人防為重的信息安全防護(hù)體系構(gòu)建

_曹海軍 智海燕 孔祥晨

自2006年開(kāi)始，國(guó)家電網(wǎng)公司全面實(shí)施了“SG186工程”，公司的信息化水平達(dá)到國(guó)內(nèi)領(lǐng)先、國(guó)際先進(jìn)，初步建成數(shù)字化電網(wǎng)、信息化企業(yè)。但是，與信息化對(duì)公司發(fā)展的支撐日益強(qiáng)大相比，作為工程落地的地市公司在信息安全諸多方面還存在著不足，尤其是人員安全意識(shí)薄弱等方面，給信息系統(tǒng)安全運(yùn)行帶來(lái)諸多隱患，嚴(yán)重制約著地市公司信息化發(fā)展進(jìn)程，甚至影響到了省公司的信息化進(jìn)程，給工程成果價(jià)值打了不小的折扣。

針對(duì)這些問(wèn)題，商丘供電公司按照統(tǒng)一部署，構(gòu)建起了完善的信息安全技術(shù)防護(hù)體系和信息安全管理保障體系，并通過(guò)兩個(gè)體系有機(jī)結(jié)合，使之相輔相成，互補(bǔ)不足，建成了覆蓋公司內(nèi)、外網(wǎng)的整體信息安全防護(hù)體系，從而為信息系統(tǒng)及網(wǎng)絡(luò)的安全提供有效保障。

一、構(gòu)建信息安全防護(hù)體系的主要做法

在部署管控系統(tǒng)，進(jìn)行技術(shù)防范的同時(shí)，商丘公司牢牢抓住最具變性的人的因素，筑建起了一道重在“人防”的安全管理保障體系。

1.全面部署信息安全技術(shù)管控系統(tǒng)

商丘公司全面實(shí)施了雙網(wǎng)隔離、IP與MAC地址綁定等信息安全技術(shù)措施，全面部署了網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)、桌面終端安全管理系統(tǒng)、防病毒系統(tǒng)、入侵防御系統(tǒng)、入侵檢測(cè)系統(tǒng)、安全審計(jì)系統(tǒng)、防火墻等信息安全技術(shù)管控系統(tǒng)，構(gòu)建起了完善的公司信息安全技術(shù)防護(hù)體系，從而為有效降低信息網(wǎng)絡(luò)和信息系統(tǒng)安全面臨的風(fēng)險(xiǎn)，提高公司內(nèi)、外網(wǎng)安全技術(shù)防護(hù)能力打下了堅(jiān)實(shí)的物質(zhì)基礎(chǔ)。

2.嚴(yán)密部署七道安全關(guān)口

商丘公司秉承“專(zhuān)業(yè)的人員做專(zhuān)業(yè)的事”的原則，從網(wǎng)絡(luò)安全、設(shè)備安全、數(shù)據(jù)安全等方面，嚴(yán)密部署并嚴(yán)格把好七道安全關(guān)口，充分發(fā)揮了先進(jìn)技術(shù)和設(shè)備的防控能力。

邊界防護(hù)關(guān)——在所有內(nèi)、外網(wǎng)絡(luò)邊界均安裝硬件防火墻，并設(shè)置嚴(yán)格的雙向安全策略；安裝上網(wǎng)行為管理系統(tǒng)，部署IPS、IDS等安全防護(hù)系統(tǒng)，記錄所有網(wǎng)絡(luò)通信數(shù)據(jù)，及時(shí)進(jìn)行分析審計(jì)，做到信息事件可審查。

網(wǎng)絡(luò)設(shè)備關(guān)——對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固，關(guān)閉非必要的服務(wù)和端口，設(shè)置登錄設(shè)備的安全訪問(wèn)控制，強(qiáng)密碼并定期更換，重新設(shè)置SNMP字符串，關(guān)閉空閑端口，設(shè)置端口安全，執(zhí)行IP—MAC—端口綁定，防止外部計(jì)算機(jī)接入。

終端防護(hù)關(guān)——加強(qiáng)終端上下線管控，確保桌面終端注冊(cè)安裝率保持100%。嚴(yán)格執(zhí)行IP與MAC綁定策略和新計(jì)算機(jī)準(zhǔn)入策略，所有IP分配統(tǒng)一管控。對(duì)桌面終端非法外聯(lián)、密碼、防病毒安裝進(jìn)行統(tǒng)一的監(jiān)控和管理。同時(shí)，加強(qiáng)安全移動(dòng)存儲(chǔ)介質(zhì)管理，包括移動(dòng)介質(zhì)領(lǐng)取、使用、損壞、丟失等方面。

