加強新時代國有企業機要信息安全體系理論研究

文/洪露 徐俊波 劉焜（中共國家電網有限公司黨校）

一、引言

國有企業在信息化發展中，企業內部的機要信息管理就成為企業最重要的環節，必須對企業機要信息加強安全體系的管理建設，不僅可以幫助企業在新時代的信息發展中站穩腳跟，還可以快速地幫助企業建立機要信息的監管體系。因此對國有企業的機要信息的安全體系必須高度重視，保障企業內部信息的安全工作，促進企業快速發展。

二、新時代國有企業機要信息安全的現狀

新時代形勢下，企業信息化快速發展。國有企業的機要信息安全也受到國家的重視和關注，但是現在多數的國有企業內部的信息安全仍然處在初級階段，還存在很多不足之處，會給企業帶來不同程度的影響和損失。新時代國有企業在信息化建設過程中，大部分國有企業對信息化的安全不夠重視，也不會產生危機意識，尤其是對于新時代下的網絡信息安全的認識度更是達不到規定的要求，根據多數國有企業針對信息安全作出的調查可以分析出，絕大部分的國有企業的機要信息都存在安全問題，這其中主要的原因就是國有企業內部的員工和管理者對于信息化的安全意識的認識淡薄，新時代國有企業對于信息安全的安全體系還存在問題。2014年2 月27 日，國家成立了中央網絡安全和信息化領導小組，標志著中國網絡安全和信息化國家戰略邁出了重要一步，同時也將信息安全推向了一個新的臺階。習近平總書記親自擔任組長，并在中央網絡安全和信息化領導小組第一次會議上講話中提出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。信息安全不僅是宏觀需要，也是戰略考量，這也開啟了信息安全戰略規劃全新時代。

國家電網公司歷年來對信息安全工作極其重視，并持續推進信息安全管理工作，對信息安全防護體系的推進持續加強。舒印彪董事長指出“要狠抓意識形態和保密措施，增強信息安全保障能力；信息到哪里，安全就到哪里”。寇偉總經理在迎峰度夏安全生產電視電話會議上指出“隨著通信信息和信息系統在電網運行中的作用越來越凸顯，利用信息攻擊破壞電網安全的風險與日俱增，信息安全形勢嚴峻”。楊晉柏副總經理在公司信息安全和信息化領導小組第五次會議上提出“要秉承總體國家安全觀理念，堅守信息安全‘底線’，增強信息安全保障能力”。“十二五”和“十三五”期間，國家電網公司全面推進信息安全主動防御體系建設，建成了覆蓋了總部、省、市的信息安全督查體系，實現了督查工作的“橫向到邊，縱向到底”。但公司信息安全漏洞隱患發現、安全內控及事件調查等技術能力有待提高，公司各單位安全防護水平參差不齊。而在現代信息攻防對抗中，任何一個節點都會影響整體信息安全，一點突破都可能導致全網危機，因此只有構建先進的面向信息安全事件與隱患調查核查的信息安全攻防對抗體系，只有構建先進的面向信息安全事件發現機制，及早處置漏洞與隱患，才能在嚴峻的“信息戰”環境下保障企業信息系統安全穩定運行。

三、新時代國有企業機要信息安全存在的問題

（一）新時代國有企業機要信息安全體系的防護性有待加強

大部分國有企業購買了大量的保障信息安全的電子產品，但是仍然存在很多問題，針對保障國有企業的機要信息的安全體系購買的絕大多數電子設備達不到標準，很多保障信息安全的設備配置都是通過購買產品的廠家負責。其與國有企業的信息安全體系的建立沒有合理地結合起來，造成新時代國有企業的安全技術防護的功能和使用的效果比較差，我國在針對國有企業安全信息的核心技術進行自主研發的發展還不穩定，缺乏信息化安全的核心技術支持，和國外的信息安全保障相比完全處于落后的狀態。

