隨著信息技術的迅速發展，電力企業越來越依賴于信息技術和服務，因此，電力企業所依賴的信息的保密性、完整性和可用性成為企業信息安全所要保障的內容。根據企業面臨的信息安全風險和問題，本文列舉了信息安全工作的現狀以及解決安全問題的思路和方法。

         電力作為周民經濟的基礎設施行業。在國內較早開始了信息化建設工作。隨著電力信息化建沒和應用高潮的到來，信息安全問題已日益突出，并成為國家安全戰略的重要組成部分。信息安全的內涵也隨著計算機技術的發展而不斷變化，進入二十一世紀以來，信息安全的重點放在了保護信息，確保信息在存儲、處理、傳輸過程中及信息系統不被破壞，確保對合法用戶的服務和限制非授權用戶的服務，以及必要的防御攻擊的措施。即強調信息的保密性、完整性、可用性、可控性。

         一、電力企業信息安全風險分析

        信息安全風險和信息化應用情況密切相關，和采用的信息技術也密切相關，電力企業信息系統面臨的主要風險存在于如下幾個方面：

        1、計算機病毒的威脅最為廣泛。隨著Internet技術的發展、企業網絡環境的R趨成熟和企業網絡應用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽，尤其是Internet環境和企業網絡環境為病毒傳播、生存提供了環境。

        2、黑客攻擊已經成為近年來經常發生的事情，網絡中服務器被攻擊的事件層出不窮。黑客利用計算機系統、網絡協議及數據庫等方面的漏洞和缺陷，采用破解口令(passwordcracking)、天窗(trapdoor)、后門(backdoor)、特洛伊木馬(Trojanhorse)等于段侵入計算機系統，進行信息破壞或占用系統資源，使得用戶無法使用自己的機器。

        3、網絡安全問題日益突出。計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網絡的潛在威脅。信息網絡化使信息公開化、信息利用自由化，其結果是信息資源的共享和瓦動，任何人都可以在網上發布信息和獲取信息。內部網，外部網上的一些用戶出于好奇的心理，或者蓄意破壞的動機，對電力企業網絡上連接的計算機系統和設備進行入侵，攻擊等，影響網絡上信息的傳輸，破壞軟件系統和數據，盜取企業商、業秘密和機密信息，非法使用網絡資源等，給企業造成巨大的損失。更有極少數人利用網絡進行非法的，影響國家安定團結的活動，造成很壞的影響。是目前一個熱門的安全課題，是電力企業面臨的一個非常突出的安全問題。

         4、信息傳遞的安全不容忽視。電力企業和外部的單位，以及兇外有關公司都有著許多的工作聯系，日常許多信息，數據都需要通過互聯網來傳輸。

         網絡中傳輸的這些信息面臨著各種安全風險，例如被非法用戶截取從而泄露企業機密;被非法篡改，造成數據混亂，信息錯誤從而造成工作失誤。非法用戶、還有可能假冒合法身份，發送虛假信息，給正常的生產經營秩序帶來混亂，造成破壞和損失。因此，信息傳遞的安全性日益成為企業信息安全中重要的一環。

         5、用戶身份認證和信息系統的訪問控制急需加強。企業中的信息系統一般為特定范圍的用戶使用，信息系統中包含的信息和數據，也只對一定范圍的用戶開放，沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能，在系統中建立甩戶，設置權限，管理和控制用戶對信息系統的訪問。這些措施在一定程度上能夠加強系統的安全性。但在實際應用中仍然存在一些問題。

         一是部分應用系統的用戶權限管理功能過于簡單，不能靈活實現更細的權限控制。二是各應用系統沒有一個統一的用戶管理，使用起來非常不方便，更不用說賬號的有效管理和安全了。

         如何為各應用系統提供統一的用戶管理和身份認證服務，是我們開發建設應用系統時必須考慮的一個共性的安全問題。

          二、解決信息安全問題的基本原則

         統籌規劃，分步實施，要建立完整的信息安全防護體系，絕不能一哄而上，必須分清需求的輕重緩急，根據信息化建設的發展，結合信息系統建設和應用的步伐，統一規劃，分步建設，逐步投資。

         1、做好信息安全風險的評估。解決信息安全問題不能僅僅只從技術上考慮，技術是安全的主體，管理是安全的靈魂。信息安全離不開安全技術的實施，安全產品的部署，但現在的安全技術、安全產品讓人眼花繚亂，難以選擇，這時就需要進行風險分析，可行性分析等，分析現在我們網絡面臨的風險在哪些方面，解決問題或最大程度降低風險的可行性，收益與付出的比較，哪些產品可使我們以最小的代價滿足我們的安全需求，安全與效率的權衡等。對于一個企業來說，搞清楚信息系統現有以及潛在的風險，充分評估這些風險可能帶來的威脅和影響，將是企業實施安全建設必，須首先解決的問題，也是制定安全策略的基礎與依據。

         2、采用信息安全新技術，建立信息安全防護體系。提到信息安全技術，我們會想到很多：防火墻、入侵檢測系統、防病毒系統、VPN、多層交換、加密/解密算法等等。但是我們要記住安全并不是復雜的代名詞，安全也不是要包攬一切，安全應盡可能簡單，安全要以業務和相關的應用為中心，安全防御不僅僅在邊界而應是多層次的，安全需要不斷的實踐和有效的管理，安全體系結構的設計開發技術應該更加開放。縱觀目前各大安全技術公司的新技術和新產品，無不體現了“智能、整合、管理”這幾個趨勢。

         3、計算機防病毒系統。電力企業防病毒系統應該具有系統性與主動性的特點，能夠實現全方位多級防護。考慮到病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣，相應地在構建網絡防病毒系統時，應利用全方位的企業防毒產品，實施集中控制、以防為主、防殺結合的策略。

        4、網絡安全防護系統。信息資源訪問的安全是信息安全的一個重要內容，在信息系統建設的設計階段，就必須仔細分析，設計出合理的，靈活的用戶管理和權限控制機制，明確信息資源的訪問范圍，制定信息資源訪問策略。

        對于已經投入使用的信息系統，可以通過采用增加安全訪問網父的方法，來增強原有系統的用戶管理和對信息資源訪問的控制，以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統，實施的技術難度相對小一些。對于新建系統，則最好采用統一身份認證平臺技術，來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。

         三、解決信息安全問題的思路和對策

        電力企業的信息安全管理相對來說還是一個較新的話題，國內其它電力企業也在積極研究和探討。這里我結合自己的工作經驗淡一談對如何保證企業信息安全的一些看法。