加強新時代國有企業(yè)機要信息安全體系理論研究

文/洪露 徐俊波 劉焜（中共國家電網(wǎng)有限公司黨校）

一、引言

國有企業(yè)在信息化發(fā)展中，企業(yè)內(nèi)部的機要信息管理就成為企業(yè)最重要的環(huán)節(jié)，必須對企業(yè)機要信息加強安全體系的管理建設，不僅可以幫助企業(yè)在新時代的信息發(fā)展中站穩(wěn)腳跟，還可以快速地幫助企業(yè)建立機要信息的監(jiān)管體系。因此對國有企業(yè)的機要信息的安全體系必須高度重視，保障企業(yè)內(nèi)部信息的安全工作，促進企業(yè)快速發(fā)展。

二、新時代國有企業(yè)機要信息安全的現(xiàn)狀

新時代形勢下，企業(yè)信息化快速發(fā)展。國有企業(yè)的機要信息安全也受到國家的重視和關(guān)注，但是現(xiàn)在多數(shù)的國有企業(yè)內(nèi)部的信息安全仍然處在初級階段，還存在很多不足之處，會給企業(yè)帶來不同程度的影響和損失。新時代國有企業(yè)在信息化建設過程中，大部分國有企業(yè)對信息化的安全不夠重視，也不會產(chǎn)生危機意識，尤其是對于新時代下的網(wǎng)絡信息安全的認識度更是達不到規(guī)定的要求，根據(jù)多數(shù)國有企業(yè)針對信息安全作出的調(diào)查可以分析出，絕大部分的國有企業(yè)的機要信息都存在安全問題，這其中主要的原因就是國有企業(yè)內(nèi)部的員工和管理者對于信息化的安全意識的認識淡薄，新時代國有企業(yè)對于信息安全的安全體系還存在問題。2014年2 月27 日，國家成立了中央網(wǎng)絡安全和信息化領(lǐng)導小組，標志著中國網(wǎng)絡安全和信息化國家戰(zhàn)略邁出了重要一步，同時也將信息安全推向了一個新的臺階。習近平總書記親自擔任組長，并在中央網(wǎng)絡安全和信息化領(lǐng)導小組第一次會議上講話中提出“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”。信息安全不僅是宏觀需要，也是戰(zhàn)略考量，這也開啟了信息安全戰(zhàn)略規(guī)劃全新時代。

國家電網(wǎng)公司歷年來對信息安全工作極其重視，并持續(xù)推進信息安全管理工作，對信息安全防護體系的推進持續(xù)加強。舒印彪董事長指出“要狠抓意識形態(tài)和保密措施，增強信息安全保障能力；信息到哪里，安全就到哪里”。寇偉總經(jīng)理在迎峰度夏安全生產(chǎn)電視電話會議上指出“隨著通信信息和信息系統(tǒng)在電網(wǎng)運行中的作用越來越凸顯，利用信息攻擊破壞電網(wǎng)安全的風險與日俱增，信息安全形勢嚴峻”。楊晉柏副總經(jīng)理在公司信息安全和信息化領(lǐng)導小組第五次會議上提出“要秉承總體國家安全觀理念，堅守信息安全‘底線’，增強信息安全保障能力”。“十二五”和“十三五”期間，國家電網(wǎng)公司全面推進信息安全主動防御體系建設，建成了覆蓋了總部、省、市的信息安全督查體系，實現(xiàn)了督查工作的“橫向到邊，縱向到底”。但公司信息安全漏洞隱患發(fā)現(xiàn)、安全內(nèi)控及事件調(diào)查等技術(shù)能力有待提高，公司各單位安全防護水平參差不齊。而在現(xiàn)代信息攻防對抗中，任何一個節(jié)點都會影響整體信息安全，一點突破都可能導致全網(wǎng)危機，因此只有構(gòu)建先進的面向信息安全事件與隱患調(diào)查核查的信息安全攻防對抗體系，只有構(gòu)建先進的面向信息安全事件發(fā)現(xiàn)機制，及早處置漏洞與隱患，才能在嚴峻的“信息戰(zhàn)”環(huán)境下保障企業(yè)信息系統(tǒng)安全穩(wěn)定運行。

