防風險夯基礎 確保網絡信息安全

楊軍杰

“安全無小事”，安全生產是發電企業永恒的主題。安全管理對企業每個員工而言，每天每時都是新的課題。2020年企業提出實現安全“九無”“四零”目標要求，安全管理理念上要未雨綢繆、關口前移、分級管控、風險預控。

“預防為主”，加強安全風險的預研、預判、預控和預案。

網絡信息安全與生產安全密切相關。管理信息大區網絡安全外連互聯網，內聯生產管理大區非實時控制區，如果防線被攻陷，生產控制大區網絡就直接暴露在黑客攻擊范圍之內，嚴重威脅機組運行安全、設備安全和人身安全。以下從人員、設備、環境和管理等關鍵要素著手，對公司網絡信息安全存在的安全風險進行分析。

人員

人的因素是動態因素，也是最具主觀能動性的，主要分3類：信息技術人員、外部施工人員和信息系統用戶。

信息技術人員：明確分工責任，進行專業技能、安全技能教育培訓。綜合個人專業知識能力，對全廠信息、網絡系統設備進行科學分工，增強個人責任感、使命感。嚴格規范重要設備操作流程，避免人為重大操作失誤。

存在風險：目前信息化人員培養數量不足，制約公司信息化高質量發展。

信息系統用戶：用戶的信息安全也是整體網絡信息安全的重要內容。用戶日常行為可直接影響到公司網絡和信息系統的安全。

存在的風險：包括信息系統弱密碼、VPN系統賬號泄露、個人電腦安全軟件防護等。

外部施工人員：對項目施工人員加強安全、質量及進度等過程監管，做好安全交底、信息保密和訪問權限控制等措施。在項目實施期間，由專人配合廠商對存在的高危安全隱患點、風險點進行梳理分析，形成切合現場安全要求的施工方案，通過實施期間的跟蹤學習培養鍛煉新員工，為后期系統或設備運維打好基礎。

存在風險：未經授權的數據庫操作以及未經授權的遠程訪問等。

系統及設備

系統及設備安全管理是公司網絡信息安全的基礎。信息系統數據庫、交換機、服務器、存儲、超融合和安全設備等是公司基礎設施。健全設備臺賬，堅持全生命周期管理理念，對設備健康、運行效率進行管理。

存在風險：①等保2.O標準實施后，提高了安全防護標準要求，公司實施信息網絡安全防護項目，進一步增強公司網絡安全防護水平。②對生產區域個人電腦（不含項目部）殺毒軟件情況進行檢查，根據檢查結果采取整改，確保公司網絡健康穩定運行。

環境

環境安全，是確保整體安全的前提條件，人員、設備安全均基于環境安全。信息網絡安全方面，首先要考慮的是機房物理安全，機房溫濕度、電源是每日機房安全巡檢的必查項目。需做到防火、防水、防爆、防盜、防電磁干擾、防小動物、防非法外接存儲和防非法外接網絡。

存在風險：重要設備操作規程不夠完善。目前，機房存在蓄電池與設備未分開、蓄電池超期服役的安全隱患，已申報公司自控項目進行整改。

管理

按照國家法律法規、集團要求，建立健全網絡安全管理制度，落實管理責任，信息資產資源管理規范化、制度化。近期根據皖能集團下發的《網絡信息安全責任追究制度》文件精神，起草了公司《網絡信息安全責任追究制度》待公司審議。

存在問題：目前存在重技術、輕管理的現象，對最新的網絡安全政策、知識學習不夠，對用戶信息技術技能、安全意識技能培訓不夠到位。

以“九無”“四零”目標為指引，分析不足，查缺補漏，嚴守網絡信息安全紅線

現階段需要關注的問題主要有：

現辦公網區域IP地址（VLAN3-12）資源重新規劃，實行備案使用制;

計算機等設備接入辦公網實行準入審批制，防止未認證設備聯網;

完善重要設備、操作規程的編制;

辦公區無線進行改造，區分用戶模式、訪客模式，統一認證、集中統一管理，進一步提升公司網絡信息安全水平。

加強網絡信息安全的建議

充分利用ERP平臺，融合“互聯網+”安全管理、大數據等理念或技術，建立風險預控體系，變被動安全為主動安全。

對辦公區無線網絡進行改造，區分用戶模式、訪客模式，統一認證、集中統一管理。

邀請專家開設網絡安全培訓課程，采取多種培訓形式把網絡信息安全教育工作納入到日常辦公中，并長期執行，防止潛在的網絡信息安全風險事件發生。

網絡信息安全與生產安全密切相關，安全管理理念上要未雨綢繆、關口前移，分級管控、風險預控。