論文摘要：分析了電力系統(tǒng)信息安全的應用與發(fā)展存在的安全風險，安全防護方案、安全肪護技術(shù)手段及在網(wǎng)絡安全工作中應該注意的問題，并對信息安全的解決方繁從技術(shù)和管理2個方面進行了研究，探討了保證電力實時運行控制系統(tǒng)和管理信息網(wǎng)絡系統(tǒng)信息安全的有關(guān)措施，同時以朝陽供電公司為例，進一步進行有針對性的剖析。

論文關(guān)鍵詞：電力;信息安全;解決方案;技術(shù)手段

1電力信息化應用和發(fā)展

目前，電力企業(yè)信息化建設硬件環(huán)境已經(jīng)基本構(gòu)建完成，硬件設備數(shù)量和網(wǎng)絡建設狀況良好，無論是在生產(chǎn)、調(diào)度還是營業(yè)等部門都已實現(xiàn)了信息化，企業(yè)信息化已經(jīng)成為新世紀開局階段的潮流。在網(wǎng)絡硬件方面，基本上已經(jīng)實現(xiàn)千兆骨干網(wǎng);百兆到桌面，三層交換;VLAN，MPLS等技術(shù)也普及使用。在軟件方面，各應用十要包括調(diào)度自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營銷信息系統(tǒng)、負荷監(jiān)控系統(tǒng)及各專業(yè)相關(guān)的應用子系統(tǒng)等。計算機及信息網(wǎng)絡系統(tǒng)在電力生產(chǎn)、建設、經(jīng)營、管理、科研、設計等各個領(lǐng)域有著十分廣泛的應用，安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動生產(chǎn)率等方面取得了明顯的社會效益和經(jīng)濟效益，同時也逐步健全和完善了信息化管理機制，培養(yǎng)和建立了一支強有力的技術(shù)隊伍，有利促進了電力工業(yè)的發(fā)展。

2電力信息網(wǎng)安全現(xiàn)狀分析

結(jié)合電力生產(chǎn)特點，從電力信息系統(tǒng)和電力運行實時控制系統(tǒng)2個方面，分析電力系統(tǒng)信息安全存在的問題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系，將電力信息網(wǎng)絡和電力運行實時控制網(wǎng)絡進行隔離，網(wǎng)絡間設置了防火墻，購買了網(wǎng)絡防病毒軟件，有了數(shù)據(jù)備份設備。但電力信息網(wǎng)絡的安全是不平衡的，很多單位沒有網(wǎng)絡防火墻，沒有數(shù)據(jù)備份的概念，更沒有對網(wǎng)絡安全做統(tǒng)一，長遠的規(guī)劃，網(wǎng)絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求，對網(wǎng)絡安全進行了全方位的保護，防火墻、防病毒、入侵檢測、網(wǎng)管軟件的安裝、VerJtas備份系統(tǒng)的使用，確保了信息的安全，為生產(chǎn)、營業(yè)提供了有效的技術(shù)支持。但有些方面還不是很完善，管理起來還是很吃力，給網(wǎng)絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。

3電力信息網(wǎng)安全風險分析

計算機及信息網(wǎng)絡安全意識亟待提高。電力系統(tǒng)各種計算機應用對信息安全的認識距離實際需要差距較大，對新出現(xiàn)的信息安全問題認識不足。

缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對計算機安全一+直非常重視，但由于各種原因，目前還沒有一套統(tǒng)一、完善的能夠指導整個電力系統(tǒng)計算機及信息網(wǎng)絡系統(tǒng)安全運行的管理規(guī)范。

急需建立同電力行業(yè)特點相適應的計算機信息安全體系。相對來說，在計算機安全策略、安全技術(shù)和安全措施投入較少。為保證電力系統(tǒng)安全、穩(wěn)定、高效運行，應建立一套結(jié)合電力計算機應用特點的計算機信息安全體系。

計算機網(wǎng)絡化使過去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后，面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計算機系統(tǒng)一般都是內(nèi)部的局域網(wǎng)，并沒有同外界連接。所以，早期的計算機安全只是防止外部破壞或者對內(nèi)部人員的安全控制就可以了，但現(xiàn)在就必須要面對國際互聯(lián)網(wǎng)上各種安全攻擊，如網(wǎng)絡病毒、木馬和電腦黑客等。

數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲。電力系統(tǒng)計算機網(wǎng)絡中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護的數(shù)據(jù)庫中或操作系統(tǒng)文件中。以明文形式存儲的信息存在泄漏的可能，拿到存儲介質(zhì)的人可以讀出這些信息;黑客可以饒過操作系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認證。電力行業(yè)應用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設計和開發(fā)，用戶身份認證基本上采用口令的鑒別模式，而這種模式很容易被攻破。有的應用系統(tǒng)還使用白己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺工作站備份一下數(shù)據(jù)就了事，沒有完善的數(shù)據(jù)備份設備、沒有數(shù)據(jù)備份策略、沒有備份的管理制度，沒有對數(shù)據(jù)備份的介質(zhì)進行妥善保管。

4電力信息網(wǎng)安全防護方案

4.1加強電力信息網(wǎng)安全教育

安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效，高級管理部門應當對企業(yè)各級管理人員、用戶、技術(shù)人員進行安全培訓。所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。

主管信息安全工作的高級負責人或各級管理人員，重點是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構(gòu)成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術(shù)人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術(shù)的合理運用等。

信息用戶，重點是學習各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應該承擔的安全職責等。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續(xù)的進行。在企業(yè)中建立安全文化并納入整個企業(yè)文化體系中才是最根本的解決辦法。