进入廿一世纪的中国电力正在经历着前所未有的巨大变革，政府在电力体制改革方面陆续出台的各项政策对电力企业的运营提出了日益严格的要求，电力企业所处的客观环境也将变得越来越错综复杂。厂网分离及继之出现的输配独立运营等重大举措，都直接影响电力企业的生产和经营。从未来的发展态势看，供电企业将向独立运作的配电公司发展，而现代化的信息系统的支撑是确保顺利完成这一转变的战略性支撑手段。然而，信息化的日益深入的同时却逐渐显现出信息系统在某种意义上的脆弱性，由于信息系统遭受攻击所发生的企业运营受负面影响的事件不断出现。

　　供电企业建立和维护的是关系到国计民生的基础性设施，其信息安全的水平不仅仅是企业本身需要重点关注的，而且也是社会和政府所关心的。因此，在电力体制改革和信息化的新形势下，明确信息安全的战略地位，树立信息安全的正确认识，建立信息安全体系的总体框架，并在企业中进行坚决、有力的人员、技术、政策等诸方面部署，是确保供电企业向适应时代要求的现代化配电公司转变的有力支撑。笔者将依据自身在供电企业信息安全领域的工作经验和认识，对供电企业信息安全的有关重大问题简要分析。由于水平和能力的限制，文中的不足肯定很多，只是希望能够抛砖引玉，引起相关企业的领导和业务人员对信息安全工作的重视。

一、信息安全的定义

　　按照国际上的标准定义，信息安全是信息系统或者安全产品的安全策略、安全功能、管理、开发、维护、检测、恢复和安全评测等概念的简称。依据ISO74982中的开放系统互联安全体系结构(如下图所示)描述，信息安全应包括：
　　●五类安全服务鉴别、访问控制、数据完整性、数据保密性、抗抵赖
　　●能够对这五类安全服务提供支持的八类安全机制和普遍安全机制加密、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制、公证
　　●需要进行的三种OSI安全管理方式

二、信息安全环境的演变及衍生要求

　　信息安全是一个社会技术系统，其与所处的环境有重大而密切的联系。环境的变化必然会导致对信息全的要求的调整，而信息安全的水平也能反动于周边的环境，以下试举数例说明:
　　●2001年中发生的911事件，不但是国际政治、经济领域的一大冲击，而且对信息安全也意义深远。入驻于世界贸易中心的跨国集团中由于此前信息安全体系的水准不一而形成了业务恢复时间的极大差异，平素重视信息安全工作的企业可以在数小时内通过异地数据中心快速恢复业务的运营，而信息安全基础差的企业则由于恐怖袭击而陷入业务停顿和纷繁的纠纷当中，两相比较，高低立现，也充分证明了信息安全与环境的互动性及信息安全的重要性。目前，在美国企业的IT投资中信息系统安全部分已占12%的分额，预期在今后5年中还将有平均15%的年增长率。
　　●2001年的中国九运会网站在运行期间受到将近90万次的攻击，而2001年上半年的中美黑客大战除轻微的政治影响外，倒是对双方的信息系统的安全进行了真实的考验，然而事实证明，大家的信息系统在黑客的攻击下，显得风雨飘摇，暴露出许多的安全漏洞。
　　●自2002年起，连续发生的鑫诺卫星信息干扰、北京机场和上海市第一人民医院信息系统瘫痪等事件在社会上产生了极其恶劣的影响，也说明了信息安全的对手绝不仅仅是一般的网络黑客，而是包括以法轮功为代表的国内外反动势力在内的敌对力量，他们利用高新技术手段发动的攻击较之以前的方式更加隐蔽，破坏程度也更加严重。
　　●从政府对信息系统安全等级的划分标准看，一般将电力企业作为公用事业的一部分放置于与银行、证券等行业相同的级别上，国家和地方政府已经或即将出台的各项政策法规也正在逐步加强对重要企业的信息系统安全的监管。仅在2002年,就有国家经委第30号令、上海市信息化办公室的《关于保障重要信息系统安全运行的通知》（沪信息办安[2002]223号文）等重要文件对电力企业的信息安全工作进行了指示和布置。因此，建立和完善企业信息系统安全体系，不但是企业自身的需求，而且也逐渐成为政府和社会对企业的迫切要求。
　　从动态变化的周边环境看，信息安全的对手可能来源于道德、意识形态、政治、经济等各个领域，应对的难度也更高，从因此对企业信息安全的衍生要求看，主要包括以下几个方面：
　　●对信息安全的认识必须上升到“讲政治”的高度，信息安全不但关系企业的正常运营，也同时对国计民生会产生重大影响，如果忽视这一点，将可能造成对人民、社会甚至是国家安全的不利影响。
　　●信息安全必须标准化，保证纵向和横向的统一和规范化，做到标准由上而下的逐层贯彻和细化，以政府标准为纲，以行业标准为目，在此基础上结合企业的实际状况与要求，制订兼具适用性、先进性的企业信息安全准则，并结合该准则的内容进行分解，确立各领域和模块的实施细则。
　　●信息安全体系要具有开放性和适应性，由于企业内外部环境的变化致使对企业的信息安全体系的要求也有持续不断的变化，如果信息安全体系不具备动态适应能力，则其必然不能适应多变的环境，随之而来的就是信息系统的整体脆弱性和易受攻击性。
.
三、信息安全的认识误区

