(福建省三川海上风电有限公司)
摘要:近年来,互联网已经基本普及,电力行业也在不断的寻求改革发展的道路,电力行业的大部分经营活动都依靠互联网来完成。“互联网+”时代的到来,电力系统开始制定了“安全+”计划,电力行业的信息安全成为其重要关注的问题,对于信息安全管理的措施、提高从业人员的风险意识、不断完善科技创新,是目前电力行业的主要发展方向。本文针对电力行业的信息安全问题,简单阐述了企业信息安全存在的几点重要问题,并给出几点可行性建议。
关键词:电力行业;信息安全;风险防控
电力行业正处于改革创新的新时期,并且随着互联网的普及,电力行业在数年前就开始应用自动化信息技术,代替了大量的人工劳动力,一些繁重的体力劳动都是由信息技术来完成的。自动化信息技术让劳动力无需从事繁重危险的工作,同时生产效率也得到了提升,为电力行业发展作出了重大贡献。网络作为一种共享平台,具备一定的开放性、复杂性,企业信息泄露并不罕见,系统被破坏也时有发生。在信息科技发展过程中,信息安全成为重要的关注点。
1威胁电力行业信息安全的因素
(1)企业内部工作人员或者发电系统的工作人员没有严格按照规定执行,故意泄露或者窃取企业的信息,对信息系统进行认为破坏或者修改重要信息,是企业信息安全面临的主要危险,是企业管理者应该重视的问题。
(2)企业信息系统管理人员不具备足够的管理能力,对网络安全配制存在缺失导致发生漏洞,而且部分企业的信息安全并未做到及时更新,导致信息系统并不完整,企业网络用户缺乏安全意识,设置用户密码时未按要求执行,甚至有的用户对个人的用户密码保管不妥当,或者使用网络共享时太过大意,也会让企业信息安全面临危险。
(3)不及时更新杀毒软件,导致网络病毒可以肆无忌惮的入侵,病毒对信息系统产生破坏的同时,还会泄露信息,同样会让企业信息安全面临危险。
(4)网络安全技术水平在提高的同时,黑客技术也在不断完善,黑客侵入信息系统之后,企业信息会完全暴露出来,将信息拷贝之后获取重要内容,也可以利用其他分析手段,完成信息窃取,也会对企业信息安全产生威胁。
(5)企业缺乏完善的信息安全管理机制,产品技术发展滞后,缺乏对网络安全培训的重视,用户没有足够的安全意识和保密意识,未采取有效的物理安全措施,以及其他不可抗力因素等都会对企业信息安全造成威胁。
2解决电力行业信息安全危险因素的具体措施
(1)企业要制定完善的信息管理机制和保密制度,制度落实和执行需配备企业应建立专业部门来负责完成,系统维护以及安全监控要设置专业的工作人员执行,对于系统存在的漏洞后者非法入侵行为要在第一时间发生,并采取有效的系统安全防护措施。
(2)根据信息系统用户的工作性质将其分为几个等级,等级不同对信息访问的权限也不同,尤其是重要信息只有授权用户才有访问权限,其他用户则拒绝访问。
(3)认真贯彻国家、行业以及企业关于信息安全方面的规定,信息必须具备完整性和真实性。
(4)应用信息技术将所有信息内容的设置保密等级,对于不可更改的信息只有在授权之后才能有更改权限,这样信息传输或者存储时才能保证准确性。
(5)信息系统要按照企业岗位和需求的不同,对各部分和各职能的工作人员设置访问权限,详细确认访问者的身份,岗位有变动或者离职的人员要及时更改权限。
(6)对于发布信息内容的审核工作要配备专职人员负责,严格把控传播内容,只有审核通过的信息才能发布。
3电力信息系统的信息安全技术
3.1信息访问安全
(1)身份认证技术。身份认证技术就是要明确系统访问者的身份信息,首先系统要识别访问者的身份,知道是谁在访问系统,然后进行身份验证,也就是证实访问者身份的真实性。
识别验证要借助专门的网络程序系统进行,是针对所有的访问者进行的,允许访问的用户都与资料库中的信息一致,如果发现不同,那么会立即制止其继续访问。
