1、電力安全要“以人為本”淺談泰勒的科學管理原理在電氣有限公司的應用 “所有的日常活動中，不注意效率的行為都在使整個國家資源遭受巨大損失，而補救效能的辦法不在于尋求某些出眾或是非凡的人，而在于科學的管理。”提出這個觀念的人正是被西方管理界譽為“科學管理之父”的泰勒。泰勒的科學管理的根本目的是謀求最高的工作效率，而最高的工作效率是雇主和雇員達到共同富裕的基礎，把較高的工資和較低的勞動成本統一起來，能夠擴大再生產，促進生產的發展。要達到最高的工作效率，就要用科學化的、標準化的管理方法代替舊的經驗管理。電力工業是我國的重要基礎設施，其安全生產直接關系到國計民生，它的安全問題是國家安全的重要組成部分。電力

2、工業的特點決定了電力信息安全不僅具有一般計算機信息網絡信息安全的特征，而且還具有電力實時運行控制系統信息安全的特征。目前，電力系統正在建立全方位的信息安全防護體系，包括安全技術體系和安全管理體系。在安全防護體系建設過程中，應該堅持以人為本的思想，因為無論多么先進的技術和完善的管理制度，最終都是靠人去實現和執行的。員工安全意識有待提高人是信息安全活動中的最根本因素，特別是企業內部員工，他們是信息系統最大的潛在威脅者，因為他們最熟悉企業內部的網絡和應用系統架構的漏洞。據統計，80%以上的信息安全事故是由于內部員工的疏忽或有意泄密造成的，只有不到20%是由于黑客入侵或其它外部原因造成的。目前，電力員

3、工的安全意識普遍不高，很多電力系統業務人員對信息安全的認識還停留在過去的水平，對新出現的安全問題認識不足。主要表現如下：1.信息系統口令的設置用戶名與口令一樣（如root，root），口令長度和復雜度不夠（如1234、123456等），多人共用一個口令，采用單位名、電話號碼、生日等基本信息做口令，不同系統上使用同一口令，口令存入計算機文件中，從不更改口令等。2.安裝系統或軟件時采用默認配置默認配置往往存在很大的安全漏洞。如防火墻安裝后，甚至連管理員口令都沒有改，還是廠商出廠設定的。3.沒有安裝最新的安全補丁在做安全咨詢時，經常有電力企業的員工說，單位已經部署了網絡防病毒系統，自己也安裝了客戶端

4、殺毒軟件，但機器上還是經常感染病毒。后來發現他們殺毒軟件的病毒庫一直沒有更新，還是安裝時的病毒庫。因為病毒種類在不斷變化，只有在線或定期更新病毒庫，經常查殺病毒，不打開來路不明的郵件及其附件，才能拒病毒于千里之外。因此，堅持以人為本的原則，對電力企業的員工進行安全培訓，提高他們的安全意識是非常必要的。以人為本的安全模型電力系統安全防護體系的實施應符合如圖所示的安全模型。從圖中可以看出，該模型是由人、策略、技術、評估、設計、實施、培訓、監控和響應組成的綜合體，這是一個系統工程。其中，人是核心，策略是橋梁，技術是基礎。策略由人來制定，技術和管理保證安全策略的實現。1.策略安全策略是企業高層制定的，

5、是電力企業信息安全工作的依據，是企業所有安全行為的準則。信息安全不是某個安全技術措施，而是圍繞安全策略的具體需求有序地組織在一起的一個動態的安全防范體系。如果說信息安全的目標是一座大廈的話，那么相應的安全策略就是施工的藍圖，它可使網絡及應用系統的安全管理工作避免盲目性。電力企業的總體安全策略是：分區防護、強化隔離。根據各地電力系統的特點和目前狀況，可以將電力系統分為實時控制區、非控制生產區、生產管理區和管理信息區四個安全域。采用不同強度的網絡安全設備，如硬件防火墻、電力專用安全隔離裝置等，可使各安全區中的業務系統得到有效的保護。2.評估安全評估是對企業現有的網絡架構、核心路由器、交換機、關鍵服