補(bǔ)丁漏洞關(guān)——每月使用補(bǔ)丁漏洞監(jiān)測(cè)工具（如綠盟RSAS）進(jìn)行全網(wǎng)掃描檢測(cè)，針對(duì)發(fā)現(xiàn)漏洞下發(fā)信息安全整改通知單，提供整改方法及補(bǔ)丁文件，統(tǒng)一進(jìn)行修補(bǔ)，并對(duì)整改結(jié)果進(jìn)行復(fù)查。禁止內(nèi)外網(wǎng)計(jì)算機(jī)混用，設(shè)置八位及以上由字母數(shù)字混合的開(kāi)機(jī)密碼、開(kāi)啟屏保密碼設(shè)置。

病毒木馬關(guān)——公司信息內(nèi)網(wǎng)安裝統(tǒng)一的防病毒系統(tǒng)，制定客戶端病毒庫(kù)升級(jí)策略，對(duì)于未按要求安裝防病毒系統(tǒng)的終端及時(shí)下發(fā)信息安全整改通知單，要求立即整改。同時(shí)，設(shè)置明確的預(yù)警策略和定時(shí)掃描策略等，統(tǒng)一發(fā)布終端防火墻策略，及時(shí)處理病毒源。

機(jī)房環(huán)境關(guān)——在執(zhí)行機(jī)房巡視制度的同時(shí)，定期開(kāi)展設(shè)備定檢測(cè)試。機(jī)房監(jiān)控系統(tǒng)每年開(kāi)展應(yīng)急演練時(shí)進(jìn)行一次全面的故障模擬測(cè)試。嚴(yán)格執(zhí)行外來(lái)人員出入登記制度、專(zhuān)人負(fù)責(zé)制度、巡檢制度、操作票、工作票制度等。

數(shù)據(jù)安全關(guān)——為確保數(shù)據(jù)安全，在執(zhí)行雙機(jī)熱備（或冷備）的硬件支撐基礎(chǔ)上，同時(shí)利用網(wǎng)絡(luò)存儲(chǔ)資源執(zhí)行網(wǎng)絡(luò)備份和異地備份策略。按照數(shù)據(jù)重要性備份等級(jí)，區(qū)別執(zhí)行月備份、周備份、日備份或?qū)崟r(shí)備份等不同策略。巡視人員在備份后第二天核驗(yàn)備份結(jié)果。

3.健全信息安全組織機(jī)構(gòu)

商丘公司常設(shè)公司總經(jīng)理、黨委書(shū)記任組長(zhǎng)的信息安全領(lǐng)導(dǎo)小組，對(duì)公司信息安全工作進(jìn)行全面督導(dǎo)，下設(shè)信息安全工作小組和信息安全專(zhuān)責(zé)，具體負(fù)責(zé)公司信息安全工作的規(guī)劃、實(shí)施、檢查、整改和考核；各部門(mén)設(shè)有兼職信息員，構(gòu)成公司信息員網(wǎng)絡(luò)，負(fù)責(zé)配合本部門(mén)信息安全工作的實(shí)施、檢查和整改。人員根據(jù)形勢(shì)變化和公司結(jié)構(gòu)及時(shí)進(jìn)行調(diào)整。

4.充分發(fā)揮部門(mén)信息員的作用

部門(mén)信息員由各部門(mén)既通曉業(yè)務(wù)又熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任，進(jìn)行基層宣傳、督導(dǎo)與檢查、整改工作，這樣既減輕了信息部專(zhuān)責(zé)的勞動(dòng)強(qiáng)度，又保證了工作質(zhì)量，同時(shí)還解決了“維護(hù)人員主業(yè)化”的矛盾。