三、新時代國有企業(yè)機要信息安全存在的問題

（一）新時代國有企業(yè)機要信息安全體系的防護性有待加強

大部分國有企業(yè)購買了大量的保障信息安全的電子產(chǎn)品，但是仍然存在很多問題，針對保障國有企業(yè)的機要信息的安全體系購買的絕大多數(shù)電子設備達不到標準，很多保障信息安全的設備配置都是通過購買產(chǎn)品的廠家負責。其與國有企業(yè)的信息安全體系的建立沒有合理地結(jié)合起來，造成新時代國有企業(yè)的安全技術(shù)防護的功能和使用的效果比較差，我國在針對國有企業(yè)安全信息的核心技術(shù)進行自主研發(fā)的發(fā)展還不穩(wěn)定，缺乏信息化安全的核心技術(shù)支持，和國外的信息安全保障相比完全處于落后的狀態(tài)。

當前國家電網(wǎng)公司信息安全架構(gòu)規(guī)模大，點多面廣且形勢復雜，各單位分布范圍較分散，對各單位落實信息安全管理基本要求、確保信息邊界劃分清晰等方面提出了考驗以及更高的管理要求。近幾年智能電網(wǎng)的普遍建設，發(fā)電側(cè)及用戶側(cè)的信息邊界已延伸并覆蓋了智能電網(wǎng)的各個環(huán)節(jié)，突出了信息安全風險隱患。隨著“大云物移”（即大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動終端）等新技術(shù)的研究與引入，對國家電網(wǎng)公司信息安全提出了新的要求，也構(gòu)成了新的威脅和挑戰(zhàn)。以“大云物移”為代表的“互聯(lián)信息安全＋”等新技術(shù)，以及自主研發(fā)的智能終端設備（如電動汽車、智能插座、智能電器、傳感器等）的不斷接入，信息安全防護對象在不斷增加，致使信息安全防護的基礎環(huán)境也發(fā)生了新的變化，而新的變化終將會引入新的安全風險。隨著安全防護暴露面的增加，以高級持續(xù)性信息攻擊為代表的新型攻擊手段不斷演進，如何發(fā)現(xiàn)新業(yè)務面臨的安全威脅以及未知風險隨之變得異常困難，而電力系統(tǒng)聯(lián)系緊密、分布廣泛、重要性高，一旦癱瘓影響巨大，給國家電網(wǎng)公司信息安全防護工作帶來了嚴峻的挑戰(zhàn)。

（二）新時代國有企業(yè)機要信息安全的事故難以杜絕

新時代互聯(lián)網(wǎng)的不斷發(fā)展，國有企業(yè)的信息安全保障體系也在接受者嚴峻的挑戰(zhàn)，信息安全事故在國有企業(yè)發(fā)生的頻率也在不斷增加，國有企業(yè)的信息化建設和國有企業(yè)在新時代的信息安全保障存在很大的問題和沖突，對信息化安全的保障體系一直沒有落實下去，互相進步的步伐也不一致，國有企業(yè)對于信息化的建設是很感興趣的，而且對于信息化建設也非常有信心，因此一些機要信息的安全就無法得到保障，導致新時代國有企業(yè)的機要信息安全的事故就會持續(xù)上升，一旦發(fā)生，解決問題的周期較長，對國有企業(yè)員工和管理者的工作效率就會產(chǎn)生影響，還會給企業(yè)內(nèi)部的員工帶來一定工作壓力，國有企業(yè)的信息安全保障體系的建立是否可以高效地完成和企業(yè)的員工有很重要的內(nèi)在聯(lián)系，企業(yè)員工對機要信息安全意識越強就會對企業(yè)的發(fā)展越有力，還可以有效地防止信息安全帶來的事故危害。

例如，2016 年“雙十二”之前，國家電網(wǎng)“電e 寶”“掌上電力”手機APP 系統(tǒng)被爆泄露千萬用戶信息的消息傳來，令人震驚。涉及用戶規(guī)模已經(jīng)超過千萬級，而且部分數(shù)據(jù)可能已經(jīng)流入黑產(chǎn)，危害持續(xù)擴大。

