电力企业信息安全论文4篇

第一篇:电力自动化信息安全管理

一、通信安全防护体系概述

通信安全防护体系是保障电力自动化信息安全的有效措施，也是提高电网稳定运行的必要手段。通信安全防护体系的建立是一项比较复杂的工程，其涉及到的技术包括计算机技术、通信技术、网络技术、自动化技术等，是多种现代先进技术的有机集合体。电力通信安全防护体系主要是通过建立信息安全模型，比如SSE-CMM模型，并将模型应用于电力工程项目实施过程中，包括工程的筹备、设计、施工、运行、维护和管理等过程中，通过技术指导、运行管理和安全验证等方式保障信息的安全性。总之，通信安全防护体系是一个动态管理过程，通过对信息安全系数进行分析和评审，在线实时安全监控，发现威胁信息安全信号立即报警，以便于信息管理人员立即采用有效措施，防止信息窃取或泄露等不良势态的发展。

二、电力通信安全加密技术

随着信息技术快速发展，信息安全防护技术不断推陈出新，极大提高通信信息的安全性。目前信息加密是电力自动化过程中常用的安全防护技术，且其具有防护效果好、操作简便等优点。加密技术是一项融合电子信息、数学、通信和计算机为一体的现代防护技术，具有身份验证、数字签名、信息加密、安全检测等功能。1.数据加密应用原理1.1数据加密标准算法。标准数据加密算法是基于分组乘积理论，主要是利用多种简单算法连续形成复杂的技术算法，继而提高信息的安全性，目前该方法广泛应用于磁卡、IC卡、银行自动柜员机以及高速公路收费站等多个领域中，比如信用卡使用者的PIN加密传输、金融交易数据包的MAC校验等等。1.2公开密钥算法。公开密钥是一个复杂的密钥分配过程，也叫非对称密钥算法，主要包括公共密钥和专用密钥，公开密钥的加密密钥PK是公开信息，可以出去的，而解密密钥SK是保密信息，需要用户注意保护信息的安全性。然而，共同密钥和专用密钥之间是相互联系相互制约的，比如专用密钥加密信息需要利用公共密钥进行解密，而公共密钥信息则需要专用密钥进行加密，两者在应用过程中相辅相成，相互联系。由于公共密钥在使用过程中无需连接总服务器，使得密钥管理简单，常常被作为公共密钥应用于电力运行中的局域网内。公开密钥算法多数比较复杂，在实际工程中使用应当根据不同的功能选择合理的密钥算法。1.3标准算法和公开密钥算法的区别。在应用过程中，标准计算法通常被强力攻击、查分密码分析法攻击，而后者安全胜主要依赖于大数分解。根据摩尔定律可知，计算机的计算能力会随着时间的推移而不断增强，继而导致计算机抗爆能力下降，而公开密钥算法过程比较复杂，外界威胁只存在协议方面而不是攻击方法。因此，在电力信息防护管理中，针对信息保密级别较低的数据，可以直接采用标准算法，其适用范围广、操作性强。2.密钥的生成及管理。密钥是加密技术的具体体现，也是保障电力通信安全的必要手段。在电力自动化系统运行过程中，应当加强对密钥的管理，才能防止信息的泄露。密钥的管理应当贯穿整个密钥生存的周期中，通过层层把关，严格管理，防止外界不利因素的攻击。密钥管理应当根据电力应用环境、网络特征和使用频率等方面建立科学合理的管理机制，并通过合理程序进行管理和维护，才能确保电力通信的安全性。常用的密钥管理机制主要包括以下几种类型：（1）密钥分配模式。密钥分配中心（KDC）是防护体系的重要组成部分，在中心站端上针对一个子站端分发的密钥，具有分发单一性，即是集中式密钥分配；与集中式密钥分配相对应的方式是对等式密钥分配，可以对多个子站断进行分发密钥。（2）预置所有共享密钥。共享密钥由于在连接过程中出现较多的节点，加上网络共享不符合电力通信安全要求，因此目前已经很少用。（3）密钥产生与应用。利用KDC建立中心服务站，使用X509数字证书案进行签名验证，将解密程序复杂化，提高信息防护效率[4]。（4）密钥启动机制。在电力自动化系统刚启动接入网络时，立即进行数据信息传输，那么数据信息的安全性即会受到严重的威胁。此时应当运用实时数据加密机制进行管理，应当先经过身份验证和密钥交换后，确认通信系统运行环境的安全性，方可进行数据传输。（5）随机数的生成。一时一密的密钥生成比较复杂，过程需要大量的数据为基础，并通过一系列的方法处理获得。通常在电力系统中可以将通过三种方法获得随机数据，包括随机现象生成、随机数算法、随机种子生产等。因此，电力通信加密技术是比较复杂的过程，其中涉及的学科知识较广，其密钥的生成和管理是提高系统整体安全性的必要手段。

