電力行業(yè)是國(guó)家的基礎(chǔ)和支柱行業(yè)，隨著現(xiàn)代化建設(shè)的迅速發(fā)展，各行各業(yè)對(duì)電力能源需求日益強(qiáng)勁，對(duì)電力行業(yè)的依賴也越來越強(qiáng)，電力行業(yè)的發(fā)展和建設(shè)關(guān)系到國(guó)計(jì)民生，是整個(gè)國(guó)家安全保障體系的重要一環(huán)。

電力行業(yè)經(jīng)過體制改革之后拆分為國(guó)家電網(wǎng)公司、南方電網(wǎng)公司以及五個(gè)發(fā)電集團(tuán)公司，構(gòu)成了廠網(wǎng)分家的市場(chǎng)競(jìng)爭(zhēng)格局。隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來越多，要求在業(yè)務(wù)系統(tǒng)之間進(jìn)行的數(shù)據(jù)交換也越來越多，對(duì)電力網(wǎng)絡(luò)的機(jī)密性、完整性、可用性、可靠性等等都提出了嚴(yán)峻挑戰(zhàn)。如何保障電力網(wǎng)絡(luò)的安全可靠運(yùn)行已成為一個(gè)非常緊迫的問題。2002年5月中華人民共和國(guó)國(guó)家經(jīng)貿(mào)委出臺(tái)了《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》，電監(jiān)會(huì)也出臺(tái)了《電力二次系統(tǒng)安全防護(hù)規(guī)定》，重點(diǎn)防范對(duì)電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害，及由此引起的電力系統(tǒng)事故，以保障我國(guó)電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，保護(hù)國(guó)家重要基礎(chǔ)設(shè)施的安全，這些規(guī)定對(duì)指導(dǎo)和規(guī)劃我國(guó)電力行業(yè)信息安全建設(shè)都有著重要的意義。

1．缺乏統(tǒng)一的安全管理體系和安全規(guī)劃，缺乏統(tǒng)一的規(guī)章制度和安全策略。由于安全威脅日益嚴(yán)重，要求企業(yè)必須根據(jù)安全狀況制定適合自己的安全管理框架，具體安全管理框架的內(nèi)容可以包括：

安全策略：包括企業(yè)安全白皮書、安全相關(guān)的各種規(guī)章制度、安全相關(guān)流程（如事故

緊急響應(yīng)流程）、 各種設(shè)備采購安全標(biāo)準(zhǔn)等等；

安全組織：包括有企業(yè)決策人參與的安全領(lǐng)導(dǎo)小組，專門的安全部門和安全人員，培養(yǎng)內(nèi)部信息安全專家，將企業(yè)內(nèi)部所有IT系統(tǒng)使用和維護(hù)人員納入專業(yè)的安全論壇；

安全培訓(xùn)體系：建立外部和內(nèi)部的培訓(xùn)機(jī)制，增強(qiáng)企業(yè)內(nèi)部員工安全意識(shí)培訓(xùn)和安全技能培訓(xùn)；企業(yè)IT資產(chǎn)管理：對(duì)企業(yè)的信息資產(chǎn)和安全需求有明確的了解和定義，做到“知己知彼”。

2、缺乏完整的技術(shù)防護(hù)體系。目前各電力信息系統(tǒng)已經(jīng)采用了一些安全防護(hù)措施，但是相對(duì)于日益復(fù)雜 多變的信息安全形勢(shì)，安全措施的采用還是不足的，存在嚴(yán)重的風(fēng)險(xiǎn)和安全隱患，表現(xiàn)如下：
■ 簡(jiǎn)單防御，已部署的產(chǎn)品功能單一，可能僅為對(duì)抗某一類威脅而設(shè) 計(jì)，難以對(duì)抗日益復(fù)雜的、混合式的攻擊；
■被動(dòng)防御，僅靠定期更新特征庫簽名的方式，無法對(duì)最新的，以及未知的攻擊做出有效的防御，在與黑客的對(duì)抗中永遠(yuǎn)處于下風(fēng)；
■防御區(qū)域有限，或定位于網(wǎng)絡(luò)邊界，或定位于內(nèi)部終端，沒有形成統(tǒng)一的、立體的、深度耦合的防御體系，難免顧此失彼，疲于應(yīng)對(duì)；
■同時(shí)采用不同廠商的多種設(shè)備，導(dǎo)致部署復(fù)雜，資源浪費(fèi)，功能重復(fù)，管理成本高，無法從海量的報(bào)警和日志中發(fā)現(xiàn)真正的威脅，同時(shí)分散的產(chǎn)品也難以制定整體安全策略，難以協(xié)同工作，無法真正達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的；
^┍ HLC華菱企管_┛電力行業(yè)解決方案：
^┍ HLC華菱企管_┛基于對(duì)信息安全的深刻理解，參考國(guó)內(nèi)外先進(jìn)標(biāo)準(zhǔn)理念，根據(jù)多年的安全領(lǐng)域建設(shè)經(jīng)驗(yàn)，總結(jié)提煉出能夠充分滿足電力行業(yè)當(dāng)前及未來發(fā)展需求的電力行業(yè)信息安全保障體系，以“信息保障（IA）”為中心，以“深度防御”和“綜合防范”為指導(dǎo)，以“信息安全風(fēng)險(xiǎn)分析”為手段，以“信息安全管理”為重點(diǎn), 從人員、技術(shù)、管理等方面提供安全保障能力，將電力行業(yè)網(wǎng)絡(luò)劃分成網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、終端計(jì)算環(huán)境、以及支持性基礎(chǔ)設(shè)施等多個(gè)安全防御領(lǐng)域，保護(hù)電力信息及信息系統(tǒng)，滿足其保密性、完整性、可用性、可認(rèn)證性、不可否認(rèn)性等安全需求。具體電力行業(yè)安全保障體系為：

1．通過ISO27001的信息安全管理體系建立，確保在管理制度有一套規(guī)范的制度作為電力運(yùn)營(yíng)的有效運(yùn)行體系。如建立訪問控制、·入侵檢測(cè)/入侵防御、·通信加密（VPN）、·網(wǎng)關(guān)防病毒等制度。

2、通過ISO20000-1的IT服務(wù)管理體系建立，確保在管理制度有一套規(guī)范的制度作為電力運(yùn)營(yíng)的有效運(yùn)行體系。如建立·安全狀態(tài)完整性檢查和強(qiáng)制認(rèn)證、·網(wǎng)絡(luò)準(zhǔn)入控制、·外設(shè)使用控制、 ·終端用戶行為監(jiān)控及審計(jì)制度等。

3、通過對(duì)風(fēng)險(xiǎn)評(píng)估和相關(guān)對(duì)策的制訂，降低風(fēng)險(xiǎn)，如建立風(fēng)險(xiǎn)管理、資產(chǎn)管理、脆弱性管理、安全事件管理、安全任務(wù)單管理、安全預(yù)警管理、安全設(shè)備管理、安全評(píng)價(jià)管理、報(bào)表管理等制度。