電力企業(yè)信息安全保障體系建設(shè)探討

陳 騉

（江蘇省電力公司常州供電公司，江蘇 常州 213000）

1 信息安全的定位與重要性

電力系統(tǒng)是我國計(jì)算機(jī)應(yīng)用起步較早的行業(yè)，信息技術(shù)的高速發(fā)展和廣泛應(yīng)用，為公司門戶網(wǎng)站、辦公自動化、電網(wǎng)調(diào)度、生產(chǎn)運(yùn)行、財(cái)務(wù)資金、營銷管理等各方面提供了有力支撐。在信息時(shí)代和知識經(jīng)濟(jì)新形勢下，一頭是日新月異的信息技術(shù)，一頭是管理效能的變革提升，信息安全，則是聯(lián)通兩岸的壯麗大橋，每一種管理手段，每一條防護(hù)技術(shù)，都是支撐起這座重要橋梁的魯班石。

2012年初，國家電網(wǎng)公司頒布了新版《安全事故調(diào)查規(guī)程》，首次將信息系統(tǒng)事件與人身、設(shè)備、電網(wǎng)事故一并列入安全事故體系，并詳細(xì)進(jìn)行了5～8級分級定義。省公司確定了“不發(fā)生五級信息系統(tǒng)事件”的安全目標(biāo)；省公司將信息安全納入信息化專業(yè)業(yè)績考核內(nèi)容和同業(yè)對標(biāo)評價(jià)細(xì)則中：如發(fā)生本單位負(fù)主要責(zé)任的六級及六級以上信息事件，考核總分為0分，信息專業(yè)同業(yè)對標(biāo)所有指標(biāo)一票否決?？梢哉f，對信息安全的關(guān)注與重視已提升到了前所未有的高度。

2 電力企業(yè)信息安全保障體系建設(shè)

安全體系建設(shè)是一個(gè)整體、系統(tǒng)的工程，不是刻板的“管理教條”，不是簡單的“技術(shù)積木”。必須以預(yù)防為主，管理與技術(shù)雙管齊下，相輔相成實(shí)現(xiàn)全面、完整、高效的一體化安全體系建設(shè)，為公司的生產(chǎn)經(jīng)營業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。

2.1 信息安全管理保障體系建設(shè)

2.1.1 組織機(jī)構(gòu)

人力資源是體系正常運(yùn)轉(zhuǎn)的首要保證，信息安全管理體系建設(shè)需形成決策層、管理層、執(zhí)行層等機(jī)構(gòu)，確保人員的配置和安全責(zé)任制的落實(shí)。常州公司構(gòu)建了從公司領(lǐng)導(dǎo)到各部門分管負(fù)責(zé)人為成員的信息安全組織體系，公司設(shè)置信息安全管理崗位，各基層單位均明確信息化網(wǎng)絡(luò)管理成員專職（兼職）人員，負(fù)責(zé)本單位信息安全工作的組織和項(xiàng)目實(shí)施。

2.1.2 規(guī)章制度

“沒有規(guī)矩，不成方圓。”建章立制、明確職責(zé)是加強(qiáng)和規(guī)范公司信息安全工作，做到“流程管事，制度管人，規(guī)范管理”的前提與基礎(chǔ)。常州公司修訂完善了《信息化工作考核辦法》、《信息設(shè)備管理辦法》、《網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案》等一系列制度。對于制度的執(zhí)行情況，公司每季組織安全檢查，每月發(fā)布《信息安全月報(bào)》，在公司安全網(wǎng)絡(luò)會議上通報(bào)近期信息安全情況、分析違章原因，實(shí)現(xiàn)閉環(huán)管理，取得顯著成效。

2.1.3 系統(tǒng)運(yùn)維

作為近年來高速發(fā)展的新興專業(yè)，信息運(yùn)維管理的規(guī)范性亟待提高。常州公司信息運(yùn)維工作堅(jiān)持“運(yùn)行與安全”、“建設(shè)與應(yīng)用”并重原則，注重規(guī)范化與標(biāo)準(zhǔn)化，明確運(yùn)維人員職責(zé)、工作內(nèi)容與工作要求，以“總值班—服務(wù)監(jiān)控—桌面終端管理”三層次運(yùn)維管理機(jī)制確保全公司信息系統(tǒng)穩(wěn)定、可靠、安全運(yùn)行。

2.1.4 人員教育

人的不安全行為是導(dǎo)致信息系統(tǒng)事件發(fā)生的主要原因，僅憑信息人員“救火式”的維護(hù)只能“頭疼醫(yī)頭、腳痛治腳”，治標(biāo)不治本。提升全體員工的信息安全意識才是保障安全的最關(guān)鍵因素。常州公司在人員培訓(xùn)方面采用分層面教育，多方式宣傳，創(chuàng)新新式，不留死角，全方位營造安全氛圍，普及安全教育，做到全民動員，共筑安全。

2.2 信息安全技術(shù)防護(hù)體系建設(shè)

