縣級(jí)供電公司信息安全管理創(chuàng)新與實(shí)踐

高海鵬 黎鋒 趙曉偉

國網(wǎng)寧夏電力有限公司靈武市供電公司 寧夏 銀川 750001

引言

近年來，隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)及移動(dòng)互聯(lián)等新技術(shù)在電網(wǎng)和企業(yè)的推廣和應(yīng)用，使得信息安全工作面臨著前所未有的挑戰(zhàn)。通過打造信息安全新防線的“五四三”創(chuàng)新工作模式，提升信息安全意識(shí)，確保不發(fā)生信息安全事件[1]。

針對引起信息安全事件的直接原因——物的不安全狀態(tài)和人的不安全行為，國網(wǎng)寧夏電力有限公司靈武市供電公司（以下簡稱靈武公司）結(jié)合實(shí)際現(xiàn)狀深刻分析，及時(shí)掌握公司內(nèi)部“物的不安全狀態(tài)和人的不安全行為”，充分調(diào)動(dòng)員工主觀能動(dòng)性，將公司員工從信息安全的不穩(wěn)定因素轉(zhuǎn)化為公司信息安全保障力量，彌補(bǔ)強(qiáng)制管理手段在信息安全建設(shè)工作中的不足，從人員主體上提高公司信息安全程度，積極應(yīng)對互聯(lián)網(wǎng)時(shí)代信息安全新形勢、新挑戰(zhàn)。

2 改進(jìn)思路和目標(biāo)

2.1 縣級(jí)供電公司信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

縣級(jí)供電企業(yè)處于公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)終端層面，外源性網(wǎng)絡(luò)威脅相對較少，但傳統(tǒng)的企業(yè)管理模式、較低的人員綜合素質(zhì)和落后的信息網(wǎng)絡(luò)安全觀念，都為企業(yè)信息網(wǎng)絡(luò)安全帶來了重大的內(nèi)源性安全隱患。所謂“后院起火”，即說明內(nèi)源性安全隱患是最嚴(yán)重的，也是最應(yīng)引起重視的。

2.2 信息網(wǎng)絡(luò)安風(fēng)險(xiǎn)成因分析

為解決縣級(jí)供電企業(yè)信息網(wǎng)絡(luò)安全管理問題，通過對風(fēng)險(xiǎn)分析采用頭腦風(fēng)暴法進(jìn)行成因分析，剔除客觀原因、次要因素，最終可以將主要原因歸納為安全意識(shí)淡薄和管理機(jī)制不完善。

2.2.1 安全意識(shí)淡薄是縣級(jí)供電企業(yè)信息網(wǎng)絡(luò)安全管理問題的主要成因之一[2]。縣級(jí)供電企業(yè)員工信息網(wǎng)絡(luò)基礎(chǔ)相對薄弱，信息網(wǎng)絡(luò)的唯一作用在于操作各類應(yīng)用系統(tǒng)，完成日常工作，學(xué)習(xí)使用各類應(yīng)用操作尚且需要多次培訓(xùn)、詳細(xì)指導(dǎo)，對信息網(wǎng)絡(luò)的安全防護(hù)更無暇顧及，因此，信息網(wǎng)絡(luò)安全意識(shí)無從談起。

當(dāng)前，信息網(wǎng)絡(luò)系統(tǒng)是各級(jí)電力企業(yè)生產(chǎn)、管理和經(jīng)營各類業(yè)務(wù)系統(tǒng)的載體，下至一線生產(chǎn)員工，上至經(jīng)營管理領(lǐng)導(dǎo)，無不享受著各類應(yīng)用平臺(tái)帶來的高效、便捷，因此，各類應(yīng)用平臺(tái)的功能性、實(shí)用性和是否正常運(yùn)行是使用者所關(guān)心的內(nèi)容，而在應(yīng)用平臺(tái)幕后的信息網(wǎng)絡(luò)是否安全卻被完全忽視。