　　信息安全体系的建立和完善是一项长期的系统工程，它牵涉到企业内外各方面的资源的优化和整合，而做好这项工作的重要前提就是大家对信息安全能有统一、明确的认识。在上文中，我们多次论述到信息安全的系统性、整体性、重要性和紧迫性，但在实践工作中还是容易产生认识上的误区，因此有必要在本节中进行专门的论述：
　　●提供全面解决方案（totalsolution）从实际状况看，对于动态变化的信息安全问题，人们还没有一个全面的、完整的认识和解决方法，因此不存在一个能够覆盖信息安全的所有领域和方面的全面解决方案，说白了，TotalSolution只不过是用户的美好愿望和厂家的广告说词而已。
　　●确保100%的安全性–就如电网不可能达成100%的可靠性一样，再完善、可靠的信息系统也不能确保100%的安全系数，只是我们能通过各方面的管理和技术手段去努力加强安全，进而逐步逼近100%，但也永远只能是接近，而并不能达到。
　　●外防重于内防–实际情况恰恰相反，企业信息系统遭受的攻击90%以上来自于内部，而这些攻击中90%以上能取得不同程度的效果，对信息系统造成损害。
　　●信息安全就是网络安全–事实上，信息系统安全的范围要广泛的多，除网络安全外，信息安全和系统安全都具有同等或更高的重要性，仅仅通过架设Firewall就能实现信息系统安全的想法有些幼稚。
　　●技术措施解决一切问题–诚然，利用各种先进技术手段可以帮助加强和巩固信息系统安全，但信息系统安全工作的成功关键在于建立一套完整的信息系统安全体系，以管理、制度、人员、技术等全方位的要素配合推动，偏废任何一项都不可能成功。
　　●信息系统安全纯粹是信息部门的工作–就如真正成功的信息系统必定是信息部门与业务部门良好协作的结晶一样，信息系统安全工作的成功也无法脱离业务部门的配合和支持，从广义的角度看，信息系统安全必须考虑业务的需要和企业文化，并赢得企业各级人员的支持才能见效。
　　以上列出的是在信息安全领域最容易产生的思想上的误区，可以说，消除上述的误区并不能确保信息安全工作的顺畅进行，但存在上述误区必定会实实在在地产生阻碍。

四、信息安全标准

　　信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据。信息安全标准化是一项艰巨、长期的基础性工作。我国国家标准化管理委员会已批准成立全国信息安全标准化技术委员会，它将协调各有关部门，本着平等、公开、协商的原则组织提出一套系统、全面、分布合理的信息安全标准体系，以信息安全标准体系为工作依据有步骤、有计划地进行信息安全标准的制定工作。
　　在国家标准的基础上，国家电力公司有关部门正在逐步制订和完善行业内标准，对电力企业信息系统进行了安全层次的划分，明确了不同的防护级别和防护策略，尤其强调要以管理和技术为抓手，掌握“三七”原则（三分技术，七分管理），逐步完善企业信息安全体系。各网级、省级电力公司也依据上级有关标准进行了细化和分解，制订了实施细则。供电企业作为电力公司下属单位，将严格遵循国家、行业和上级单位的相关标准。同时，供电企业也将结合本企业的实际状况制订和丰富具体相关的标准，形成纵横贯通、完整有序的标准体系，以更科学和合理地指导企业信息安全工作。