目前國家電網(wǎng)公司對于信息安全采取的策略是保持三個同步，也即是確保公司的信息化安全建設和信息安全規(guī)劃保持同步，相關(guān)基礎設施的建設也要選擇同步，保證兩者之間的運營是同步的。對于國家電網(wǎng)公司的建設也應當堅持三個納入的準則，不同級別的信息的保護納入電網(wǎng)信息安全的方面，將信息安全放入到信息化進程中，對于國家電網(wǎng)公司的安全信息應當及時納入整個公司的安全體系中。國家電網(wǎng)公司應當按照四個全面的方式對信息安全進行管理，國家電網(wǎng)公司應當保證公司的所有員工的全部精力。保證公司在各個方面、所有員工、一切方面進行信息安全建設。國家電網(wǎng)公司對于信息安全應當按照四個防止的方法進行設置，將電網(wǎng)公司全部的信息安全融入產(chǎn)業(yè)管理體系中，國家電網(wǎng)公司應當嚴格按照國家的相關(guān)信息安全法律，進行執(zhí)行。所謂信息安全的四個防止，分別是人為防止信息安全的泄露，制定相關(guān)的法律制度保證信息的安全，國家電網(wǎng)應當設定相應的安全技術(shù)標準來防止信息的泄露，物理防止信息泄露。從而保證信息的安全。

（三）新時代國有企業(yè)機要信息管理隊伍安全意識不足

現(xiàn)如今，國有企業(yè)機要信息缺乏一定的安全意識，互聯(lián)網(wǎng)的快速發(fā)展，讓企業(yè)的員工在對企業(yè)的機要信息進行調(diào)閱或者查看時沒有足夠的安全隱患，減低了企業(yè)機要信息泄露的防范心理，國有企業(yè)比較關(guān)心的問題就是機要信息的防護能力與信息的安全性，機要信息對于企業(yè)來講，是企業(yè)的重要組成部分，一旦泄露或者丟失就會給企業(yè)帶來嚴重的損失，甚至還會給國有企業(yè)帶來滅頂之災，必須要對企業(yè)的員工和企業(yè)的管理者加強機要信息安全的管理，提高信息安全防護意識。

國網(wǎng)公司從2012 年開始實施通用制度戰(zhàn)略，各基層供電公司主管部門響應國網(wǎng)號召牽頭制定信息通信安全管理制度，并補充發(fā)布具體實施規(guī)范、細則和要求等。其中《安全事故調(diào)查規(guī)程》明確網(wǎng)絡與信息系統(tǒng)安全責任追究工作流程和事件等級劃分規(guī)定，按事件級別分別由安質(zhì)部、科信部牽頭，按照四不放過要求開展調(diào)查、處置和通報，調(diào)查結(jié)果納入企業(yè)負責人業(yè)績考核及各單位同業(yè)對標考核，與各單位經(jīng)濟效益掛鉤；《公司員工安全獎懲條例》也明確了觸犯公司信息安全規(guī)定的相應經(jīng)濟和行政處理措施。但經(jīng)過調(diào)研，部分供電公司在責任落實方面還存在以下幾個問題：（1）職能和業(yè)務部門之間網(wǎng)絡安全管理職責分工與協(xié)同機制尚需建立健全；（2）部分網(wǎng)絡安全管理崗存在兼職情況，安全責任全面落實和工作質(zhì)量有折扣；（3）同一系統(tǒng)存在多班組交叉管理時，每個系統(tǒng)缺少總安全責任人。

部分基層供電局的信息安全管理隊伍還存在一些問題：（1）信息通信生產(chǎn)運維人員結(jié)構(gòu)性缺員嚴重，大多數(shù)地市每年僅能保證一至兩名新進員工，無法跟上員工老化、退休人數(shù)增加及人才流失速度；縣公司通信人才嚴重不足，多數(shù)縣無通信專業(yè)人員；崗位吸引力不足，高素質(zhì)高水平人才流失嚴重，員工晉升渠道狹窄，崗位流動性不足，導致各地區(qū)通信專業(yè)運維隊伍人員問題突出。（2）信息通信核心運維崗培養(yǎng)周期長，核心業(yè)務存在較大運行壓力和運行風險。（3）缺少精尖人才，在新技術(shù)研究、大數(shù)據(jù)研究等課題上，缺乏全局研究和規(guī)劃能力。（4）部分單位對進入現(xiàn)場的外部人員管理不到位，缺乏有效的安全資質(zhì)審核。對新近的外來人員未能及時作出安全培訓，易導致外來人員操作事故。（5）網(wǎng)絡安全崗位新上崗人員尚需加強安全專業(yè)技能和業(yè)務管理培訓。人員數(shù)量和質(zhì)量尚無法全面支撐安全上臺階需求。

