面向四川電力業務運行的信息安全保障體系構建研究

,

(國網四川省電力公司信息通信公司，四川 成都 610041)

0 引 言

隨著國網四川省電力公司(以下簡稱四川公司)信息通信系統與電網安全生產、日常經營活動深度融合，信息專業已成為大電網運行控制和四川公司生產經營管理的重要基礎。與之對應的是，該專業具有數據量大、分布面廣、利用價值高、技術復雜度高、運行渠道多樣化等特點[1]，給工作帶來便利的同時，各類外部攻擊和數據泄漏風險大幅提升。國網四川省電力公司信息通信公司(以下簡稱信通公司)作為四川公司信息化支撐單位，運行維護著全省絕大多數信息系統和通信信息骨干網絡，肩負著重要的政治責任、經濟責任和社會責任。全新的形勢帶來了全新的要求，信通公司平臺安全防護面臨著嚴峻挑戰。

1 問題分析

當前，四川公司面臨的信息安全形勢空前嚴峻。電網生產運行高度依賴網絡和信息化，一旦外部攻擊突破安全防護體系，將直接威脅電力系統安全[2]。信通公司支撐著四川公司各業務部門生產、營銷、財務、人資、ERP、電力交易等逾百套信息系統的運維工作，管理著超過數百T的核心數據，服務著超過10萬內部用戶和數千萬外部電力用戶，存在大量可能具有安全隱患的環節，信息安全如履薄冰。

1)網絡攻擊威脅日益增加。網絡攻擊技術與手段的迅速發展，網絡安全攻擊的針對性、持續性、隱蔽性顯著增強，大大增加了網絡安全防護難度，甚至造成嚴重的損失。2017年迄今為止，信通公司監測并攔截互聯網出口高風險攻擊數量295.96萬余次，比去年同比增加11.58%；外網網站遭受攻擊數量2 543.2萬余次，比去年同比增加12.48%。

2)信息安全運行壓力大。隨著信息通信系統規模和應用范圍的大幅持續增長，信息通信系統大面積停運的風險不斷增加,尤其是因信息通信故障導致大面積停電的風險依然存在。

3)信息安全邊界持續擴大。四川公司信息化應用由內網為主、向內外網協同轉變，接入方式由有線向無線演變，全業務統一數據中心、移動作業終端、光伏電廠、風電廠、充電樁、計量采集終端、智能電表等新業務的安全管理存在隱患，安全防控難度陡增[3]。

4)服務對象范圍不斷膨脹。四川公司的公眾服務業務作為面向用戶的服務窗口和展示形象，存儲了大量公眾客戶的敏感信息，智能電表和掌上電力等營銷類自動繳費業務應用的推廣，在帶來業務創新的同時，也引入了工控安全風險，隨之而來的還有權限、內容、數據、操作等各類安全風險不斷擴大[4]。

由此，怎樣堅決貫徹落實國家電網公司戰略部署，做好信息安全工作，保障信息通信專業的穩定、可靠運行和服務，構建符合電力行業特點的信息安全保障體系，是信通公司一項重大課題，也是推動公司面向電力市場競爭新形勢發展的必然要求。

2 信息安全保障體系構建

2.1 總體架構

信息系統現階段自動化和智能化程度有限，其穩定運行的核心因素依然是各級從業人員及其在運維過程中的操作，構建適應四川公司實際工作特點的信息安全保障體系至關重要。顯然，僅依靠技術手段規范人的行為，很多時候會失之于僵化；而僅依靠管理手段則常常失之于松軟。因此，“人防”與“技防”雙管齊下，從兩個方面同步規范運維人員日常工作，才能達到期望的效果。信息安全保障體系的基礎架構如圖 1所示。

信息安全保障體系設計的初衷，是從技術和管理兩個層面保障四川公司信息系統、網絡及數據的運維安全，達到底層支撐服務保密、完整、可用等安全目標。其中，技術體系重點關注系統的安全防護、檢測、響應和恢復，而管理體系則著重強調日常工作的合規性和人員管理的嚴密性，通過完善的管理流程和制度標準對運維過程進行規范，在統一的安全策略指引下，共同保障信息安全保障體系的有效性。

圖1 信息安全保障體系基礎架構

2.2 管理要素

管理體系是信息安全保障體系的總體原則，也是保障體系落地的制度保障。因此，管理體系應當從四川公司的整體出發，全面考慮各方面安全管理問題，健全四川公司信息安全管理組織和管理機制，結合完善的安全管理制度，覆蓋公司信息安全的全流程，其要素如表 1所示。

表1 管理體系基本要素

1)落實安全責任

全面開展《網絡安全法》[5]宣貫培訓，做到深入理解、逐條落實，將網絡安全法要求制度化，牢固樹立風險意識，充分認識責任義務，層層簽訂安全責任書，將相關責任壓緊壓實，直至貫穿公司全業務、全環節、全過程。

2)完善安全制度

以標準化為目標，通用制度為準繩，構建四川公司標準化制度體系。利用信息專業獨特優勢，構建管理統一、職責明確、界面清晰的四川公司信息安全管理體系、監督體系和保障體系，發揮信通公司在信息化建設與業務部門支撐中承上啟下的作用，強化內控機制[6]，堅持內控與外防并重、人防與技防并重，對各類違規、違章和網絡信息安全事件，嚴肅問責、堅決處理。借鑒營銷、財務等專業的標準化服務體系，明確各專業信息安全管理體系關鍵節點和要素，打造標準化制度體系，力爭實現信息通信運維服務從“面向設備”到“面向業務”，從“支撐業務”到“推動業務”，最終到“面向服務”的轉變。

