浅谈新形势下的供电企业信息安全

电力18讯：    进入廿一世纪的中国电力正在经历着前所未有的巨大变革，政府在电力体制改革方面陆续出台的各项政策对电力企业的运营提出了日益严格的要求，电力企业所处的客观环境也将变得越来越错综复杂。厂网分离及继之出现的输配独立运营等重大举措，都直接影响电力企业的生产和经营。从未来的发展态势看，供电企业将向独立运作的配电公司发展，而现代化的信息系统的支撑是确保顺利完成这一转变的战略性支撑手段。然而，信息化的日益深入的同时却逐渐显现出信息系统在某种意义上的脆弱性，由于信息系统遭受攻击所发生的企业运营受负面影响的事件不断出现。供电企业建立和维护的是关系到国计民生的基础性设施，其信息安全的水平不仅仅是企业本身需要重点关注的，而且也是社会和政府所关心的。因此，在电力体制改革和信息化的新形势下，明确信息安全的战略地位，树立信息安全的正确认识，建立信息安全体系的总体框架，并在企业中进行坚决、有力的人员、技术、政策等诸方面部署，是确保供电企业向适应时代要求的现代化配电公司转变的有力支撑。笔者将依据自身在供电企业信息安全领域的工作经验和认识，对供电企业信息安全的有关重大问题简要分析。由于水平和能力的限制，文中的不足肯定很多，只是希望能够抛砖引玉，引起相关企业的领导和业务人员对信息安全工作的重视。

一、信息安全的定义

按照国际上的标准定义，信息安全是信息系统或者安全产品的安全策略、安全功能、管理、开发、维护、检测、恢复和安全评测等概念的简称。依据ISO 7498-2 中的开放系统互联安全体系结构(如下图所示)描述，信息安全应包括：

● 五类安全服务-鉴别、访问控制、数据完整性、数据保密性、抗抵赖

● 能够对这五类安全服务提供支持的八类安全机制和普遍安全机制-加密、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制、公证

● 需要进行的三种OSI安全管理方式



图1 信息安全的定义

二、信息安全环境的演变及衍生要求

信息安全是一个社会技术系统，其与所处的环境有重大而密切的联系。环境的变化必然会导致对信息全的要求的调整，而信息安全的水平也能反动于周边的环境，以下试举数例说明:

● 2001年中发生的911事件，不但是国际政治、经济领域的一大冲击，而且对信息安全也意义深远。入驻于世界贸易中心的跨国集团中由于此前信息安全体系的水准不一而形成了业务恢复时间的极大差异，平素重视信息安全工作的企业可以在数小时内通过异地数据中心快速恢复业务的运营，而信息安全基础差的企业则由于恐怖袭击而陷入业务停顿和纷繁的纠纷当中，两相比较，高低立现，也充分证明了信息安全与环境的互动性及信息安全的重要性。目前，在美国企业的IT投资中信息系统安全部分已占12%的分额，预期在今后5年中还将有平均15%的年增长率。

● 2001年的中国九运会网站在运行期间受到将近90万次的攻击，而2001年上半年的中美黑客大战除轻微的政治影响外，倒是对双方的信息系统的安全进行了真实的考验，然而事实证明，大家的信息系统在黑客的攻击下，显得风雨飘摇，暴露出许多的安全漏洞。

● 自2002年起，连续发生的鑫诺卫星信息干扰、北京机场和上海市第一人民医院信息系统瘫痪等事件在社会上产生了极其恶劣的影响，也说明了信息安全的对手绝不仅仅是一般的网络黑客，而是包括以法轮功为代表的国内外反动势力在内的敌对力量，他们利用高新技术手段发动的攻击较之以前的方式更加隐蔽，破坏程度也更加严重。

● 从政府对信息系统安全等级的划分标准看，一般将电力企业作为公用事业的一部分放置于与银行、证券等行业相同的级别上，国家和地方政府已经或即将出台的各项政策法规也正在逐步加强对重要企业的信息系统安全的监管。仅在2002年,就有国家经委第30号令、上海市信息化办公室的《关于保障重要信息系统安全运行的通知》（沪信息办安[2002]223号文）等重要文件对电力企业的信息安全工作进行了指示和布置。因此，建立和完善企业信息系统安全体系，不但是企业自身的需求，而且也逐渐成为政府和社会对企业的迫切要求。

从动态变化的周边环境看，信息安全的对手可能来源于道德、意识形态、政治、经济等各个领域，应对的难度也更高，从因此对企业信息安全的衍生要求看，主要包括以下几个方面：


● 对信息安全的认识必须上升到“讲政治”的高度，信息安全不但关系企业的正常运营，也同时对国计民生会产生重大影响，如果忽视这一点，将可能造成对人民、社会甚至是国家安全的不利影响

● 信息安全必须标准化，保证纵向和横向的统一和规范化，做到标准由上而<