的基礎(chǔ)設(shè)施行業(yè)。在國(guó)內(nèi)較早開始了信息化建設(shè)工作。隨著電力信息化建沒和應(yīng)用高潮的到來，信息安全問題已日益突出，并成為國(guó)家安全戰(zhàn)略的重要組成部分。信息安全的內(nèi)涵也隨著計(jì)算機(jī)技術(shù)的發(fā)展而不斷變化，進(jìn)入二十一世紀(jì)以來，信息安全的重點(diǎn)放在了保護(hù)信息，確保信息在存儲(chǔ)、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保對(duì)合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施。即強(qiáng)調(diào)信息的保密性、完整性、可用性、可控性。

         一、電力企業(yè)信息安全風(fēng)險(xiǎn)分析

        信息安全風(fēng)險(xiǎn)和信息化應(yīng)用情況密切相關(guān)，和采用的信息技術(shù)也密切相關(guān)，電力企業(yè)信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于如下幾個(gè)方面：

        1、計(jì)算機(jī)病毒的威脅最為廣泛。隨著Internet技術(shù)的發(fā)展、企業(yè)網(wǎng)絡(luò)環(huán)境的R趨成熟和企業(yè)網(wǎng)絡(luò)應(yīng)用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡(jiǎn)單變得復(fù)雜、隱蔽，尤其是Internet環(huán)境和企業(yè)網(wǎng)絡(luò)環(huán)境為病毒傳播、生存提供了環(huán)境。

        2、黑客攻擊已經(jīng)成為近年來經(jīng)常發(fā)生的事情，網(wǎng)絡(luò)中服務(wù)器被攻擊的事件層出不窮。黑客利用計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)協(xié)議及數(shù)據(jù)庫(kù)等方面的漏洞和缺陷，采用破解口令(passwordcracking)、天窗(trapdoor)、后門(backdoor)、特洛伊木馬(Trojanhorse)等于段侵入計(jì)算機(jī)系統(tǒng)，進(jìn)行信息破壞或占用系統(tǒng)資源，使得用戶無法使用自己的機(jī)器。

        3、網(wǎng)絡(luò)安全問題日益突出。計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性共同構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅。信息網(wǎng)絡(luò)化使信息公開化、信息利用自由化，其結(jié)果是信息資源的共享和瓦動(dòng)，任何人都可以在網(wǎng)上發(fā)布信息和獲取信息。內(nèi)部網(wǎng)，外部網(wǎng)上的一些用戶出于好奇的心理，或者蓄意破壞的動(dòng)機(jī)，對(duì)電力企業(yè)網(wǎng)絡(luò)上連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵，攻擊等，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取企業(yè)商、業(yè)秘密和機(jī)密信息，非法使用網(wǎng)絡(luò)資源等，給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行非法的，影響國(guó)家安定團(tuán)結(jié)的活動(dòng)，造成很壞的影響。是目前一個(gè)熱門的安全課題，是電力企業(yè)面臨的一個(gè)非常突出的安全問題。

         4、信息傳遞的安全不容忽視。電力企業(yè)和外部的單位，以及兇外有關(guān)公司都有著許多的工作聯(lián)系，日常許多信息，數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。

         網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn)，例如被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改，造成數(shù)據(jù)混亂，信息錯(cuò)誤從而造成工作失誤。非法用戶、還有可能假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營(yíng)秩序帶來混亂，造成破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

         5、用戶身份認(rèn)證和信息系統(tǒng)的訪問控制急需加強(qiáng)。企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，信息系統(tǒng)中包含的信息和數(shù)據(jù)，也只對(duì)一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。為此各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶管理功能，在系統(tǒng)中建立甩戶，設(shè)置權(quán)限，管理和控制用戶對(duì)信息系統(tǒng)的訪問。這些措施在一定程度上能夠加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問題。

         一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡(jiǎn)單，不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制。二是各應(yīng)用系統(tǒng)沒有一個(gè)統(tǒng)一的用戶管理，使用起來非常不方便，更不用說賬號(hào)的有效管理和安全了。

         如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理和身份認(rèn)證服務(wù)，是我們開發(fā)建設(shè)應(yīng)用系統(tǒng)時(shí)必須考慮的一個(gè)共性的安全問題。

