安全管理論文論電力工業(yè)發(fā)展與環(huán)境保護(hù)的辯證關(guān)系.doc

1、此資料由網(wǎng)絡(luò)收集而來(lái)，如有侵權(quán)請(qǐng)告知上傳者立即刪除。資料共分享，我們負(fù)責(zé)傳遞知識(shí)。安全管理論文論電力工業(yè)發(fā)展與環(huán)境保護(hù)的辯證關(guān)系摘 要:根據(jù)電力企業(yè)面臨的安全風(fēng)險(xiǎn)和問(wèn)題,本文提出了信息安全工作開展的一般原則,從信息安全技術(shù)上和安全管理上提出了解決安全問(wèn)題的思路和方法,最后闡述了信息安全問(wèn)題隨技術(shù)和應(yīng)用的發(fā)展而發(fā)展,應(yīng)在發(fā)展中求安全的觀點(diǎn)。關(guān)鍵詞:信息安全管理對(duì)策信息安全隨著信息技術(shù)的發(fā)展而產(chǎn)生,并且其重要性日益凸現(xiàn)出來(lái),信息安全的內(nèi)涵也隨著計(jì)算機(jī)技術(shù)的發(fā)展而不斷變化,進(jìn)入二十一世紀(jì)以來(lái),信息安全的重點(diǎn)放在了保護(hù)信息,確保信息在存儲(chǔ),處理,傳輸過(guò)程中及信息系統(tǒng)不被破壞,確保對(duì)合法用戶的服務(wù)和限制

2、非授權(quán)用戶的服務(wù),以及必要的防御攻擊的措施。即強(qiáng)調(diào)信息的保密性、完整性、可用性、可控性。一、電力企業(yè)信息安全風(fēng)險(xiǎn)分析 隨著企業(yè)的生產(chǎn)指揮,經(jīng)營(yíng)管理等經(jīng)營(yíng)活動(dòng)越來(lái)越依賴于計(jì)算機(jī)信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數(shù)據(jù)損壞,信息泄漏,不能提供服務(wù)等問(wèn)題,則將對(duì)電網(wǎng)的安全運(yùn)行,電力企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失,高技術(shù)在帶來(lái)便利與效率的同時(shí),也帶來(lái)了新的安全風(fēng)險(xiǎn)和問(wèn)題。1、電力公司信息安全的主要風(fēng)險(xiǎn)分析信息安全風(fēng)險(xiǎn)和信息化應(yīng)用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力公司信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于如下幾個(gè)方面:（1）計(jì)算機(jī)病毒的威脅最為廣泛：計(jì)算機(jī)病毒自產(chǎn)生以來(lái),一直就是計(jì)算機(jī)

3、系統(tǒng)的頭號(hào)敵人,在電力企業(yè)信息安全問(wèn)題中,計(jì)算機(jī)病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無(wú)法提供服務(wù)甚至破壞后無(wú)法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災(zāi)難性的。在目前的局域網(wǎng)建成,廣域網(wǎng)聯(lián)通的條件下,計(jì)算機(jī)病毒的傳播更加迅速,一臺(tái)計(jì)算機(jī)感染病毒,在兩三天內(nèi)可以感染到區(qū)域內(nèi)所有單位的計(jì)算機(jī)系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時(shí)相比,高出幾個(gè)數(shù)量級(jí)。（2）網(wǎng)絡(luò)安全問(wèn)題日益突出：企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動(dòng)化系統(tǒng),用電營(yíng)銷系統(tǒng),遠(yuǎn)程教育培訓(xùn)系

