信息生存環(huán)境高速擴(kuò)張要求消滅獨(dú)善其身的條塊分割

如果從“信息不安全會(huì)怎樣？”這個(gè)角度去審視整個(gè)電力行業(yè)的信息安全，也許更能看清電力行業(yè)相較于其他行業(yè)表現(xiàn)出的特殊需求和較大不同。眾所周知，電力產(chǎn)品在發(fā)調(diào)輸配供各個(gè)環(huán)節(jié)無(wú)縫銜接，具有不可存儲(chǔ)、不可中斷、瞬間并發(fā)完成等特點(diǎn)，這種連續(xù)性毫無(wú)疑問正是電力行業(yè)的特殊需求。如何保證不因信息安全而影響生產(chǎn)過程，杜絕發(fā)生中斷、遲滯、崩潰等重大安全事故，理所當(dāng)然成為信息安全在電力行業(yè)最有別于其他行業(yè)的需求動(dòng)力。

隨著信息時(shí)代的電力變革日益深入，集團(tuán)化的集權(quán)管控改變了電力信息化進(jìn)程中分泌的各種信息孢子的生存模式及生存環(huán)境，信息安全的界標(biāo)已經(jīng)遠(yuǎn)遠(yuǎn)溢出一廠一所一處，擴(kuò)展漫延至幾乎整個(gè)電力全業(yè)務(wù)流程。多組織、多地域、多體制的生產(chǎn)經(jīng)營(yíng)架構(gòu)之下，信息生存環(huán)境急劇擴(kuò)張，私有專用的環(huán)境理應(yīng)逐漸消失，代之以一個(gè)更具服務(wù)特性的公用、共用、借用環(huán)境。因此，與其他行業(yè)相比，電力行業(yè)的信息安全始終并永遠(yuǎn)如利劍高懸，情形之權(quán)重堪與電力企業(yè)生命周期并存。正是在這樣的背景之下，不可被攻入的信息環(huán)境安全首當(dāng)其沖成為要中之要，不可被篡改的信息內(nèi)容安全成為重中之重。

面對(duì)層出不窮的信息安全產(chǎn)品以及不斷創(chuàng)新的信息安全解決方案，電力企業(yè)卻表現(xiàn)出令人無(wú)法理解的漠視與冷靜。在這種漠視與冷靜的背后，隱藏著的并非是對(duì)安全產(chǎn)品及解決方案的單純質(zhì)疑，而是對(duì)于自身內(nèi)外安全環(huán)境的言行割裂以及某種程度上的安全漠視。例如，關(guān)于行業(yè)層面的信息環(huán)境通盤安全考慮喊的多落地少，每個(gè)業(yè)務(wù)、每個(gè)環(huán)節(jié)都在各立門戶，各自要求、各掃門前雪。典型例子如國(guó)家電網(wǎng)陸續(xù)頒布過一系列規(guī)定和文件，其目的主要側(cè)重于如何保證生產(chǎn)過程的安全；電力行業(yè)的系統(tǒng)設(shè)置按照國(guó)網(wǎng)分區(qū)要求建設(shè)，各大區(qū)之間必須執(zhí)行嚴(yán)格規(guī)定，生產(chǎn)大區(qū)與管理大區(qū)之間必須使用單向隔離網(wǎng)閘等等，這樣導(dǎo)致邊界防護(hù)與分區(qū)隔離這類安全產(chǎn)品在電力行業(yè)每一個(gè)跨網(wǎng)業(yè)務(wù)系統(tǒng)中都不可思議地各自大行其道。既有防火墻、入侵檢測(cè)、單向網(wǎng)閘、網(wǎng)關(guān)、漏洞掃描等產(chǎn)品不斷涌入，還有防病毒、補(bǔ)丁、代理、行為管理等產(chǎn)品紛紛上線?？此瓢踩h(huán)境堅(jiān)如磐石，卻將末端的信息系統(tǒng)整體安全分割得支離破碎。

與日俱增的信息等保密級(jí)管理不能以阻礙信息共享為代價(jià)

沒有信息也就沒有信息化，信息安全便猶如皮毛之附。然而說(shuō)到底，正是由于信息環(huán)境和信息內(nèi)容具備某種特殊使用價(jià)值并可以達(dá)到某種目的，才會(huì)出現(xiàn)信息安全之憂。信息論認(rèn)為，有用的數(shù)據(jù)才叫信息。當(dāng)缺少量綱和單位的時(shí)候，數(shù)據(jù)只是數(shù)字，同一個(gè)數(shù)字在行業(yè)間是等同的，這沒有任何意義。就信息本身而言，行業(yè)差別的含義更多表現(xiàn)于行業(yè)的自身發(fā)展以及行業(yè)對(duì)社會(huì)的影響差異化，通過量綱與單位予以表達(dá)。

