电力工业是国家国民经济的支柱产业,其安全问题直接关系到各行各业的发展和人民的生活水平。回想去年“8·14”美加大停电，人们仍心有余悸。如何避免类似的事件在我国发生呢？由于很多安全问题都可以归结为信息安全管理，因此必须加强电力系统的信息安全管理，构筑电力系统坚固的信息安全堡垒。

　　高层领导支持

　　组织保证体系是保障电力企业安全实施的重要基础，安全措施的顺利执行必须得到企业高层的支持，必须有一套了解企业状况、掌握信息安全技术手段的人员班子，形成电力企业信息安全的决策层、管理层、执行层等机构，确保人员的配置、安全责任制的落实。目前，各级电力企业都成立了以企业“一把手”为领导的组织体系。

　　安全策略合理

　　电力系统的安全策略主要包括分区防护、实现两类隔离、识别和保护网络接口边界、关闭不必要的服务和协议、制定完善的备份与恢复策略等。

　　分区防护就是根据各地电力系统的特点、目前状况和安全要求，分为实时控制区、非控制生产区、生产管理区、管理信息区四个安全工作区，将所有业务系统都置于相应的安全区内，并重点保护实时控制系统及生产业务系统。

　　两类隔离就是各电力监控系统与办公自动化系统（oa）或管理信息系统（mis）实行有效（物理）隔离措施，以及电力调度数据专用网络与综合信息网络及因特网实行物理隔离。

　　识别和保护网络接口边界就是对电力网络接口边界进行识别，断开不必要的接口，防止跨多网接口通道的存在，并加强对剩余接口的安全保护。

　　关闭不必要的服务和协议是指通过合理地设置电力系统网络及主机系统的配置、服务、权限，减少安全漏洞，禁用缺省系统的默认配置，及时更新系统安全补丁，消除系统内核漏洞与后门。

　　制定完善的备份与恢复策略是对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性；对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性；对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在灾难情况下系统业务的连续性。

　　定期风险评估

　　安全风险评估是对电力系统现有的网络架构、核心路由器、交换机、数据库服务器、邮件服务器、应用服务器、业务流程、安全策略的安全漏洞和安全威胁及潜在影响进行分析，以提出合理的安全建议以保证系统资产的机密性、完整性和可用性等基本安全属性，根据评估的结果采取相应的安全控制措施，并适时调整电力企业的安全策略。由于信息安全是动态变化的，只有定期的安全风险评估才能发现和跟踪电力系统最新的安全风险，所以安全风险评估是一个长期持续的工作。目前，电力系统的安全风险评估逐渐制度化和规范化。

　　完善管理规范

　　电力企业完善的安全管理制度可以弥补技术手段的不足，增加企业的风险承受能力。在制定电力系统安全管理规范过程中，我们参考了主要的国际安全标准、国家安全标准和安全法规政策。

　　电力系统的安全管理制度包括机房管理、防病毒系统的维护及使用、数据备份中心及灾难恢复、防火墙管理、ids管理、安全事件应急处理工作、认证中心机房管理、信息发布管理等制度；电力系统的安全技术规范主要包括安全评估与加固规范、ca中心的建设规范、软件安全开发规范等。各种安全管理制度和规范正式发布后，我们建立了一套培训机制，经常组织员工学习，从而保证了制度的顺利贯彻执行。

　　实施安全教育

　　安全意识和相关技能的教育是电力系统信息安全管理的重要内容，其实施力度将直接关系到电力企业安全管理被理解的程度和被执行的效果。

　　为了保证电力企业信息安全的成功和有效，高级管理部门对电力企业各级管理人员、技术人员、一般员工进行了安全教育。

　　在安全教育具体实施过程中有一定的层次性：主管信息安全工作的高级负责人或各级管理人员，重点是了解和掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等；负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等；一般员工，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。

　　电力系统的信息安全教育是定期、持续地进行的，贯穿在电力企业的整个企业文化体系之中。