迎接新挑战，体现新价值

2013-11-07 09:41:14 EP电力信息化网　点击量：评论 (0)

作为国家大型基础行业，电力行业信息安全问题一直倍受关注。为什么？因为电力安全从来都是国家安全。我们既害怕危及企业乃至行业的生存和发展，更害怕危及国济民生以及国家安全。中国经济势头依旧，电力发展

作为国家大型基础行业，电力行业信息安全问题一直倍受关注。为什么？因为电力安全从来都是国家安全。我们既害怕危及企业乃至行业的生存和发展，更害怕危及国济民生以及国家安全。中国经济势头依旧，电力发展势不可当，电力变革之下的竞争环境日益激烈。然而信息时代危机重重，信息安全如临深渊。信息化进程中的电力企业，面临日益严峻的安全环境，当如何建设更为安全的内外信息环境，如何保护体现核心竞争力的信息内容，则成为电力企业不能回避的现实问题。一味强势地构筑金汤城池以求自保的思想，显得与现实要求格格不入。信息安全需要消除盲点，以更开放的思路，更广阔的胸怀，去迎接新挑战、体现新价值。

信息生存环境高速扩张要求消灭独善其身的条块分割

如果从“信息不安全会怎样？”这个角度去审视整个电力行业的信息安全，也许更能看清电力行业相较于其他行业表现出的特殊需求和较大不同。众所周知，电力产品在发调输配供各个环节无缝衔接，具有不可存储、不可中断、瞬间并发完成等特点，这种连续性毫无疑问正是电力行业的特殊需求。如何保证不因信息安全而影响生产过程，杜绝发生中断、迟滞、崩溃等重大安全事故，理所当然成为信息安全在电力行业最有别于其他行业的需求动力。

随着信息时代的电力变革日益深入，集团化的集权管控改变了电力信息化进程中分泌的各种信息孢子的生存模式及生存环境，信息安全的界标已经远远溢出一厂一所一处，扩展漫延至几乎整个电力全业务流程。多组织、多地域、多体制的生产经营架构之下，信息生存环境急剧扩张，私有专用的环境理应逐渐消失，代之以一个更具服务特性的公用、共用、借用环境。因此，与其他行业相比，电力行业的信息安全始终并永远如利剑高悬，情形之权重堪与电力企业生命周期并存。正是在这样的背景之下，不可被攻入的信息环境安全首当其冲成为要中之要，不可被篡改的信息内容安全成为重中之重。

面对层出不穷的信息安全产品以及不断创新的信息安全解决方案，电力企业却表现出令人无法理解的漠视与冷静。在这种漠视与冷静的背后，隐藏着的并非是对安全产品及解决方案的单纯质疑，而是对于自身内外安全环境的言行割裂以及某种程度上的安全漠视。例如，关于行业层面的信息环境通盘安全考虑喊的多落地少，每个业务、每个环节都在各立门户，各自要求、各扫门前雪。典型例子如国家电网陆续颁布过一系列规定和文件，其目的主要侧重于如何保证生产过程的安全；电力行业的系统设置按照国网分区要求建设，各大区之间必须执行严格规定，生产大区与管理大区之间必须使用单向隔离网闸等等，这样导致边界防护与分区隔离这类安全产品在电力行业每一个跨网业务系统中都不可思议地各自大行其道。既有防火墙、入侵检测、单向网闸、网关、漏洞扫描等产品不断涌入，还有防病毒、补丁、代理、行为管理等产品纷纷上线。看似安全环境坚如磐石，却将末端的信息系统整体安全分割得支离破碎。

与日俱增的信息等保密级管理不能以阻碍信息共享为代价

没有信息也就没有信息化，信息安全便犹如皮毛之附。然而说到底，正是由于信息环境和信息内容具备某种特殊使用价值并可以达到某种目的，才会出现信息安全之忧。信息论认为，有用的数据才叫信息。当缺少量纲和单位的时候，数据只是数字，同一个数字在行业间是等同的，这没有任何意义。就信息本身而言，行业差别的含义更多表现于行业的自身发展以及行业对社会的影响差异化，通过量纲与单位予以表达。

我们不妨将一个企业分泌的信息孢子分成相对的两大类：面向公众的“公开信息”和面向内部的“封闭信息”。从这个角度讨论信息安全，公开信息所面临的安全隐患主要表现为信息真实性的安全问题，而面向内部的“封闭信息”所面临的安全隐患表现为管控真实性的问题。事实上，电力企业生产的信息大部分“自产”、“自销”、“自用”。通常的安全策略包括：访问互联网策略、用户认证策略、保密策略、专网专用策略等；对安全产品的选择标准无外乎企业资质、国家标准、行业标准以及品牌，或者产品成熟度、性价比及售后服务与技术支持等。类似半导体二极管，电力企业从外界获取的信息无论在质和量上经常远远超过其对外部贡献的信息质与量。从某种角度上说，尽管电力企业对待边界防护的态度与其他行业并没太大区别，但在内部管控方面却体现出较高的半军事化思路，以至于过度的安全管理成为信息共享的瓶颈。

相对于银行、电信，电力行业经营管理信息化程度相对较弱，但对计划指标、财务指标、生产指标这类生产经营信息更为重视，分等级采取不同的保护措施已经尉然成风。考虑到生产过程的不可访问性，电力行业生产过程信息化程度与其他制造业相比，也慢了半拍。尽管其数据因其瞬时性对外人而言并没有多大意义，但对同行之间竞争却也不无价值。每个电力企业都希望了解到同行的生产指标、经营指标，这是信息使用价值之所在，也是维护一个公平公开公正的竞争环境所需要的。这是不可争辩也很难改变的事实。也许，未来几年，无论认证、保密、防火、防水、行为治理、等级、容灾建设、风险控制，抑或分区隔离或者虚拟网络，对大多数电力企业而言，信息安全的重点仍主要还将集中于边界防范与内部管控，然而这种单向开放却又相对封闭的特点令信息的使用价值大打折扣，当信息变成只为少数人一次性服务，而没有变成行业知识为更多人、更多系统共享的时候，信息的存在还有什么价值呢？对全方位、全面的信息安全意识、文化和体系的建设，对如何挖掘与使用信息的价值与使用价值，使其与业务融合，使其供行业共享，产生应有的效益，还有漫长的路要走。

我们应该正确而客观地审视已经不再是一厂一所一处的电力行业信息安全环境。如果我们势必要实现数字化电力、打造国际一流的电力企业这一宏伟梦想，就势必不能漠视眼前日益严峻的信息安全环境，更不能漠视日益激烈的市场环境下内部信息价值及其使用价值的竞争。虽然目前电力行业对信息安全的重视程度较以往已经有了很大提高，但对信息安全的认识程度及相对投入比例依然存在一定的差距，与严格的安全管理要求相比，很多信息安全投入事实上是迫不得已而为之。我们并非一定要追逐最新的安全技术和策略，但也不能在一棵树上吊死，也会考虑产品的可更换性，即尽量减少任何变故带来的巨额更替成本。

态度决定一切。造成这些现象的原因林林总总，消解价值相悖的安全投入观还需要假以时日。面对电力行业信息安全新挑战，我们有必要提高我们的信息安全意识，也更有必要建设一个有利于信息生存的安全文化环境。打破纵向业务壁垒，实现横向业务融合，释放信息使用价值，进而保证电力行业及其信息化进程的可持续发展，也许是信息安全的最大价值。