电力企业网络信息安全的防范措施

摘要 本文就目前电力企业网络安全现状，分析了一些影响网络信息安全的因素，如安全措施不到位、员工信息安全意识不够平衡、内部网络威胁的存在等。其次，本文还阐述威胁电力企业网络安全的行为，主要有恶意入侵、网络病毒的传播、恶意网页、信息传递的安全等方面。最后提出了电力企业信息安全防范措施，主要包括强化职工网络安全教育培训、完善网络信息安全管理制度、做好信息安全风险的评估等。

关键词 电力企业；网络信息安全；防范措施

中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）73-0192-02

随着信息系统与网络的快速发展，电力企业作为关乎国计民生的基础行业，企业内部各业务数据已基本在网络流转，企业对信息系统产生了巨大的依赖性。但是，企业在享受着信息系统所带来巨大经济效益的同时，也面临着高风险。一旦出现信息泄密或篡改数据的情况，将为国家造成难以估量的损失。尤其是近几年，全球范围内的病毒泛滥、黑客入侵、计算机犯罪等问题，信息安全防范已成重中之重。因此，企业必须重新面对当前的安全问题，从中找到行之有效的防范措施。

1 电力企业网络安全现状分析

1.1 网络安全措施不到位

电力数据网络信息化在电力系统中的应用已经成为不可或缺的基础设施。电力数据网需要同时承载着实时、准实时控制业务及管理信息业务，电力生产、经营很多环节完全依赖电力信息网的正常运行与否，随着网络技术和信息技术的发展，网络犯罪不断增加，电力企业虽然已初步建立了网络安全措施，但企业网络信息安全仍存在很多的安全隐患，职工安全意识、数据传输加密、身份认证、访问控制、防病毒系统、人员的管理等方面需要进一步加强，在整个电力信息网络中，很多单位之间的网络安全是不平衡的，主要是虽然网络利用率较高，但信息的安全问题较多，主要是安全级别较低的业务与安全，没有对网络安全做长远、统一的规划，网络中还存在很多问题。

1.2 职工安全意识有待加强

目前国内电力企业职工的安全意识参差不齐，相较之下，年轻的职工和管理人员其安全意识较高，中年以上的职工和一线职工仍然缺乏必要的安全意识，主要是工作年龄、所受教育、工作后的信息安全培训程度，从事的工作性质的原因造成的，这就为网络安全留下了隐患，加强电力企业信息安全的培训，全方位提高职工网络信息安全意识，避免信息安全防护工作出现高低不均的情况。

1.3 内部的网络威胁仍然存在

在这个科技技术日益发展的时代，网络信息的安全工作越来越重要，由此电力企业根据目前的状况出台了相关的网络安全规章制度，以保证其信息安全，但内部的网络威胁仍然存在，而且对管理人员的有效管理依然缺乏。如：办公计算机仍存在内外网混用情况、内外网逻辑隔离强度不够、企业内网安全隔离相对薄弱等情况，如果其中的一些漏洞被非法分子所利用，那么，电力企业的信息安全会受到严重的威胁，并会对电力企业的生产以及经营带来很大的困难。

2 电力企业网络安全的风险

随着网络技术的发展，电力企业信息系统越来越复杂，信息资源越来越庞大，不管是操作系统还是应用软件，都存在系统漏洞等安全风险，保证电力企业信息安全最重要的是保证信息数据的安全，目前电力企业的网络信息系统的主要隐患主要存在于以下几个方面。

2.1 恶意入侵

计算机系统本身并不具有一定的防御性，其通信设备也较为脆弱，因此，计算机网络中的潜在威胁对计算机来说是十分危险的。尤其是现在的信息网络公开化、信息利用自由化，这也造成了一些秘密的信息资源被共享，而这些信息也容易被不法分子所利用。而有极少数人利用网络进行恶意入侵进行非法操作，危机网络系统的安全，恶意入侵其实是由四个步骤构成的：首先扫描IP地址，寻找存活主机；然后确定IP地址，扫描主机端口和漏洞；接着通过漏洞和开放端口放置后门程序；最后通过客户端程序实施远程控制。由于系统被入侵，电力企业信息泄露会造成不良后果，更严重的是系统被恶意控制，不但会给电力企业本身造成严重的后果，还会给社会和用户带来重大的损失。

2.2 网络病毒的传播

计算机病毒对计算机来说是最普遍的一种威胁，伴随着因特网的发展，各个企业开始创建或发展企业网络应用，这无形也增加了病毒感染的可能性，病毒的危害十分巨大，它是通过数据的传输来传播的，其能够对计算机的软硬件造成破坏，同时它还能够进行自我复制，因此，一旦感染了病毒，其危害性是十分巨大的。

2.3 恶意网页的破坏

网络共享性与开放性使得人人都可以在互联网上所取和存放信息，由于信息的传递和反馈快速灵敏，网络资源的社会性和共享性，电力企业职工都在不断地点击各种网页，并在网络中寻找他们所需要的资源，网页中的病毒是挂靠在网页上的一种木马病毒，它的实质是一些不法分子通过编程来编写的恶意代码并植入IE漏洞而形成了网页病毒。当用户浏览过含有病毒的网站时，病毒会在无形中被激活，并通过因特网进如用户的计算机系统，当病毒进入计算机后会迅速的自我复制并到处传播病毒，使得用户的计算机系统崩溃，严重的会将用户的系统彻底格式化。

2.4 信息传递的安全不容忽视

在电力企业的计算机网络系统中，信息传输基本上是明文方式或采用低安全级别的加密进行传输，当这些企业信息在网络上传输时，其安全性就不能得到足够的保障，不具备网络信息安全所要求的机密性、数据完整性和身份认证。

2.5 软件源代码不能独立控制的隐患

目前电力企业办公计算机、企业级服务器的操作系统以及使用的信息系统软件因为是绝大部分都是商业性质的，所以其源代码是不公开的，这就代表着软件的核心技术是被对方掌握的，其漏洞却大量存在，虽然有系统补丁或者软件升级，但其未公开、未被发现的漏洞对信息安全来说确实巨大的隐患。

2.6 身份认证和访问控制

电子企业中的信息系统一般仅能够内部使用，根据不同业务管理部门、不同等级的人员有不同的授权，信息系统中的数据和信息，没有得到授权的用户是不能访问的。身份认证是安全体系的第一大门，是网络安全的基石，在身份认证的基础上依据授权对资源访问加以控制形成访问控制，它虽然可以增加系统的安全性，但仍然存在着一些问题亟待解决。