发电企业信息安全风险分析

一、概念讨论

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要包括以下五方面的内容，即保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。综合学界对信息安全管理的各种观点，本文将信息安全管理界定为：国家、组织或个体为了实现信息安全目标，运用一定的手段或技术体系，对涉及信息安全的非技术因素进行系统管理的活动。可以看出，信息安全技术或信息安全管理单一作用，都不能等同于信息安全。信息安全管理只是信息安全的一个方面，是实现与保证信息安全的关键活动。信息安全技术也是信息安全的一个方面，是实现与保证信息安全的技术支撑。因此保障信息安全是由信息安全技术与信息安全管理两者共同作用来实现的。广义的讲，信息安全技术也是信息安全管理的组成部分，但本文仅讨论非技术因素的信息安全管理，而非技术因素主要是人的因素引发的信息安全问题。

二、信息安全管理现状

当前在信息安全领域，许多观点将信息安全等同于信息安全技术，而信息安全管理则被隐藏了。事实上，信息安全管理与信息安全技术都是信息安全的组成部分，是实现与保障信息安全的关键活动和技术支撑。因此，保障信息安全，不能仅依靠信息安全技术一条腿走路，而要信息安全管理与信息安全技术共同发展，并由信息安全管理起引领规划作用。目前信息安全方面的主要问题是——

一是过于偏重外部。长期以来人们对信息安全不论从认识还是在执行上都偏重于外部攻击防范，从早期的国际信息安全年会到中国信息安全技术大会的各类介绍，再到媒体渲染以及广告效应，由于理论与认识的原因，由于市场卖点与企业自身经济利益等原因，都将眼球和注意力吸引到了信息安全技术攻防战上，对外来威胁进行了夸大，从而使信息用户对信息安全的焦点集聚在外来威胁的防护上。纵观信息发展历程，在信息应用的实际操作上，早期建设的重点也放在了信息加密、数据备份、病毒防护方面，发展到近期网络环境下的防火墙、入侵检测和身份认证等。但事实上不论早期的“力拓间谍案”、“某保险公司80万客户信息泄露案，”还是近期的“棱镜门”、今年年初的“希拉里邮件门”等一系列信息安全事件的出现，使人们再次认识到人的因素与人防、物防、技防、制防的安全管理策略是不可分割的。

　　二是单纯重视技术。由于信息系统的工作是在人的操控下进行的，故单独的依靠信息安全技术去解决信息安全问题是不全面的。但是现在更多的信息安全产品研发公司基于市场等原因不断地推出新的信息安全技术产品，但是对最终解决人机连接不断裂问题上却少有建树。而作为非专业信息安全技术开发企业来说，信