[論文關鍵詞] 信息安全 管理 對策

　　[論文摘要] 根據電力企業面臨的安全風險和問題，提出信息安全工作開展的一般原則，從信息安全技術上和安全管理上提出解決安全問題的思路和方法，最后闡述信息安全問題隨技術和應用的發展而發展，應在發展中求安全的觀點。

　　　信息安全隨著信息技術的發展而產生，并且其重要性日益凸現出來，信息安全的內涵也隨著計算機技術的發展而不斷變化，進入二十一世紀以來，信息安全的重點放在了保護信息，確保信息在存儲，處理，傳輸過程中及信息系統不被破壞，確保對合法用戶的服務和限制非授權用戶的服務，以及必要的防御攻擊的措施。即強調信息的保密性、完整性、可用性、可控性。

　　一、電力企業信息安全風險分析
　　
　　信息安全風險和信息化應用情況密切相關，和采用的信息技術也密切相關，電力公司信息系統面臨的主要風險存在于如下幾個方面：

（1）計算機病毒的威脅最為廣泛：計算機病毒自產生以來，一直就是計算機系統的頭號敵人，在電力企業信息安全問題中，計算機病毒發生的頻度大，影響的面寬，并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞，系統數據和文件系統破壞，系統無法提供服務甚至破壞后無法恢復，特別是系統中多年積累的重要數據的丟失，損失是災難性的；

（2）網絡安全問題日益突出：企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統，用電營銷系統，遠程教育培訓系統等，通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網，企業內部職工可以通過互聯網方便地收集獲取信息，發送電子郵件等；

（3）信息傳遞的安全不容忽視：隨著辦公自動化，財務管理系統，用電營銷系統等生產，經營方面的重要系統投入在線運行，越來越多的重要數據和機密信息都通過企業的內部廣域網來傳輸。同時電力公司和外部的政府，研究院所，以及國外有關公司都有著許多的工作聯系，日常許多信息，數據都需要通過互聯網來傳輸。網絡中傳輸的這些信息面臨著各種安全風險，例如被非法用戶截取從而泄露企業機密；被非法篡改，造成數據混亂，信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份，發送虛假信息，給正常的生產經營秩序帶來混亂，造成破壞和損失。因此，信息傳遞的安全性日益成為企業信息安全中重要的一環；

（4）用戶身份認證和信息系統的訪問控制急需加強：企業中的信息系統一般為特定范圍的用戶使用，信息系統中包含的信息和數據，也只對一定范圍的用戶開放，沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能，在系統中建立用戶，設置權限，管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。一是部分應用系統的用戶權限管理功能過于簡單，不能靈活實現更細的權限控制，甚至簡單到要么都能看，要么都不能看。二是各應用系統沒有一個統一的用戶管理，企業的一個員工要使用到好幾個系統時，在每個應用系統中都要建立用戶賬號，口令和設置權限，用戶自己都記不住眾多的賬號和口令，使用起來非常不方便，更不用說賬號的有效管理和安全了；

（5）實時控制系統和數據網絡的安全至關重要：電網的調度指揮，自動控制，微機保護等領域的計算機應用在電力企業中起步早，應用水平高，不但實現了對電網運行狀況的實時監視，還實現了對電網一次設備的遙控，遙調以及保護設備的遠方管理。隨著數據網的建設和應用，這些電網監視和控制方面的系統逐步從采用專線通道傳輸數據轉移到通過數據網絡來傳送數據和下發控制指控令。由于這些計算機系統可以直接管理和操作控制電網一次設備，系統的安全可靠，數據網的安全可靠，信息指令傳輸的實時性等直接關系著電網的安全，其安全等級要求高于一般的廣域網系統。隨著電子商務在電力企業中的應用逐步推廣和深入，如何保障電子交易的安全，可靠，即電子商務安全問題也會越來越突出。

        二、解決信息安全問題的基本原則
　　
　　（一）采用信息安全新技術，建立信息安全防護體系。企業信息安全面臨的問題很多，我們可以根據安全需求的輕重緩急，解決相關安全問題的信息安全技術的成熟度綜合考慮，分步實施。技術成熟的，能快速見效的安全系統先實施。

　　（二）計算機防病毒系統。計算機防病毒系統是發展時間最長的信息安全技術，從硬件防病毒卡，單機版防病毒軟件到網絡版防病毒軟件，到企業版防病毒軟件，技術成熟且應用效果非常明顯。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒，保障信息系統的安全。在目前的網絡環境下，能夠提供集中管理，服務器自動升級，客戶端病毒定義碼自動更新，支持多種操作系統平臺，多種應用平臺殺毒的企業版殺毒軟件，是電網公司這樣的大型企業的首選。個人版本的殺毒軟件適合家庭，小規模用戶。

　　（三）網絡安全防護系統。信息資源訪問的安全是信息安全的一個重要內容，在信息系統建設的設計階段，就必須仔細分析，設計出合理的，靈活的用戶管理和權限控制機制，明確信息資源的訪問范圍，制定信息資源訪問策略。 對于已經投入使用的信息系統，可以通過采用增加安全訪問網關的方法，來增強原有系統的用戶管理和對信息資源訪問的控制，以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統，實施的技術難度相對小一些。對于新建系統，則最好采用統一身份認證平臺技術，來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。

　　三、解決信息安全問題的對策
　　
　　（一）依據國家法律，法規，建立企業信息安全管理制度。國家在信息安全方面發布了一系列的法律法規和技術標準，對信息網絡安全進行了明確的規定，并有專門的部門負責信息安全的管理和執法。企業首先必須遵守國家發布的這些法律法規和技術標準，企業也必須依據這些法律法規，來建立自己的管理標準，技術體系，指導信息安全工作。學習信息安全管理國際標準，提升企業信息安全管理水平。信息安全是企業信息化工作中一項重要而且長期的工作，為此必須各單位建立一個信息安全工作的組織體系和常設機構，明確領導，設立專責人長期負責信息安全的管理工作和技術工作，長能保證信息安全工作長期的，有效的開展，才能取得好的成績。

　　（二）開展全員信息安全教育和培訓活動。安全意識和相關技能的教育是企業安全管理中重要的內容，信息安全不僅僅是信息部門的事，它牽涉到企業所有的員工，為了保證安全的成功和有效，應當對企業各級管理人員，用戶，技術人員進行安全培訓，減少人為差錯，失誤造成的安全風險。開展安全教育和培訓還應該注意安全知識的層次性，主管信息安全工作的負責人或各級管理人員，重點是了解，掌握企業信息安全的整體策略及目標，信息安全體系的構成，安全管理部門的建立和管理制度的制定等；負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等；用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。

　　（三）充分利用企業網絡條件，提供全面，及時和快捷的信息安全服務。我省電力公司廣域網聯通了系統內的各個二級單位，各單位的局域網全部建成，在這種良好的網絡條件下，作為省公司一級的信息安全技術管理部門應建立計算機網絡應急處理的信息發布與技術支持平臺，發布安全公告，安全法規和技術標準，提供安全軟件下載，搜集安全問題，解答用戶疑問，提供在線的信息安全教育培訓，并為用戶提供一個相互交流經驗的場所。網絡方式的信息服務突破了時間，空間和地域的限制，是信息安全管理和服務的重要方式。