电力公司信息安全存在的威胁及对策

　　引言

　　电力公司在我国能源行业中占有十分重要的地位，随着信息化的不断发展，电力公司信息系统日益成为我国电力公司信息化的发展核心。但是随着电力公司对信息化依赖程度的增加，其信息系统的安全问题也日益严重，面临的风险也越来越大、越来越不确定。因此，对电力公司信息系统的安全保障已迫在眉睫，对电力公司信息安全进行有效的管理显得更加重要。

　　1电力公司信息安全

　　信息安全从不同的方面来说意义不一样。从计算机来说，信息安全就是数据处理系统而采取的技术和管理方法的安全保护。保护计算机的硬件设施、软件程序、数据库系统不会因偶然的或者病毒的破坏、更改、显露而无法保证计算机的物理层面、运行层面、数据层面等安全。这是从狭义层面的信息安全。广义上的信息安全则是包含社会生活、工程应用的方方面面。安全不仅仅是数据信息的安全，也不仅仅是管理技术的安全，更多的是一门综合性学科[1]。

　　信息作为大家通用的资源，有些东西可以共享，但有些东西确实是有独特性个人或者单个公司拥有。信息安全主要就是信息的完整性。可用性、保密性和可靠性。

　　2電力信息安全建设体系内容

　　电力信息系统信息安全保障体系采用了“三横四纵”的总体架构，即横向上分为3个层次，分别为应用层、技术层、管理层；技术层次中纵向又分为4种主要体系，即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱，信息安全基础设施为基础，通过信息安全管理体系为业务应用提供可靠的安全保障。

　　2.1应用层这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统，应用系统是为了满足不同用户的不同业务需求，安全保障体系保障的核心就是应用系统及其数据。

　　2.2技术层这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立，应该说已经覆盖了技术上的所有方面。

　　2.3管理层包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”，再好的技术也需要完善的管理才能保证技术发挥最大的效能。

　　3电力公司信息安全问题分析

　　3.1信息安全防护技术不当

　　目前电力企业加大网络信息化建设，虽然提高了信息化，但是却忽略了网络信息安全建设，包括防火墙设备、安全审计系统、入侵监测系统等。此外，一些单位计算机病毒库陈旧，数据加密以及其他的网络安全措施不足，网络信息系统存在极大的安全隐患。而一些网络黑客和不法分子就是利用网络信息系统中存在的一系列安全漏洞，通过计算机病毒、特洛伊木马、网络窃听以及邮件截取和窃取管理权限等手段，对数据的安全性、保密性、可靠性造成了威胁，直接或间接地将国家、社会、经济陷于风险之中。目前，电力行业所使用的办公计算机仍然存在内外网混用的情况，而内外网之间的隔离强度还有待加强。

　　3.2网络管理机制不健全

　　随着4G时代的到来，固定互联网已经逐渐向移动互联网延伸，每个人都能不受时间、地域的限制，实时上网，但是网络开放式管理模式也带来了很多危害，诸如信息鱼龙混杂、真假难辨以及政治有害信息等现象。而目前，公共事件发生之后，各职能部门缺乏统一协调，资源不能整合，舆论导向难以被控制；对于一些紧急情况的处置机制也不够到位，难以准确把握舆论引导的最佳时期，致使舆论失控，严重时造成更大的损失；此外一些舆论引导工作与实际工作衔接不够紧密，引导信服力不够，网络信息管理手段单一，网络舆情不能得到实时监控和及时的解决。

　　3.3员工信息安全意识薄弱

　　人为失误导致的计算机漏洞屡见不鲜，一些操作人员由于马虎或者是计算机网络方面的知识比较欠缺、相应的网络安全意识薄弱，在操作时失误，让计算机陷入风险中。人为失误导致的计算机网络风险带来的危害是不容忽视的。企业的职能部门以及涉密单位人员的保密意识以及信息安全防护意识薄弱，需要保密的文件、文档资料被存储于互联网计算机并且该计算机擅自连接互联网，导致文件泄密的情况较为突出。此外，单位员工自我保护意识较差，对一些木马文件以及电子邮件的鉴别能力稍显不足，导致黑客及不法分子轻易地侵入单位计算机，通过一些木马程序及病毒控制计算机，篡改、窃取机密文件。

