网络安全 - 319 - 浅谈火电企业网络信息安全及管控 徐州华润电力有限公司，孟科技、李勇、耿相亮 摘 要：当前工业化和信息化的快速融合，为了管控工业网络信息安全，国家颁布一系列工业网络安全政策制度及 标准，通过人防和技防搭建安全可控网络防御体系。火电企业作为工业一员为工业生产提供了动力，是工业发展中重要 的一环，其网络安全需要特别重视，火电的网络信息安全首先要在技防上防网络入侵，防病毒，等级保护，数据及设备 容灾，数据加密等；其次在人防上建立网络安全培训，及时制定更新网络安全规则及防范措施对网络维护与管理。 关键词：信息安全；防御体系；安全培训；维护与管理 当前工业化和信息化的快速融合，信息化的网 络威胁蔓延至工业化中。为了网络安全，国家制定 一系列法律法规等文件，如法律法规文件《中华人 民共和国网络安全法》，行业要求的方案《电力监 控系统安全防护总体方案》，建设标准的文件《信 息安全技术网络安全等级保护基本要求》，以及指 导文件 《工业控制系统信息安全防护指南》 其中 《中 华人民共和国网络安全法》第 31，38，59 条说明网 络安全的要求及处罚。 按照《电力监控系统安全防护规定》，原则上 将发电厂基于计算机及网络技术的业务系统划、分 为生产控制大区和管理信息大区，根据业务系统的 重要性和对一次系统的影响程度将生产控制大区划 分为控制区（安全区Ⅰ）及非控制区（安全区Ⅱ）， 重点保护生产控制以及直接影响电力生产（机组运 行）的系统。 电力行业是我国经济发展、社会的进步的基础。 现我国电力行业的市场化建设和信息网络的应用普 及率不断提高其信息化发展带来了电力企业的经营 效率提高，同时也带来了巨大网络安全风险，稍有 不慎就会给电电力系统及国家带来的经济损失，甚 至影响了国家的安全。对电力企业进行网络安全的 风险分析及管控，对于电力企业和国家的健康稳定 运行发展有着极其重要的意义。 目前电力企业网络信息安全形势严峻且防护困 难。电力企业运营为了提高效率的各种数据需要通 过网络进行传输，火电企业网络防护技术落后于更 新日益的互联网攻击技术，且火电企业网络子系统 繁多，对于其网络权限分配、分级控制、信息传递 等表现得更加复杂，想做到全面的信息安全防护是 非常困难，对于攻击者寻找这套复杂的系统的漏洞 相对容易。 首先，网络信息安全意识薄弱，特别是管理人 员信息安全观念方面的问题尤为突出。电力企业未 能充分认识到信息技术对于电力生产安全与经济两 面性，部分领导往往注重企业运营的经济效益，而 忽视信息网络安全方面的问题，重视先进的技术防 护忽略基本的人员制度防护。部分电力企业虽加强 重视了电力信息安全问题，提出很多问题但未制定 有效的解决措施方案及切实可行的规章制度，基层 工作人员缺乏企业政策方针的宣贯，信息安全意识 较为淡薄，甚至在网络安全检查时，仅仅应付上级 检查等做些表面工作。 其次，网络信息安全的技术薄弱，对技术管理 问题不够重视，没有做好对企业职工的相关培训工 作，企业职工的安全技能水平偏低，对信息安全的