三、通信技术网络管理措施

加密技术是电力通信安全防护的基础措施，但通信技术网络管理提升信息安全性的必要措施。因此，在电力自动化运行过程中，从以下几个方面和途径加强对通信技术网络的管理，全面保障电力信息通信的安全性。1.完善通信网络系统，加强信息安全监督。随着科学技术的发展，电力运行管理系统不断呈现高智能化发展，极大的提高了系统运行效率。但由于受多方面因素的影响，通信网络系统在电力中的建立仍然存在一定缺陷，导致电力信息传输安全性受到威胁。因此，电力部门应当与时俱进，不断应用新技术，更新和升级现有的通信系统，全面提高通信设备设施的使用性能和抵御风险能力，确保电力系统通信环境的安全性。2.构建科学管理机制，增强内部管理能力。电力系统内部应当根据行业标准，结合通信技术特点和信息安全要求，制定有效的管理制度，并执行安全管理责任制，将电力通信安全管理责任精细化，实现管理责任落到实处。当前，电力通信网络管理对技术厂家依赖程度比较大，内部管理能力欠缺，信息安全维护不全面。

总之，电力产业是我国国民经济的基础产业，是我国社会经济的重要组成部分，为国民生产和生活提供可靠的基础能源。近年来，在经济和科技大力发展的带动下，电力系统运行和管理不断呈现智能化发展，与此同时带来的信息安全隐患也令人担忧，十分不利于保护电力系统信息传输的安全性。因此，在电力通信技术运行管理过程中，应当采用加密技术增强信息防护能力，同时优化电力通信网络管理体系，实现在线监控信息传输，确保电力通信信息的安全性，促使电力产业安全稳定发展。

本文作者:罗庆丽工作单位:云南欣博工程咨询有限公司

第二篇:信息安全控制措施

一、对信息安全管理体系的有效性进行测量的意义和价值

1.对信息安全管理目标考核的需要

电力企业在建立信息安全管理体系时会依据自身业务发展、各方利益需求及自身的信息安全管理能力等级，来设置自身信息安全管理的目标。通过有效性测量，不但可以对信息安全目标执行状况进行考核，准确评估信息安全管理体系的运行效果，而且还能为管理层对信息安全管理的资源投入提供数据依据。

2.信息安全管理体系持续改进的重要依据

通过有效性测量，能够反映出当前信息安全管理中所存在的问题及问题的严重程度，为今后的信息安全管理工作提供有力的依据。

3.信息安全管理工作绩效考核的需要

有效性测量结果不仅是评价信息安全管理体系绩效的重要标准，也是对信息安全管理工作绩效的展示。通过有效性测量的数据，不但可以使管理者清晰地了解信息安全管理工作，还能增强信息安全管理工作人员的信心。4.ISO/IEC27001信息安全管理体系的有效性要求在ISO/IEC27001：2005的4.2.2中有测量所选择的控制措施或控制措施集的有效性，并指明如何用这些测量措施来评估控制措施的有效性的要求。在ISO/IEC27001的4.2.3中，又要求定期对信息安全管理体系的有效性进行评审，以及通过对控制措施的有效性测量来检验安全需求是否被满足。最后在ISO/IEC27001的7.2中，将有效性测量的结果作为信息安全管理体系管理评审的一个输入内容，单独列成了一项。以上这些条款都在ISO/IEC27001的正文部分，足以说明有效性测量对信息安全管理体系的重要程度。

