刘呱呱

【摘要】 随之信息化的快速发展，电力系统遭受黑客入侵，让人们深刻认识到电力系统的信息安全亟不可待。而获取系统权限是所有黑客入侵系统时首当其冲需要解决的问题，本文就如何加强电力系统帐号权限管理，提升供电企业信息安全管控水平进行探讨。

【关键词】 系统 账号 权限 信息安全 供电企业

一、国内外信息安全形式

1、2015年12月，黑客用“乌克兰大面积停电事件”告诉全球，“电力系统被黑客入侵，造成超过一半的地区断电几个小时[1]”将不再是美国大片中的一幕。该事件的发生，为全球工控行业敲响了警钟，伴随着网络攻击的日益猖獗，工控系统网络也面临着越来越多的安全威胁[2]。

2、近年来，电力企业信息化和智能化高速发展，各类高科技产品如无人巡线机、巡检机器人、掌上APP等逐渐广泛应用到电力生产和营销，电力企业的信息安全将面临新的考验。

二、问题描述

1、随着电力企业信息化和智能化水平的提升，特别是“SG-ERP”系统的建设[3]，电力企业信息系统帐号权限已覆盖到公司生产、营销、办公等各个领域，涉及人员多，辐射范围广，帐号权限及规范匹配难度大，人工管理困难。

2、电力企业各类信息系统账号管理过程中普遍存在帐号权限设置不规范，人员、账号、权限信息不匹配，人走权留等问题。同时，系统帐号权限管理普遍存在管理执行过程中可控性差的问题，各类帐号权限异常不能及时发现和处理，给公司整体信息安全带来很大隐患。

三、帐号权限管理措施

3.1 规范账号管理流程

针对目前电力企业系统账号权限管理过程中存在的问题，首先应梳理规范的管理流程，做到管理全过程，管控全方位的一体化管理，实现账号从申请、使用、注销全过程闭环管控。同时，应加强账号使用过程中信息监测，做好异常及时处理。

3.1.1账号权限的申请阶段

业务部门通过在线系统自动发起账号及权限申请请求，业务部门和人资部门相关负责人对系统中收到的请求进行逐级审核，重点对申请人个人信息、是否符合申请条件进行审查，对符合开通条件的人员信息提交信息部门进行账号和权限分配，并做好后台账号权限信息记录，对于提交的申请信息不完备、不符合申請条件的信息进行驳回处理，做到权限账号实名制管理，便于权限账号使用过程中问题的追查。

3.1.2账号权限使用阶段

采用技术手段限制人员访问入口，设置固定的登录平台，同时，后台数据库做好人员登录信息的及时记录，便于审计。

信息运维人员应定期对系统中的人员账号进行清理。系统中所有账号权限应设置访问有效期，对已过有效期没有重新申请或修改的权限和账号应进行定期清理，防止因人员变动造成权限和账号未按照实名制使用造成的信息安全隐患。

3.1.3帐号权限注销

信息部门应定期对数据库中的账号和权限信息进行维护，对于因长时间未登录，或已过访问有效期但未重新申报或者修改的权限账号进行清理，收回相应的权限，其他账号的停运均要求使用人发起注销请求，通过逐级审核后由信息部门进行权限回收。

3.2 落实管理制度

1、制定信息系统账号权限管理细则，明确账号权限使用规范，让持有账号和权限的使用人明确自己的权限范围，规范自己的行为，并制定详细的账号权限操作手册，让人员定期设置满足安全要求的账号权限访问密码，并定期进行修改。

2、制定系统后台数据操作人员管理规范，严格落实账号权限申请、使用、注销流程，限制“走后门”开通临时账号权限带来的隐患。

3、将账号权限管理纳入公司月度及年度绩效，通过绩效进一步约束使用人的行为，从而让管理制度和流程落地。

四 结束语

随着电力信息化和智能化的快速发展，电力系统未来的信息安全形势也越来越严峻。对于电力企业而言，信息安全已不单是一门技术问题，更是一项管理问题[4]，如何做好信息安全管理、提升电力系统信息安全防护将任重而道远，需要所有人员从自身做起，从正确使用系统账号权限做起，逐步提升企业信息安全管理水平。

参 考 文 献

[1]安天.乌克兰电力系统遭受攻击事件综合分析报告.2016.02

[2]乌克兰电网攻击事件之所思 http：//weibo.com/ttarticle/show？id=2309403955091416728168

[3]郑伟.乌克兰电网攻击事件：工控系统网络或成黑客攻击的新目标

[4]刘向波.新形势下供电企业网络终端计算机信息安全浅谈[M].信息技术 2014