北京國(guó)電通網(wǎng)絡(luò)技術(shù)有限公司 王 鵬 王志鵬 尹 帥 郭 鵬

電力系統(tǒng)信息安全防護(hù)體系問題研究

北京國(guó)電通網(wǎng)絡(luò)技術(shù)有限公司 王 鵬 王志鵬 尹 帥 郭 鵬

【摘要】隨著互聯(lián)網(wǎng)對(duì)經(jīng)濟(jì)社會(huì)方方面面的滲透，網(wǎng)絡(luò)信息安全的重要性日益凸顯，網(wǎng)絡(luò)傳播給國(guó)家安全與社會(huì)穩(wěn)定帶來了前所未有的新問題與新挑戰(zhàn)。近期，網(wǎng)絡(luò)與信息安全已經(jīng)上升到一個(gè)國(guó)家戰(zhàn)略，政府對(duì)網(wǎng)絡(luò)安全問題的重視已達(dá)到前所未有的程度。同樣，在電網(wǎng)企業(yè)中，信息安全作為生產(chǎn)自動(dòng)化和管理信息化深入推進(jìn)的重要保障，其基礎(chǔ)性、全局性、全員性作用日益增強(qiáng)，對(duì)電網(wǎng)安全有著重大影響。

【關(guān)鍵詞】信息安全防護(hù)體系；風(fēng)險(xiǎn)評(píng)估；信息安全隱患；應(yīng)急預(yù)案

信息安全管理是信息安全防護(hù)體系建設(shè)的重要內(nèi)容，也是完善各項(xiàng)信息安全技術(shù)措施的基礎(chǔ)，而信息安全管理標(biāo)準(zhǔn)又是信息安全管理的基礎(chǔ)和準(zhǔn)則，因此要做好信息安全防護(hù)體系建設(shè)，必須從強(qiáng)化管理著手，首先制定信息安全管理標(biāo)準(zhǔn)。電力系統(tǒng)借鑒ISO27000國(guó)際信息安全管理理念，并結(jié)合公司信息安全實(shí)際情況，制訂了信息安全管理標(biāo)準(zhǔn)，明確了各單位、各部門的職責(zé)劃分，固化了信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理、信息安全專項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計(jì)調(diào)查及組織整改等工作流程，促進(jìn)了各單位信息安全規(guī)范性管理，為各項(xiàng)信息安全技術(shù)措施奠定了基礎(chǔ)，顯著提升了公司信息安全防護(hù)體系建設(shè)水平。

1.電力系統(tǒng)信息安全防護(hù)目標(biāo)

規(guī)范、加強(qiáng)公司網(wǎng)絡(luò)和信息系統(tǒng)安全的管理，確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對(duì)外服務(wù)中斷和由此造成的電力系統(tǒng)運(yùn)行事故，并以此提升公司信息安全的整體管理水平。

2.信息安全防護(hù)體系建設(shè)重點(diǎn)工作

電力系統(tǒng)信息安全防護(hù)體系建設(shè)應(yīng)遵循“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的理念。下面，結(jié)合本公司信息安全防護(hù)體系建設(shè)經(jīng)驗(yàn)，對(duì)信息安全防護(hù)體系建設(shè)四項(xiàng)重點(diǎn)工作進(jìn)行闡述。

2.1 信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理

信息管理部門信息安全管理專職根據(jù)年度信息化項(xiàng)目綜合計(jì)劃，每年在綜合計(jì)劃正式下達(dá)后，制定全年新建應(yīng)用系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估計(jì)劃，確保系統(tǒng)上線前符合國(guó)網(wǎng)公司信息安全等級(jí)保護(hù)要求。 應(yīng)用系統(tǒng)在建設(shè)完成后 10個(gè)工作日內(nèi)，按照《國(guó)家電網(wǎng)公司信息系統(tǒng)上下線管理辦法》要求進(jìn)行上線申請(qǐng)。 由信息管理部門信息安全管理專職在接到上線申請(qǐng) 10個(gè)工作日內(nèi)， 組織應(yīng)用系統(tǒng)專職及業(yè)務(wù)主管部門按照《國(guó)家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》對(duì)系統(tǒng)的安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估測(cè)試，并形成評(píng)估報(bào)告交付業(yè)務(wù)部門。 對(duì)應(yīng)用系統(tǒng)不滿足安全要求的部分， 業(yè)務(wù)部門應(yīng)在收到評(píng)估報(bào)告后 10個(gè)工作日內(nèi)按照《國(guó)家電網(wǎng)公司信息安全加固實(shí)施指南（試行）》進(jìn)行安全加固，加固后 5個(gè)工作日內(nèi)，經(jīng)信息管理部門復(fù)查，符合安全要求后方可上線試運(yùn)行。應(yīng)用系統(tǒng)進(jìn)入試運(yùn)行后，應(yīng)嚴(yán)格做好數(shù)據(jù)的備份、保證系統(tǒng)及用戶數(shù)據(jù)的安全，對(duì)在上線后影響網(wǎng)絡(luò)信息安全的，信息管理部門有權(quán)停止系統(tǒng)的運(yùn)行。