二、如何进行有效性测量

1.选择、设计测量指标

按照循序渐进原则，有效性测量工作，首先将集中在对电力企业而言相对重要的信息技术服务流程和信息安全的重点管控领域，测量的参考依据为体系各级文件管理制度。有效性测量主要包括且不限于以下各指标。信息技术服务管理体系运行指标、重要流程的运行指标、信息安全管理体系运行指标、员工信息安全意识管理指标、信息系统建设管理指标、信息系统运维管理指标和服务可用性连续性管理指标等。例如，信息技术服务管理体系运行指标包括且不限于以下内容：本地网络系统正常运行率；广域网系统正常运行率；业务应用平均运行率；已建立完备的运行记录的流程占流程总数的比例；依照制度要求组织评审并及时进行完善和修订的流程占流程总数的比例；各流程负责人依照制度要求按时提交相关服务报告的比例。信息安全管理体系运行指标可包括且不限于以下内容：信息安全管理人员占全体员工的比例；信息安全风险评估的实施频次；信息安全全员意识培训开展次数；信息安全管理制度的修订周期；信息安全相关法律法规的更新周期。员工信息安全管理指标可包括且不限于以下内容：接受信息安全培训的员工占全体员工的比例；员工内网办公电脑上桌面防护客户端软件的安装比例；信息安全检查中发现的员工违反信息安全制度的不符合项比例；因违反信息安全管理制度而受到惩戒的员工比例；重大信息安全事件发生的次数。信息系统建设管理指标可包括且不限于以下内容：根据相关制度要求在系统上线前及时移交所有文档（包括安全评审文档）的信息系统占所有新上线系统的比例。信息系统运维管理指标可包括且不限于以下内容：因操作不当而引起的重大信息安全事件的次数；已经制定了文档化的操作程序的信息系统比例。

2.实施有效性测量

测量的过程主要是指数据的收集、存贮和验证。收集是指定期通过设定的测量方法收集要求的数据，存贮是指对包括日期、地点、收集人、信息所有者、信息收集过程中发生的事件的文档化，最后是对所收集的数据进行验证和测量确认。在测量过程中，测量数据的客观准确应当被当作重点内容来对待，尽量避免操作者测量自己的工作，以确保后续流程不会受到测量的影响；在测量结果的记录时，也应将测量过程中产生的误差等因素考虑进去。每年组织召开一次管理评审会议。在管理评审会议之前，体系推进工作组应依据本规定，组织各部门开展企业范围内的信息技术服务和信息安全管理体系有效性测量活动。企业信息技术服务和信息安全管理体系有效性测量活动的完成时间也可安排在信息技术服务和信息安全管理体系内审活动开始之前，以保证通过内审活动能有效地检验测量指标的正确性。

3.有效性测量的持续改进

根据“循序渐进、持续改进”的原则，信息安全管理小组应负责对信息安全测量体系不断完善。电力企业内各部门应该对信息安全测量指标的建设和运行目标定期地组织评估，结合实际环境的变化，对现有的测量指标进行修订或完善。

三、结束语

为了更好管理和改进信息安全管理体系，需要对其进行有效性测量。测量的内容应当有意义，如果测量的结果对改进信息安全管理体系没有任何帮助或者难以理解，那么，该测量就是不成功的，也就没有必要进行该测量。

本文作者:陈志佳秦峰

第三篇:电力信息安全监测

1集中监测分析平台总体架构

信息安全集中监测分析平台包括信息安全相关数据抽取规则管理、信息安全相关数据抽取、安全策略配置和下发、系统口令、扫描分析、漏洞扫描分析、安全事件集中管理、安全事件关联分析、安全设备状态实时监控、全景展示等功能模块［2］。图1为系统总体架构图。系统应用采用满足技术先进性与成熟性相结合的基于J2EE的多层技术构架，以提高系统的灵活性、可扩展性、安全性以及并发处理能力。采用组件技术将界面控制、业务逻辑和数据映射分离，实现系统内部的松耦合，灵活、快速地响应业务变化对系统的需求。系统层次结构总体上划分为客户层、接入表示层、业务逻辑层、数据层(包含数据映射层和数据源)，通过各层次系统组件间服务的承载关系，实现系统功能。系统技术架构如图2所示。表示控制层对应平台中的控制器，实现画面与后台的数据交换、画面之间的迁移、画面数据的检查等功能;业务处理层对应具体的业务，在此层处理业务逻辑，并通过数据库操作层完成到数据库的交互;持久控制层对应数据库操作，所有的数据库操作都必须且只能集中在该层。控制器依赖于业务处理层，而业务处理层依赖于持久控制层，通过依赖注入功能，可以将这种依赖性通过相关配置进行统一管理，最大限度地降低各层次之间的耦合性［3］。