　　3.4网络技术专业人员匮乏，监管制度不到位

　　网络安全专业技术人员太过于匮乏，并且专业技术不够强硬以及监管措施不到位。除此之外，一些专业人员配备齐全的单位，将工作重心放在了网络系统的使用，忽略了网络的安全防范，致使网络安全问题层出不穷。而一些单位则从未进行过网络安全风险评估，对于网络系统中存在的安全隐患及漏洞浑然不觉，不仅不能及时进行检查、维护，而且间接地扩大了安全隐患。另外，部分单位对于网站服务器的监管也不到位，一些网站的服务器甚至没有任何的防护设备。将网站服务器进行托管在外以及租用运营商服务器的情况屡见不鲜，运营商只保障服务器的正常运行，对其安全防护措施基本放任不管，所以服务器基本处于失孤状态，出现网络安全事故也在情理之中。网络信息安全是一门综合性学科，涉及计算机科学、网络技术、通信技术等多个学科，主要是指利用网络管理以及一些技术措施来维护网络环境中数据的保密性、完整性，并且通过合理授权服务，保障用户的数据安全[2]。

　　4对策

　　电力公司信息越来越依赖计算机信息技术，在进行细信息获取和分享的过程中必须重视信息安全。电力公司要切实制定好相关的预防对策，采取有效地信息保护措施，为使不管理系统方面还是工作人员方面，都能在一个安全的环境下正常运转而出谋划策。

　　信息安全人人有责。为了信息安全，在电力公司中应当引入密码技术，不是相关用户它无权知道密码。这是密码技术的第一步，但往往有些密码精英他们可以破解密码。所以这就要提高单利信息系统密码的难度性。有些电力系统只有用户名和密码，同样的道理这也不是十分安全。电力公司就需要采用最先进的动态口令，没有动态口令，是很难进入系统的，这样就更安全一点。

　　电力系统的计算机必须装备高过滤性的防火墙。防火墙对于不良网站、病毒查杀有着相当强大的功能，并且只要有不良现象出现，这时就会立马提醒工作人员，让工作人员第一时间解决问题，以免造成更大的影响。防火墙软件像其他功能软件一样，一定要及时更新，因为好多黑客在不停研制病毒，一不小心就会把病毒传至你的信息系统，影响计算机正常工作。

　　防火墙有时还不能完全抵制病毒的入侵，这时就需要电力系统安装专门的病毒查杀软件，让病毒无机可乘。病毒又有着独特的隐蔽性、潜伏性等特点，所以电力公司的信息安全系统要时刻注意，可以建立专门的计算机病毒预防和监督控制中心，让专业的计算机人员，或者是专业的病毒预防人员来胜任这份工作。公司对员工也要有较高的要求，不带计算机病毒入职，不在计算机使用过程中生产病毒，遇到不正常情况及时向上级汇报，不可自己單独下决定。实行对电力系统的病毒分级防范，提高电力系统的安全，维持电力系统的正常高效运转。

　　公司还可以定期开展电力系统安全会议提高员工的安全意识，保护电力系统信息安全人人有责。可以在会议上让专业计算机人员传授经验。每个人都为公司信息安全做出贡献。每一个员工都是公司的一员，在正常工作时间保证不浏览不良的信息网页，以免招致病毒入侵。在公司与其他公司人员进行信息共享时，一定确保对方不把信息传递给第三方。共享的信息一定要经过公司领导层的审批，不可随意将公司信息传给他人，关于公司信息的外露是要负法律责任的。公司信息系统的用户名、密码不可随意给他人，动态口令更不可给他人。公司安装正版的防火墙，专业人员的负责操作，都会给公司的顺利运行带来促进作用。在对电力信息个系统进行综合分析的过程中，制定行之有效的应对策略[3]。

　　5结束语

　　电力公司信息系统的信息安全性在现有的信息安全技术下并不能很好地解决相关安全问题。因此，只有建立完善的、可行的公司信息系统安全管理模式，并及时更新安全技术及设备，制定合理的安全管理方案，才能使电力公司的信息系统安全性一直处于良好状态。电力公司信息系统安全是电力公司正常运营的重要保证，公司信息系统安全不仅关系着我国电力公司的信息化水平，还关系着我国经济发展的前途命运。因此，只有结合我国电力公司的实际情况，采取合理、完善的风险管理措施，才能保证电力企业信息系统的安全性及平稳性。

　　参考文献

　　[1]庞霞，谢清宇.浅议电力信息安全运行维护与管理[J].科技与公司，2012，（7）：28.

　　[2]游威荣.电力信息安全的监控与分析[J].北京电力高等专科学校学报（自然科学版），2011，（10）.

　　[3]王红霞，王中敏，王红晓，刘东，高峰.浅析电力信息安全管理[J].北京电力高等专科学校学报（自然科学版），2011，（12）.

　　来源：科学与信息化 2017年16期

　　作者：陈猛