信息生存環境高速擴張要求消滅獨善其身的條塊分割

如果從“信息不安全會怎樣？”這個角度去審視整個電力行業的信息安全，也許更能看清電力行業相較于其他行業表現出的特殊需求和較大不同。眾所周知，電力產品在發調輸配供各個環節無縫銜接，具有不可存儲、不可中斷、瞬間并發完成等特點，這種連續性毫無疑問正是電力行業的特殊需求。如何保證不因信息安全而影響生產過程，杜絕發生中斷、遲滯、崩潰等重大安全事故，理所當然成為信息安全在電力行業最有別于其他行業的需求動力。

隨著信息時代的電力變革日益深入，集團化的集權管控改變了電力信息化進程中分泌的各種信息孢子的生存模式及生存環境，信息安全的界標已經遠遠溢出一廠一所一處，擴展漫延至幾乎整個電力全業務流程。多組織、多地域、多體制的生產經營架構之下，信息生存環境急劇擴張，私有專用的環境理應逐漸消失，代之以一個更具服務特性的公用、共用、借用環境。因此，與其他行業相比，電力行業的信息安全始終并永遠如利劍高懸，情形之權重堪與電力企業生命周期并存。正是在這樣的背景之下，不可被攻入的信息環境安全首當其沖成為要中之要，不可被篡改的信息內容安全成為重中之重。

面對層出不窮的信息安全產品以及不斷創新的信息安全解決方案，電力企業卻表現出令人無法理解的漠視與冷靜。在這種漠視與冷靜的背后，隱藏著的并非是對安全產品及解決方案的單純質疑，而是對于自身內外安全環境的言行割裂以及某種程度上的安全漠視。例如，關于行業層面的信息環境通盤安全考慮喊的多落地少，每個業務、每個環節都在各立門戶，各自要求、各掃門前雪。典型例子如國家電網陸續頒布過一系列規定和文件，其目的主要側重于如何保證生產過程的安全；電力行業的系統設置按照國網分區要求建設，各大區之間必須執行嚴格規定，生產大區與管理大區之間必須使用單向隔離網閘等等，這樣導致邊界防護與分區隔離這類安全產品在電力行業每一個跨網業務系統中都不可思議地各自大行其道。既有防火墻、入侵檢測、單向網閘、網關、漏洞掃描等產品不斷涌入，還有防病毒、補丁、代理、行為管理等產品紛紛上線。看似安全環境堅如磐石，卻將末端的信息系統整體安全分割得支離破碎。

與日俱增的信息等保密級管理不能以阻礙信息共享為代價

沒有信息也就沒有信息化，信息安全便猶如皮毛之附。然而說到底，正是由于信息環境和信息內容具備某種特殊使用價值并可以達到某種目的，才會出現信息安全之憂。信息論認為，有用的數據才叫信息。當缺少量綱和單位的時候，數據只是數字，同一個數字在行業間是等同的，這沒有任何意義。就信息本身而言，行業差別的含義更多表現于行業的自身發展以及行業對社會的影響差異化，通過量綱與單位予以表達。

我們不妨將一個企業分泌的信息孢子分成相對的兩大類：面向公眾的“公開信息”和面向內部的“封閉信息”。從這個角度討論信息安全，公開信息所面臨的安全隱患主要表現為信息真實性的安全問題，而面向內部的“封閉信息”所面臨的安全隱患表現為管控真實性的問題。事實上，電力企業生產的信息大部分“自產”、“自銷”、“自用”。通常的安全策略包括：訪問互聯網策略、用戶認證策略、保密策略、專網專用策略等；對安全產品的選擇標準無外乎企業資質、國家標準、行業標準以及品牌，或者產品成熟度、性價比及售后服務與技術支持等。類似半導體二極管，電力企業從外界獲取的信息無論在質和量上經常遠遠超過其對外部貢獻的信息質與量。從某種角度上說，盡管電力企業對待邊界防護的態度與其他行業并沒太大區別，但在內部管控方面卻體現出較高的半軍事化思路，以至于過度的安全管理成為信息共享的瓶頸。

相對于銀行、電信，電力行業經營管理信息化程度相對較弱，但對計劃指標、財務指標、生產指標這類生產經營信息更為重視，分等級采取不同的保護措施已經尉然成風。考慮到生產過程的不可訪問性，電力行業生產過程信息化程度與其他制造業相比，也慢了半拍。盡管其數據因其瞬時性對外人而言并沒有多大意義，但對同行之間競爭卻也不無價值。每個電力企業都希望了解到同行的生產指標、經營指標，這是信息使用價值之所在，也是維護一個公平公開公正的競爭環境所需要的。這是不可爭辯也很難改變的事實。也許，未來幾年，無論認證、保密、防火、防水、行為治理、等級、容災建設、風險控制，抑或分區隔離或者虛擬網絡，對大多數電力企業而言，信息安全的重點仍主要還將集中于邊界防范與內部管控，然而這種單向開放卻又相對封閉的特點令信息的使用價值大打折扣，當信息變成只為少數人一次性服務，而沒有變成行業知識為更多人、更多系統共享的時候，信息的存在還有什么價值呢？對全方位、全面的信息安全意識、文化和體系的建設，對如何挖掘與使用信息的價值與使用價值，使其與業務融合，使其供行業共享，產生應有的效益，還有漫長的路要走。

我們應該正確而客觀地審視已經不再是一廠一所一處的電力行業信息安全環境。如果我們勢必要實現數字化電力、打造國際一流的電力企業這一宏偉夢想，就勢必不能漠視眼前日益嚴峻的信息安全環境，更不能漠視日益激烈的市場環境下內部信息價值及其使用價值的競爭。雖然目前電力行業對信息安全的重視程度較以往已經有了很大提高，但對信息安全的認識程度及相對投入比例依然存在一定的差距，與嚴格的安全管理要求相比，很多信息安全投入事實上是迫不得已而為之。我們并非一定要追逐最新的安全技術和策略，但也不能在一棵樹上吊死，也會考慮產品的可更換性，即盡量減少任何變故帶來的巨額更替成本。

態度決定一切。造成這些現象的原因林林總總，消解價值相悖的安全投入觀還需要假以時日。面對電力行業信息安全新挑戰，我們有必要提高我們的信息安全意識，也更有必要建設一個有利于信息生存的安全文化環境。打破縱向業務壁壘，實現橫向業務融合，釋放信息使用價值，進而保證電力行業及其信息化進程的可持續發展，也許是信息安全的最大價值。