當前國家電網公司信息安全架構規模大，點多面廣且形勢復雜，各單位分布范圍較分散，對各單位落實信息安全管理基本要求、確保信息邊界劃分清晰等方面提出了考驗以及更高的管理要求。近幾年智能電網的普遍建設，發電側及用戶側的信息邊界已延伸并覆蓋了智能電網的各個環節，突出了信息安全風險隱患。隨著“大云物移”（即大數據、云計算、物聯網、移動終端）等新技術的研究與引入，對國家電網公司信息安全提出了新的要求，也構成了新的威脅和挑戰。以“大云物移”為代表的“互聯信息安全＋”等新技術，以及自主研發的智能終端設備（如電動汽車、智能插座、智能電器、傳感器等）的不斷接入，信息安全防護對象在不斷增加，致使信息安全防護的基礎環境也發生了新的變化，而新的變化終將會引入新的安全風險。隨著安全防護暴露面的增加，以高級持續性信息攻擊為代表的新型攻擊手段不斷演進，如何發現新業務面臨的安全威脅以及未知風險隨之變得異常困難，而電力系統聯系緊密、分布廣泛、重要性高，一旦癱瘓影響巨大，給國家電網公司信息安全防護工作帶來了嚴峻的挑戰。

（二）新時代國有企業機要信息安全的事故難以杜絕

新時代互聯網的不斷發展，國有企業的信息安全保障體系也在接受者嚴峻的挑戰，信息安全事故在國有企業發生的頻率也在不斷增加，國有企業的信息化建設和國有企業在新時代的信息安全保障存在很大的問題和沖突，對信息化安全的保障體系一直沒有落實下去，互相進步的步伐也不一致，國有企業對于信息化的建設是很感興趣的，而且對于信息化建設也非常有信心，因此一些機要信息的安全就無法得到保障，導致新時代國有企業的機要信息安全的事故就會持續上升，一旦發生，解決問題的周期較長，對國有企業員工和管理者的工作效率就會產生影響，還會給企業內部的員工帶來一定工作壓力，國有企業的信息安全保障體系的建立是否可以高效地完成和企業的員工有很重要的內在聯系，企業員工對機要信息安全意識越強就會對企業的發展越有力，還可以有效地防止信息安全帶來的事故危害。

例如，2016 年“雙十二”之前，國家電網“電e 寶”“掌上電力”手機APP 系統被爆泄露千萬用戶信息的消息傳來，令人震驚。涉及用戶規模已經超過千萬級，而且部分數據可能已經流入黑產，危害持續擴大。

目前國家電網公司對于信息安全采取的策略是保持三個同步，也即是確保公司的信息化安全建設和信息安全規劃保持同步，相關基礎設施的建設也要選擇同步，保證兩者之間的運營是同步的。對于國家電網公司的建設也應當堅持三個納入的準則，不同級別的信息的保護納入電網信息安全的方面，將信息安全放入到信息化進程中，對于國家電網公司的安全信息應當及時納入整個公司的安全體系中。國家電網公司應當按照四個全面的方式對信息安全進行管理，國家電網公司應當保證公司的所有員工的全部精力。保證公司在各個方面、所有員工、一切方面進行信息安全建設。國家電網公司對于信息安全應當按照四個防止的方法進行設置，將電網公司全部的信息安全融入產業管理體系中，國家電網公司應當嚴格按照國家的相關信息安全法律，進行執行。所謂信息安全的四個防止，分別是人為防止信息安全的泄露，制定相關的法律制度保證信息的安全，國家電網應當設定相應的安全技術標準來防止信息的泄露，物理防止信息泄露。從而保證信息的安全。

（三）新時代國有企業機要信息管理隊伍安全意識不足

現如今，國有企業機要信息缺乏一定的安全意識，互聯網的快速發展，讓企業的員工在對企業的機要信息進行調閱或者查看時沒有足夠的安全隱患，減低了企業機要信息泄露的防范心理，國有企業比較關心的問題就是機要信息的防護能力與信息的安全性，機要信息對于企業來講，是企業的重要組成部分，一旦泄露或者丟失就會給企業帶來嚴重的損失，甚至還會給國有企業帶來滅頂之災，必須要對企業的員工和企業的管理者加強機要信息安全的管理，提高信息安全防護意識。

