電力施工企業信息系統安全保障

胡俊勇

【摘要】 本文闡述了電力施工企業如何通過組織、管理、運行、技術等各類手段，全方位保障企業信息系統安全的過程。

【關鍵詞】 電力施工 信息系統 安全

筆者就職于四川電力建設三公司（以下簡稱為“公司”），從事企業信息化管理工作。四川電力建設三公司是一家典型的電力施工企業，擁有眾多的施工項目，分散在國內外各地。隨著信息技術的飛速發展，公司也緊跟時代的腳步，開發并使用了一系列信息系統，包括公司OA辦公系統、數據報表系統、人事管理系統、財務資金管理系統、資產管理系統、郵件系統等。由于公司是一家大型電力施工企業，主營業務為電源建設，項目投資金額大、項目周期長、生產環節繁雜、參與人員較多，因此信息系統的數據流鏈條較長、信息采集點較多，且包含大量公司商業秘密，信息系統的安全保障是公司異常關注的重點工作。本人在多年的工作實踐中，積累了一定的信息系統保障工作經驗，現對此項工作進行全面總結。信息系統安全保障工作，從宏觀角度可以分為信息安全管理體系建設、信息安全組織與管理、信息安全法規與標準化工作、信息安全技術工程幾個方面。

信息安全體系建設主要指信息安全管理體系ISMS的建立與運行。信息安全管理體系ISMS是目前國際上使用較廣泛的信息安全管理方法，其認證標準對企業進行信息安全保障工作具有較強的指導意義。公司作為一家大型電力施工企業，未雨綢繆，在本世紀初就開始了相關的體系建設工作。信息安全管理體系ISMS的相關標準有ISO/IEC27001和GB/ T22080，主要有規劃建立、實施運行、監視評審、保持改進四個過程。

1、在規劃建立階段，公司參照國際國內先進企業經驗，確定了公司ISMS組織結構范圍、業務范圍、信息系統范圍和物理范圍，制訂了ISMS方針，確定了風險評估方法。2、在實施運行階段，公司制定了風險處理計劃、實施風險處理計劃、開發有效測量程序、實施培訓和意識教育計劃、管理ISMS運行。其中，工作重點是對具體風險的有效應對與控制。公司針對面臨的各項風險制定了專門的風險管理計劃，對每一項風險的處理優先順序、處理措施、所需資源、責任人、驗證方式進行了詳細定義，確保風險管理的可執行性。3、在監視評審階段，公司通過日常監視與檢查、內部審核、風險評估、管理評審等活動確保整體監控水平。4、保持改進階段，公司主要活動為實施糾正和預防措施，消除各個管理不符合項，確保在發生信息安全事件時，能夠從容應對、科學分析，并采取最優的處理措施。

信息安全組織與管理是對公司信息系統參與者的針對性管理，主要分為內部組織管理與外部管理兩個方面。其中，內部組織管理是該項工作的核心。公司的信息系統由于信息采集點較為分散，信息傳送路徑較長，因此信息安全的潛在威脅也較大。如何保證信息系統中大量的商業秘密數據不被泄漏、不被竊取、不被篡改，是公司信息安全組織管理的核心目標。為此，公司進行了業務梳理，將各項數據的報送流程進行了明確規定，將數據的處理權限同公司組織架構有效結合、綜合考慮，做好了合理分配。比如，工程進度報表，就被限定了填報人員為各項目部工程部進度管理專責人員，審核者被限定為各項目部工程部經理，簽發者為各項目部項目經理，匯總者為公司總部工程管理專責。這樣，不管具體人員如何變動，信息處理參與者都只與限定的崗位有關聯，確保了數據信息的保密性、可用性和有效性。信息安全法規與標準化工作對于信息系統安全保障具有較大的指導意義。只有嚴格遵從國家信息安全法律法規、行業規定及相關標準，才能確保企業信息安全保障工作有法可依、有章可循。我國相關的法律法規有《中華人民共和國保守國家秘密法》、《計算機信息系統安全保護條例》、《互聯網信息服務管理辦法》、《信息安全等級保護管理辦法》、《計算機信息系統國際互聯網保密管理規定》、《計算機病毒防治管理辦法》、《電子簽名法》等。我國制定的信息安全相關標準有GB 17859-1999《計算機信息系統安全保護等級劃分準則》、GB/T 25058-2010《信息系統安全等級保護實施指南》、GB/ T 20269-2006《信息系統安全管理要求》、GB/T 21052-2007《信息系統物理安全技術要求》等。這些標準從工作、管理、技術方面對企業信息安全保護活動進行了標準化約束，為公司進行信息系統安全保護工作提供了文件支持。

信息安全技術工程是公司進行信息系統安全保障工作的基礎性活動。也是公司信息系統安全保障工作的具體落腳點，其實施效果的好壞直接關系到公司信息系統安全保障工作的最終效果。公司將該項活動分為了訪問鑒別技術、操作系統安全技術、數據庫安全技術、網絡安全技術等幾個方面，逐一落實。其中，訪問鑒別技術，主要根據信息系統的重要性和角色權限的分配，使用了諸如口令加密技術、密碼工具、數字證書技術。比如，對于一般的信息系統及普通用戶，公司對密碼口令進行了一定的復雜性設置，確保難以被暴力破解。而對于重要信息系統及重要用戶角色，則配備了密碼加密狗，保證身份鑒別有效性。公司機關局域網統一配備了安全防護軟件，實行統一后臺管理，確保操作系統的運行安全。為了應對DDOS攻擊、SQL注入攻擊，公司為數據庫與網絡區域邊界配備了新型防火墻及防篡改系統，并針對異常流量部署了安全防護策略，最大限度保證數據環境安全。

公司始終將信息系統安全保障工作視為綜合性工程，無論是組織管理、制度管理、技術應用還是體系建設，都保持謹小慎微的心態，將每項工作落實到位。多年來，公司未發生一起信息安全事件，信息安全保障工作收到了良好效果。