四、新時代國有企業(yè)機要信息安全存在問題的解決對策

（一）新時代國有企業(yè)機要信息安全在技術(shù)方面的提升

國有企業(yè)必須保障企業(yè)內(nèi)部的信息安全，可以在服務器和主機上安裝正版的安全防護軟件進行保障，嚴禁將盜版的防護軟件安裝在服務器和主機上，一旦安裝盜版防護軟件，國有企業(yè)的信息安全就會有安全隱患，安裝完正版的信息安全防護軟件后，必須根據(jù)企業(yè)規(guī)定的時間進行安全檢測，這樣可以起到保障信息安全的效果，但也不能大意，國有企業(yè)的安全信息軟件很難保證長期不出現(xiàn)故障，甚至還會給黑客攻擊的機會，在保障國有企業(yè)信息不出現(xiàn)問題的情況下，可以針對國有企業(yè)重要的信息文件采取備份的方式，對企業(yè)內(nèi)部的機要信息進行存檔。國有企業(yè)內(nèi)部的重要信息在不同時期和不同范圍的重要文件產(chǎn)生的種類也比較多，不同的機要信息的保密程度也存在很大的差別，國有企業(yè)的領(lǐng)導人員和企業(yè)的員工對企業(yè)的機要信息訪問的級別和權(quán)限也不一樣，可以針對不同的員工或者有需要的建立相關(guān)的安全信息保障體系和措施，采用技術(shù)手段給不同的員工在查看企業(yè)的機要信息時，設立不同的訪問權(quán)限，保障機要信息不流失、不泄密。互聯(lián)網(wǎng)在國有企業(yè)中的使用量也非常驚人，使用的頻率和次數(shù)也比較多，企業(yè)內(nèi)部的員工可以通過企業(yè)的電腦獲取各種需要用到的信息，這就給很多的不法分子帶來危害國有企業(yè)信息安全的機會，信息安全就會出現(xiàn)危機，必須對國有企業(yè)的電腦進行網(wǎng)絡防火墻技術(shù)的加固，還要對內(nèi)網(wǎng)和外網(wǎng)的訪問設置權(quán)限，還必須對信息安全進行有效的防范。隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的快速發(fā)展，給信息安全工作也帶來了很多新的思路。例如，運用云計算技術(shù)，一線檢修人員的操作工單可以直接從手持終端傳輸?shù)睫k公室電腦上，提高數(shù)據(jù)同步的及時性。此外，云計算配備的超級數(shù)據(jù)中心還能有效提高系統(tǒng)計算速度，提升用戶的系統(tǒng)體驗。再者，如果在智能電表上采用區(qū)塊鏈技術(shù)，在一個社區(qū)內(nèi)，如果發(fā)生供電故障，這些智能電表就可以確定故障范圍，直接與當?shù)刈冸娬就ㄐ?，重新?guī)劃輸電路線。很多情況下這些操作可以快速完成，消費者甚至都感受不到發(fā)生了變動。

（二）新時代國有企業(yè)機要信息安全在管理方面的提升

新時代國有企業(yè)的信息安全是通過企業(yè)內(nèi)部的員工進行控制和管理操作的，國有企業(yè)的信息安全體系的保障工作是企業(yè)工作中最有挑戰(zhàn)性的一項工作，企業(yè)的信息安全沒有絕對的安全，會在不經(jīng)意的時間里產(chǎn)生問題，因此針對員工進行有效管理，還可以對能接觸到機要文件的員工進行信息安全培訓，提高信息安全的重要性，一旦企業(yè)掌管機要信息的員工出現(xiàn)離職的情況，就必須做好交接工作，對帶有企業(yè)機要信息的文件和電子設備進行收回，保障信息安全。