國網公司從2012 年開始實施通用制度戰略，各基層供電公司主管部門響應國網號召牽頭制定信息通信安全管理制度，并補充發布具體實施規范、細則和要求等。其中《安全事故調查規程》明確網絡與信息系統安全責任追究工作流程和事件等級劃分規定，按事件級別分別由安質部、科信部牽頭，按照四不放過要求開展調查、處置和通報，調查結果納入企業負責人業績考核及各單位同業對標考核，與各單位經濟效益掛鉤；《公司員工安全獎懲條例》也明確了觸犯公司信息安全規定的相應經濟和行政處理措施。但經過調研，部分供電公司在責任落實方面還存在以下幾個問題：（1）職能和業務部門之間網絡安全管理職責分工與協同機制尚需建立健全；（2）部分網絡安全管理崗存在兼職情況，安全責任全面落實和工作質量有折扣；（3）同一系統存在多班組交叉管理時，每個系統缺少總安全責任人。

部分基層供電局的信息安全管理隊伍還存在一些問題：（1）信息通信生產運維人員結構性缺員嚴重，大多數地市每年僅能保證一至兩名新進員工，無法跟上員工老化、退休人數增加及人才流失速度；縣公司通信人才嚴重不足，多數縣無通信專業人員；崗位吸引力不足，高素質高水平人才流失嚴重，員工晉升渠道狹窄，崗位流動性不足，導致各地區通信專業運維隊伍人員問題突出。（2）信息通信核心運維崗培養周期長，核心業務存在較大運行壓力和運行風險。（3）缺少精尖人才，在新技術研究、大數據研究等課題上，缺乏全局研究和規劃能力。（4）部分單位對進入現場的外部人員管理不到位，缺乏有效的安全資質審核。對新近的外來人員未能及時作出安全培訓，易導致外來人員操作事故。（5）網絡安全崗位新上崗人員尚需加強安全專業技能和業務管理培訓。人員數量和質量尚無法全面支撐安全上臺階需求。

四、新時代國有企業機要信息安全存在問題的解決對策

（一）新時代國有企業機要信息安全在技術方面的提升

國有企業必須保障企業內部的信息安全，可以在服務器和主機上安裝正版的安全防護軟件進行保障，嚴禁將盜版的防護軟件安裝在服務器和主機上，一旦安裝盜版防護軟件，國有企業的信息安全就會有安全隱患，安裝完正版的信息安全防護軟件后，必須根據企業規定的時間進行安全檢測，這樣可以起到保障信息安全的效果，但也不能大意，國有企業的安全信息軟件很難保證長期不出現故障，甚至還會給黑客攻擊的機會，在保障國有企業信息不出現問題的情況下，可以針對國有企業重要的信息文件采取備份的方式，對企業內部的機要信息進行存檔。國有企業內部的重要信息在不同時期和不同范圍的重要文件產生的種類也比較多，不同的機要信息的保密程度也存在很大的差別，國有企業的領導人員和企業的員工對企業的機要信息訪問的級別和權限也不一樣，可以針對不同的員工或者有需要的建立相關的安全信息保障體系和措施，采用技術手段給不同的員工在查看企業的機要信息時，設立不同的訪問權限，保障機要信息不流失、不泄密。互聯網在國有企業中的使用量也非常驚人，使用的頻率和次數也比較多，企業內部的員工可以通過企業的電腦獲取各種需要用到的信息，這就給很多的不法分子帶來危害國有企業信息安全的機會，信息安全就會出現危機，必須對國有企業的電腦進行網絡防火墻技術的加固，還要對內網和外網的訪問設置權限，還必須對信息安全進行有效的防范。隨著云計算、物聯網、大數據、區塊鏈等新技術的快速發展，給信息安全工作也帶來了很多新的思路。例如，運用云計算技術，一線檢修人員的操作工單可以直接從手持終端傳輸到辦公室電腦上，提高數據同步的及時性。此外，云計算配備的超級數據中心還能有效提高系統計算速度，提升用戶的系統體驗。再者，如果在智能電表上采用區塊鏈技術，在一個社區內，如果發生供電故障，這些智能電表就可以確定故障范圍，直接與當地變電站通信，重新規劃輸電路線。很多情況下這些操作可以快速完成，消費者甚至都感受不到發生了變動。