4、統(tǒng)等,通過(guò)廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過(guò)互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等。網(wǎng)絡(luò)聯(lián)通也帶來(lái)了網(wǎng)絡(luò)安全問(wèn)題。企業(yè)內(nèi)部廣域網(wǎng)上的用戶數(shù)量多且難于進(jìn)行管理,互聯(lián)網(wǎng)更是連接到國(guó)際上的各個(gè)地方,什么樣的用戶都有。內(nèi)部網(wǎng),互聯(lián)網(wǎng)上的一些用戶出于好奇的心理,或者蓄意破壞的動(dòng)機(jī),對(duì)電力公司網(wǎng)絡(luò)上的連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵,攻擊等,影響網(wǎng)絡(luò)上信息的傳輸,破壞軟件系統(tǒng)和數(shù)據(jù),盜取企業(yè)商業(yè)秘密和機(jī)密信息,非法使用網(wǎng)絡(luò)資源等,給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行非法的,影響國(guó)家安定團(tuán)結(jié)的活動(dòng),造成很壞的影響。如何加強(qiáng)網(wǎng)絡(luò)的安全防護(hù),保護(hù)企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和

5、信息資源的安全,保證對(duì)信息網(wǎng)絡(luò)的合法使用,是目前一個(gè)熱門的安全課題,也是電力企業(yè)面臨的一個(gè)非常突出的安全問(wèn)題。（3）信息傳遞的安全不容忽視：隨著辦公自動(dòng)化,財(cái)務(wù)管理系統(tǒng),用電營(yíng)銷系統(tǒng)等生產(chǎn),經(jīng)營(yíng)方面的重要系統(tǒng)投入在線運(yùn)行,越來(lái)越多的重要數(shù)據(jù)和機(jī)密信息都通過(guò)企業(yè)的內(nèi)部廣域網(wǎng)來(lái)傳輸。同時(shí)電力公司和外部的政府,研究院所,以及國(guó)外有關(guān)公司都有著許多的工作聯(lián)系,日常許多信息,數(shù)據(jù)都需要通過(guò)互聯(lián)網(wǎng)來(lái)傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn),例如被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改,造成數(shù)據(jù)混亂,信息錯(cuò)誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產(chǎn)經(jīng)營(yíng)秩序帶來(lái)混亂,造

6、成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。（4）用戶身份認(rèn)證和信息系統(tǒng)的訪問(wèn)控制急需加強(qiáng)：企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用,信息系統(tǒng)中包含的信息和數(shù)據(jù),也只對(duì)一定范圍的用戶開放,沒(méi)有得到授權(quán)的用戶不能訪問(wèn)。為此各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶管理功能,在系統(tǒng)中建立用戶,設(shè)置權(quán)限,管理和控制用戶對(duì)信息系統(tǒng)的訪問(wèn)。這些措施在一定能夠程度上加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問(wèn)題。一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過(guò)于簡(jiǎn)單,不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制,甚至簡(jiǎn)單到要么都能看,要么都不能看。二是各應(yīng)用系統(tǒng)沒(méi)有一個(gè)統(tǒng)一的用戶管理,企業(yè)的一個(gè)員工要使用到好幾個(gè)系統(tǒng)時(shí),在

7、每個(gè)應(yīng)用系統(tǒng)中都要建立用戶賬號(hào),口令和設(shè)置權(quán)限,用戶自己都記不住眾多的賬號(hào)和口令,使用起來(lái)非常不方便,更不用說(shuō)賬號(hào)的有效管理和安全了。如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理和身份認(rèn)證服務(wù),是我們開發(fā)建設(shè)應(yīng)用系統(tǒng)時(shí)必須考慮的一個(gè)共性的安全問(wèn)題。（5）實(shí)時(shí)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全至關(guān)重要：電網(wǎng)的調(diào)度指揮,自動(dòng)控制,微機(jī)保護(hù)等領(lǐng)域的計(jì)算機(jī)應(yīng)用在電力企業(yè)中起步早,應(yīng)用水平高,不但實(shí)現(xiàn)了對(duì)電網(wǎng)運(yùn)行狀況的實(shí)時(shí)監(jiān)視,還實(shí)現(xiàn)了對(duì)電網(wǎng)一次設(shè)備的遙控,遙調(diào)以及保護(hù)設(shè)備的遠(yuǎn)方管理。隨著數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用,這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過(guò)數(shù)據(jù)網(wǎng)絡(luò)來(lái)傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計(jì)算機(jī)系