          二、解決信息安全問題的基本原則

         統(tǒng)籌規(guī)劃，分步實(shí)施，要建立完整的信息安全防護(hù)體系，絕不能一哄而上，必須分清需求的輕重緩急，根據(jù)信息化建設(shè)的發(fā)展，結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐，統(tǒng)一規(guī)劃，分步建設(shè)，逐步投資。

         1、做好信息安全風(fēng)險(xiǎn)的評(píng)估。解決信息安全問題不能僅僅只從技術(shù)上考慮，技術(shù)是安全的主體，管理是安全的靈魂。信息安全離不開安全技術(shù)的實(shí)施，安全產(chǎn)品的部署，但現(xiàn)在的安全技術(shù)、安全產(chǎn)品讓人眼花繚亂，難以選擇，這時(shí)就需要進(jìn)行風(fēng)險(xiǎn)分析，可行性分析等，分析現(xiàn)在我們網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)在哪些方面，解決問題或最大程度降低風(fēng)險(xiǎn)的可行性，收益與付出的比較，哪些產(chǎn)品可使我們以最小的代價(jià)滿足我們的安全需求，安全與效率的權(quán)衡等。對(duì)于一個(gè)企業(yè)來說，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn)，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來的威脅和影響，將是企業(yè)實(shí)施安全建設(shè)必，須首先解決的問題，也是制定安全策略的基礎(chǔ)與依據(jù)。

         2、采用信息安全新技術(shù)，建立信息安全防護(hù)體系。提到信息安全技術(shù)，我們會(huì)想到很多：防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、VPN、多層交換、加密/解密算法等等。但是我們要記住安全并不是復(fù)雜的代名詞，安全也不是要包攬一切，安全應(yīng)盡可能簡(jiǎn)單，安全要以業(yè)務(wù)和相關(guān)的應(yīng)用為中心，安全防御不僅僅在邊界而應(yīng)是多層次的，安全需要不斷的實(shí)踐和有效的管理，安全體系結(jié)構(gòu)的設(shè)計(jì)開發(fā)技術(shù)應(yīng)該更加開放?？v觀目前各大安全技術(shù)公司的新技術(shù)和新產(chǎn)品，無不體現(xiàn)了“智能、整合、管理”這幾個(gè)趨勢(shì)。

         3、計(jì)算機(jī)防病毒系統(tǒng)。電力企業(yè)防病毒系統(tǒng)應(yīng)該具有系統(tǒng)性與主動(dòng)性的特點(diǎn)，能夠?qū)崿F(xiàn)全方位多級(jí)防護(hù)。考慮到病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多種多樣，相應(yīng)地在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實(shí)施集中控制、以防為主、防殺結(jié)合的策略。

        4、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。信息資源訪問的安全是信息安全的一個(gè)重要內(nèi)容，在信息系統(tǒng)建設(shè)的設(shè)計(jì)階段，就必須仔細(xì)分析，設(shè)計(jì)出合理的，靈活的用戶管理和權(quán)限控制機(jī)制，明確信息資源的訪問范圍，制定信息資源訪問策略。

        對(duì)于已經(jīng)投入使用的信息系統(tǒng)，可以通過采用增加安全訪問網(wǎng)父的方法，來增強(qiáng)原有系統(tǒng)的用戶管理和對(duì)信息資源訪問的控制，以及實(shí)現(xiàn)單點(diǎn)登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動(dòng)原來的系統(tǒng)，實(shí)施的技術(shù)難度相對(duì)小一些。對(duì)于新建系統(tǒng)，則最好采用統(tǒng)一身份認(rèn)證平臺(tái)技術(shù)，來實(shí)現(xiàn)不同系統(tǒng)通過同一個(gè)用戶管理平臺(tái)實(shí)現(xiàn)用戶管理和訪問控制。

         三、解決信息安全問題的思路和對(duì)策

        電力企業(yè)的信息安全管理相對(duì)來說還是一個(gè)較新的話題，國(guó)內(nèi)其它電力企業(yè)也在積極研究和探討。這里我結(jié)合自己的工作經(jīng)驗(yàn)淡一談對(duì)如何保證企業(yè)信息安全的一些看法。