电力企业网络安全存在的问题和对策分析.docx

          电力企业网络安全存在的问题和对策分析                    摘 要：在我国，电力企业的发展速度是非常快的，其中，电力企业网络安全对电力企业的发展起着非常关键的作用本文论述了电力企业网络安全存在的问题，以及解决问题的对策关键词： 电力企业；网络安全；问题；对策从目前网络技术的发展情况来看，基本上呈现出一种网络防护技术略落后于网络攻击技术的现状虽然网络技术的普及和应用，在很大程度上给我国的电力企业的经营和管理带来了极大的便利，也极大的促进了我国电力企业的进一步发展，但是伴随而来的也有一定程度的网络安全威胁和隐患，这也在很大程度上阻碍了电力企业的进一步发展一、电力企业网络信息安全方面的问题分析(一)电力工控系统的网络安全问题随着国内《中国制造2025》的全面开启，加快新一代信息通信技术与制造业的深度融合，以推广智能制造为切入点，推动制造业数字化网络化和智能化国外工业4.0的提出，以实现虚拟世界和物理世界的彻底打通为目标，建立物理与数字世界的全面实时联系，显著提高生产效率，例如传感器持续开展重要检测，并向数字化平台传输数据，数字化平台开展实时分析，通过比较透明的形式优化运营流程。

工业自动化的程度越高，工控设备的安全问题也日趋严重1.企业边界扩大虽然，我国绝大多数的电力企业都进行了信息网络系统的完善工作，但是随着新能源及配网的发展，导致电力行业的边界不断扩展，风险点增加，使得其系统方面可能会存在一定程度的漏洞，例如由于系统设计人员设计程序时考虑的较为片面或者是细节上的疏忽等导致的安全隐患，严重时甚至会造成整个系统的瘫痪；除此之外，电力企业信息网络构建完毕后，不时会进行一定的对外远程服务，例如远程维护、数据传输等，在此过程中可能会存在一些不法分子利用系统漏洞非法的入侵系统，给企业带来难以预估的损失2.电力工控系统风险能源行业遭遇到的网络攻击在数量上远超其它行业，在电力系统中，电力基础设施首要原则是保障业务连续性，在设计之初并没有考虑安全因素，缺乏安全设计，使用大量的专有和私有协议，另外电力工控系统网络范围覆盖全国，具有规模大、距离远、覆盖范围广的特点，对故障范围控制及实时响应要求更高信息基础设施是为电力基础设施服务的，服务于电力系统的信息基础设施很大程度上属于典型的工业控制系统，因此工控系统自身存在的安全漏洞、工控系统运行所处的系统和环境存在安全漏洞和隐患二)数据安全问题。

数据安全涉及国家安全、国家利益及公民隐私，国家出台的《网络安全法》在数据收集、传输、存储等方面有明确的规定，通过管理和技术手段保障数据安全2018年欧盟开始实施《通用数据保护条例》，该条例取代了现行的欧盟数据保护指令，这是20多年来欧盟对数据保护指令进行的一次力度最大的改革这体现国内外已将数据保护提升至国家的战略高度2018年3月17日曝光Facebook上超过5000万用户信息数据被一家名为“剑桥分析”的数据挖掘公司泄露，导致只有一半的人信任Facebook遵守美国的隐私法，公司市值蒸发了360多亿美元这起事件源于Facebook 和剑桥分析公司合作开发一款新应用，经用户授权合法获取27万用户数据，剑桥分析公司通过分析这些数据以及Facebook数据开放规则的缺陷，非法获取了5000万用户数据，由于与第三方企业合作，企业的违规商用操作和企业平台数据规则的缺失，导致用户数据的大量泄漏在电力企业中，企业间相互合作，采用业务外包和劳务外包以及专业外包的形式普遍，第三方人员因工作需要接入企业内网，能够轻而易举的获取企业核心数据，因此传统的划分内网和外网，限制外部人员访问内网数据，基于防火墙、IPS等安全设备构建的网络安全体系都不再适用了，第三方人员的管理问题，内部人员违规操作、内部恶意人员信息外泄，都极大的增加企业核心数据外泄的风险。