2.2 信息安全專項(xiàng)檢查與治理

信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項(xiàng)檢查工作計(jì)劃。檢查內(nèi)容包括公司本部及各基層單位的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、機(jī)房安全等。 信息安全專職按照計(jì)劃組織公司信息安全督查員開展信息安全專項(xiàng)檢查工作，對(duì)在檢查中發(fā)現(xiàn)的問題，檢查后 5 個(gè)工作日內(nèi)錄入信息安全隱患庫(kù)并反饋給各相關(guān)單位，隱患分為重大隱患和一般隱患，對(duì)于重大隱患，信息安全專職負(fù)責(zé)在錄入隱患庫(kù) 10 個(gè)工作日內(nèi)組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個(gè)工作日內(nèi)對(duì)發(fā)現(xiàn)的問題制定治理方案， 并限期整技信息部信息安全專職。信息管理部門安全專職對(duì)隱患庫(kù)中所有隱患的治理情況進(jìn)行跟蹤，并組織復(fù)查，對(duì)未能按期完成整改的單位，信息安全專職 10 個(gè)工作日內(nèi)匯報(bào)信息管理部門負(fù)責(zé)人， 信息管理部門有權(quán)向人資部建議對(duì)其進(jìn)行績(jī)效考核。

2.3 信息安全應(yīng)急預(yù)案管理

信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應(yīng)急預(yù)案編制、演練及修訂計(jì)劃，并下發(fā)給各單位。各單位信息安全專職按照計(jì)劃組織本單位開展相關(guān)預(yù)案的制定，各種預(yù)案制定后 5 個(gè)工作日內(nèi)交本部門主要負(fù)責(zé)人審批，審批通過后 5 個(gè)工作日內(nèi)報(bào)信息管理部門信息安全專職。各單位信息安全專職負(fù)責(zé)組織對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并按年度計(jì)劃開展預(yù)案演練。 根據(jù)演練結(jié)果，10 個(gè)工作日內(nèi)組織對(duì)預(yù)案進(jìn)行修訂。各單位信息安全預(yù)案應(yīng)每年至少進(jìn)行一次審查修訂， 對(duì)更新后的內(nèi)容， 需在 10 個(gè)工作日內(nèi)經(jīng)本部門領(lǐng)導(dǎo)審批，并在審批通過后 5 個(gè)工作日內(nèi)報(bào)信息管理部門備案。

2.4 安全事件統(tǒng)計(jì)、調(diào)查及組織整改

信息管理部門信息安全專職負(fù)責(zé)每月初對(duì)公司本部及各基層單位上個(gè)月信息安全事件進(jìn)行統(tǒng)計(jì)。 各系統(tǒng)負(fù)責(zé)人、各單位信息安全管理專職負(fù)責(zé)統(tǒng)計(jì)本系統(tǒng)、單位的信息安全事件，并在每月 30 日以書面形式報(bào)告信息管理部門信息安全專職， 對(duì)于逾期未報(bào)的按無事件處理。 出現(xiàn)信息安全事件后 5 個(gè)工作日內(nèi)，信息管理部門信息安全專職負(fù)責(zé)組織對(duì)事件的調(diào)查，調(diào)查過程嚴(yán)格按照《國(guó)家電網(wǎng)公司信息系統(tǒng)事故調(diào)查及統(tǒng)計(jì)規(guī)定（試行）》執(zhí)行，并組織開展信息系統(tǒng)事故原因分析，堅(jiān)持“四不放過”原則，調(diào)查后 5 個(gè)工作日內(nèi)組織編寫事件調(diào)查報(bào)告。調(diào)查、分析完成后 10 個(gè)工作日內(nèi)組織落實(shí)各項(xiàng)整改措施。信息安全事件調(diào)查嚴(yán)格執(zhí)行《國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度》制度。