(2)访问控制技术。访问控制可以有效保护信息系统安全,通过访问设置可以对访问者的权限进行管控。系统正常运作需要依靠安全信息,所有的访问都离不开安全信息,如果访问者存在越权访问的情况,系统会自动发出警告,也会对系统的防御装置进行构建,可以有效预防不正当访问行为造成信息泄露,对于系统安全而言无疑是一种有效的保护模式,减少了安全事件的发生。
(3)安全审计技术。安全审计技术是信息安全技术中具有重要意义的一项技术,其作用在于对系统人员和设备的控制,完成控制后获取电子形式的证据,安全设计技术可以有效预防系统再次被破坏。这方面工作的重要性不言而喻,任何一个环节都会做好记录,记录的内容包括对防御过程的描述,方便找到问题的源头,有一些审核会有数据造假或者丢失情况的发生,严重影响了该领域的发展,有了数据才能展开分析,帮助更好的推断今后的走向。
3.2信息传输安全
电力信息系统中的信息传输安全可以有效完成数据加密,最终形成密文。数据加密需要公钥来获取私钥,完成此次会话的加密过程。涉及到的网络交互安全,第一层安全网络基础设施让数据交换更加可靠,第二层安全是COBRA中间件,安全的COBRA中间件可以完成COBRA接口的调用,第三层安全Web Sevice,,让交互双方的交互过程更加安全可靠。
4电力行业信息安全风险控制
(1)企业内部是信息安全风险控制的重点,制定完善的相关规章制度,企业文件和信息要制定访问权限和不同的保密等级,信息扩散范围要合理控制,加强工作人员关于信息安全管理的培训,所有泄密途径都要严格把控,一旦发现泄密行为要予以严惩。
(2)企业档案管理要由专人负责,规章制度要设置在显眼位置,借阅记录要清晰,并签订保密协议,严格控制企业信息泄露。
(3)将企业信息管理的工作人员明确划分岗位责任,企业网络安全防护系统要及时更新,严格按照归档扫描网络安全漏洞,积极采取有效的防护措施,密切监控网络流量。
(4)设置防火墙。为企业网络提供更多的安全屏障,明确划分访问用户权限,提高企业网络的安全性。
(5)企业内部网络管理要配备专业的网络管理人员,内部移动盘全部加密处理,将内网与外网隔离开来,严防内网被病毒入侵。
(6)企业内网数据的管理和授权要由专业人员负责,用户在访问资源时需经网络管理人员进行确认,身份认真通过之后才能登陆系统,通过这种方式可以组织外部入侵造成信息泄露或者丢失。
(7)随着信息安全技术的不断发展,我国网络安全防护系统要技术更新,可以主动防御病毒入侵,采用先进的网络安全技术,全面完善系统防护功能,在预防病毒的同时,也要有效杀死病毒,才能维持一个安全的内部网络环境。
(8)电力行业所涵盖的高精尖知识数量庞大,一个项目从成立之初,到设计、审核、施工、验收,在到投入使用,应用了大量的新技术和新设备等,知识产权保护意义重大,所以要签订相关的保密协议,防止信息泄露。
(9)深入挖掘企业内部的潜力,充分调动网络安全管理人员的主动性,排查控制系统,发现安全隐患,并及时采取有效的处理措施,预防隐患进一步扩大。
(10)企业的重要部门要采取等级较高的防护隔离措施,比如资料室、控制机房等,门窗要密闭且牢固。做好防火防灾措施,避免因认为因素或者其他不可抗力因素威胁企业的信息安全。
结束语
所有企业都有自己的信息系统,只要由信息系统就一定会存在信息安全问题。有效的解决这些问题,可以更好的维护企业网络的安全运行,完成数据保密任务。电力行业尤其要重视信息安全问题,并采取有效的管控措施。
参考文献:
[1]余欣阳.浅析电力信息系统的安全运行维护和管理[J].中国新通信,2019(05):165.
[2]谢一飞,樊金健.网络信息安全风险防控体系研究与实践[J].电子世界,2019(01):36-37.