另外，虽然业务外包是通过合法合规的方式授予第三方企业获取信息的权力，但无法限制第三方企业通过现有数据的分析提取，采用脱库、洗库、撞库等技术手段进一步获取其它重要信息二、电力企业信息化网络建设安全的相关要求(1)确保数据完整(2)确保数据合法(3)保证访问安全为了保证访问安全性，对于取得合法授权的用户进行网络访问时，对其开放数据时，要进行等级设置，杜绝非法形式数据的阅读和下载现象，禁止未经授权用户进行访问和使用相关数据所以要建立安全访问权限等级制度和识别制度，来保证合法用户的访问安全4)确保数据可控经过合法授权的用户应该在一定范围内可以对数据进行定向流动的控制和阅读权限，所以要将数据进行协议性储存、选择性储存，保证数据具有一定的可控制性5)数据操作的不可否认性合法用户在对数据进行操作的过程中应该在网络中存在一定的操作记录，例如用户计算机中存在病毒，应该显示病毒来源这种不可否认性的网络安全就能够有据可查，保证网络统出现问题时能够通过调查工作来进行判断三、分析电力企业如何加强信息网络安全（一）针对客观因素设定网络安全策略具体包括了如下措施：4.1.1VLAN(虚拟局域网)技术VLAN指通过交换设备在网络的物理拓扑结构基础上监理一个逻辑网络，它依据用户的逻辑设定将原来物理上互联的一个局域网划分成多个虚拟子网，划分的依据可以是设备所连端口、用户节点的MAC地址等。

4.1.2安装杀毒软件及防火墙网络防病毒软件是目前人们最普遍使用的手段之一，它对计算机进行查毒、扫描、检查、隔离、报警，当发现病毒时，会采目刃立急措施，优秀的杀毒软件还具备主动防御的功能达到保护网络安全的目的4.1.3使用VPN(虚拟隧)技术按业务分别建立对应的三层VPN，各VPN段建立符合实际要求的网络访问控制列表，将网络按部门进行分段，对各段网全额已置对于的访问控制，设置高强度的网络登录密码，保证网络的安全胜二）制定防范策略4.2.1建立网络信息安全检查机构成立电力企业信息网络安全工作小组，设置小组领导，小组成员，小组领导主要由企业负责人担任，小组成员有信息安全管理层人员、信息安全网络技术人员担任，安全小组要对各个成员的职责做出明确要求，对于技术人员的工作要求必须明确4.2.2运用国家电网公司统一的标明确信息安全管理模式，规范网络管理日常流程，对接入网络程序严格控制，脆网络信息工作人员要规范其工作流程，上岗要持工作证和操作证，交接班要写好记录，当班期间要巡回检查，工作人员要定期检查设备4.2.3建立电网信息安全事故应急处理预案制定“突发清况下某某大楼信息系统应急处理预案”，对特殊危急清况进行演习，做到信息准确，科学合理设置操作流程等。

4.2.4建立配套的绩效管理机制要通过合理的绩效考核制度，提升工作人员的主动胜和积极胜，增强他们甘于奉献努力创新的斗志和米爵申结语电力企业受信息化、网络化进程的影响不断发展，电力企业网络安全管理是电力企业稳定健康发展的过程中的核心内容只有加强电力企业网络安全管理，才能保障电力企业平稳运行在加强网络安全管理方面，首先要有网络安全风险防范意识，要重视网络技术的应用，提高网络工作人员的专业水平和职业道德水平，让工作人员和专业技术共同发挥作用，建立一个高效安全的网络信息系统参考文献：[1]魏宝林，李屹恒，电力企业网络安全存在的问题和对策［J］.科技风，2013(17)：69.[2]杨艳丽.政府网站中的信息资源共享问题探讨［J］.无线互联科技，2012(3)：11-12.  -全文完-。