本文基于電力基建企業的現狀，分析了企業信息安全的若干問題：信息安全機構、信息安全管理制度、系統安全風險、網絡安全風險、災備缺失，并提出了相應的對策。

一、電力基建企業在信息安全問題上的特點

近年來，我國的企業信息化建設在取得長足進步的同時，企業信息安全面臨的形式卻日益嚴峻。隨意列舉幾個近兩年的信息安全事件便可略窺一斑：2011年2月，多家全國性的商業銀行和地方城市銀行客戶遭遇大批量網絡詐騙；同年，QQ病毒“我的照片”廣泛傳播；同年年末，中國互聯網發生大規模泄密，CSDN、天涯等眾多互聯網公司的賬戶密碼信息被公開下載；2012年，國內幾家大型電力企業遭受網絡惡性攻擊。

電力基建企業在信息安全上同樣面臨諸多問題，但其自身的特點決定其在信息安全上也有與其它電力企業不同的情況：

電力基建企業屬于電力類企業，在信息安全上的標準（參照電監會要求）比較高，但其在信息建設上投入的實際力度又往往弱于電廠類企業。原因在于：電廠類企業往往將信息安全設備作為電廠的必備資產（如發電機）加以購置，因為任何可能由信息安全而引發的電力事故都可能產生重大的社會影響，是企業不可承受的；而在電力基建企業，這方面的影響顯然沒有那么明顯——簡單地理解是，習慣于使用電力的現代公民會對哪怕是一分鐘的斷電提出強烈的不滿，但對建設中的電力項目的延期則鮮有質疑——電力基建企業中的信息安全設備也就變成了可選項。

另一方面，基建企業以項目管理為主，項目部遠離公司總部分布于各地，在信息安全管理上因此產生一系列的新問題：如項目部的信息安全人員的缺失、項目部對總部的大量遠程訪問引發的安全問題等。

二、電力基建企業信息安全的主要問題：

信息安全機構及人員的問題

信息安全機構包括信息安全領導小組和信息安全工作小組。

在大多數電力企業，信息安全領導小組通常由企業的總經理或副總領銜，成員是各個部門的負責人。這樣的安排本身并沒有什么問題，問題在于：大多數企業依舊未設置真正懂信息技術的CIO（首席信息官），信息安全領導小組的大多數成員不是信息技術的專家，這讓信息安全領導小組的能力大打折扣。

信息安全工作小組中，專職的信息安全管理崗位是必不可少的，對該崗位有不能兼任網絡管理員、系統管理員或數據庫管理員的要求。而很多企業的專職信息人員本來就缺乏，因此很難滿足這一要求。

在電力基建企業中，還有一個特別的因素，就是分散在遠離公司本部的各項目部。那里的信息安全人員比較饋乏——在這種情況下，即使有總部信息中心的強力支持，該項目部的信息安全風險仍是相當大。

缺乏系統、完整的信息安全管理制度

“沒有規矩，不成方圓。”要想做好企業信息安全工作，系統的、完整的信息安全管理制度是必不可少的。

一個完整的企業信息安全管理制度應包括從對信息安全的規劃、設計、建設、運維等全過程的支持，涵蓋到對方方面面的信息安全風險進行識別、衡量、分析、評價、防范和控制的指導性條款。

比如機房準入制度。經常會有不同廠商的技術人員帶著設備進入企業機房進行維修，必須對其準入、攜帶設備、允許操縱的設備進行全方位的監控，如果沒有相應的制度來規范這些步驟，安全風險便可能在其中的任何一個環節滋生。

對基層企業而言，這個信息安全管理制度不能生搬硬套國家層面的或集團層面的相關制度，只能以此為參照，根據自身企業的實際情況編制，并在實踐中不斷改正。

中心機房的物理安全風險

中心機房的物理安全涉及到多個內容，包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電等。

在電力基建企業，通常會有這樣那樣的缺陷。畢竟，信息安全建設與企業整體信息化建設融而為一，信息安全成為企業IT建設的關鍵環節之一，是2010年以后的事。而國內大多數電力基建企業的中心機房的建設早于此。

