電力行業是國家的基礎和支柱行業，隨著現代化建設的迅速發展，各行各業對電力能源需求日益強勁，對電力行業的依賴也越來越強，電力行業的發展和建設關系到國計民生，是整個國家安全保障體系的重要一環。

電力行業經過體制改革之后拆分為國家電網公司、南方電網公司以及五個發電集團公司，構成了廠網分家的市場競爭格局。隨著計算機技術、通信技術和網絡技術的發展，電力系統網上開展的業務及應用系統越來越多，要求在業務系統之間進行的數據交換也越來越多，對電力網絡的機密性、完整性、可用性、可靠性等等都提出了嚴峻挑戰。如何保障電力網絡的安全可靠運行已成為一個非常緊迫的問題。2002年5月中華人民共和國國家經貿委出臺了《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》，電監會也出臺了《電力二次系統安全防護規定》，重點防范對電網和電廠計算機監控系統及調度數據網絡的攻擊侵害，及由此引起的電力系統事故，以保障我國電力系統的安全、穩定、經濟運行，保護國家重要基礎設施的安全，這些規定對指導和規劃我國電力行業信息安全建設都有著重要的意義。

1．缺乏統一的安全管理體系和安全規劃，缺乏統一的規章制度和安全策略。由于安全威脅日益嚴重，要求企業必須根據安全狀況制定適合自己的安全管理框架，具體安全管理框架的內容可以包括：

安全策略：包括企業安全白皮書、安全相關的各種規章制度、安全相關流程（如事故

緊急響應流程）、 各種設備采購安全標準等等；

安全組織：包括有企業決策人參與的安全領導小組，專門的安全部門和安全人員，培養內部信息安全專家，將企業內部所有IT系統使用和維護人員納入專業的安全論壇；

安全培訓體系：建立外部和內部的培訓機制，增強企業內部員工安全意識培訓和安全技能培訓；企業IT資產管理：對企業的信息資產和安全需求有明確的了解和定義，做到“知己知彼”。

2、缺乏完整的技術防護體系。目前各電力信息系統已經采用了一些安全防護措施，但是相對于日益復雜 多變的信息安全形勢，安全措施的采用還是不足的，存在嚴重的風險和安全隱患，表現如下：
■ 簡單防御，已部署的產品功能單一，可能僅為對抗某一類威脅而設 計，難以對抗日益復雜的、混合式的攻擊；
■被動防御，僅靠定期更新特征庫簽名的方式，無法對最新的，以及未知的攻擊做出有效的防御，在與黑客的對抗中永遠處于下風；
■防御區域有限，或定位于網絡邊界，或定位于內部終端，沒有形成統一的、立體的、深度耦合的防御體系，難免顧此失彼，疲于應對；
■同時采用不同廠商的多種設備，導致部署復雜，資源浪費，功能重復，管理成本高，無法從海量的報警和日志中發現真正的威脅，同時分散的產品也難以制定整體安全策略，難以協同工作，無法真正達到保護網絡安全的目的；
^┍ HLC華菱企管_┛電力行業解決方案：
^┍ HLC華菱企管_┛基于對信息安全的深刻理解，參考國內外先進標準理念，根據多年的安全領域建設經驗，總結提煉出能夠充分滿足電力行業當前及未來發展需求的電力行業信息安全保障體系，以“信息保障（IA）”為中心，以“深度防御”和“綜合防范”為指導，以“信息安全風險分析”為手段，以“信息安全管理”為重點, 從人員、技術、管理等方面提供安全保障能力，將電力行業網絡劃分成網絡邊界、網絡基礎設施、終端計算環境、以及支持性基礎設施等多個安全防御領域，保護電力信息及信息系統，滿足其保密性、完整性、可用性、可認證性、不可否認性等安全需求。具體電力行業安全保障體系為：

1．通過ISO27001的信息安全管理體系建立，確保在管理制度有一套規范的制度作為電力運營的有效運行體系。如建立訪問控制、·入侵檢測/入侵防御、·通信加密（VPN）、·網關防病毒等制度。

2、通過ISO20000-1的IT服務管理體系建立，確保在管理制度有一套規范的制度作為電力運營的有效運行體系。如建立·安全狀態完整性檢查和強制認證、·網絡準入控制、·外設使用控制、 ·終端用戶行為監控及審計制度等。

3、通過對風險評估和相關對策的制訂，降低風險，如建立風險管理、資產管理、脆弱性管理、安全事件管理、安全任務單管理、安全預警管理、安全設備管理、安全評價管理、報表管理等制度。