程序等，造成企業(yè)內(nèi)部網(wǎng)絡(luò)存在入侵者可利用的缺陷。當(dāng)廠商通過發(fā)布補丁或升級軟件來解決安全問題時，許多用戶系統(tǒng)不進行同步升級，原因是管理者未充分意識到網(wǎng)絡(luò)不安全的風(fēng)險所在，未引起重視。有些信息系統(tǒng)采用開放的操作系統(tǒng)，安全級別低，又沒有附加安全措施，難以抵御黑客和信息炸彈的攻擊。

2.2.2企業(yè)信息管理革新明顯滯后技術(shù)發(fā)展

相對于信息技術(shù)的發(fā)展與應(yīng)用，電力企業(yè)管理革新處于落后狀況。有的企業(yè)引入了先進的業(yè)務(wù)系統(tǒng)、管理系統(tǒng)，而管理模式未能實施有效革新，最終導(dǎo)致了信息系統(tǒng)未能發(fā)揮預(yù)期的、應(yīng)有的作用。由于信息安全工作具有專業(yè)性強，知識面廣的特點，目前電力企業(yè)從事信息安全管理工作的技術(shù)人才顯得相對缺乏。

2.2.3用戶身份認(rèn)證和訪問控制不夠

在實際應(yīng)用中，電力企業(yè)部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡單，不能靈活實現(xiàn)更細(xì)的權(quán)限控制;部分應(yīng)用系統(tǒng)沒有一個統(tǒng)一的用戶管理，無法保證賬號的有效管理和安全;同時因缺乏嚴(yán)格的驗證機制，導(dǎo)致非法用戶使用關(guān)鍵業(yè)務(wù)系統(tǒng);不同業(yè)務(wù)系統(tǒng)之間缺少較細(xì)粒度的訪問控制。

2.2.4企業(yè)工作人員安全意識淡薄

企業(yè)人員忙于利用網(wǎng)絡(luò)工作學(xué)習(xí)，對網(wǎng)絡(luò)信息的安全性無暇顧及，安全意識淡薄。電力企業(yè)注重的是網(wǎng)絡(luò)效應(yīng)，對安全領(lǐng)域的投入和管理不能滿足安全防范的要求，網(wǎng)絡(luò)信息安全處于被動的封堵漏捌狀態(tài)。工作人員安全意識不強，如共用口令、隨意復(fù)制及傳播企業(yè)內(nèi)部信息等，增加了黑客進攻的機會和信息泄露的風(fēng)險，這都將給企業(yè)網(wǎng)絡(luò)信息安全埋下隱患。

2.2.5企業(yè)信息資產(chǎn)管理風(fēng)險較高

信息資產(chǎn)的高風(fēng)險性源自于信息資產(chǎn)傳播的低成本性。在激烈競爭的市場環(huán)境中信息資產(chǎn)的安全風(fēng)險較高。一般來說，信息資產(chǎn)經(jīng)常處于公共的介質(zhì)中或處于流動狀態(tài)，這就使信息資產(chǎn)的復(fù)制成本較低，從而導(dǎo)致企業(yè)擁有和控制的信息資產(chǎn)的安全性很差。沒有安全保障的信息資產(chǎn)，談不上資產(chǎn)價值。信息資產(chǎn)具有工程性和社會性的軟硬屬性，短期無法量化，價值的確認(rèn)存在風(fēng)險，管理的過程中也存在類似風(fēng)險。

3 電力企業(yè)信息安全管理對策

3.1建立信息安全管理組織架構(gòu)

電力企業(yè)信息安全管理可按照“誰主管誰負(fù)責(zé)，誰運營誰負(fù)責(zé)”原則，實行統(tǒng)一領(lǐng)導(dǎo)、分級管理。信息安全領(lǐng)導(dǎo)小組由企業(yè)的決策層組成。信息安全工作小組由企業(yè)各部門管理成員組成，是企業(yè)信息安全工作的管理層。信息安全執(zhí)行層包含信息安全規(guī)劃、信息安全監(jiān)督審計、信息安全運行保障等職能小組和企業(yè)各業(yè)務(wù)支撐部門。企業(yè)信息安全實行專業(yè)化管理，進行監(jiān)督。圖1是一個典型的電力企業(yè)信息安全管理組織架構(gòu)。

3.2構(gòu)建信息安全管理體系框架

電力企業(yè)信息安全管理體系可建立在信息安全模型與電力信息化的基礎(chǔ)上，分為信息安全策略、安全管理、安全運行、安全技術(shù)措施4個模塊，信息安全管理通過安全運行實現(xiàn)，安全技術(shù)作為信息安全的基礎(chǔ)支撐，可輔助實現(xiàn)安全管理和運行安全。典型電力企業(yè)信息安全管理體系框架如圖2所示。

3.3確立企業(yè)信息安全防護策略

在管理信息系統(tǒng)安全防護策略方面：進行雙網(wǎng)雙機管理，將信息網(wǎng)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)間采用邏輯強隔離裝置進行隔離，內(nèi)外網(wǎng)分別采用獨立的服務(wù)器及桌面終端;根據(jù)業(yè)務(wù)系統(tǒng)類型，進行安全域劃分，以實現(xiàn)不同安全域的獨立化、差異化防護;將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機、應(yīng)用四個層次進行縱深防御的安全防護措施設(shè)計。

在電力二次系統(tǒng)安全防護策略方面：將電力企業(yè)內(nèi)部基于計算機和網(wǎng)絡(luò)技術(shù)的應(yīng)用系統(tǒng)，原則上劃分為生產(chǎn)控制區(qū)和管理信息區(qū);建立電力調(diào)度數(shù)據(jù)網(wǎng)專用網(wǎng)絡(luò)，承載電力實時控制、在線生產(chǎn)交易等業(yè)務(wù);采用不同強度的安全設(shè)備隔離各安全區(qū)，在生產(chǎn)控制區(qū)與管理信息區(qū)之間設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護。

3.4加強信息安全管理制度建設(shè)

3.4.1信息安全管理基本制度

建立計算機系統(tǒng)使用管理制度，對應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改，需要經(jīng)過授權(quán)并由專人負(fù)責(zé)并登記日志。建立資產(chǎn)管理制度，根據(jù)資產(chǎn)重要程度對資產(chǎn)進行標(biāo)識和管理。建立健全變更管理制度，保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。建立和執(zhí)行密碼使