電力行業(yè)是國家的基礎和支柱行業(yè)，隨著現(xiàn)代化建設的迅速發(fā)展，各行各業(yè)對電力能源需求日益強勁，對電力行業(yè)的依賴也越來越強，電力行業(yè)的發(fā)展和建設關系到國計民生，是整個國家安全保障體系的重要一環(huán)。

電力行業(yè)經(jīng)過體制改革之后拆分為國家電網(wǎng)公司、南方電網(wǎng)公司以及五個發(fā)電集團公司，構成了廠網(wǎng)分家的市場競爭格局。隨著計算機技術、通信技術和網(wǎng)絡技術的發(fā)展，電力系統(tǒng)網(wǎng)上開展的業(yè)務及應用系統(tǒng)越來越多，要求在業(yè)務系統(tǒng)之間進行的數(shù)據(jù)交換也越來越多，對電力網(wǎng)絡的機密性、完整性、可用性、可靠性等等都提出了嚴峻挑戰(zhàn)。如何保障電力網(wǎng)絡的安全可靠運行已成為一個非常緊迫的問題。2002年5月中華人民共和國國家經(jīng)貿(mào)委出臺了《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護的規(guī)定》，電監(jiān)會也出臺了《電力二次系統(tǒng)安全防護規(guī)定》，重點防范對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的攻擊侵害，及由此引起的電力系統(tǒng)事故，以保障我國電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行，保護國家重要基礎設施的安全，這些規(guī)定對指導和規(guī)劃我國電力行業(yè)信息安全建設都有著重要的意義。

1．缺乏統(tǒng)一的安全管理體系和安全規(guī)劃，缺乏統(tǒng)一的規(guī)章制度和安全策略。由于安全威脅日益嚴重，要求企業(yè)必須根據(jù)安全狀況制定適合自己的安全管理框架，具體安全管理框架的內(nèi)容可以包括：

安全策略：包括企業(yè)安全白皮書、安全相關的各種規(guī)章制度、安全相關流程（如事故

緊急響應流程）、 各種設備采購安全標準等等；

安全組織：包括有企業(yè)決策人參與的安全領導小組，專門的安全部門和安全人員，培養(yǎng)內(nèi)部信息安全專家，將企業(yè)內(nèi)部所有IT系統(tǒng)使用和維護人員納入專業(yè)的安全論壇；

安全培訓體系：建立外部和內(nèi)部的培訓機制，增強企業(yè)內(nèi)部員工安全意識培訓和安全技能培訓；企業(yè)IT資產(chǎn)管理：對企業(yè)的信息資產(chǎn)和安全需求有明確的了解和定義，做到“知己知彼”。

2、缺乏完整的技術防護體系。目前各電力信息系統(tǒng)已經(jīng)采用了一些安全防護措施，但是相對于日益復雜 多變的信息安全形勢，安全措施的采用還是不足的，存在嚴重的風險和安全隱患，表現(xiàn)如下：
■ 簡單防御，已部署的產(chǎn)品功能單一，可能僅為對抗某一類威脅而設 計，難以對抗日益復雜的、混合式的攻擊；
■被動防御，僅靠定期更新特征庫簽名的方式，無法對最新的，以及未知的攻擊做出有效的防御，在與黑客的對抗中永遠處于下風；
■防御區(qū)域有限，或定位于網(wǎng)絡邊界，或定位于內(nèi)部終端，沒有形成統(tǒng)一的、立體的、深度耦合的防御體系，難免顧此失彼，疲于應對；
■同時采用不同廠商的多種設備，導致部署復雜，資源浪費，功能重復，管理成本高，無法從海量的報警和日志中發(fā)現(xiàn)真正的威脅，同時分散的產(chǎn)品也難以制定整體安全策略，難以協(xié)同工作，無法真正達到保護網(wǎng)絡安全的目的；
^┍ HLC華菱企管_┛電力行業(yè)解決方案：
^┍ HLC華菱企管_┛基于對信息安全的深刻理解，參考國內(nèi)外先進標準理念，根據(jù)多年的安全領域建設經(jīng)驗，總結提煉出能夠充分滿足電力行業(yè)當前及未來發(fā)展需求的電力行業(yè)信息安全保障體系，以“信息保障（IA）”為中心，以“深度防御”和“綜合防范”為指導，以“信息安全風險分析”為手段，以“信息安全管理”為重點, 從人員、技術、管理等方面提供安全保障能力，將電力行業(yè)網(wǎng)絡劃分成網(wǎng)絡邊界、網(wǎng)絡基礎設施、終端計算環(huán)境、以及支持性基礎設施等多個安全防御領域，保護電力信息及信息系統(tǒng)，滿足其保密性、完整性、可用性、可認證性、不可否認性等安全需求。具體電力行業(yè)安全保障體系為：

1．通過ISO27001的信息安全管理體系建立，確保在管理制度有一套規(guī)范的制度作為電力運營的有效運行體系。如建立訪問控制、·入侵檢測/入侵防御、·通信加密（VPN）、·網(wǎng)關防病毒等制度。

2、通過ISO20000-1的IT服務管理體系建立，確保在管理制度有一套規(guī)范的制度作為電力運營的有效運行體系。如建立·安全狀態(tài)完整性檢查和強制認證、·網(wǎng)絡準入控制、·外設使用控制、 ·終端用戶行為監(jiān)控及審計制度等。

3、通過對風險評估和相關對策的制訂，降低風險，如建立風險管理、資產(chǎn)管理、脆弱性管理、安全事件管理、安全任務單管理、安全預警管理、安全設備管理、安全評價管理、報表管理等制度。