縣級(jí)供電企業(yè)將信息通信管理部門定位為傳統(tǒng)檢修班組，管理職責(zé)和管理崗位模糊，不具備監(jiān)管和執(zhí)行力度。同時(shí)，對于信息網(wǎng)絡(luò)安全領(lǐng)域的投入和重視程度，遠(yuǎn)遠(yuǎn)不能滿足公司系統(tǒng)安全防范的要求，重口號(hào)而輕措施。為滿足信息網(wǎng)終的基本安全條件，網(wǎng)絡(luò)系統(tǒng)處于被動(dòng)的封堵漏洞狀態(tài)，在應(yīng)對特殊安全任務(wù)時(shí)，采取全面封網(wǎng)，斷絕出入口的封堵抵御模式。從管理層到終端用戶，普遍存在僥幸心理，沒有形成主動(dòng)防范、積極應(yīng)對的全民信息網(wǎng)絡(luò)安全意識(shí)，更無法從根本上提高網(wǎng)絡(luò)監(jiān)測、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。

2.2.2 管理機(jī)制不完善，制約了信息網(wǎng)絡(luò)安全防范的執(zhí)行力度。信息網(wǎng)絡(luò)的安全管理機(jī)制的缺陷集中體現(xiàn)在兩個(gè)方面：一方面，信息網(wǎng)絡(luò)管理人才匱乏，信息網(wǎng)絡(luò)管理方案、制度和規(guī)范不完善，現(xiàn)有制度實(shí)施不到位。隨著信息技術(shù)的快速更替和生立、管理系統(tǒng)的大范圍推廣應(yīng)用，科技信息管理也應(yīng)同步推進(jìn)，但由于縣級(jí)供電企業(yè)的人員結(jié)構(gòu)和專業(yè)特點(diǎn)，從事信息網(wǎng)絡(luò)系統(tǒng)的管理、應(yīng)用人員大多來自非信息通信專業(yè)，以生產(chǎn)和現(xiàn)場操作人員為主要來源，且年齡組成偏大，新生力量斷層，不具備現(xiàn)代化企業(yè)信息網(wǎng)絡(luò)安全管理所需的知識(shí)、技能、資源和利益導(dǎo)向。另一方面，缺乏完善的管理制度和綜合性較強(qiáng)的技術(shù)解決方案。從縣級(jí)供電公司的信息網(wǎng)絡(luò)專業(yè)機(jī)構(gòu)設(shè)置，到專業(yè)管理制度的定制，均體現(xiàn)出對信息網(wǎng)絡(luò)安全的重視程度過低，信息網(wǎng)絡(luò)安全管理機(jī)制嚴(yán)重缺失。大多數(shù)終端用戶缺乏綜合性的安全管理解決方案，稍有網(wǎng)絡(luò)安全意識(shí)的用戶依賴升級(jí)防火墻、殺毒軟件和加密技術(shù)，產(chǎn)生虛假的安全感。

2.3 縣級(jí)供電公司信息網(wǎng)絡(luò)安全目標(biāo)[3]

一是在公司信息安全新防線建設(shè)過程中，管控層作為信息安全防線的建設(shè)和引導(dǎo)者，籌備部門信息安全培訓(xùn)教室和組建部門信息員隊(duì)伍，由公司信息安全專職，定期組織信息員隊(duì)伍開展信息安全知識(shí)培訓(xùn)，配合有效的激勵(lì)機(jī)制，發(fā)揮信息員在信息安全中的基層管理角色。二是在信息安全管理方面，實(shí)現(xiàn)管理工作對公司信息系統(tǒng)的100%全覆蓋，實(shí)現(xiàn)信息安全與數(shù)據(jù)安全的雙重100%安全。三是在信息安全防線建設(shè)中，落實(shí)信息系統(tǒng)、信息網(wǎng)絡(luò)、信息終端二級(jí)安全域的信息安全管理，實(shí)現(xiàn)信息安全理念的廣泛推廣。

3 改進(jìn)思路和目標(biāo)

針對4個(gè)綜合指標(biāo)和1個(gè)單項(xiàng)指標(biāo)進(jìn)行逐項(xiàng)分析（新入網(wǎng)設(shè)備首檢健康指標(biāo)主機(jī)健康運(yùn)行指標(biāo)、安全性評(píng)價(jià)綜合指標(biāo)、員工信息安全指數(shù)和IP地址活躍度），提出增強(qiáng)信息網(wǎng)絡(luò)安全管理水平的技術(shù)措施和綜合措施。

3.1 增強(qiáng)信息網(wǎng)絡(luò)安全管理水平的技術(shù)措施

對新入網(wǎng)設(shè)備進(jìn)行檢測和加固，確保首檢健康指標(biāo)、主機(jī)健康運(yùn)行指標(biāo)和IP地址活躍度指標(biāo)達(dá)到目標(biāo)要求。

