程序等，造成企業(yè)內(nèi)部網(wǎng)絡(luò)存在入侵者可利用的缺陷。當(dāng)廠商通過發(fā)布補(bǔ)丁或升級(jí)軟件來解決安全問題時(shí)，許多用戶系統(tǒng)不進(jìn)行同步升級(jí)，原因是管理者未充分意識(shí)到網(wǎng)絡(luò)不安全的風(fēng)險(xiǎn)所在，未引起重視。有些信息系統(tǒng)采用開放的操作系統(tǒng)，安全級(jí)別低，又沒有附加安全措施，難以抵御黑客和信息炸彈的攻擊。

2.2.2企業(yè)信息管理革新明顯滯后技術(shù)發(fā)展

相對(duì)于信息技術(shù)的發(fā)展與應(yīng)用，電力企業(yè)管理革新處于落后狀況。有的企業(yè)引入了先進(jìn)的業(yè)務(wù)系統(tǒng)、管理系統(tǒng)，而管理模式未能實(shí)施有效革新，最終導(dǎo)致了信息系統(tǒng)未能發(fā)揮預(yù)期的、應(yīng)有的作用。由于信息安全工作具有專業(yè)性強(qiáng)，知識(shí)面廣的特點(diǎn)，目前電力企業(yè)從事信息安全管理工作的技術(shù)人才顯得相對(duì)缺乏。

2.2.3用戶身份認(rèn)證和訪問控制不夠

在實(shí)際應(yīng)用中，電力企業(yè)部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡(jiǎn)單，不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制;部分應(yīng)用系統(tǒng)沒有一個(gè)統(tǒng)一的用戶管理，無法保證賬號(hào)的有效管理和安全;同時(shí)因缺乏嚴(yán)格的驗(yàn)證機(jī)制，導(dǎo)致非法用戶使用關(guān)鍵業(yè)務(wù)系統(tǒng);不同業(yè)務(wù)系統(tǒng)之間缺少較細(xì)粒度的訪問控制。

2.2.4企業(yè)工作人員安全意識(shí)淡薄

企業(yè)人員忙于利用網(wǎng)絡(luò)工作學(xué)習(xí)，對(duì)網(wǎng)絡(luò)信息的安全性無暇顧及，安全意識(shí)淡薄。電力企業(yè)注重的是網(wǎng)絡(luò)效應(yīng)，對(duì)安全領(lǐng)域的投入和管理不能滿足安全防范的要求，網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏捌狀態(tài)。工作人員安全意識(shí)不強(qiáng)，如共用口令、隨意復(fù)制及傳播企業(yè)內(nèi)部信息等，增加了黑客進(jìn)攻的機(jī)會(huì)和信息泄露的風(fēng)險(xiǎn)，這都將給企業(yè)網(wǎng)絡(luò)信息安全埋下隱患。

2.2.5企業(yè)信息資產(chǎn)管理風(fēng)險(xiǎn)較高

信息資產(chǎn)的高風(fēng)險(xiǎn)性源自于信息資產(chǎn)傳播的低成本性。在激烈競(jìng)爭(zhēng)的市場(chǎng)環(huán)境中信息資產(chǎn)的安全風(fēng)險(xiǎn)較高。一般來說，信息資產(chǎn)經(jīng)常處于公共的介質(zhì)中或處于流動(dòng)狀態(tài)，這就使信息資產(chǎn)的復(fù)制成本較低，從而導(dǎo)致企業(yè)擁有和控制的信息資產(chǎn)的安全性很差。沒有安全保障的信息資產(chǎn)，談不上資產(chǎn)價(jià)值。信息資產(chǎn)具有工程性和社會(huì)性的軟硬屬性，短期無法量化，價(jià)值的確認(rèn)存在風(fēng)險(xiǎn)，管理的過程中也存在類似風(fēng)險(xiǎn)。

3 電力企業(yè)信息安全管理對(duì)策

3.1建立信息安全管理組織架構(gòu)

電力企業(yè)信息安全管理可按照“誰主管誰負(fù)責(zé)，誰運(yùn)營(yíng)誰負(fù)責(zé)”原則，實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理。信息安全領(lǐng)導(dǎo)小組由企業(yè)的決策層組成。信息安全工作小組由企業(yè)各部門管理成員組成，是企業(yè)信息安全工作的管理層。信息安全執(zhí)行層包含信息安全規(guī)劃、信息安全監(jiān)督審計(jì)、信息安全運(yùn)行保障等職能小組和企業(yè)各業(yè)務(wù)支撐部門。企業(yè)信息安全實(shí)行專業(yè)化管理，進(jìn)行監(jiān)督。圖1是一個(gè)典型的電力企業(yè)信息安全管理組織架構(gòu)。

3.2構(gòu)建信息安全管理體系框架

電力企業(yè)信息安全管理體系可建立在信息安全模型與電力信息化的基礎(chǔ)上，分為信息安全策略、安全管理、安全運(yùn)行、安全技術(shù)措施4個(gè)模塊，信息安全管理通過安全運(yùn)行實(shí)現(xiàn)，安全技術(shù)作為信息安全的基礎(chǔ)支撐，可輔助實(shí)現(xiàn)安全管理和運(yùn)行安全。典型電力企業(yè)信息安全管理體系框架如圖2所示。

3.3確立企業(yè)信息安全防護(hù)策略

在管理信息系統(tǒng)安全防護(hù)策略方面：進(jìn)行雙網(wǎng)雙機(jī)管理，將信息網(wǎng)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離裝置進(jìn)行隔離，內(nèi)外網(wǎng)分別采用獨(dú)立的服務(wù)器及桌面終端;根據(jù)業(yè)務(wù)系統(tǒng)類型，進(jìn)行安全域劃分，以實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù);將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次進(jìn)行縱深防御的安全防護(hù)措施設(shè)計(jì)。

在電力二次系統(tǒng)安全防護(hù)策略方面：將電力企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用系統(tǒng)，原則上劃分為生產(chǎn)控制區(qū)和管理信息區(qū);建立電力調(diào)度數(shù)據(jù)網(wǎng)專用網(wǎng)絡(luò)，承載電力實(shí)時(shí)控制、在線生產(chǎn)交易等業(yè)務(wù);采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)，在生產(chǎn)控制區(qū)與管理信息區(qū)之間設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置。采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。

3.4加強(qiáng)信息安全管理制度建設(shè)

3.4.1信息安全管理基本制度

建立計(jì)算機(jī)系統(tǒng)使用管理制度，對(duì)應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改，需要經(jīng)過授權(quán)并由專人負(fù)責(zé)并登記日志。建立資產(chǎn)管理制度，根據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)和管理。建立健全變更管理制度，保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。建立和執(zhí)行密碼使