8、統(tǒng)可以直接管理和操作控制電網(wǎng)一次設(shè)備,系統(tǒng)的安全可靠,數(shù)據(jù)網(wǎng)的安全可靠,信息指令傳輸?shù)膶?shí)時(shí)性等直接關(guān)系著電網(wǎng)的安全,其安全等級(jí)要求高于一般的廣域網(wǎng)系統(tǒng)。同時(shí),這些電網(wǎng)控制和監(jiān)視系統(tǒng)中的許多信息又是生產(chǎn)指揮,管理決策必不可少的,需要通過(guò)和生產(chǎn)管理局域網(wǎng)互聯(lián),將數(shù)據(jù)傳送生產(chǎn)管理信息系統(tǒng)中,供各級(jí)領(lǐng)導(dǎo)和各專業(yè)管理人員察看,使用。數(shù)據(jù)網(wǎng)和生產(chǎn)管理局域網(wǎng)的互聯(lián)帶來(lái)了不同安全等級(jí)的網(wǎng)絡(luò)互連的安全問(wèn)題。（6）電子商務(wù)的安全逐步提上議事日程：隨著計(jì)算機(jī)信息系統(tǒng)在電力市場(chǎng),用電營(yíng)銷,財(cái)務(wù)管理等業(yè)務(wù)中的深入應(yīng)用,電子商務(wù)在電力企業(yè)的應(yīng)用開始起步。例如:電力市場(chǎng)系統(tǒng)中發(fā)電廠和電網(wǎng)公司之間的報(bào)價(jià),電力交易,電費(fèi)結(jié)算等

9、都將通過(guò)計(jì)算機(jī)信息系統(tǒng)來(lái)實(shí)現(xiàn)和完成,這可以視為電子商務(wù)中常提到的B2B模式。用電營(yíng)銷系統(tǒng)中的電費(fèi)計(jì)費(fèi)結(jié)算,用戶買電交費(fèi),銀電聯(lián)網(wǎng)代收電費(fèi)等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務(wù)中的B2C模式;以后還有物資采購(gòu)等方面的電子商務(wù)系統(tǒng)。隨著電子商務(wù)在電力企業(yè)中的應(yīng)用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務(wù)安全問(wèn)題也會(huì)越來(lái)越突出。 二、解決信息安全問(wèn)題的基本原則 統(tǒng)籌規(guī)劃,分步實(shí)施。要建立完整的信息安全防護(hù)體系,絕不能一哄而上,必須分清需求的輕重緩急,根據(jù)信息化建設(shè)的發(fā)展,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐,統(tǒng)一規(guī)劃,分步建設(shè),逐步投資。1、做好安全風(fēng)險(xiǎn)的評(píng)估。進(jìn)行安全系統(tǒng)

10、的建設(shè),首先必須做好安全狀況評(píng)估分析,評(píng)估應(yīng)聘請(qǐng)專業(yè)信息安全咨詢公司,并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,找出問(wèn)題,確定需求,制定策略,再來(lái)實(shí)施,實(shí)施完成后還要定期評(píng)估和改進(jìn)。信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過(guò)分求全求新。培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。2、采用信息安全新技術(shù),建立信息安全防護(hù)體系企業(yè)信息安全面臨的問(wèn)題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問(wèn)題的信息安全技術(shù)的成熟度綜合考慮,分步實(shí)施。技術(shù)成熟的,能快速見效的安全