6、務器、業務流程、安全策略、現有安全措施的安全漏洞及潛在影響進行全面分析，以提出合理的安全建議以保證企業資產的機密性、完整性和可用性等基本安全屬性。電力系統是非常復雜的系統，首先必須要進行全面的安全評估。通過安全評估，可以了解目前系統的安全情況和系統中存在的各種安全風險，并以此為依據有針對性地制定電力系統的安全策略和解決方案，進行相應的網絡安全技術和安全產品的選用和部署，對整個業務系統的安全進行統一的規劃和建設。3.設計根據前期安全評估的報告和建議，分析實現安全功能的優先級和投入成本，同時考慮到企業風險承受能力，設計出一個適用性的安全目標，以實施與安全目標一致的電力信息安全系統。4.實施設計好安

7、全目標和安全解決方案后，為了保證安全工程的順利執行，需要加強管理和協調。首先應成立實施小組，并明確小組各成員的職責；然后制定合理的中長期實施計劃，并按計劃分期進行實施。5.培訓安全意識和相關技能的培訓是以人為本安全模型的重要內容，其實施力度將直接關系到電力企業安全策略被理解的程度和執行的效果。為了保證電力企業信息安全的成功和有效，應當對電力企業各級管理人員、技術人員、一般員工進行安全培訓。而且，安全培訓應當定期地、持續地進行。所有的企業人員必須了解并嚴格執行電力企業的安全策略。在安全培訓具體實施過程中應該有一定的層次性。主管信息安全工作的高級負責人或各級管理人員，重點是了解、掌握企業信息安全的

8、整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。一般員工，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。6.監控監控就是利用入侵檢測、漏洞掃描和網絡分析等技術提供的工具，來檢查系統可能存在的一些可被黑客利用、病毒攻擊的漏洞和弱點。因此，要具備相應的技術工具，并形成動態監控的制度，建立報告協調機制，提高這種監控的實時性。7.響應響應就是對監控到的危及電力系統安全的事件、行為、過程，及時做出響應處理，以防

9、危害進一步擴大。這就要求建立電力系統的安全事件應急體系和預案，用于保護、分析對系統資源的非法訪問和網絡攻擊，并配備必要的應急設施，統一調度，從而形成對重大安全事件（遭到自然災害、黑客、病毒攻擊和其他人為破壞等）快速響應的能力，最大限度地降低電力系統的風險。以人為本的安全模型是一個循環的螺旋式上升過程，每一次循環都是對上一次的改進和提高，新出現的安全問題都將修正原來的安全策略及系統實施。安全實施的四個重點在以人為本的安全防護體系實施過程中，以下方面必須考慮：1 建立健全安全組織體系建立電力企業信息安全的決策層、管理層、執行層等組織機構，并配置相應的人員。通過合理地協調規章制度、技術和組織三種因素

10、，達到保障電力企業整體信息安全的目的。2 制定一個合理的安全策略安全策略表明對安全的定義和說明各個領域的安全要求，這個策略為安全方案的制定和實施提供了依據，同時為員工合法、安全地使用信息系統提供具體指導。制定安全策略時，要符合國家和行業的安全法律法規，并結合企業的實際情況，這樣制定的安全策略的才具有可操作性。電力系統安全防護的總體策略是：橫向隔離、縱向認證和縱深防御。3 強化風險管理通過降低風險（如部署防火墻、入侵檢測系統、電力專用安全隔離裝置等）、避免風險、轉嫁風險（如買保險等）、接受風險（基于企業的投入/產出比考慮，尋求企業投資與風險承受能力的平衡點）等多種風險處置方式，來協助管理部門根據

11、電力企業的業務目標和業務發展特點來調整企業的安全策略，指導企業信息系統安全技術體系與管理體系的建設。由于信息安全是動態變化的，因此，風險管理是一個長期持續的工作，應將風險管理制度花和規范化。4 制定可實施的安全管理制度安全管理制度是保障電力企業安全實施的重要基礎。信息安全防護工作需要通過一系列安全規章制度的實施，來確保企業員工按照規定和制度的職責行事，做到各行其職、各負其責，避免安全責任事故的發生和防止惡意的攻擊。主要的安全管理制度有：機房人員管理制度、系統管理人員管理制度、機房設備管理制度、密碼口令管理制度、安全事故應急預案管理制度、電力業務系統備份與恢復管理制度。這些安全制度制定后，要紙張化，由企業的高層領導簽字發布，并對所有的員工進行安全培訓，保證安全制度得到順利執行。 以人