摘要:随着电力行业改革的不断深化和互联网普及的加速,互联网已经成为发电企业经营活动中的重要组成部分。随着“互联网+”行动和电力系统“安全+”计划的执行,发电企业信息安全形势更加严峻,加强信息安全管理、提高风险意识、加大科技投入,已经是大势所趋。现从发电企业信息安全入手,介绍了企业信息安全方面存在的主要问题,并结合工作经验提出了风险控制措施。
关键词:信息安全;条件;风险;控制
引言
随着电力行业改革的不断深化和互联网普及的加速,自动化的信息技术进入发电企业已有些年头,一线员工已经从繁琐的体力劳动中逐步走出来。自动化的信息技术解决了手动抄报、就地操作、繁琐的监控系统、人工就地巡控等技术问题,形成了现代化、全方位的远程自动化监控,实现了划时代的转变,从而解放了劳动力,提高了生产率,为发电企业的深化改革提供了强有力的技术支撑。由于网络自身具有开放、复杂、共享及脆弱的特性,因而不断有企业重要信息被泄露及系统被破坏的不安全事件发生。随着信息科技的不断发展,信息安全也就更加突显出其重要性,重要信息的损坏、丢失和泄露无疑会给企业带来不可估量的损失。国务院总理李克强在2015年3月5日召开的十二届全国人民代表大会第三次会议上作的政府工作报告中指出,促进工业化和信息化深度融合,开发利用网络化、数字化、智能化等技术,着力在一些关键领域抢占先机、取得突破。制定“互联网+”行动,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场[1]。产业信息系统的不断变革和创新,也必将带领各行各业广泛与日新月异的互联网技术相结合。随着电力行业市场化变革的深入,发电企业势必要加入“互联网+”行动,这就增大了发电企业信息泄露和遭受外侵的可能性,也将给发电企业信息安全带来更大的风险。
1保障发电企业信息安全应具备的条件
(1)企业应建立严格的信息管理和保密制度,设置专业部门负责制度的落实和有效执行,由专人负责系统的维护和安全监控,及时发现系统的安全漏洞、非法侵入,及时完善系统的安全防护并阻止侵入。(2)信息系统的用户设置应按照工作性质划分等级,按照不同等级可以访问不同的信息层面,重要信息只予授权用户访问,而非授权用户应该拒绝访问。(3)严格执行国家、行业、企业的各项规定,确保信息的完整真实。(4)利用信息技术,对各类信息设置不同的保密级别,不可更改的信息在未经授权的情况下不可更改,保证信息在存储或传输过程中不被偶然或蓄意地改变。(5)根据企业岗位设置和需要,对不同的信息系统所针对的特定人员或部门设定访问权限,对访问人员的身份进行确认,并根据人员岗位的变动及时解除被调离岗位人员的访问权限。(6)设专人负责对所有发布信息的内容进行审核,禁止不良信息的传播,只有通过审核的信息方可发布。
2发电企业信息安全主要面临的风险
(1)企业内部人员或发电系统的其他人违反相关管理规定,人为窃取或泄露重要信息,人为破坏信息系统或对重要信息进行修改,这是威胁企业信息安全的主要原因,应该引起高度重视。(2)由于企业信息系统管理人员的能力有限,以致网络安全配置不当而出现漏洞,加之企业对信息安全更新的滞后,造成企业信息系统本身就有技术缺陷,企业网络用户安全意识不强,不能严格依照要求设置用户密码,更有甚者,随意泄露自己的用户密码或随意使用网络共享等,这也是威胁企业信息安全的重要原因。(3)杀毒软件更新不及时,将使网络病毒入侵有机可乘,病毒不但可以破坏信息系统,而且还可以造成信息的泄露,这也是威胁企业信息安全的重要原因。(4)随着网络安全技术水平的不断提高,黑客技术也在不停更新,一旦侵入系统,即可通过信道对信息进行拷贝,获得重要信息,或者通过各种分析手段,达到窃取目的,这是威胁企业信息安全的又一原因。(5)企业信息安全的风险还包括管理机制不健全、产品技术更新不及时、网络安全教育培训不到位、用户安全和保密意识缺乏、物理安全措施不到位、不可抗力、自然灾害等诸多因素。
3发电企业信息安全风险控制
(1)首先应从企业内部着手,建立健全各项规章制度,确定企业文件和各类信息的保密等级以及访问权限,减小企业各类信息的扩散范围,加大对各级人员的教育培训力度,严控泄密途径,严惩泄密行为。(2)设置专业管理部门和人员对企业档案进行管理,制度上墙,完善借阅记录,签订保密协议,严防企业内部资料外泄。(3)落实企业信息管理各级人员岗位责任制,及时更新企业网络安全防护系统,定期扫描网络安全漏洞并及时更新,主动进行有效防护,及时监控网络异常流量,不给黑客和病毒可乘之机。(4)设置防火墙对于企业网络来说无疑是多了一道安全屏障,严格控制访问用户级别,增加内部网络的安全性。(5)企业内部网络由专业人员进行管理,内部统一使用加密移动盘,内网与外网有效隔离,杜绝病毒入侵内网,防止交叉感染病毒。(6)企业内网数据由专业人员进行管理和授权,用户能否访问某一资源由网络管理员确认,实现身份认证方可登录系统,从而有效防止外部各种入侵致使信息丢失、泄露。(7)企业网络安全防护系统应根据信息安全技术发展及时进行更新,保证其呈现系统性,在防病毒方面应呈现出主动防御特点,利用先进技术,实现多角度、全方位分级防护功能,采取集中控制方式,抓牢防治病毒主线,以防毒和杀毒相结合的手段来保证内部网络安全。(8)发电企业属于高尖知识密集型产业,从立项开始,设计及审核、建设施工、竣工验收、投产发电等各环节,都涉及到新工艺、新设备、新技术的广泛应用,知识产权保护尤为重要,因此必须在合同、协议中明确双方的保密责任,杜绝企业重要技术信息外泄。(9)深挖企业内部潜力,发挥运行及维护人员的主观能动性,深入排查自动控制系统中存在的各类安全隐患,将隐患消灭在萌芽状态。(10)企业内部的资料室、控制机房等重要部门实现高等级防护隔离,牢固和密闭的门窗、防火防爆设计和措施的落实,可以有效地防止由于自然灾害、人为破坏等因素给企业信息安全带来的危害。
4结语
对于任何一个企业而言,都存在信息系统,必有信息安全问题的存在。解决信息安全问题,可以最大限度地满足企业对网络安全运行和数据保密的要求。笔者从实际工作出发,粗略介绍了保障发电企业信息安全应具备的条件、发电企业信息安全主要面临的风险和部分管控措施,但由于各企业的信息系统迥异,而笔者水平有限,定会有不当之处,欢迎各位同仁批评指正。
[参考文献]
[1]李克强.2015年十二届全国人民代表大会第三次会议政府工作报告[R],2015.
作者:张云生 单位:华能伊敏煤电有限责任公司
相关专题:化学计量学 分析软件 青海师范大学首页
