一、电力基建企业在信息安全问题上的特点

电力基建企业属于电力类企业，在信息安全上的标准(参照电监会要求)比较高，但其在信息建设上投入的实际力度又往往弱于电厂类企业。原因在于：电厂类企业往往将信息安全设备作为电厂的必备资产(如发电机)加以购置，因为任何可能由信息安全而引发的电力事故都可能产生重大的社会影响，是企业不可承受的;而在电力基建企业，这方面的影响显然没有那么明显——简单地理解是，习惯于使用电力的现代公民会对哪怕是一分钟的断电提出强烈的不满，但对建设中的电力项目的延期则鲜有质疑——电力基建企业中的信息安全设备也就变成了可选项。

二、电力基建企业信息安全的主要问题

1)信息安全机构人员设置的问题

信息安全机构包括信息安全领导小组和信息安全工作小组。

在大多数电力企业，信息安全领导小组通常由企业的总经理或副总领衔，成员是各个部门的负责人。这样的安排本身并没有什么问题，问题在于：大多数企业依旧未设置真正懂信息技术的CIO(首席信息官)，信息安全领导小组的大多数成员不是信息技术的专家，这让信息安全领导小组的能力大打折扣。

信息安全工作小组中，专职的信息安全管理岗位是必不可少的，对该岗位有不能兼任网络管理员、系统管理员或数据库管理员的要求。而很多企业的专职信息人员本来就缺乏，因此很难满足这一要求。

2)缺乏系统、完整的信息安全管理制度

比如机房准入制度。经常会有不同厂商的技术人员带着设备进入企业机房进行维修，必须对其准入、携带设备、允许操纵的设备进行全方位的监控，如果没有相应的制度来规范这些步骤，安全风险便可能在其中的任何一个环节滋生。

3)中心机房的物理安全风险

信息安全建设与企业整体信息化建设融而为一，信息安全成为企业IT建设的关键环节之一，是2010年以后的事。然而国内大多数电力基建企业的中心机房的建设却在此之前。

系统的安全风险：

4)操作系统风险

使用最广的Windows系列操作系统就像一个千疮百孔的大厦，存在着大量已知和未知的漏洞，这些漏洞可以导致入侵者获得管理员的权限，可以被用来植入木马，可以被用来实施拒绝服务攻击。

5)数据库风险

很多电力企业有许多相对“古老”的应用系统，使用同样“古老”的SQLSERVER2000数据库，而在这个版本早已停止升级补丁后，这种数据库的诸多漏洞成为永远关不上的后门——除了升级数据库版本，没有其它的方法。

6)应用系统风险

电力基建企业最重要的业务系统是基建MIS，该系统通常是定制开发的，当然也有很多商用的基建MIS供选择。基建MIS的安全问题很大部分在于用户的准入控制：由于需要设计、监理、施工单位填报数据，软件的客户端装于多处(WEB界面的甚至不需要安装特定的客户端)，通过MIS系统里的用户名/密码的方式进行用户认证，密码大多没有复杂性要求;在各单位人员频繁的工作交互中，密码泄露的可能性相当大，由此便造成数据泄密风险。

网络的安全风险：

7)来自Internet的风险

几乎所有电力企业的网络通过外网与互联网连接。然而，计算机病毒由于对计算机网络的灾难性影响，是企业网络最严重的安全风险之一。网络存储、电子邮件系统、万维网的广泛使用，使得计算机病毒的扩散速度大大加快，网络成了病毒传播的最好途径。

8)来自内网的风险

对电力企业而言，来自内网的风险和来自互联网的风险几乎是同等的。

内网的风险在于：内部人员不经意之间泄露的重要信息，或是不小心从互联网上下载的木马，都将可能成为导致系统受攻击的最致命的安全威胁。

9)来自远程访问的风险

电力基建单位的诸多项目分布于全国，对远程访问的需求比较大。远程访问有多种不同的技术方案，这些方案大多会有不同程度的安全风险。以用户名/密码的简单认证方式具有较大的安全隐患。

10)灾备缺失的风险

在很多企业，灾备通常是缺失的。

三、电力基建企业信息安全的对策

1)加强企业员工和网络管理人员安全意识教育

对于网络信息安全，企业员工和网络管理人员的素质非常重要，应加强企业员工和网络管理人员安全意识教育，对其进行特定的安全培训，以增强其安全技能。

在安全教育具体实施过程中应该有一定的层次性

(1)对主管信息安全工作的高级负责人或各级管理人员，重点是熟悉、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。

(2)对负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。

(3)对企业全体职员，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。

对于特定的人员要进行特定的安全培训

对于关键岗位和特殊岗位的工作人员，通过送往专业机构学习和培训，使其获得特定的安全方面的知识和技能。通过安全培训，确保在电力信息安全保障体系逐步建立的过程中，各类人员的安全意识和技术能力获得提高，各岗位人员的技术能力和管理能力与安全保障体系的运行和维护相适应。

2)加强安全管理，重视制度建设

加强日志管理与安全审计

一般的防火墙与入侵检测系统都具备审计功能，要充分利用它们的审计功能，作好网络的日志管理和安全审计工作。对审计数据要严格管理，不允许任何人修改、删除审计记录。

建立内网的统一认证系统

认证是网络信息安全的关键技术之一，其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。

建立病毒防护体系

在企业网络上安装防病毒体系。防病毒软件系统要具有远程安装、远程报警、集中管理等多种功能。其次，要建立防病毒的管理制度。不能随意将互联网上下载的数据往内网主机上拷贝，来历不明的移动存储设备不能随意在联网计算机上使用，职员应熟练掌握发现病毒后的处置办法。

3)完善灾备方案

根据电力基建企业的实际情况，建议至少采用国际标准SHARE78第1级容灾方案，即将关键数据备份到本地磁带介质上，然后送往异地保存。

此外，关键设备及线路的冗余与备份也是必不可少的。