5.細(xì)化工作流程

為實(shí)現(xiàn)公司信息安全管理由被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變，公司及時(shí)完善所有相關(guān)信息工作流程，并納入公司管理工作流程標(biāo)準(zhǔn)體系，由公司信息化工作領(lǐng)導(dǎo)小組指導(dǎo)監(jiān)督執(zhí)行。流程體系涵蓋了信息化所有日常工作，細(xì)化到每個(gè)崗位以及各個(gè)崗位在流程工作各個(gè)階段的工作職責(zé)和審批權(quán)限，做到“有依據(jù)，有保證，可追溯”，從根本上把好了七道安全關(guān)口。

6.完善信息化管理制度

為規(guī)范公司信息化管理工作，提升公司信息化安全運(yùn)行水平，做到“一切工作皆有制度，一切行動(dòng)皆有措施”，根據(jù)《河南省電力公司信息化工作管理辦法》及相關(guān)管理制度要求，結(jié)合公司實(shí)際情況，不斷修訂完善了一系列配套的管理制度，并對(duì)安全責(zé)任進(jìn)行了規(guī)定和劃分，做到把安全責(zé)任落實(shí)到每一個(gè)崗位和每一個(gè)環(huán)節(jié)，夯實(shí)了信息安全各項(xiàng)工作的基礎(chǔ)。

7.建立完善的應(yīng)急體系

為正確、有效和快速處理網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，提高公司應(yīng)對(duì)網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件的組織指揮能力和應(yīng)急處置能力，商丘公司建立了公司網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急保障體系和應(yīng)急響應(yīng)機(jī)制，結(jié)合工作實(shí)際情況，每年均及時(shí)修訂完善《商丘供電公司網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件處置應(yīng)急預(yù)案》，并且嚴(yán)格進(jìn)行演練，并對(duì)演練過(guò)程中發(fā)現(xiàn)的問(wèn)題及時(shí)進(jìn)行總結(jié)提高，做到細(xì)致、嚴(yán)密、有效。

8.嚴(yán)格進(jìn)行考核

公司將信息安全考核辦法納入公司績(jī)效考核體系，由公司信息化工作領(lǐng)導(dǎo)小組監(jiān)督執(zhí)行。對(duì)于違章的責(zé)任人和所在部門(mén)黨政負(fù)責(zé)人，在公司范圍內(nèi)進(jìn)行通報(bào)批評(píng)，進(jìn)行相應(yīng)的經(jīng)濟(jì)處罰并在違章曝光臺(tái)公示。

9.持續(xù)開(kāi)展“反習(xí)慣性違章”活動(dòng)

商丘公司在公司范圍內(nèi)持續(xù)開(kāi)展了信息安全“反習(xí)慣性違章”活動(dòng)，從終端安全、終端操作、密碼管理等十個(gè)方面進(jìn)行全面檢查、梳理、完善和提高，公司全員深刻認(rèn)識(shí)到了信息安全“習(xí)慣性違章”的利害，徹底改變了不良作業(yè)的習(xí)慣，進(jìn)一步夯實(shí)信息系統(tǒng)安全運(yùn)行基礎(chǔ)。

二、主要?jiǎng)?chuàng)新點(diǎn)

創(chuàng)新性地引入了“技術(shù)與管理并重”理念和“三分技術(shù)、七分管理”原則，圍繞公司信息安全存在的問(wèn)題和面臨的威脅，在全面部署信息安全技術(shù)管控系統(tǒng)的基礎(chǔ)上，嚴(yán)密部署七道安全關(guān)口，健全信息安全組織機(jī)構(gòu)，完善信息化管理制度和工作流程，細(xì)化信息安全實(shí)施階段，充分調(diào)動(dòng)和發(fā)揮關(guān)鍵人員作用，并通過(guò)嚴(yán)格的考核制度促進(jìn)安全管理體系的真正有效落實(shí)，以此提升信息系統(tǒng)安全管理水平，確保公司安全生產(chǎn)局面的持續(xù)穩(wěn)定。

三、實(shí)施效果

通過(guò)信息安全防護(hù)體系的構(gòu)建和“反習(xí)慣性違章”活動(dòng)持續(xù)、扎實(shí)、有效的開(kāi)展，查處并整改了一批習(xí)慣性違章行為，公司范圍內(nèi)根本杜絕了違規(guī)外聯(lián)等嚴(yán)重違章行為，人員的信息安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)得到了大幅提升，最大程度減小了信息安全風(fēng)險(xiǎn)，全面提升了信息安全健康率指標(biāo)，確保了公司信息安全工作的安全穩(wěn)定運(yùn)行。