系統的安全風險

系統的安全風險主要指操作系統、數據庫系統和各種應用系統所存在的安全風險。

操作系統風險

使用最廣的Windows系列操作系統就像一個千瘡百孔的大廈，存在著大量已知和未知的漏洞，這些漏洞可以導致入侵者獲得管理員的權限，可以被用來植入木馬，可以被用來實施拒絕服務攻擊……總之，如果沒有足夠的防備，我們的電腦隨時會發生泄密、數據篡改、系統崩潰等可怕的災難。

數據庫風險

數據庫系統的安全特性主要是針對數據而言的，包括數據獨立性、數據安全性、數據完整性、并發控制、故障恢復等幾個方面。這里不展開進一步討論。值得指出的是，很多電力企業有許多相對“古老”的應用系統，使用同樣“古老”的SQLSERVER2000數據庫，而在這個版本早已停止升級補丁后，這種數據庫的諸多漏洞成為永遠關不上的后門——除了升級數據庫版本，沒有其它的方法。

應用系統風險

應用系統同樣會有各種各樣的安全問題，早期開發的應用系統甚至可能是用明碼存儲用戶名及密碼。這種情況仍然上演于擁有領先IT技術的互聯網企業內部，比如2011年中國互聯網賬號密碼泄露事件中，令人驚詫的一點就是賬戶信息的明文儲存。

電力基建企業最重要的業務系統是基建MIS，該系統通常是定制開發的，當然也有很多商用的基建MIS供選擇。基建MIS的安全問題很大部分在于用戶的準入控制：由于需要設計、監理、施工單位填報數據，軟件的客戶端裝于多處（WEB界面的甚至不需要安裝特定的客戶端），通過MIS系統里的用戶名/密碼的方式進行用戶認證，密碼大多沒有復雜性要求；在各單位人員頻繁的工作交互中，密碼泄露的可能性相當大，由此便造成數據泄密風險。

網絡的安全風險

來自Internet的風險

1974年ARPA的羅伯特.卡恩和斯坦福的溫登.澤夫提出TCP/IP協議的時候，只是定義了在電腦網絡之間傳送報文的方法，而并沒有針對網絡的安全問題做設計。今天當TCP/IP協議成為局域網、Internet上最常用的協議時，網絡安全問題帶著先天的缺陷依然困擾著我們。

其中，計算機病毒由于對計算機網絡的災難性影響，成為企業網絡最嚴重的安全風險之一。網絡存儲、電子郵件系統、萬維網的廣泛使用，使得計算機病毒的擴散速度大大加快，網絡成了病毒傳播的最好途徑。

電力企業網絡同樣難以幸免，幾乎所有電力企業的網絡通過外網與互聯網連接。

雖然今天的IT廠商們已研制出各種各樣的網絡安全技術，如何謹慎、合理地使用它們，對很多企業用戶仍然是個難題。

來自內網的風險

對電力企業而言，來自內網的風險和來自互聯網的風險幾乎是同等的。

內網的風險在于：內部人員不經意之間泄露的重要信息，或是不小心從互聯網上下載的木馬，都將可能成為導致系統受攻擊的最致命的安全威脅。

在電力基建項目部，通常還會有這樣的問題：為了工作方便，項目部成員與設計、監理、施工等其它單位共享一個局域網。這其中的風險是不言而喻的，比如簡單的文件夾共享最后會演變成文件的不可控。

來自遠程訪問的風險

電力基建單位的諸多項目分布于全國，對遠程訪問的需求比較大。遠程訪問有多種不同的技術方案，這些方案大多會有不同程度的安全風險。以用戶名/密碼的簡單認證方式具有較大的安全隱患。

災備缺失的風險

災備是需要經濟投入的。信息主管們并非不知道災備缺失的風險，只是當他們考慮用有限的資金來申請購置IT設備時，權衡再三的結果通常是首先購置更能滿足員工需求的IT設備，比如更寬的帶寬、更快的CPU。

在很多企業，災備通常是缺失的，由此產生的問題是顯而易見的。災備的經濟效益在大多數時候幾乎為零，災備的演練總是讓人不勝其煩，它的真正作用也只有當災難真正來臨的時候才會顯現。

三、電力基建企業信息安全的對策

針對以上提出的六個方面的企業信息安全問題，結合實踐工作中的經驗，筆者試著給出相應的對策。

信息安全機構與人員

這個其實是最難的部分，因為這事關人的問題。在一個業務繁忙的企業中，似乎每個部門都在喊“缺人”，但鮮有提及缺CIO的。在具有中國特色的國企中，CIO的缺位其實是很普遍的現象，更多的是由類似信息中心主任、信息部主任、信息主管們的“準CIO”；反而是一些跨國企業和采用現代管理制度的民營企業、合資企業中，大多有明確的CIO職位。不過慶幸的是，國企的信息部門并非單兵作戰，因為在國企的環境里，往往有更上一級的集團公司的信息部門指導他們的業務工作。