11、系統(tǒng)先實(shí)施3、計(jì)算機(jī)防病毒系統(tǒng)計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時(shí)間最長(zhǎng)的信息安全技術(shù),從硬件防病毒卡,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計(jì)算機(jī)病毒,保障信息系統(tǒng)的安全。在目前的網(wǎng)絡(luò)環(huán)境下,能夠提供集中管理,服務(wù)器自動(dòng)升級(jí),客戶端病毒定義碼自動(dòng)更新,支持多種操作系統(tǒng)平臺(tái),多種應(yīng)用平臺(tái)殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選。個(gè)人版本的殺毒軟件適合家庭,小規(guī)模用戶。4、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)信息資源訪問(wèn)的安全是信息安全的一個(gè)重要內(nèi)容,在信息系統(tǒng)建設(shè)的設(shè)計(jì)階段,就必須仔細(xì)分析,設(shè)計(jì)出合理的,靈活的用戶管理和權(quán)限控

12、制機(jī)制,明確信息資源的訪問(wèn)范圍,制定信息資源訪問(wèn)策略。對(duì)于已經(jīng)投入使用的信息系統(tǒng),可以通過(guò)采用增加安全訪問(wèn)網(wǎng)關(guān)的方法,來(lái)增強(qiáng)原有系統(tǒng)的用戶管理和對(duì)信息資源訪問(wèn)的控制,以及實(shí)現(xiàn)單點(diǎn)登陸訪問(wèn)任意系統(tǒng)等功能。這種方式基本上不需要改動(dòng)原來(lái)的系統(tǒng),實(shí)施的技術(shù)難度相對(duì)小一些。對(duì)于新建系統(tǒng),則最好采用統(tǒng)一身份認(rèn)證平臺(tái)技術(shù),來(lái)實(shí)現(xiàn)不同系統(tǒng)通過(guò)同一個(gè)用戶管理平臺(tái)實(shí)現(xiàn)用戶管理和訪問(wèn)控制。5、開展信息安全專題研究,為將來(lái)的應(yīng)用做好準(zhǔn)備電網(wǎng)實(shí)時(shí)監(jiān)視與控制系統(tǒng)的安全問(wèn)題要求更高,技術(shù)難度更大,應(yīng)開展專題研究。國(guó)家有關(guān)部門和電力企業(yè)對(duì)電網(wǎng)實(shí)時(shí)監(jiān)視與控制系統(tǒng)的安全問(wèn)題高度重視,專門發(fā)文要求確保電網(wǎng)二次系統(tǒng)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)

13、的安全,要實(shí)現(xiàn)調(diào)度控制系統(tǒng),數(shù)據(jù)網(wǎng)與其他生產(chǎn)管理系統(tǒng)和網(wǎng)絡(luò)的有效隔離,甚至是物理隔離。6、電子商務(wù)安全需要深入研究和逐步應(yīng)用電子商務(wù)的安全牽涉很多方面,包括嚴(yán)格,安全的身份的認(rèn)證技術(shù),對(duì)涉及商業(yè)機(jī)密的信息實(shí)現(xiàn)加密傳輸,采取數(shù)字簽名技術(shù)保證合同和交易的完整性及不可否認(rèn)性等。這些方面又與信息安全基礎(chǔ)技術(shù)平臺(tái)密切相關(guān),因此安全基礎(chǔ)平臺(tái)的建設(shè)對(duì)于電子商務(wù)的安全應(yīng)用是至關(guān)重要的。目前已經(jīng)有電子商務(wù)的應(yīng)用系統(tǒng)投入在線使用,我們必須加快對(duì)電子商務(wù)的安全的研究和應(yīng)用,否則將來(lái)會(huì)出現(xiàn)因電子在線交易不安全,不可靠的而導(dǎo)致電子商務(wù)系統(tǒng)無(wú)人敢用的局面。7、依據(jù)法規(guī),遵循標(biāo)準(zhǔn),提高安全管理水平信息安全的管理包括了法律法

