电力企业信息系统风险和安全管理研究.docVIP

电力企业信息系统风险和安全管理研究 　　[摘 要] 当前，我国电力企业信息系统的构建日益完善，但随着网络的广泛应用及信息共享体制的不断发展，使得一些非法分子开始利用互联网对电力企业信息系统非法入侵，这严重威胁了电力企业的安全乃至国家安全。因此，采取合理、完善的安全管理方案来保证电力企业信息系统的安全运行，具有十分重大的意义。本文对电力企业信息系统所面临的风险进行分析，并提出有效的安全管理对策。 　　[关键词] 电力；信息系统；风险；安全管理 　　doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 13. 054 　　[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194（2015）13- 0089- 02 　　电力企业在我国能源行业中占有十分重要的地位，随着信息化的不断发展，电力企业信息系统日益成为我国电力企业信息化的发展核心。但是随着电力企业对信息化依赖程度的增加，其信息系统的安全问题也日益严重，面临的风险也越来越大、越来越不确定。因此，对电力企业信息系统的安全保障已迫在眉睫，对电力企业信息安全进行有效的管理显得更加重要。 　　1 电力企业信息系统风险 　　电力企业信息系统是基于电脑和网络，实现电力制造、管理等信息的收集、存储、分析及传输的综合性的有机系统。[1]信息作为一种重要的企业资源必须要对其进行全面的安全管理，企业信息安全管理是引导和协调组织的关于信息化安全风险的互相协调的活动，即企业管理层对企业相关信息和活动安排进行合理的规划和协调。 　　一直以来，很多人特别是对于信息行业出身的工作人员，都受环境影响而陷入“技术就是一切”的误区中，即人们把企业信息安全的全部希望都寄托在加密技术上，他们认为只要通过加密技术，任何信息安全问题都能够解决。随着网络防火墙技术的诞生，我们又常听到“防火墙是网络安全的有力保障”的论调。经此之后，入侵检测、VPN等更多新的概念及技术纷至沓来，但无论技术怎样变化，终究还是突破不了技术统领信息安全的枷锁。实际上，对企业信息安全技术的选择及应用只是企业信息系统安全化的一部分，它只是实现企业安全运营的一个方法而己。大家之所以产生这样的误区，其原因是多方面的，站在企业安全技术提供商的角度来说，其侧重点在于销售，因此向相关客户输送的大多都是以技术为核心的理念和信息。站在客户角度来说，只有企业的产品才是真实的、有形的，对投资方来说，这是十分重要的。 　　因此，正是对于企业信息系统的错误认识，导致一些极端现象的产生，比如：许多企业的信息化设备使用了防火墙、网络云扫描等技术，但却没有设定出一套以安全策略为核心的合理的安全管理方案，从而造成安全技术及企业的产品生产十分混乱，不能做到技术及相关产品的及时、有效的更新。还有一些电力企业即使设定了一些安全管理措施，却没有使用有效的实施、监督机制来执行，这让安全管理措施徒有其表，名存实亡。经过研究及调查，现阶段我国电力企业信息系统面临的风险主要有： 　　（1）信息系统缺陷。随着信息化的不断发展，电力企业信息系统也一直在不断完善中，目前，我国的电力企业在设计、制造及产品装配中仍存在着许多安全隐患与风险，比如来自软硬件组件的安全隐患等，这些信息系统固有的缺陷对电力企业信息系统的安全造成了严重的威胁。 　　（2）信息系统安全管理不规范。现阶段，我国电力企业对电力信息系统的安全愈来愈重视，很多电力企业都采取了各种风险管理及预防措施，但是由于系统数据备份设备的不完善、数据丢失等信息系统安全管理不规范现象的出现，建立一套完善、合理的电力企业信息系统安全管理体系尤为重要。 　　（3）网络安全意识薄弱。由于电力企业的安全宣传力度不够，相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生，比如不能及时修补信息系统漏洞及补丁，相关人员不正确的操作、或通过U盘导致重要信息泄露等，处理不好都很有可能造成整个电力系统的不稳定甚至系统瘫痪。 　　（4）恶意人为破坏。随着网络共享度的提高，我国的电力企业信息系统逐渐向开放型及共享型发展，这使得一些不法分子有机可乘，他们为了自己的利益，通过各种手段非法入侵电力企业的信息系统，如植入病毒、窃听、干扰阻断等，这对我国电力企业信息系统的安全构成了极大的威胁。 　　2 电力企业信息系统安全管理研究 　　信息安全是一个复杂的、不断变化的动态过程，如果电力企业只根据一时需要而忽略了信息安全的动态性，只是主观的来制定一些风险管理措施，就会造成在企业信息管理中顾此失彼，进而导致企业的安全管理水平止步不前甚至有失偏颇。[2]其正确的做法是，电力企业要遵守相关信息安全标准及实践总结，结合企业自身对信息系统安全的实际需求，在进行完善的风险分析及风险管理的基础上