隨著信息技術(shù)的迅速發(fā)展，電力企業(yè)越來越依賴于信息技術(shù)和服務，因此，電力企業(yè)所依賴的信息的保密性、完整性和可用性成為企業(yè)信息安全所要保障的內(nèi)容。根據(jù)企業(yè)面臨的信息安全風險和問題，本文列舉了信息安全工作的現(xiàn)狀以及解決安全問題的思路和方法。

         電力作為周民經(jīng)濟的基礎(chǔ)設施行業(yè)。在國內(nèi)較早開始了信息化建設工作。隨著電力信息化建沒和應用高潮的到來，信息安全問題已日益突出，并成為國家安全戰(zhàn)略的重要組成部分。信息安全的內(nèi)涵也隨著計算機技術(shù)的發(fā)展而不斷變化，進入二十一世紀以來，信息安全的重點放在了保護信息，確保信息在存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保對合法用戶的服務和限制非授權(quán)用戶的服務，以及必要的防御攻擊的措施。即強調(diào)信息的保密性、完整性、可用性、可控性。

         一、電力企業(yè)信息安全風險分析

        信息安全風險和信息化應用情況密切相關(guān)，和采用的信息技術(shù)也密切相關(guān)，電力企業(yè)信息系統(tǒng)面臨的主要風險存在于如下幾個方面：

        1、計算機病毒的威脅最為廣泛。隨著Internet技術(shù)的發(fā)展、企業(yè)網(wǎng)絡環(huán)境的R趨成熟和企業(yè)網(wǎng)絡應用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽，尤其是Internet環(huán)境和企業(yè)網(wǎng)絡環(huán)境為病毒傳播、生存提供了環(huán)境。

        2、黑客攻擊已經(jīng)成為近年來經(jīng)常發(fā)生的事情，網(wǎng)絡中服務器被攻擊的事件層出不窮。黑客利用計算機系統(tǒng)、網(wǎng)絡協(xié)議及數(shù)據(jù)庫等方面的漏洞和缺陷，采用破解口令(passwordcracking)、天窗(trapdoor)、后門(backdoor)、特洛伊木馬(Trojanhorse)等于段侵入計算機系統(tǒng)，進行信息破壞或占用系統(tǒng)資源，使得用戶無法使用自己的機器。

        3、網(wǎng)絡安全問題日益突出。計算機系統(tǒng)本身的脆弱性和通信設施的脆弱性共同構(gòu)成了計算機網(wǎng)絡的潛在威脅。信息網(wǎng)絡化使信息公開化、信息利用自由化，其結(jié)果是信息資源的共享和瓦動，任何人都可以在網(wǎng)上發(fā)布信息和獲取信息。內(nèi)部網(wǎng)，外部網(wǎng)上的一些用戶出于好奇的心理，或者蓄意破壞的動機，對電力企業(yè)網(wǎng)絡上連接的計算機系統(tǒng)和設備進行入侵，攻擊等，影響網(wǎng)絡上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取企業(yè)商、業(yè)秘密和機密信息，非法使用網(wǎng)絡資源等，給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡進行非法的，影響國家安定團結(jié)的活動，造成很壞的影響。是目前一個熱門的安全課題，是電力企業(yè)面臨的一個非常突出的安全問題。

         4、信息傳遞的安全不容忽視。電力企業(yè)和外部的單位，以及兇外有關(guān)公司都有著許多的工作聯(lián)系，日常許多信息，數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。

         網(wǎng)絡中傳輸?shù)倪@些信息面臨著各種安全風險，例如被非法用戶截取從而泄露企業(yè)機密;被非法篡改，造成數(shù)據(jù)混亂，信息錯誤從而造成工作失誤。非法用戶、還有可能假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營秩序帶來混亂，造成破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

         5、用戶身份認證和信息系統(tǒng)的訪問控制急需加強。企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，信息系統(tǒng)中包含的信息和數(shù)據(jù)，也只對一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。為此各個信息系統(tǒng)中都設計了用戶管理功能，在系統(tǒng)中建立甩戶，設置權(quán)限，管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定程度上能夠加強系統(tǒng)的安全性。但在實際應用中仍然存在一些問題。