3.1.1 建立完善的訪問控制策略，確保信息安全。訪問控制的主要任務(wù)是保證信息網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。其基本目標(biāo)是防止對任何資源（如計(jì)算機(jī)資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問，從而使系統(tǒng)在合法范圍內(nèi)使用。這里未授權(quán)的訪問指未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。它包括非法用戶進(jìn)入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。因此，訪問控制對機(jī)密性、完整性起直接的作用。

3.1.2 建立桌面管控系統(tǒng)，支持終端防護(hù)。目前采用的桌面終端管理系統(tǒng)由國網(wǎng)公司統(tǒng)一推廣，于2010年1月正式上線運(yùn)行。系統(tǒng)上線之初，僅具備桌面終端非安全行為監(jiān)控功能，運(yùn)行至今，已對接程序、防病毒軟件監(jiān)控等進(jìn)行數(shù)次版本升級(jí)。

目前的桌面管控系統(tǒng)，集桌面終端管理、IP過濾綁定、弱口令監(jiān)視、移動(dòng)存儲(chǔ)監(jiān)控及補(bǔ)丁監(jiān)控等功能于一體。公司通過設(shè)立信息終端設(shè)備運(yùn)行首檢健康指標(biāo)，綜合考察入網(wǎng)信息設(shè)備的弱口令、防病毒程序、補(bǔ)丁安裝等情況，既完成了對入網(wǎng)設(shè)備信息安全強(qiáng)度的評(píng)估，又形成了對信息安全新防線建設(shè)成果的反饋，成為整個(gè)信息安全新防線建設(shè)工作中必不可少的支持力量。

3.1.3 升級(jí)IP授權(quán)管理方式，支持IP資源長期有效管理。IP資源是信息網(wǎng)絡(luò)重要資源之一。通過IP資源分配管理，公司可以及時(shí)了解、管控各單位的人員流動(dòng)。自2013年起，國網(wǎng)寧夏電力有限公司已著手開發(fā)IP地址管理數(shù)據(jù)庫，為了滿足日漸擴(kuò)大的網(wǎng)絡(luò)規(guī)模、不斷擴(kuò)充的網(wǎng)絡(luò)設(shè)備類型以及不斷提高的網(wǎng)絡(luò)安全性能的要求。2018年，公司上線了新的IP授權(quán)管理數(shù)據(jù)庫。

3.2 增強(qiáng)信息網(wǎng)絡(luò)安全管理水平的綜合措施

主要確保安全性評(píng)價(jià)綜合指標(biāo)和員工信息安全指數(shù)兩個(gè)指標(biāo)，達(dá)到目標(biāo)要求。

3.2.1 充分學(xué)習(xí)、全面貫徹國網(wǎng)公司、省公司、地市公司的信息網(wǎng)絡(luò)安全相關(guān)文件、制度和標(biāo)準(zhǔn)。并根據(jù)縣級(jí)供電公司的實(shí)際情況制定相關(guān)實(shí)施細(xì)則，使縣級(jí)供電公司的信息網(wǎng)絡(luò)安全管理有章可循。建立、健全信息網(wǎng)絡(luò)安全管理機(jī)制，并強(qiáng)化制度執(zhí)行力度，從制度執(zhí)行和管理層面保障企業(yè)信息網(wǎng)絡(luò)的安全運(yùn)行。

3.2.2 組建公司信息安全管理網(wǎng)絡(luò)，加強(qiáng)員工的信息安全教育培訓(xùn)。定期召開信息員聯(lián)絡(luò)會(huì)，及時(shí)傳達(dá)上級(jí)有關(guān)信息安全的相關(guān)通知文件，組織各部門信息員學(xué)習(xí)《國網(wǎng)銀川供電公司關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全管理的通知》《國網(wǎng)銀川供電公司桌面終端用戶安全使用手冊》，每個(gè)季度由公司信息安全員對全公司信息員進(jìn)行信息安全文件、信息安全知識(shí)、防病毒安裝和保密知識(shí)宣貫，多維度普及信息安全知識(shí)，增強(qiáng)信息安全觀念，提高全員信息安全意識(shí)[4]。多層次開展信息安全教育活動(dòng)，通過公司網(wǎng)站、OA系統(tǒng)等對重要信息安全規(guī)章制度進(jìn)行宣傳教育，防止違規(guī)外聯(lián)、弱口令等事件發(fā)生。對發(fā)生的信息安全事件嚴(yán)格考核。