信息安全人員不能兼任網管等其它信息技術崗位，人們往往會擔心他們的工作量是否足夠飽滿？其實，當信息工作真正按照標準的信息安全流程來進行時，這個問題的答案就顯而易見了。

即使這樣，在電力基建企業的項目部的實際環境中，各項目部的信息安全人員配置仍然是一個繞不開去的問題。為此，位于企業總部的信息主管們的態度是明確的：盡可能地為每個項目部配備合適的信息安全專職。

完善制度

完善，再完善，當然還要嚴格地執行制度。

較好的做法是將信息安全管理制度發布在ISO文件中，借助于企業ISO的貫標過程，逐步提高信息安全水平。

中心機房的物理安全

如果正好遇到企業總部搬遷，新的中心機房可以按照相應的安全等級要求建設。不然，如果仍然只有使用多年的機房可用，也仍有很多技術措施可以采用，以彌補先天的安全缺陷。

比如把機房凌亂的網線重新理一下，讓它們全部從地板下穿過；增設溫濕度計、抽濕器（用于我國南方地區）；增設簡單的視頻監控報警設備，等等。

當然有一些硬傷可能是無法修補的，比如高層建筑中的機房正好不幸位于年久失修的水管的下方，如果你不能找人把水管移位，那只能指望機房早日搬遷了。

系統安全

對于操作系統及數據庫安全，事情相對會簡單點。可以聘請專業的信息安全公司對這此進行修補，或進行系統的升級（當然可能會有與應用軟件不兼容的麻煩）。

對于應用系統的安全問題，如果當初購買的是通用的商用軟件，你可以試著去找找其升級版本；不過以筆者的經驗，不要報太大的希望——升級版本通常會有BUG的修復、功能的更新，但很少會在安全方面考慮更多；如果是定制開發的，則可以去找原開發商求助。已運行多年的應用軟件可能找不到原開發商，也沒有其它軟件公司愿意來修改古老的代碼，這時候就該考慮重新開發。

基建MIS的密碼泄露問題，除了提高使用人員的安全意識，也可以考慮更安全的用戶認證方式，比如智能卡、動態口令（如手機令牌）、USBKEY、生物識別——雖然某些技術在基建這一領域看起來有些超前，但仍不失為可考慮的選項之一。

網絡安全

網絡安全是一個更具專業意味的命題，因此最好找專業的網絡安全服務公司來幫你做這件事。當然你還需要采購防火墻、網絡版殺毒軟件、入侵防御系統、行為管理系統、日志審記系統等等價值不菲的軟硬件設備。

在電力基建企業，網絡安全的問題有其特殊性。項目部的人員應該劃分出自己獨立的局域網，而不是與外單位人員共用。至于因此而喪失的無法共享文件夾的便利，完全可以通過設立簡單的文件服務器來解決。

遠程訪問有多種技術，包括基于Internet的WEB、VPN、專線城域網等，不同的技術方案下，相應的信息安全程度、使用的便利性、付出的經濟代價都是不同的。必須綜合考慮這幾方面的因素才能最終確定合適的技術方案，并制定相應的制度、流程、實施方案，以確保最大程度的信息安全。

基于電力基建企事業的普遍情況，筆者推薦VPN方式。如果暫時只能沿用簡單的用戶名/密碼的認證方式，那就加強管理。比如去掉公共的VPN帳號，一人一號，發現同一個帳號多個連接的用戶予以堅決制止與糾正。

災備

根據電力基建企業的實際情況，建議至少采用國際標準SHARE78第1級容災方案，即將關鍵數據備份到本地磁帶介質上，然后送往異地保存。

此外，關鍵設備及線路的冗余與備份也是必不可少的。

四、結語

做好信息安全其實并不難，很久之前，中國人就有著樸素的辯證法的觀點：有矛，就有盾。在企業信息安全問題上，電力基建企業有其特殊性，但更多的是共性。本文希望能讓全國的電力基建企業及其它行業有所借鑒。