网络安全法与电力信息安全管理应用思考吴帅胜

网络安全法与电力信息安全管理应用思考吴帅胜

吴帅胜颜继红

（国网河北省电力有限公司邯郸供电分公司河北邯郸056002）

摘要：随着社会发展和科技进步，信息网络技术应用到各领域发挥了重要作用，为人民提供了便利的同时也存在一些安全问题，需要加强安全管理，提高系统运行的可靠性和稳定性来促进电力行业的发展。

关键词：电力；信息安全；管理

引言

从目前网络技术的发展情况来看，基本上呈现出一种网络防护技术略落后于网络攻击技术的现状。虽然网络技术的普及和应用，在很大程度上给我国的电力企业的经营和管理带来了极大的便利，也极大的促进了我国电力企业的进一步发展，但是伴随而来的也有一定程度的网络安全威胁和隐患，这也在很大程度上阻碍了电力企业的进一步发展。

1信息安全的意义

现在网络技术得到了一定的发展和普及，虽然给人们带来了很大的便利，但是作为电力企业来说，也需要对于其中的安全问题有所关注。现在对于电力企业营销网络安全系统而言，其面临的两大问题就是外部的攻击和内部的破坏，现在宽带网络已经得到了推广，同时无线网络技术的应用面也越来越宽，网络安全技术面临着新的挑战。电力企业的营销信息是企业工作开展的必要基础，保护用户的隐私、保护自身的商业机密就成为了一项重要工作。但是现在网络恶意攻击时有发生，严重时甚至会造成严重的经济损失，如数据被修改、泄露等等，所以这就需要我们对于工作人员和信息管理人员的安全意识加以培养，保证系统运行的安全性，并且采取必要的技术措施。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）在我国推行信息安全等级保护制度的过程中起到了非常重要的作用，被广泛用于各行业或领域，指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。随着信息技术的发展，已有10年历史的《GB/T22239-2008》在时效性、易用性、可操作性上需要进一步完善。2019年《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）将正式实施。数据安全涉及国家安全、国家利益及公民隐私，国家出台的《网络安全法》在数据收集、传输、存储等方面有明确的规定，通过管理和技术手段保障数据安全。2018年欧盟开始实施《通用数据保护条例》，该条例取代了现行的欧盟数据保护指令，这是20多年来欧盟对数据保护指令进行的一次力度最大的改革。这体现国内外已将数据保护提升至国家的战略高度。

2电力信息安全管理存在的问题

2.1工作人员的误操作和违规操作

误操作和违规操作虽然都是工作人员和信息管理人员的操作不当而引起的问题，但误操作是指电力营销信息系统管理人员在操作过程中由于自身的无意识操作而产生的问题；违规操作是工作人员存在以权谋私的情况，在工作中借助职务的便利而对于数据进行篡改，二者有着不同的性质。误操作问题例如在电价标准修改过程中由于操作错误而出现了电费误算问题；相比之下，违规操作所造成的影响更加恶劣，所造成的企业经济损失更大。

2.2窃取用户身份和数据

通信网络安全侵扰者会利用技术手段，将自己伪装成为服务网络，以服务网络的形式向用户发起身份验证，一般情况下用户对于正常的服务网络验证防范性较低，进行身份验证后，用户信息就被对方窃取。通信网络安全侵扰者经常使用一些手段对用户的业务、信令进行窃听，在立刻用窃取到的数据进行非法用途。

2.3电力工控系统风险

能源行业遭遇到的网络攻击在数量上远超其它行业，在电力系统中，电力基础设施首要原则是保障业务连续性，在设计之初并没有考虑安全因素，缺乏安全设计，使用大量的专有和私有协议，另外电力工控系统网络范围覆盖全国，具有规模大、距离远、覆盖范围广的特点，对故障范围控制及实时响应要求更高。信息基础设施是为电力基础设施服务的，服务于电力系统的信息基础设施很大程度上属于典型的工业控制系统，因此工控系统自身存在的安全漏洞、工控系统运行所处的系统和环境存在安全漏洞和隐患。

3电力信息安全管理应用

3.1提高防病毒和防火墙技术

计算机病毒对于通信安全危害极大，随着电力系统的网络化建设，网络病毒的危害能力日益增大，需要管理人员足够重视。对于网络中的计算机，工作人员必须定期见检查维护，保证其安全性。根据病毒传播特性，杜绝非安全U盘接入和外部计算机连接。除此之外，对于外部文件，要提高警惕性。同时要选取有效杀毒软件并及时更新，保证杀毒软件高效运行。

防火墙可以有效地保护局域网免受外部侵害，防火墙是指安装了防火墙软件的计算机或路由器系统，通过优化网络策略管理、改进验证方案、包过滤路由器和网关的相互配合，隔离局域网系统免受外部网络入侵。同时防火墙技术提高了网络监视能力，保障了电力系统中安全薄弱部分的稳定工作。

3.2数据与系统备份，保证设备安全

电力企业的数据库必须定期进行备份，按其重要程度确定数据备份等级。配置数据备份策略，建立企业数据备份中心，采用先进灾难恢复技术，对关键业务的数据与应用系统进行备份，制定详尽的应用数据备份和数据库故障恢复预案，并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统，从而保证信息系统的可用性和可靠性。

设备的安全性需要在整体网络规划初期重视起来，对于其一些关键的设备进行集中管理，如主干交换机、服务器等等，其安全性会直接决定整个网络的安全性。各种通信线路尽量实行深埋、穿线或架空，并有明显标记。防止意外损坏。对于终端设备，如工作站、小型交挟机、集线器和其他转接设备要落实到人，进行严格管理。

3.3做好入网测试，进行实名认证

入网测试工作是确保网络安全的一项重要工作。从而实现对通信网络的全面监督和管理。是指相关设备和产品在加入通信网络信息系统前，要进行必要的技术检测，在达到入网安全性要求后，方可接入到网络系统中。入网测试工作，不仅可以大大降低设备自带安全隐患对信息系统造成侵扰的概率，而且还能对入网后的产品加强监督。此外，在日常应用中，要加强对系统的升级安装包和补丁安装包的检测，防止携带不安全因素，致使在升级中出现安全隐患。

用户认证是进入通信网络信息系统的最先步骤，进行实名认证能够有效减少恶意侵扰着盗取数据火篡改信息的情况，从而提高通信网络系统的安全性。当前比较常用的实名认证方法，主要包括邮箱认证、手机认证、身份认证等，部分选用双重认证方式。但是，如果一旦实名认证系统遭到破坏，安全风险将急剧增加，因此相关技术人员必须对此系统进行高效管控，并有责任提醒用户及时做好加密和保密工作，避免用户信息被窃取。

4结束语

移动互联网安全是一个复杂的系统性难题，会对电网企业的整体安全、信息传输以及终端设备和应用使用安全等带来安全风险。在这种发展形势下，必须借助先进科学技术，从系统运行各个环节入手，加强安全风险防范，提高电网企业移动信息化的安全水平。

参考文献：

[1]汪宏春.信息化技术在电力企业安全管理中的实践分析[J].科技创新与应用，2017（08）：183.

[2]王婧，沈宏杰.电力企业信息安全文化的建设[J].江西电力职业技术学院学报，2016，29（02）：86-87+92.

[3]刘玉贤.电力企业信息网络安全存在的问题及其对策[J].城市建设理论研究（电子版），2017（5）．

[4]汪江.谈网络安全技术与电力企业网络安全解决方案研究[J].价值工程，2018（30）：175-176．

[5]刘国军，郑晓崑，杨会峰等.电力通信网安全分区研究[J].电力信息与通信技术，2016（08）：27-32.