1．1现有安全数据整合

现有安全数据整合模块建立信息安全数据表，提取四川电力现有信息系统中与安全相关的数据，进行跨部门、跨平台的安全信息的统一收集、分析、处理。在数据抽取、转换和加载(ETL:Extract，Transact，Load)过程中使用包括直接抽取、文件抽取、WEB抽取等几种常见形式［4］。对不同应用系统，采用不同抽取方式;甚至对同一应用系统中不同的业务数据，也可以采用不同抽取方式。直接抽取是指ETL服务器直接连接到应用系统后台数据库中直接抽取所需数据的方式，因此必须设置严格的权限控制，保证用户不能访问和修改系统中的其他敏感信息，以免造成安全问题。且由于会对应用系统数据库造成大量负荷，因此必须进行抽取时间窗口控制，协调对外服务时间和抽取时间，以减少数据抽取对正常业务运行造成的影响。基于以上考虑，这里对数据敏感度较小、数据及时性要求不高的IDS、IPS入侵数据进行直接抽取。WEB抽取是通过WEB服务获取系统需要的数据的抽取方式。通过这种方式可以方便获取需要的数据，同时可以对这些数据做校验等操作，是目前一种先进的抽取方式，不便的是在数据量很大时，网络传输速度会很忙，严重影响系统性能。对于数据量较小、系统接口实现较困难的考核指标类数据采用WEB抽取完成。文件交换是指将需要抽取的业务数据保存为有格式的文本文件，ETL服务器通过读此文件内容来获取业务数据的数据抽取方式。文件交换对原数据库系统造成影响较小。采用此方式时，应用系统将需要抽取的数据按照约定格式保存在文件中，并通过FTP、文件共享等方式将保存有业务数据的文件传递约定位置。ETL服务器从约定位置取出数据文件，并通过文件分析引擎对文件进行分析，取出业务数据。这里除IDS、IPS、小数据外，主要数据均采用文件交换形式传输，且传输时约定文件传输结束标志，标志内容为已传输完毕的数据文件的文件名，以及此文件的MD5验证码。ETL服务器获取传输结束标志文件后，认为对应的数据文件已经传输完毕。然后再通过对数据文件进行MD5验证，将验证码与传输结束标志文件内的MD5验证码进行对比来验证数据文件是否完整。同时约定文件重传标记，当传递到约定交换位置的数据文件在上传完毕和下传开始期间发生损坏，导致约定位置的数据文件和应用服务器生成的数据文件不一致。这样，ETL服务器根据约定位置的数据文件计算出的MD5验证码就和传输结束标志文件中的MD5码不一致，从而发现文件不一致的错误，发现错误后，ETL服务器需要使用文件重传标志来通知应用系统重新传输相应的数据文件。数据整合分析模块能帮助安全督查人员在原有系统数据的基础上增强对比分析，对各个信息系统产生的数据进行监测数量、监测位置、监测范围以及数据的匹配度和数据类比结果进行分析，得出不同系统对相似对象监控的差异，并按时生成信息安全类比分析报告。

