电力基建企业信息安全分析及对策-第2页-北极星输配电网

投稿

我要投稿

缺乏系统、完整的信息安全管理制度

“没有规矩，不成方圆。”要想做好企业信息安全工作，系统的、完整的信息安全管理制度是必不可少的。

一个完整的企业信息安全管理制度应包括从对信息安全的规划、设计、建设、运维等全过程的支持，涵盖到对方方面面的信息安全风险进行识别、衡量、分析、评价、防范和控制的指导性条款。

比如机房准入制度。经常会有不同厂商的技术人员带着设备进入企业机房进行维修，必须对其准入、携带设备、允许操纵的设备进行全方位的监控，如果没有相应的制度来规范这些步骤，安全风险便可能在其中的任何一个环节滋生。

对基层企业而言，这个信息安全管理制度不能生搬硬套国家层面的或集团层面的相关制度，只能以此为参照，根据自身企业的实际情况编制，并在实践中不断改正。

中心机房的物理安全风险

中心机房的物理安全涉及到多个内容，包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电等。

在电力基建企业，通常会有这样那样的缺陷。毕竟，信息安全建设与企业整体信息化建设融而为一，信息安全成为企业IT建设的关键环节之一，是2010年以后的事。而国内大多数电力基建企业的中心机房的建设早于此。

系统的安全风险

系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。

操作系统风险

使用最广的Windows系列操作系统就像一个千疮百孔的大厦，存在着大量已知和未知的漏洞，这些漏洞可以导致入侵者获得管理员的权限，可以被用来植入木马，可以被用来实施拒绝服务攻击……总之，如果没有足够的防备，我们的电脑随时会发生泄密、数据篡改、系统崩溃等可怕的灾难。

数据库风险

数据库系统的安全特性主要是针对数据而言的，包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。这里不展开进一步讨论。值得指出的是，很多电力企业有许多相对“古老”的应用系统，使用同样“古老”的SQLSERVER2000数据库，而在这个版本早已停止升级补丁后，这种数据库的诸多漏洞成为永远关不上的后门——除了升级数据库版本，没有其它的方法。

应用系统风险

应用系统同样会有各种各样的安全问题，早期开发的应用系统甚至可能是用明码存储用户名及密码。这种情况仍然上演于拥有领先IT技术的互联网企业内部，比如2011年中国互联网账号密码泄露事件中，令人惊诧的一点就是账户信息的明文储存。

电力基建企业最重要的业务系统是基建MIS，该系统通常是定制开发的，当然也有很多商用的基建MIS供选择。基建MIS的安全问题很大部分在于用户的准入控制：由于需要设计、监理、施工单位填报数据，软件的客户端装于多处（WEB界面的甚至不需要安装特定的客户端），通过MIS系统里的用户名/密码的方式进行用户认证，密码大多没有复杂性要求；在各单位人员频繁的工作交互中，密码泄露的可能性相当大，由此便造成数据泄密风险。

网络的安全风险

来自Internet的风险

1974年ARPA的罗伯特.卡恩和斯坦福的温登.泽夫提出TCP/IP协议的时候，只是定义了在电脑网络之间传送报文的方法，而并没有针对网络的安全问题做设计。今天当TCP/IP协议成为局域网、Internet上最常用的协议时，网络安全问题带着先天的缺陷依然困扰着我们。

投稿与新闻线索：陈女士微信/手机：13693626116 邮箱：chenchen#bjxmail.com（请将#改成@）

订阅北极星周刊，精彩内容不再错过！

特别声明：北极星转载其他网站内容，出于传递更多信息而非盈利之目的，同时并不代表赞成其观点或证实其描述，内容仅供参考。版权归原作者所有，若有侵权，请联系我们删除。

凡来源注明北极星*网的内容为北极星原创，转载需获授权。

阅读下一篇

IP硬管道：行业网络IP化的最后一块技术拼图

电力企业查看更多>信息安全查看更多>信息安全管理查看更多>

姓名：
性别：
出生日期：
邮箱：
所在地区：
行业类别：
工作经验：
学历：
公司名称：
任职岗位：

电力基建企业信息安全分析及对策

IP硬管道：行业网络IP化的最后一块技术拼图

登录注册

绑定账号

想要获取更精准资讯推荐？建议您完善以下信息~

订阅成功

想要获取更精准资讯推荐？建议您
完善以下信息~