         一是部分應用系統(tǒng)的用戶權(quán)限管理功能過于簡單，不能靈活實現(xiàn)更細的權(quán)限控制。二是各應用系統(tǒng)沒有一個統(tǒng)一的用戶管理，使用起來非常不方便，更不用說賬號的有效管理和安全了。

         如何為各應用系統(tǒng)提供統(tǒng)一的用戶管理和身份認證服務，是我們開發(fā)建設應用系統(tǒng)時必須考慮的一個共性的安全問題。

          二、解決信息安全問題的基本原則

         統(tǒng)籌規(guī)劃，分步實施，要建立完整的信息安全防護體系，絕不能一哄而上，必須分清需求的輕重緩急，根據(jù)信息化建設的發(fā)展，結(jié)合信息系統(tǒng)建設和應用的步伐，統(tǒng)一規(guī)劃，分步建設，逐步投資。

         1、做好信息安全風險的評估。解決信息安全問題不能僅僅只從技術(shù)上考慮，技術(shù)是安全的主體，管理是安全的靈魂。信息安全離不開安全技術(shù)的實施，安全產(chǎn)品的部署，但現(xiàn)在的安全技術(shù)、安全產(chǎn)品讓人眼花繚亂，難以選擇，這時就需要進行風險分析，可行性分析等，分析現(xiàn)在我們網(wǎng)絡面臨的風險在哪些方面，解決問題或最大程度降低風險的可行性，收益與付出的比較，哪些產(chǎn)品可使我們以最小的代價滿足我們的安全需求，安全與效率的權(quán)衡等。對于一個企業(yè)來說，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風險，充分評估這些風險可能帶來的威脅和影響，將是企業(yè)實施安全建設必，須首先解決的問題，也是制定安全策略的基礎(chǔ)與依據(jù)。

         2、采用信息安全新技術(shù)，建立信息安全防護體系。提到信息安全技術(shù)，我們會想到很多：防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、VPN、多層交換、加密/解密算法等等。但是我們要記住安全并不是復雜的代名詞，安全也不是要包攬一切，安全應盡可能簡單，安全要以業(yè)務和相關(guān)的應用為中心，安全防御不僅僅在邊界而應是多層次的，安全需要不斷的實踐和有效的管理，安全體系結(jié)構(gòu)的設計開發(fā)技術(shù)應該更加開放。縱觀目前各大安全技術(shù)公司的新技術(shù)和新產(chǎn)品，無不體現(xiàn)了“智能、整合、管理”這幾個趨勢。

         3、計算機防病毒系統(tǒng)。電力企業(yè)防病毒系統(tǒng)應該具有系統(tǒng)性與主動性的特點，能夠?qū)崿F(xiàn)全方位多級防護。考慮到病毒在網(wǎng)絡中存儲、傳播、感染的方式各異且途徑多種多樣，相應地在構(gòu)建網(wǎng)絡防病毒系統(tǒng)時，應利用全方位的企業(yè)防毒產(chǎn)品，實施集中控制、以防為主、防殺結(jié)合的策略。

        4、網(wǎng)絡安全防護系統(tǒng)。信息資源訪問的安全是信息安全的一個重要內(nèi)容，在信息系統(tǒng)建設的設計階段，就必須仔細分析，設計出合理的，靈活的用戶管理和權(quán)限控制機制，明確信息資源的訪問范圍，制定信息資源訪問策略。

        對于已經(jīng)投入使用的信息系統(tǒng)，可以通過采用增加安全訪問網(wǎng)父的方法，來增強原有系統(tǒng)的用戶管理和對信息資源訪問的控制，以及實現(xiàn)單點登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動原來的系統(tǒng)，實施的技術(shù)難度相對小一些。對于新建系統(tǒng)，則最好采用統(tǒng)一身份認證平臺技術(shù)，來實現(xiàn)不同系統(tǒng)通過同一個用戶管理平臺實現(xiàn)用戶管理和訪問控制。

         三、解決信息安全問題的思路和對策

        電力企業(yè)的信息安全管理相對來說還是一個較新的話題，國內(nèi)其它電力企業(yè)也在積極研究和探討。這里我結(jié)合自己的工作經(jīng)驗淡一談對如何保證企業(yè)信息安全的一些看法。