1．2漏洞实时监测

四川电力地域广，所属地市单位、控股、代管单位众多而分散，而专职信息安全督查执行人员有限，无法及时对各单位的终端、网络等情况及时进行督查，而且在工作时间进行漏洞扫描会造成系统访问量增大，影响系统性能。为此，要在集中监测分析平台上实现实时监测功能，对四川电力范围内所有对内、对外服务网站漏洞及应用系统弱口令等进行实时监测与提醒。在实现方式上采用实时调度任务完成，分别设计网站扫描调度任务和弱口令扫描调度任务，扫描时由管理员根据系统实际运行情况配置调度任务执行时间、执行周期、扫描对象等信息，系统根据配置信息调度扫描任务进行自动定时(一般设定在夜间)扫描，自动汇总分析结果［5］。在进行信息系统弱口令扫描时，对可直接获取口令明文的被测系统，本系统按照系统密码强度规则分析口令明文，判断口令的强度，对不符合规则的图3弱口令监测流程图系统口令进行记录。对不能直接获取口令明文的被测系统，本系统按照弱口令字典表、ETL抽取的系统用户账号信息，通过模拟系统登录原理，检查被测系统用户弱口令，记录不符合规则的系统口令，并保留检测分析过程，将发现不符合规则口令的过程、系统现场情况保存为图片作为督查证据。弱口令监测流程图如图3。图4四川电力全网漏洞图图5四川电力全网漏洞环比图图6四川电力当月入侵日志统计图7四川电力各单位告警统计内、外网网站漏洞自动扫描模块主要扫描SQL注入、跨站脚本攻击(XSS)、失效的访问控制、缓存溢出问题、HTTP响应拆分漏洞、参数篡改、隐式字段处理、目录遍历攻击等由OWASP公布的web应用安全漏洞，并针对出现的漏洞给出指导性建议。

1．3全景展示

具有安全数据整合及漏洞实时监测功能的集中监测分析平台基本完全挖掘出四川电力当前信息系统运行过程中与安全相关的数据，依托对这些海量数据的综合展示分析，管理者能快速识别当前风险，为信息安全下一步投资提供充分的参考依据。

2结论

针对四川电力当前信息安全相关数据较分散，同时对于弱口令、网站漏洞等缺乏实时监控手段问题，不利于信息安全督查工作开展问题，提出建立信息安全集中监测分析平台，提取现有各系统中与安全相关的数据，并对其进行整合、分析，同时对弱口令、网站漏洞等进行实时监测，最后对海量数据进行综合展示分析，全面地分析监测报告，帮助深入掌握系统安全漏洞和信息安全趋势，实现安全技术和管理的结合，同时利用关联分析可以找出安全事件中各种属性之间的相关特性，排除无意义的信息，及时对安全问题进行快速定位，提高安全事件的应急响应处理能力。值得说明的是，如何利用集中监测分析平台的海量安全事件进行信息安全态势感知，从总体上动态反映网络安全状况，并对网络安全状态的发展趋势进行预测和预警，是安全领域具有挑战性的问题，也是尚需进一步努力的地方［6］。

本文作者:刘姗梅柴继文工作单位:国网四川省电力公司电力科学研究院

第四篇:电力信息技术管理

1电力系统中信息技术的发展现状

近年来，随着科学技术的不断发展，传统的电力信息单一传输手段已经不能适应社会快速发展的需求，大部分的电力通信网络采用的是高科技的数字微波、光纤通信等手段。根据相关统计资料显示，我国的电力通信信息系统的基础设施建设比2008年的电力基础设施建设翻了大约两倍。现阶段信息交换的数量随着电力通讯系统的建设逐渐增加，相应的人们对电力系统运行中的安全性、稳定性、可靠性、完整性等的要求也逐渐提高，为了确保电力信息安全的可靠性，电力信息网络逐渐建立起来，该网络主要使用了分机交换技术以及数字网络技术，在一定程度上奠定了数据传播独立发展的基础，基本实现了电网的一体化发展模式。

2电力信息安全防护的重要性以及安全问题进行分析

2.1电力信息安全防护的重要性

在电力企业的实际运行过程中，应当建立起一套完善的电力信息管理系统，这样不仅能够加强对工作人员的管理，电力企业的安全技术管理，重要的是还能够对电力信息的安全进行管理防护。目前，信息安全问题涉及电力系统运行的各方面，为了有效的保证电力信息的运行安全，需要及时的做好安全防护工作，确保电力信息的可控性。因为电力信息的安全保护是一项比较复杂的工作，能够对电力系统的安全运行产生直接性的影响，但是在现阶段的电力信息安全管理保护过程中，还存在许多的问题。

2.2对电力信息安全问题进行分析

现阶段，部分电力企业实现了电力信息的自动化，但是并没有建立完善的信息安全保障体系，部分地区的电力企业只使用杀毒软件和防火墙，来保护电力信息的安全。电网实际运行经验告诉我们，杀毒软件并不能够完全的阻断电网系统中产生的病毒，为了有效的避免信息泄露，电力企业必须把电力信息安防护工作放在首位，构建一个相对完善的安全防护系统，确保电力系统的安全持续运行。