3.評(píng)估與改進(jìn)

通過執(zhí)行“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的信息安全防護(hù)體系建設(shè)理念和實(shí)施電力公司信息安全管理標(biāo)準(zhǔn)， 明確了各項(xiàng)工作的“5W1H”。使信息管理部門和各部門及下屬各單位的接口與職責(zé)劃分進(jìn)一步清晰，有效協(xié)調(diào)了相互之間的分工協(xié)作。 并通過 ITMIS 系統(tǒng)進(jìn)行對(duì)上述流程進(jìn)行固化，在嚴(yán)格執(zhí)行國(guó)網(wǎng)公司、省公司各項(xiàng)安全要求的基礎(chǔ)上簡(jiǎn)化了工作流程， 搭建了信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu)，實(shí)現(xiàn)了信息安全防護(hù)建設(shè)工作的體系化。同時(shí)在標(biāo)準(zhǔn)的 PDCA四階段循環(huán)周期通過管理目標(biāo)、職責(zé)分工，管理方法，管理流程、考核要求，文檔記錄 6 種管理要素對(duì)信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理、信息安全專項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計(jì)調(diào)查及組織整改4 項(xiàng)管理內(nèi)容進(jìn)行持續(xù)改進(jìn)，使信息安全防護(hù)體系建設(shè)工作的質(zhì)量有了質(zhì)變提升。 在信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu)搭建完成后，下一步將重點(diǎn)完善信息安全防護(hù)體系中技術(shù)體系建設(shè)，管理與技術(shù)措施并舉，構(gòu)建堅(jiān)強(qiáng)信息安全防護(hù)體系。

4.結(jié)論

信息安全工作是一項(xiàng)系統(tǒng)工程，“攻擊”與“防范”、“威脅”與“脆弱性”之間經(jīng)常此消彼長(zhǎng)，不斷發(fā)展。健全電力公司信息安全防護(hù)基礎(chǔ)體系，必須從管理和技術(shù)兩方面入手，夯實(shí)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全和用戶安全。以安全區(qū)域劃分、系統(tǒng)等級(jí)保護(hù)、安全邊界防護(hù)、訪問控制技術(shù)、主動(dòng)監(jiān)控措施、安全通報(bào)機(jī)制和應(yīng)急響應(yīng)體系為手段，多方面構(gòu)筑全方位、多層次的安全防護(hù)體系，初步實(shí)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)全方位、細(xì)粒度的安全管理，做到“安全風(fēng)險(xiǎn)可控制，內(nèi)部操作可審計(jì)，措施執(zhí)行可度量，安全管理精細(xì)化，運(yùn)行維護(hù)主業(yè)化”。實(shí)現(xiàn)企業(yè)信息安全防御的重點(diǎn)從“以網(wǎng)絡(luò)層防護(hù)為主”轉(zhuǎn)向?yàn)椤熬W(wǎng)絡(luò)和應(yīng)用防護(hù)并舉”，從“以防外為主”轉(zhuǎn)向?yàn)椤胺纼?nèi)防外并舉”的二個(gè)轉(zhuǎn)變。其中，信息外網(wǎng)以“防攻擊、防泄露”為主，信息內(nèi)網(wǎng)以“強(qiáng)內(nèi)控，防外聯(lián)”為主，實(shí)現(xiàn)信息內(nèi)外網(wǎng)的深度安全防護(hù)，確保應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行，保障電網(wǎng)企業(yè)信息安全。

參考文獻(xiàn)

［1］李文武，游文霞，王先培.電力系統(tǒng)信息安全研究綜述［J］.電力系統(tǒng)保護(hù)與控制，2011，39（10）∶140-146.

［2］苗新，張愷，田世明等.支撐智能電網(wǎng)的信息通信體系［J］.電網(wǎng)技術(shù)，2009，33（17）∶8-13.

作者簡(jiǎn)介：

王鵬（1983—），男，吉林四平人，雙學(xué)士，主要從事：電力信息化及通信工程研究。

王志鵬（1990—），男，河北秦皇島人，學(xué)士，主要從事：電力信息化及通信工程研究。