（二）新時代國有企業機要信息安全在管理方面的提升

新時代國有企業的信息安全是通過企業內部的員工進行控制和管理操作的，國有企業的信息安全體系的保障工作是企業工作中最有挑戰性的一項工作，企業的信息安全沒有絕對的安全，會在不經意的時間里產生問題，因此針對員工進行有效管理，還可以對能接觸到機要文件的員工進行信息安全培訓，提高信息安全的重要性，一旦企業掌管機要信息的員工出現離職的情況，就必須做好交接工作，對帶有企業機要信息的文件和電子設備進行收回，保障信息安全。

結合國家電網公司實際情況，實施動態防御機制。各省電網公司科信部需要在防護機制上以避免成為攻擊者的目標為原則。通過封裝攻擊入口、讓攻擊者看到的是一個不確定的動態變化的目標系統，使其無法采用既有的手段進行攻擊，同時大幅提升攻擊者的成本，從而令其放棄攻擊。具體步驟如下：首先，擴大業務安全威脅感知半徑。其次，對感知到的業務安全威脅進行細粒度的透視，進而分析出攻擊者的來源、目標、使用工具、攻擊手法及攻擊過程。最后，通過動態封裝、動態驗證、動態混淆、動態令牌四項核心動態安全技術充分實現對企業業務、應用及數據的全程保護。

（三）新時代國有企業機要信息安全體系的建立和實施

國有企業必須對企業的信息安全體系的建立和實施有充分的認知，增強企業員工對于信息安全體系建立的重要性和提高企業員工對于信息安全的意識程度，保障信息安全體系可以在規定的時間里得到實施，建立針對外來人員對企業信息安全的攻擊，還必須對國有企業的管理人員和企業的員工進行信息安全意識防護的知識傳授，可以盡快地幫助企業的員工和管理者提高信息安全的認識。

體系的正常運轉離不開組織的保障，組織的保障離不開人員的保障。為了體系能落地實施并長效實行，首先應該從規章制度方面建立規范支撐，使整個體系的運行嚴格有序。其次需要在隊伍管理方面加強培訓學習，以適應外部環境的挑戰和變化。最后，體系的長效機制離不開對人員的鼓勵和獎勵，加大獎勵激勵力度，可激發員工的工作積極性，使體系更高效的運行。

對于規范制度保障措施而言，參與國家電網公司網絡安全組織管理體系工作的人員首先應當遵守公司保密制度。其次，在遵守保密制度的基礎之上，還要在日常工作中遵守工作規范，制定國家電網公司網絡與信息安全漏洞和隱患發現人員安全管理要求，進一步細化工作體系、職責分工、工作內容、工作報送、隊伍管理、流程管理、工作考核等內容，規范人員操作行為。同時，為了規范體系隊員在漏洞挖掘過程中的合規性，制定網絡安全漏洞和隱患發現工作指南，進一步規范人員隱患發現工作的安全性和工作效率。

加大獎勵激勵力度，為了更好地調動員工的工作積極性，對于員工在相關工作方面的突出表現以及其本人所在單位開展：工作的情況納入積分考核，對于發現漏洞多、在專項工作中積極參與的單位予以加分獎勵，分數對應年終的績效成績，涉及員工的個人利益以及本單位的集體利益，會直接激發員工的積極性和主動性，有助于增強體系中團隊的凝聚力，激發成員的潛能。對于創新隊伍管理模式而言，國家電網公司定期組織信息安全組織管理體系隊伍培訓工作，主要通過理論和實操形式，理論以國家信息安全法、信息安全規章制度、公司信息安全規章制度為主，從意識方面培養隊員的操作合規性。實操以滲透技術實訓為主，主要為新技術學習和技術交流等。培訓采用邀請信息安全領域專家及業內應用系統專家授課，組織參加業內信息安全滲透技能認證考試，邀請信息安全領域較為先進的信息安全攻防隊伍交流，實驗環境模擬操作培訓等多種方式開展。

五、結語

新時代國有企業的信息化體系的建立對企業的信息化建設的發展有很重要的作用，二者缺一不可，必須針對國有企業在新時代的信息安全進行有效的管理，加強企業的信息安全管理制度，對國有企業的信息安全建立相應的管理機制，可以幫助國有企業在針對信息安全的管理工作中順利發展。