3电力信息安全方面存在的主要问题

3.1电力生产管控系统中存在的信息安全问题

生产是电力企业运行过程中的重点工作，信息流的畅通性，是各部门工作能够正常运行的前提。在电能产生、传输、分配，调度的过程中，应当确保电力信息的安全。在电网运行的过程中，需要重点保护的系统有：电网调度自动化系统、变电站自动化系统、电厂监控系统等。当前，随着电力企业的不断发展进步，电力系统逐渐向着高可靠性、高实用性方面发展，在这一过程中，电力信息的内容也逐渐丰富起来，为了有效的确保信息系统的安全性，传统的电力静态生产控制系统逐渐转换为以工业以太网为基础的动态电力生产控制系统。但是动态电力生产控制系统在实际运行的过程中，存在着很多的缺陷，例如经常出现信息窃收、信息篡改、信息重放以及信息冒充等现象，这些因素严重破坏了电力控制系统的信息安全，并影响了电力系统中信息的传输以及共享。

3.2电力系统中行政管理系统中存在的信息安全问题

行政管理系统能够对企业的生产和发展产生直接性的影响，行政管理系统在实际运行的过程中，需要从电力系统中获取相关的信息，因此，也需要不断加强行政管理系统的安全防护。在进行信息传输或者是信息共享的过程中，一方面要加强对行政工作人员的管理工作，另一方面要保证信息传输设备的安全，严禁携带病毒进行运转，并及时的做好相关的安全保密措施。但是，在行政管理系统的实际操作运行中，因为企业忽视了对行政人员的管理培训工作，经常出现系统操作不规范的情况，忽视系统运行过程中病毒排查的工作，严重时会导致整个电脑系统瘫痪，严重影响了电力系统的实际运行，在一定程度上会对电力系统的其它安全管理方面产生消极的影响。

3.3电力市场营销系统中存在的信息安全问题

在电力企业的发展过程中，经常会出现电力企业和用户之间的供求矛盾，为了平衡两者之间的利益关系，必须要加强电力市场营销系统中的安全防护工作。电力市场营销系统主要包括：电力营销管理系统、运营系统以及招投标应用系统等。其中，电力投标商和电力供应商之间主要通过网络进行业务联系的，因此，企业之间在进行信息传输共享的时候，很容易出现信息泄露的情况。信息泄露不仅会影响企业之间的经济利益关系，还会严重影响电力系统的安全性。

4电力信息的安全防护措施

现阶段，电力系统在发展过程中，对网络的需求程度越来越高，在电子信息数据的传输和共享过程中，不可避免的会出现一些问题，针对这些问题，应当及时的做好电力系统的安全防护工作。

4.1提高电力信息系统的防火墙防护水平

电力系统中的电力营销系统以及电力行政系统都会不可避免的使用公共网络，公共网络的安全是电力企业安全防护性能比较弱的部分，防火墙系统不仅能够在一定程度上维护公共网络系统的安全性，还能够及时的发现系统中隐藏的病毒，在一定程度上能够有效的保证电力信息数据传输的安全性，因此应当不断提高防火墙的安全防护水平，及时更新防火墙系统。

4.2提高电力网络系统中的防病毒技术

现阶段，电力系统的发展离不开计算机技术的发展，计算机系统运行中很容易受到病毒的侵害，现阶段的病毒隐蔽性、潜伏性能都比较高。在电力系统的运行过程中，需要定期进行病毒扫描检查，及时发现系统中存在的病毒。另外，还可以设立专门的计算机病毒防护监控中心，并聘请专门的技术人员定期对电力系统的网络安全进行定期检查，确保电力信息的安全性，维护电力系统的正常运行。

5结语

电力信息网络系统的发展时间并不长，在网络信息的数据传输和交换工作中还存在着许多的问题，电力信息网络的管理人员要重视网络中存在的问题，采取一些合理的措施对信息中存在的漏洞进行控制，尽可能的减少信息安全问题。因此，在电力信息网络系统运行的过程中，要不断加强电力系统的安全防护工作，及时更新防火墙系统，提高病毒防御技术，并制定一套科学合理的管理方式，有效的维护信息的安全性，促进电力系统的持续健康发展。

本文作者:杨润佳工作单位:神华国能集团有限公司信息中心