五、信息安全框架

　　我们考虑用WPDRRC这六个环节和人、政策（包括法律、法规、制度、管理）和技术三大要素来构成宏观的信息网络安全保障体系结构的框架。该框架反映六项能力：预警能力、保护能力、检测能力、反应能力、恢复能力、反击能力，其核心是实现企业信息安全资源的综合管理，即EISRM(EnterpriseInformationSecurityResourceManagement)。EISRM的重点是两大主要特征：其一，信息安全是非常重要的企业基础资源，信息安全得不到保障，企业的信息化管理就是空中楼阁，从而影响到整个企业管理水平的提升，甚至是对生产经营造成危害，对国民经济具有重要意义的企业更是带来极其严重的社会影响。其二，信息安全是一种综合资源，而非单一的技术系统，包括企业能力、人、技术、政策都是其密不可分的组成部分，只有将这些相关资源整合成一套体系，才是真正意义上的信息安全。以上两点是区分传统信息安全观念的根本特征，也是本问描述的信息安全体系框架的基石。

六、信息安全策略

　　根据企业信息安全资源管理的体系框架，企业可以结合WPDRRC能力模型，从人员、技术、政策几方面考虑信息安全资源管理的实施，主要包括组织机构的建立、人员的配备、管理制度的制定、安全流程的明确等，并切实做好物理安全管理、中心机房管理、主机安全管理、数据库安全管理、网络安全管理、网络终端管理、软件安全管理，确保日常和异常情况下的信息安全工作持续、有序地开展。为便于实施，笔者总结了以下一般性安全策略供参考：
　　1、各部门(单位)样采用共享的、可靠且可信的系统运行环境来保护个人隐私和业务交易数据的安全。部门(单位)不应损害本企业或经由本企业信息系统所保存、处理和传送的数据的机密性、完整性和可靠性，并以关键性业务为基础，与企业业务持续性计划相结合。
　　2、各部门(单位)采用已制定的企业信息安全策略，标准、过程和程序，加强培育信息安全文化，加强员工的安全意识，确保员工在信息安全程序中具备正确态度，使员工意识到信息安全的必要性，并进行必要的培训，以便于实行责任范围内的安全程序。
　　3、各部门(单位)应定期(每年至少一次)地对信息安全的处理、程序及实施进行评价，或在商业、计算或通信环境有重大变动后进行评价，并进行正确的调整。企业信息安全主管部门和人员必须提供适当的指导和检查列表以帮助完成评价，各部门应提供相应的评价文档。首次评价应在评价指南和检查列表公布后的半年内，而审计和考核则应在其他主管主持下进行。
　　4、各部门(单位)要遵守安全审计，以与其它企业策略、标准、过程和程序相符。
　　5、各部门(单位)要定期(每年至少一次)对信息系统进行系统风险评估。评估结果应用于识别、优先级区分、计划以及实施附加的安全防护措施。信息技术部门安全人员可进行随机的抽查来作出评价，并对评估和建议修正后的安全风险负责。
　　6、各信息系统在投运前须通过企业信息安全的认证和鉴定,而对信息系统的监测由信息技术部门来进行。
　　7、企业在信息安全方面的举措应严格遵守政府的法规，尤其注意根据保护个人隐私。
　　8、企业信息安全策略的制订并非一劳永逸，在未来应根据内外部环境的变化进行动态调整，以具备良好的适应性。 正成功的信息系统必定是信息部门与业务部门良好协作的结晶一样，信息系统安全工作的成功也无法脱离业务部门的配合和支持，从广义的角度看，信息系统安全必须考虑业务的需要和企业文化，并赢得企业各级人员的支持才能见效。