3)提升履職能力

人才是發展的第一資源。嚴格貫徹落實四川公司安全工作要求，加強與各業務部門的溝通，結合表1梳理的信息安全管理體系關鍵節點所必需的要素，常態化開展相關培訓，做到梳理一項，培訓一項，落實一項，創新人才培養體制機制，提升信息安全履職能力。

4)系統建設管控

建立第三方安全管理的規范和制度，并要求其嚴格遵守。嚴格控制第三方對信息系統的訪問，對第三方訪問的風險、人員及運維管理進行風險評估，并在合同中規定其安全責任和安全控制要求，以維護第三方訪問的安全性。

2.3 技術要素

信息安全技術是信息安全保障體系構建的底層保障，也是管理層面的具體落腳點，對保障體系構建尤為重要。信息安全的技術實現應當遵循先進性、實用性、可靠性及可擴展性原則，既能夠應對信息系統運維現狀，又能以足夠的能力滿足四川公司未來業務發展的需求，其架構如表 2所示。

表2 技術體系基本要素

1)網絡安全域劃分及改造

通過安全域劃分及改造，能夠從網絡基礎層面實現對外部攻擊進行層次化、立體化防御，從而進一步落實安全管理政策、制定合理安全管理制度的基礎。

2)業務安全審計及安全態勢感知

業務安全審計通過網絡對各服務器系統、數據的訪問行為進行審計和控制，使運維操作符合企業合規性的需求，并做到操作的可審計、可追溯，能夠建立有效的IT內控機制，提升業務操作的可靠性，減少核心數據資產的破壞和泄漏。同時，安全態勢感知則通過對流量和安全事件的采集和分析，有助于更加直觀地掌握業務系統運行的安全狀況。

3)漏洞掃描

漏洞掃描能夠在對網絡設備、操作系統、應用系統的掃描過程中有效發現系統弱點，為實施安全防護方案和制定安全管理策略提供依據和參考。

4)數據庫防護

數據庫防護通常通過數據庫防火墻實現，具備屏蔽直接訪問數據庫的通道、對應用程序訪問數據庫進行二次認證、對數據庫進行攻擊保護、連接監控、安全審計等能力，能夠有效提升數據庫安全防護水平。

5)電子文檔安全審計

電子文檔安全審計能力通過具備電子文檔安全保障能力的系統實現。其能在服務器上備份所有的文件審查日志，根據用戶角色不同，將用戶權限精準劃分和分配，能夠讓用戶在無感知的前提下極大提升數據的完整性和可靠性。

6)終端安全管理

終端安全管理能夠實現對網絡終端進行主動的管理和控制、補丁分發、強制安全策略、遠程幫助等主要功能，并形成整體的安全準入控制體系，其提供網絡準入控制、應用準入控制、客戶端準入控制等多層準入控制手段，實現對終端安全接入內網管理。通過準入控制機制，可以實現對終端的身份進行認證，并能夠自動檢測和修復終端安全狀態，強制保證終端及時進行安全補丁更新、安裝并及時更新防病毒軟件及病毒定義碼、不隨意運行可能存在風險的軟件，確保只有合法的和安全的終端電腦才能接入企業內網。同時，利用生物特征識別技術，強化操作人員個人身份的確認和權限的認定，克服傳統賬號及密碼登錄方式的繁瑣和隱患，提升終端安全管理水平。

7)數據脫敏

數據脫敏能夠根據不同需求隱去涉密內容，保留數據業務含義的基礎上隔絕系統開發或未經授權的用戶接觸核心真實數據的路徑[7]，同時通過在線或離線脫敏規則，在保障業務研發進度的基礎上，降低數據運維工作量及難度，最大程度地規避數據安全風險。

3 結 語

隨著信息化建設的持續深入，大數據、云計算、區塊鏈等新技術的逐步應用，以及業務需求的持續增長，安全一直是信息運維永恒的話題。從信息安全保障的實際需求出發，構建了信息安全保障體系，并分別從管理和技術兩個層面闡述了其架構和包含的關鍵要素。安全管理持續推進的事實證明，該體系能夠有效地消除信息安全管理死角，夯實信息安全基礎，提升信息系統安全保障水平，切實承擔起智能電網和“五大”體系高效運轉的支撐職責，為四川公司筑起一道安全的“防火墻”。

[1] 李文娟, 胡珺珺, 趙瑞玉.通信與信息專業概論[M].北京:人民郵電出版社, 2014.

[2] 曾鳴, 李娜, 董軍，等. 基于大安全觀的電網運行管理關鍵技術——關于印度大停電的思考[J]. 電力系統自動化, 2012, 36(16): 9-13.

[3] 賀惠民, 王剛, 陳樂然，等. 智能電網信息安全問題與優化研究[C]. 中國電機工程學會年會, 2013.

[4] 周文瓊. 大數據環境下的電力客戶服務數據分析系統[J]. 計算機系統應用, 2015, 24(4): 51-57.

[5] 孫昌軍, 鄭遠民, 易志斌. 網絡安全法[M]. 長沙：湖南大學出版社, 2002.

[6] 王凡林, 陳輝, 王壽榮. IT治理機制下的企業內部控制問題與建議[J]. 會計之友, 2011(3): 70-71.

[7] 姜日敏. 電信運營商數據脫敏系統建設方案探討[J]. 中國科技信息, 2014(8): 132-133.