結(jié)合國家電網(wǎng)公司實際情況，實施動態(tài)防御機制。各省電網(wǎng)公司科信部需要在防護機制上以避免成為攻擊者的目標為原則。通過封裝攻擊入口、讓攻擊者看到的是一個不確定的動態(tài)變化的目標系統(tǒng)，使其無法采用既有的手段進行攻擊，同時大幅提升攻擊者的成本，從而令其放棄攻擊。具體步驟如下：首先，擴大業(yè)務安全威脅感知半徑。其次，對感知到的業(yè)務安全威脅進行細粒度的透視，進而分析出攻擊者的來源、目標、使用工具、攻擊手法及攻擊過程。最后，通過動態(tài)封裝、動態(tài)驗證、動態(tài)混淆、動態(tài)令牌四項核心動態(tài)安全技術(shù)充分實現(xiàn)對企業(yè)業(yè)務、應用及數(shù)據(jù)的全程保護。

（三）新時代國有企業(yè)機要信息安全體系的建立和實施

國有企業(yè)必須對企業(yè)的信息安全體系的建立和實施有充分的認知，增強企業(yè)員工對于信息安全體系建立的重要性和提高企業(yè)員工對于信息安全的意識程度，保障信息安全體系可以在規(guī)定的時間里得到實施，建立針對外來人員對企業(yè)信息安全的攻擊，還必須對國有企業(yè)的管理人員和企業(yè)的員工進行信息安全意識防護的知識傳授，可以盡快地幫助企業(yè)的員工和管理者提高信息安全的認識。

體系的正常運轉(zhuǎn)離不開組織的保障，組織的保障離不開人員的保障。為了體系能落地實施并長效實行，首先應該從規(guī)章制度方面建立規(guī)范支撐，使整個體系的運行嚴格有序。其次需要在隊伍管理方面加強培訓學習，以適應外部環(huán)境的挑戰(zhàn)和變化。最后，體系的長效機制離不開對人員的鼓勵和獎勵，加大獎勵激勵力度，可激發(fā)員工的工作積極性，使體系更高效的運行。

對于規(guī)范制度保障措施而言，參與國家電網(wǎng)公司網(wǎng)絡安全組織管理體系工作的人員首先應當遵守公司保密制度。其次，在遵守保密制度的基礎之上，還要在日常工作中遵守工作規(guī)范，制定國家電網(wǎng)公司網(wǎng)絡與信息安全漏洞和隱患發(fā)現(xiàn)人員安全管理要求，進一步細化工作體系、職責分工、工作內(nèi)容、工作報送、隊伍管理、流程管理、工作考核等內(nèi)容，規(guī)范人員操作行為。同時，為了規(guī)范體系隊員在漏洞挖掘過程中的合規(guī)性，制定網(wǎng)絡安全漏洞和隱患發(fā)現(xiàn)工作指南，進一步規(guī)范人員隱患發(fā)現(xiàn)工作的安全性和工作效率。

加大獎勵激勵力度，為了更好地調(diào)動員工的工作積極性，對于員工在相關(guān)工作方面的突出表現(xiàn)以及其本人所在單位開展：工作的情況納入積分考核，對于發(fā)現(xiàn)漏洞多、在專項工作中積極參與的單位予以加分獎勵，分數(shù)對應年終的績效成績，涉及員工的個人利益以及本單位的集體利益，會直接激發(fā)員工的積極性和主動性，有助于增強體系中團隊的凝聚力，激發(fā)成員的潛能。對于創(chuàng)新隊伍管理模式而言，國家電網(wǎng)公司定期組織信息安全組織管理體系隊伍培訓工作，主要通過理論和實操形式，理論以國家信息安全法、信息安全規(guī)章制度、公司信息安全規(guī)章制度為主，從意識方面培養(yǎng)隊員的操作合規(guī)性。實操以滲透技術(shù)實訓為主，主要為新技術(shù)學習和技術(shù)交流等。培訓采用邀請信息安全領(lǐng)域?qū)＜壹皹I(yè)內(nèi)應用系統(tǒng)專家授課，組織參加業(yè)內(nèi)信息安全滲透技能認證考試，邀請信息安全領(lǐng)域較為先進的信息安全攻防隊伍交流，實驗環(huán)境模擬操作培訓等多種方式開展。

五、結(jié)語

新時代國有企業(yè)的信息化體系的建立對企業(yè)的信息化建設的發(fā)展有很重要的作用，二者缺一不可，必須針對國有企業(yè)在新時代的信息安全進行有效的管理，加強企業(yè)的信息安全管理制度，對國有企業(yè)的信息安全建立相應的管理機制，可以幫助國有企業(yè)在針對信息安全的管理工作中順利發(fā)展。