电力行业信息安全探讨

        为了信息安全的长期发展目标，需要研制自己的操作系统和芯片，力争掌握信息安全关键技术产品与系统的技术自主权，建设我国的电力行业自主信息产业。逐步实现民族的信息产品替代进口产品。但值得注意的是民族产品竞争力的提高及其替代进口产品都需要一个过程，是不可能一蹴而就的。可以采取让企业成为技术创新主体、加大资金投入、实施标准和知识产权战略、推动相关法律法规建设等，这些都是提高信息产业自主创新能力的关键性步骤。

        4.3加大信息安全投入

       高技术需要高投入，因此应对信息安全理论与技术研究开发加大投入，保证信息安全的研究开发要有足够的经费。近年来，美国政府每年在这方面的研究开发投入超过27亿美元，增加幅度高达50%以上。

        4.4制定合理的安全防护方案和安全策略

        国家电监会2006年印发了《电力二次系统安全防护规定》(电监会5号令)，《电力二次系统安全防护总体方案》及六个配套实施方案(电监安全[2006]34号)等文件。要求电力二次系统按照“安全分区，网络专用，横向隔离，纵向认证”的总体原则和“双网双机，分区分域，等级防护，多层防御”的防护策略，实现生产控制大区与管理信息大区的有效隔离，信息内网与Internet实现物理隔离，有效抵御外部攻击和破坏。

        4.5进行定期的安全风险评估

        安全风险评估是对电力系统现有的网络架构、核心路由器、交换机等网络及设备、数据库服务器、邮件服务器、应用服务器等关键服务器、业务流程、安全策略的安全漏洞、安全威胁及潜在影响进行分析，以提出合理的安全建议以保证系统资产的机密性、完整性和可用性等基本安全属性。根据评估的结果采取相应的安全控制措施，并适时调整电力企业的安全策略。信息安全是相对的、动态的，只有定期的安全风险评估才能发现和跟踪电力系统最新的安全风险，安全风险评估是一个长期持续的工作，需要将风险评估体系逐渐制度化、规范化。

        4.6制定合适的安全管理规范

        电力企业需要密切跟踪国内外安全标准化领域内的最 新工作成果，并结合国内技术和相关的发展状况，建立起完整的电力系统安全业务规范、标准的框架体系，制定安全目标和安全实施过程。随着各种安全管理制度和规范发布和实施，电力企业能建立起相对完善的安全管理制度，来弥补技术手段的不足，增加企业的风险承受能力。

         4.7加强信息安全教育培训

        电力系统信息安全中安全教育培训起到关键作用，其实施力度将直接关系到电力企业安全管理被理解的程度和被执行的效果。 为了达到预期的培训效果，信息安全教育培训可以采取不同的方式方法，理论与实际操作相结合，不同部门员工培训的侧重点不一样，做到有的放矢。同时，培训结果应进行考核，以此促进员工对安全知识的掌握。通过安全培训，所有的企业人员必须了解并严格执行电力企业的安全策略，强化他们的安全意识、提高技术水平和管理水平，从而提高电力企业的整体安全水平。

        5 总结

        目前，我国电力行业信息安全的防护能力尚处于初级阶段，多年来在学习借鉴国外技术的基础上，也积累了一些信息安全方面的经验，国内一些电力相关企业也开发研制了一些加密卡、防火墙、安全路由器、安全网关、入侵检测系统、隔离装置等产品。今后只要能够加大投入，一定会取得实质性的进展，不仅能够构筑我国电力信息安全防线，而且在国际上也能占领一席之地。