2电力信息系统面临的威胁和存在的问题

2．1面临的威胁电力信息系统面临的威胁来自各个方面。归结起来主要包括以下几个方面。

(1)系统组件固有的脆弱性和缺陷。电力信息系统组件在设计、制造和组装中，可能留下各种隐患：①电力信息系统硬件组件的安全隐患，这种问题多数来源于设计。②软件组件的安全隐患，来源于软件设计和软件工程实施中的遗留问题。③基于TCP／IP协议栈的因特网在设计之初只考虑了互联互通和资源共享的问题，无法兼容解决来自网际的大量安全问题。

(2)自然威胁。自然威胁是不以人的意志为转移的不可抗拒的自然事件，如地震、雷击、洪灾和火灾等。

(3)意外人为威胁。这是一类具有各种不确定因素(如不正确的操作、配置、设计或人员的疏忽大意)综合时偶然发生的安全威胁。不是有人故意造成的，但是发生的概率大，产生的损失也可能是非常巨大、无法挽回的。

(4)恶意人为威胁。恶意的人为威胁包括欺诈或偷窃、内部员工的恶意破坏、怀有恶意的黑客行为、恶意代码、侵犯他人个人隐私等行为。

2．2电力信息系统存在的问题

电力信息系统安全在过去几年虽然已经取得了长足发展，但是在信息系统的规划、建设和运行维护过程中需要研究和解决的问题还很多。分析现状，笔者认为电力信息系统目前存在的问题主要表现在：(1)人员信息安全意识薄弱；(2)信息安全管理机制不完善；(3)系统边界安全防护薄弱，安全隐患依然存在；(4)缺乏安全体系和可评估的安全模型等几个方面。

3电力信息系统安全的建设

通过分析，针对电力信息系统目前存在的问题，我们应该结合企业自身的特点，坚持“安全第一，防御为主”方针，有目的地、合理地设计电力信息系统安全体系和模型，建立健全与信息化相适应的信息安全保障、监督体系，积极防御和综合防范信息技术风险，增强信息系统安全预警、应急处理和灾难恢复能力，以确保满足基本安全需求。

3．1建立健全信息安全工作机制

切实加强组织和领导，把信息安全纳入电力安全生产体系，坚持一手抓信息化建设，一手抓信息安全保障工作。各级主管领导要亲自研究、协调处理信息安全l_日]题，健全信息安全管理体制，落实责任部门，明确责任人员，提高各级人员的信息安全意识，各尽其职，常抓不懈，确保信息安全积极防御措施和综合防范工作落到实处，确保信息安全管理机构、人员、职能、责任“四到位”。

3．2不断完善信息安全管理制度体系

统筹规划，突出重点，加快信息安全管理制度和标准规范建设步伐，强化信息安全规章制度落实工作，尽快编制电力企业有关实施意见，明确电力信息系统安全重大任务和重要项目，统筹规划电力企业信息安全工作。落实电力信息系统分区安全策略，有效指导各企业信息安全防护设施新建和更新工作，规范信息事故发生后的调查处理，加强信息安全事件监督。尽快出台电力信息系统安全体系建设规范，加强身份认证、授权管理和跟踪审计工作。抓紧研究和编制灾难恢复系统建设规范，确定灾难恢复策略，统筹规划各企业灾难恢复系统建设。