一、完善信息安全保障工作的建议
信息安全无小事,特别是电力行业。轻则造成机组的停运,重则影响电网的运行,造成大面积停电,影响人民的正常生活和国家电网安全。在此,笔者对完善发电企业的信息安全工作提出如下建议。1.国家及行业的战略参与当前,很多发电企业发电设备的关键技术如控制系统、远程诊断系统等还掌握在国外企业手中,特别是燃气机组,仍然未达到“自主可控“的要求,很多机组完全暴露于国外技术人员的手中,信息安全无从谈起。并且信息安全的标准及规范全部掌握在这些国外制造大鳄的手里面,在他们面前,发电企业仍然处于弱势。发电企业信息安全不单单是一个企业、一个发电集团的事,其关乎到整个国计民生、国家安全问题,因而需要国家及行业参与进来,制定发电机组信息安全引入机制,同国外机组生产厂家共同制定信息安全整体实施方案,制定相关的标准和规范。2.引导信息安全产品国产化随着国内网络产品技术水平的大幅提升,服务器、交换机等产品如浪潮、华为等公司现已有足够的实力代替国外产品。但不少发电企业生产技术人员仍然痴迷于国外产品,网络产品选型时经常因为产品的稳定性、速度等因素选择国外产品,不把信息安全作为一个很重要的衡量指标来考虑,因而,国家或行业部门应积极倡导、引导发电企业工业网络系统国产化。3.提升信息安全认识认识的提高主要是指领导层认识的提高,说道信息安全,领导层往往因为斯诺登事件的影响主要考虑的是文档的泄密、办公系统的侵入、网页的篡改等等。其实,黑客攻击、网络安全稳定才是发电企业信息安全的重中之重,很多领导认为只要不上互联网的系统就是安全的系统,其实网络隐患无处不在,如网络堵塞、蠕虫病毒等等都有可能引起发电机组的不稳定性。比较著名的例子如伊朗核电厂的“Stuxnet”蠕虫病毒事件等。其次,一把手亲自抓信息安全工作的制度没有得到很好的落实。虽然很多发电企业信息安全的主管领导是一把手,但真正关心或重视的程度完全没有达到这个层次,很多单位最多是由一位管信息的部门副职在推进此项工作,推进信息安全工作的难度可想而知。第三,生产一线职工信息安全认识不到位。生产一线职工往往把信息安全等同于机械设备维护,认为只要不动、少动就不会坏。认识不到一旦网络连接起来,和动不动计算机、网络设备等就关系不大了,而且往往很多病毒、蠕虫都有很长的而且是不定期的潜伏期,一旦受攻击或病毒发作,这些都是没用的。4.没有专职信息安全人员的参与专职信息安全人员参与不到位。发电企业工业网络、计算机的维护一般由生产人员维护,如热控专业、电气专业等等,没有专职的、懂网络的信息安全人员。发电企业的安全生产部门一般设锅炉专业、热控专业、电气专业等专业工程师,没有专职的信息安全工程师或让信息管理部门的信息安全人员兼职生产系统的信息安全工作,造成这一岗位的空缺。随着信息化工作的进一步深入,电力行业的信息安全专业工程师岗位职级必须进一步配置到位。
二、电力企业信息安全技术前瞻
怎样才能做好发电企业的信息安全工作呢?只有充分“利用信息技术,才能保障信息安全”,利用信息技术做好“审、监、管”三个环节。这里对电力企业信息安全技术未来的发展,做一个前瞻性分析。1.“审”主要从国家和行业层面,“审”的内容包括:服务器、网络系统、操作系统、应用软件、PLC等等。前瞻性信息技术工具:程序代码智能检测工具,对工业信息安全危害最大的就是蠕虫、病毒,其不定期潜伏期很难使人察觉,利用代码智能检测工具进行反编译、反跟踪查询,即对自动执行的如保护停退、重大自动操作进行反跟踪及时间节点分析,从而发现蠕虫、病毒。通过国家、行业的审核,确定型号和版本号,下发全部电力企业执行。这样才能避免伊朗核电厂类似事故的发生。2.“监”主要是企业层面,“监”的内容主要包括网络运行、网络入侵。前瞻性信息技术工具:辅助网络监控系统,架设在安全区内辅助网络监视。对网络运行状态、流量控制、网络内设备硬件的增减(如使用U盘)等情况进行智能监控,对不合规的设备及权限进行限制。3.“管”主要是企业层面,“管”的内容主要包括技术管理、技术交底。前瞻性信息技术工具:工控系统管理平台,架设在安全区内。对工业控制系统文档、信息安全管理、操作规范、技术交底进行统一管理,形成流水线式的管理平台,避免技术交底不彻底、信息安全认识不足等问题。
三、结语
发电企业信息安全工作任重道远,是一个系统工程。国家和行业部门是该系统工程的总设计师,从国家和行业层面制定信息安全引入机制,制定相应的标准和规范,对安全产品、安全信息具有引导、指导方向职能。发电企业公司领导层是信息安全工作的决策层,是信息安全工作的直接责任人,职责明确且需落实到位。发电企业信息安全人员是执行层,首先需有信息安全的专职人员。提高信息化认识,具备信息安全工作的基本知识,谨小慎微,才能共同把发电企业的信息安全工作做好做实。
作者:王淳 单位:京能集团