2.2.1 物理安全

信息機(jī)房是各類信息設(shè)備的存放地點(diǎn)，是公司信息化工作的核心樞紐。在制定《機(jī)房管理制度》、《運(yùn)行值班制度》做好人員進(jìn)出和設(shè)備監(jiān)控管理基礎(chǔ)上，2013年6月起，常州公司全面開展了安全管理專項(xiàng)整治工作。為做好火災(zāi)等突發(fā)事件的防范，常州公司多次開展信息主機(jī)房、重要節(jié)點(diǎn)機(jī)房的火災(zāi)應(yīng)急演練，加強(qiáng)相關(guān)部門間的配合，提高信息運(yùn)維人員的協(xié)同能力、快速反應(yīng)能力和突發(fā)事故處理能力。

2.2.2 網(wǎng)絡(luò)安全

信息網(wǎng)絡(luò)的安全與穩(wěn)定是應(yīng)用正常流轉(zhuǎn)，數(shù)據(jù)順暢交互的前提與基礎(chǔ)。部分擔(dān)負(fù)承載重任的核心與匯聚網(wǎng)絡(luò)設(shè)備已連續(xù)運(yùn)行達(dá)5年以上。為在保持網(wǎng)絡(luò)穩(wěn)定前提下消除設(shè)備安全隱患，常州公司全新探索和實(shí)踐嘗試了帶電清洗技術(shù)，避免了傳統(tǒng)人工除塵方式需將設(shè)備停運(yùn)，在不停電、不影響設(shè)備正常運(yùn)行的情況下全面徹底消除黏附灰塵靜電給設(shè)備帶來的安全隱患，延長設(shè)備使用壽命，也提高了信息網(wǎng)絡(luò)運(yùn)行質(zhì)量。

2.2.3 系統(tǒng)安全

業(yè)務(wù)應(yīng)用是公司經(jīng)營發(fā)展的生命線，作為流轉(zhuǎn)平臺的信息系統(tǒng)必須保證穩(wěn)定可靠。對于承載應(yīng)用的服務(wù)器，常州公司將原單線聯(lián)網(wǎng)方式改造為二套網(wǎng)絡(luò)一主一備方式，并用技術(shù)手段實(shí)現(xiàn)發(fā)生網(wǎng)絡(luò)故障時(shí)的自動實(shí)時(shí)切換，通過網(wǎng)絡(luò)冗余極大提高了服務(wù)器的可靠性。為應(yīng)對數(shù)據(jù)篡改、應(yīng)用數(shù)據(jù)丟失、業(yè)務(wù)中斷等信息系統(tǒng)事件，有針對性地編寫了《信息系統(tǒng)數(shù)據(jù)庫管理標(biāo)準(zhǔn)化作業(yè)指導(dǎo)書》、《服務(wù)器備機(jī)及應(yīng)用恢復(fù)作業(yè)指導(dǎo)書》，內(nèi)容精細(xì)至命令級，具有較強(qiáng)的可操作性。此外，模擬服務(wù)器故障導(dǎo)致應(yīng)用系統(tǒng)無法使用場景開展信息系統(tǒng)應(yīng)急演練，在最短時(shí)間內(nèi)恢復(fù)應(yīng)用和數(shù)據(jù)，降低事故損失，提高了應(yīng)急恢復(fù)技能。

2.2.4 應(yīng)用安全

常州公司全面推廣實(shí)施國家電網(wǎng)公司桌面終端管理系統(tǒng)，并啟動用戶權(quán)限、用戶密碼、補(bǔ)丁檢測等各項(xiàng)安全策略對終端設(shè)備進(jìn)行安全管控。目前內(nèi)網(wǎng)注冊終端4634臺，終端注冊率、防病毒安裝率、補(bǔ)丁安裝率均達(dá) 100%.“兵成于密而敗于泄”公司在所有內(nèi)外網(wǎng)終端上統(tǒng)一推廣保密自動檢測系統(tǒng)，指導(dǎo)員工開展自查并進(jìn)行了保密檢查，嚴(yán)格確?！吧婷苄畔⒉簧暇W(wǎng)，上網(wǎng)信息不涉密”。

3 結(jié)束語

綜上所述，在信息技術(shù)廣泛應(yīng)用于電力系統(tǒng)的今天，信息安全已與企業(yè)生產(chǎn)經(jīng)營管理密切相關(guān)。不能單純依靠管理教條的生搬硬套和靜態(tài)技術(shù)的堆砌疊加盲目管控，必須結(jié)合公司實(shí)情，研究信息安全各要素間的聯(lián)系，不斷進(jìn)行管理創(chuàng)新與技術(shù)實(shí)踐，建立一套先進(jìn)、實(shí)用、高效的信息安全保障體系，確保公司信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行。

[1]關(guān)良輝.電力企業(yè)局域網(wǎng)的信息安全[J].電力安全技術(shù)，2010（06）.

[2]趙志宇.談電力信息系統(tǒng)安全保障體系建設(shè)原則及思路[J].計(jì)算機(jī)安全，2009（06）.