我們不妨將一個(gè)企業(yè)分泌的信息孢子分成相對(duì)的兩大類：面向公眾的“公開信息”和面向內(nèi)部的“封閉信息”。從這個(gè)角度討論信息安全，公開信息所面臨的安全隱患主要表現(xiàn)為信息真實(shí)性的安全問題，而面向內(nèi)部的“封閉信息”所面臨的安全隱患表現(xiàn)為管控真實(shí)性的問題。事實(shí)上，電力企業(yè)生產(chǎn)的信息大部分“自產(chǎn)”、“自銷”、“自用”。通常的安全策略包括：訪問互聯(lián)網(wǎng)策略、用戶認(rèn)證策略、保密策略、專網(wǎng)專用策略等；對(duì)安全產(chǎn)品的選擇標(biāo)準(zhǔn)無(wú)外乎企業(yè)資質(zhì)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及品牌，或者產(chǎn)品成熟度、性價(jià)比及售后服務(wù)與技術(shù)支持等。類似半導(dǎo)體二極管，電力企業(yè)從外界獲取的信息無(wú)論在質(zhì)和量上經(jīng)常遠(yuǎn)遠(yuǎn)超過其對(duì)外部貢獻(xiàn)的信息質(zhì)與量。從某種角度上說(shuō)，盡管電力企業(yè)對(duì)待邊界防護(hù)的態(tài)度與其他行業(yè)并沒太大區(qū)別，但在內(nèi)部管控方面卻體現(xiàn)出較高的半軍事化思路，以至于過度的安全管理成為信息共享的瓶頸。

相對(duì)于銀行、電信，電力行業(yè)經(jīng)營(yíng)管理信息化程度相對(duì)較弱，但對(duì)計(jì)劃指標(biāo)、財(cái)務(wù)指標(biāo)、生產(chǎn)指標(biāo)這類生產(chǎn)經(jīng)營(yíng)信息更為重視，分等級(jí)采取不同的保護(hù)措施已經(jīng)尉然成風(fēng)?？紤]到生產(chǎn)過程的不可訪問性，電力行業(yè)生產(chǎn)過程信息化程度與其他制造業(yè)相比，也慢了半拍。盡管其數(shù)據(jù)因其瞬時(shí)性對(duì)外人而言并沒有多大意義，但對(duì)同行之間競(jìng)爭(zhēng)卻也不無(wú)價(jià)值。每個(gè)電力企業(yè)都希望了解到同行的生產(chǎn)指標(biāo)、經(jīng)營(yíng)指標(biāo)，這是信息使用價(jià)值之所在，也是維護(hù)一個(gè)公平公開公正的競(jìng)爭(zhēng)環(huán)境所需要的。這是不可爭(zhēng)辯也很難改變的事實(shí)。也許，未來(lái)幾年，無(wú)論認(rèn)證、保密、防火、防水、行為治理、等級(jí)、容災(zāi)建設(shè)、風(fēng)險(xiǎn)控制，抑或分區(qū)隔離或者虛擬網(wǎng)絡(luò)，對(duì)大多數(shù)電力企業(yè)而言，信息安全的重點(diǎn)仍主要還將集中于邊界防范與內(nèi)部管控，然而這種單向開放卻又相對(duì)封閉的特點(diǎn)令信息的使用價(jià)值大打折扣，當(dāng)信息變成只為少數(shù)人一次性服務(wù)，而沒有變成行業(yè)知識(shí)為更多人、更多系統(tǒng)共享的時(shí)候，信息的存在還有什么價(jià)值呢？對(duì)全方位、全面的信息安全意識(shí)、文化和體系的建設(shè)，對(duì)如何挖掘與使用信息的價(jià)值與使用價(jià)值，使其與業(yè)務(wù)融合，使其供行業(yè)共享，產(chǎn)生應(yīng)有的效益，還有漫長(zhǎng)的路要走。

我們應(yīng)該正確而客觀地審視已經(jīng)不再是一廠一所一處的電力行業(yè)信息安全環(huán)境。如果我們勢(shì)必要實(shí)現(xiàn)數(shù)字化電力、打造國(guó)際一流的電力企業(yè)這一宏偉夢(mèng)想，就勢(shì)必不能漠視眼前日益嚴(yán)峻的信息安全環(huán)境，更不能漠視日益激烈的市場(chǎng)環(huán)境下內(nèi)部信息價(jià)值及其使用價(jià)值的競(jìng)爭(zhēng)。雖然目前電力行業(yè)對(duì)信息安全的重視程度較以往已經(jīng)有了很大提高，但對(duì)信息安全的認(rèn)識(shí)程度及相對(duì)投入比例依然存在一定的差距，與嚴(yán)格的安全管理要求相比，很多信息安全投入事實(shí)上是迫不得已而為之。我們并非一定要追逐最新的安全技術(shù)和策略，但也不能在一棵樹上吊死，也會(huì)考慮產(chǎn)品的可更換性，即盡量減少任何變故帶來(lái)的巨額更替成本。

態(tài)度決定一切。造成這些現(xiàn)象的原因林林總總，消解價(jià)值相悖的安全投入觀還需要假以時(shí)日。面對(duì)電力行業(yè)信息安全新挑戰(zhàn)，我們有必要提高我們的信息安全意識(shí)，也更有必要建設(shè)一個(gè)有利于信息生存的安全文化環(huán)境。打破縱向業(yè)務(wù)壁壘，實(shí)現(xiàn)橫向業(yè)務(wù)融合，釋放信息使用價(jià)值，進(jìn)而保證電力行業(yè)及其信息化進(jìn)程的可持續(xù)發(fā)展，也許是信息安全的最大價(jià)值。