3.2.3 全體員工與公司簽訂保密協(xié)議，嚴(yán)格執(zhí)行有關(guān)信息系統(tǒng)和保密管理工作的相關(guān)規(guī)定。根據(jù)公司文件要求，對企業(yè)內(nèi)外網(wǎng)進(jìn)行物理隔離，切斷第三方連接，物理線路清晰明確，并對內(nèi)外網(wǎng)設(shè)備進(jìn)行顯著區(qū)分，粘貼風(fēng)險(xiǎn)警示標(biāo)簽。

3.2.4 強(qiáng)化信息資產(chǎn)和信通點(diǎn)位精細(xì)化管理，個(gè)人電腦作為信息終端，直接接入信息網(wǎng)絡(luò)，是信息安全新防線中的一個(gè)重要環(huán)節(jié)。為了應(yīng)對信息資產(chǎn)安全管理中直存在的點(diǎn)多面廣，難以統(tǒng)一管理的問題，公司結(jié)合賬戶權(quán)限控制，展開了全公司范圍內(nèi)常態(tài)化的信息資產(chǎn)核查工作。工作將全公司信息資產(chǎn)分為兩個(gè)部分，即存量部分和增量部分。增量部分，公司綜合運(yùn)用IP授權(quán)管理系統(tǒng)與桌面管控系統(tǒng)，對新入網(wǎng)的設(shè)備，嚴(yán)格要求設(shè)備編碼、序列號(hào)與設(shè)備IP一一對應(yīng)，實(shí)現(xiàn)信息安全責(zé)任到人；存量部分，公司常態(tài)化開展全面信息資產(chǎn)核查與賬戶權(quán)限核查，并對核查中發(fā)現(xiàn)存在安全隱患的信息設(shè)備進(jìn)行登記，并即時(shí)要求整改。

4 改進(jìn)效果

通過改進(jìn)信息安全管理的技術(shù)措施和綜合措施，有效管控新入網(wǎng)設(shè)備首檢健康指標(biāo)、主機(jī)健康運(yùn)行指標(biāo)、安全性評(píng)價(jià)綜合指標(biāo)、員工信息安全指數(shù)和IP地址活躍度。

在加強(qiáng)員工的信息安全教育培訓(xùn)和強(qiáng)化信通點(diǎn)位精細(xì)化管理方面亮點(diǎn)突出。通過開展季度信息安全培訓(xùn)，并且把該項(xiàng)工作納入績效考核，大大提升信息系統(tǒng)安全運(yùn)行規(guī)范指數(shù)等關(guān)鍵指標(biāo)（截至2023年7月），內(nèi)網(wǎng)桌面終端注冊率100%、內(nèi)網(wǎng)桌面終端防毒軟件安裝率（%）100%、無內(nèi)網(wǎng)弱口令，外網(wǎng)桌面終端注冊率100%、外網(wǎng)桌面終端防毒軟件安裝率（%）100%、無外網(wǎng)弱口令和違規(guī)外聯(lián)。通過實(shí)施信通點(diǎn)位精細(xì)化管理，確保了信息點(diǎn)的完全管控，信息設(shè)備的使用變更需進(jìn)行審核批準(zhǔn)流程，無法隨意變更信息點(diǎn)位，從而杜絕內(nèi)外網(wǎng)終端的互聯(lián)操作，同時(shí)，有效縮短信息點(diǎn)定位時(shí)間，為公司對外窗口的服務(wù)提供技術(shù)支撐。通過實(shí)施該項(xiàng)目，平均故障定位時(shí)間從原先的24.76驟降至5.18min，每年合計(jì)節(jié)約成本16.88萬元，大大提升公司的信息安全經(jīng)濟(jì)效益和社會(huì)效益。

5 結(jié)束語

通過在縣級(jí)供電企業(yè)采取增強(qiáng)信息網(wǎng)絡(luò)安全管理水平的技術(shù)措施和綜合措施，將從根源上降低基層單位在制度標(biāo)準(zhǔn)、主觀觀念、客觀網(wǎng)絡(luò)環(huán)境等方面存在的安全風(fēng)險(xiǎn)，打破縣級(jí)供電企業(yè)長期固化的傳統(tǒng)管理理念和慣性思維，注入現(xiàn)代企業(yè)的新型管理理念，從電力企業(yè)末端建立并完善的信息化安全管理機(jī)制。