電力企業(yè)信息化安全漏洞壓力窒息

2013-12-11 11:16:30 北極星電力網(wǎng)　點擊量：評論 (0)

作為國有特大型企業(yè)，電力公司負責為經(jīng)濟社會發(fā)展提供電力保障，承擔著投資、建設(shè)和經(jīng)營輸配電業(yè)務(wù)。近些年來，電力信息化建設(shè)取得了非常顯著的成就，信息化建設(shè)已經(jīng)有了一定的規(guī)模，然而電力行業(yè)的信息系統(tǒng)龐

安全漏洞與威脅

在電力行業(yè)信息化發(fā)展進程中，各地的供電局、電站紛紛建立基于Internet的先進信息管理應用系統(tǒng)，每年、每月甚至每天都會產(chǎn)生大量辦公數(shù)據(jù)，這些辦公數(shù)據(jù)已不是單純反映電力行業(yè)業(yè)務(wù)方面的信息數(shù)據(jù)，而是以業(yè)務(wù)數(shù)據(jù)為中心，涵蓋電力系統(tǒng)的日常工作所產(chǎn)生的整個行業(yè)的龐大數(shù)據(jù)鏈。在這數(shù)據(jù)鏈里頭，除了業(yè)務(wù)系統(tǒng)數(shù)據(jù)，還有各種行政性的重要文件、人事檔案、各項行政法規(guī)、財務(wù)報表、審計報告、思想政治工作成果等等。在這龐大的數(shù)據(jù)鏈里許多數(shù)據(jù)涉及到重要信息，這些信息如出現(xiàn)丟失、泄密都將造成難以想象的損失。但是，目前這些體現(xiàn)電力行業(yè)信息化建設(shè)成果的文件資料都分散存儲在各PC或文件服務(wù)器中，尚缺乏一種安全、有效的保護和管理機制。

業(yè)內(nèi)人士分析，電力行業(yè)數(shù)據(jù)安全面臨內(nèi)部惡意操作以及外部惡意入侵兩大夾擊，行業(yè)目前面臨以下壓力：

1.如何保障終端數(shù)據(jù)的離線安全；

2.如何保障終端計算機統(tǒng)一的身份認證機制；

3.如何解決對重要電子文檔生命周期的管控，實現(xiàn)審計和事后追溯機制；

4.如何解決與外協(xié)人員、合作伙伴等的數(shù)據(jù)交互安全；

5.如何保障移動設(shè)備（筆記本）、存儲介質(zhì)（U盤、移動硬盤）的數(shù)據(jù)安全等。

安全策略

針對電力企業(yè)面臨的數(shù)據(jù)交互問題，作為數(shù)據(jù)泄露防護領(lǐng)航者，北京億賽通科技發(fā)展有限責任公司（簡稱“億賽通”），提供電力行業(yè)文檔安全管理解決方案（www.esafenet.com），旨在確保電力企業(yè)數(shù)據(jù)的安全發(fā)展。

1.安全準入管理，防護應用系統(tǒng)安全

采用協(xié)議隧道加密，實現(xiàn)內(nèi)外網(wǎng)各業(yè)務(wù)應用系統(tǒng)終端與服務(wù)器之間合法連接和訪問控制；通過對應用系統(tǒng)服務(wù)器的身份鑒別與綁定，杜絕客戶端數(shù)據(jù)仿冒竊取造成的信息泄密；可以實時掌握終端對應用系統(tǒng)服務(wù)器的訪問記錄，防止非法訪問等。

2.離線文件加密，防止數(shù)據(jù)丟失

離線文件加密功能，實現(xiàn)與電力業(yè)務(wù)應用系統(tǒng)無縫集成，和文件上傳自動解密，客戶端下載自動加密的功能；通過終端部署客戶驗證，使系統(tǒng)在賬號、準入（加密）兩個維度上保證系統(tǒng)的安全；對不同的終端可定制個性化策略控制，實現(xiàn)分級授權(quán)管理；可對文檔進行細粒度的權(quán)限設(shè)置，如只讀、編輯、打印、再授權(quán)、使用次數(shù)、使用時間等。

3.電子文件外發(fā)控制，防止數(shù)據(jù)外泄

通過加密封裝技術(shù)，對于離開電力公司內(nèi)部網(wǎng)絡(luò)的電子文件進行加密管理，外界的使用者必須獲得合法接觸內(nèi)容的許可才能打開封裝的加密文件，而對內(nèi)容的使用能力必須遵循發(fā)文件者的約束，甚至包括閱讀時長、閱讀次數(shù)。等等。

自國家電力監(jiān)管委員會發(fā)布第5號令《電力二次系統(tǒng)安全防護規(guī)定》后，很多電力公司開始結(jié)合切身需求，不斷改善和提升自身信息安全綜合建設(shè)的水平。電力行業(yè)是國民經(jīng)濟的基礎(chǔ)產(chǎn)業(yè)，是國民經(jīng)濟發(fā)展和人民生活極其重要的基礎(chǔ)設(shè)施之一。積極開展安全策略，是企業(yè)信息安全的有力保障，更是運轉(zhuǎn)高效的電力企業(yè)應急管理的長效機制。