14、規(guī)的規(guī)定,責(zé)任的分化,策略的規(guī)劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全”七分管理,三分技術(shù)”的說(shuō)法不是很精確,但管理的作用可見一斑。三、解決信息安全問(wèn)題的思路與對(duì)策 電力企業(yè)的信息安全管理相對(duì)來(lái)說(shuō)還是一個(gè)較新的話題,國(guó)內(nèi)其他電力企業(yè)也在積極研究和探討,以下是一些粗淺的看法。1、依據(jù)國(guó)家法律,法規(guī),建立企業(yè)信息安全管理制度國(guó)家在信息安全方面發(fā)布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),對(duì)信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定，并有專門的部門負(fù)責(zé)信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國(guó)家發(fā)布的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn),企業(yè)也必須依據(jù)這些法律法規(guī),來(lái)建立自己的管理標(biāo)準(zhǔn),技術(shù)體系,指導(dǎo)信息安全工作。學(xué)習(xí)信息安

15、全管理國(guó)際標(biāo)準(zhǔn),提升企業(yè)信息安全管理水平國(guó)際上的信息技術(shù)發(fā)展和應(yīng)用比我們先進(jìn),在信息安全領(lǐng)域的研究起步比我們更早,取得了很多的成果和經(jīng)驗(yàn),我們可以充分利用國(guó)際標(biāo)準(zhǔn)來(lái)指導(dǎo)我們的工作,提高水平,少走彎路。信息安全是企業(yè)信息化工作中一項(xiàng)重要而且長(zhǎng)期的工作,為此必須各單位建立一個(gè)信息安全工作的組織體系和常設(shè)機(jī)構(gòu),明確領(lǐng)導(dǎo),設(shè)立專責(zé)人長(zhǎng)期負(fù)責(zé)信息安全的管理工作和技術(shù)工作,長(zhǎng)能保證信息安全工作長(zhǎng)期的,有效的開展,才能取得好的成績(jī)。2、開展全員信息安全教育和培訓(xùn)活動(dòng)安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,信息安全不僅僅是信息部門的事,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應(yīng)當(dāng)對(duì)企業(yè)各

16、級(jí)管理人員,用戶,技術(shù)人員進(jìn)行安全培訓(xùn),減少人為差錯(cuò),失誤造成的安全風(fēng)險(xiǎn)。開展安全教育和培訓(xùn)還應(yīng)該注意安全知識(shí)的層次性,主管信息安全工作的負(fù)責(zé)人或各級(jí)管理人員,重點(diǎn)是了解,掌握企業(yè)信息安全的整體策略及目標(biāo),信息安全體系的構(gòu)成,安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評(píng)估的基本方法,對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶,重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。3、充分利用企業(yè)網(wǎng)絡(luò)條件,提供全面,及時(shí)和快捷的信息安全服務(wù)山東省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個(gè)二級(jí)單位,各單位

17、的局域網(wǎng)全部建成,在這種良好的網(wǎng)絡(luò)條件下,作為省公司一級(jí)的信息安全技術(shù)管理部門應(yīng)建立計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息發(fā)布與技術(shù)支持平臺(tái),發(fā)布安全公告,安全法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全軟件下載,搜集安全問(wèn)題,解答用戶疑問(wèn),提供在線的信息安全教育培訓(xùn),并為用戶提供一個(gè)相互交流經(jīng)驗(yàn)的場(chǎng)所。網(wǎng)絡(luò)方式的信息服務(wù)突破了時(shí)間,空間和地域的限制,是信息安全管理和服務(wù)的重要方式。4、在發(fā)展中求安全沒(méi)有百分之百安全的技術(shù)和防護(hù)系統(tǒng)黑客技術(shù),計(jì)算機(jī)病毒等信息安全攻擊技術(shù)在不斷發(fā)展的,人們對(duì)它們的認(rèn)識(shí),掌握也不是完全的,安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜,在研制開發(fā)過(guò)程中不可避免的會(huì)出現(xiàn)這樣或者那樣的問(wèn)題,這勢(shì)必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的,未知的信息安全威脅。不是所有的信息安全問(wèn)題可以一次解決人們對(duì)信息安全問(wèn)題的認(rèn)識(shí)是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的,不可能一次就發(fā)現(xiàn)所有的安全問(wèn)題