◆秦明波 成 龍 黃 赟

（1.國(guó)網(wǎng)嘉善縣供電公司 浙江 314100；2.國(guó)網(wǎng)浙江嘉興供電公司 浙江 314000）

基層單位信息安全與保密管理的研究與應(yīng)用

◆秦明波1成 龍1黃 赟2

（1.國(guó)網(wǎng)嘉善縣供電公司 浙江 314100；2.國(guó)網(wǎng)浙江嘉興供電公司 浙江 314000）

電網(wǎng)信息安全和保密工作為電網(wǎng)安全的重要組成部分，是電網(wǎng)信息化持續(xù)推進(jìn)的基本保障。結(jié)合當(dāng)前形勢(shì)與公司現(xiàn)狀，不斷進(jìn)行安全管理與保密工作的研究與實(shí)踐，從組織機(jī)構(gòu)、規(guī)章制度、人員教育、技術(shù)管理等方面形成安全管理體系，實(shí)現(xiàn)信息安全監(jiān)測(cè)全方位、信息安全防護(hù)全覆蓋、信息安全管控全過(guò)程、信息安全督查無(wú)死角和信息安全保密不泄露。

信息安全；管理；電力信息化

0 引言

伴隨著基層單位信息化的飛速發(fā)展，網(wǎng)絡(luò)衍生出的應(yīng)用層出不窮，網(wǎng)絡(luò)信息安全的防御范圍也在不斷地延伸，如何形成一套全面、高效的安全管理體系，使信息安全得到全方位的保護(hù)，確保重要信息不泄密，已成為當(dāng)前基層單位最迫切需要解決的問(wèn)題。

1 基層單位信息安全與保密管理的現(xiàn)狀及目標(biāo)

目前在基層單位桌面終端、采集終端、視頻監(jiān)控終端等應(yīng)用和接入需求越來(lái)越廣泛，各類(lèi)接入終端數(shù)量龐大，其形式多樣化、部署分散、終端用戶(hù)信息安全意識(shí)參差不齊的現(xiàn)狀已成為基層單位信息安全與保密管理體系的薄弱環(huán)節(jié)。

針對(duì)基層單位信息安全和保密工作風(fēng)險(xiǎn)點(diǎn)多面廣的特點(diǎn)，著力解決基層單位信息安全保密責(zé)任與制度落實(shí)、接入設(shè)備準(zhǔn)入流程、信息資產(chǎn)全生命周期管理，安全防護(hù)措施執(zhí)行等方面存在的問(wèn)題和薄弱環(huán)節(jié)，從查漏補(bǔ)缺、被動(dòng)防御向整體掌控、主動(dòng)防御轉(zhuǎn)變，進(jìn)一步規(guī)范安全管控，實(shí)施信息安全管理提升，實(shí)現(xiàn)“全員、全過(guò)程、全方位”信息安全管理目標(biāo)。

2 基層單位信息安全與保密管理體系建設(shè)

傳統(tǒng)的信息安全與保密管理防護(hù)分散不成體系，我們迫切需要全面、高效的一體化管理體系建設(shè)，為公司的生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)發(fā)展提可靠的保障。

2.1 組織機(jī)構(gòu)建設(shè)，充分發(fā)揮人員作用

針對(duì)基層單位人員分布面廣、信息安全管理過(guò)程紛繁復(fù)雜、涉及部門(mén)層面空間多樣化、保密意識(shí)和氛圍等實(shí)際情況，在每個(gè)部門(mén)安排兼職安全員，形成了一支信息安全與保密管控的隊(duì)伍，負(fù)責(zé)協(xié)助管理部門(mén)、班組內(nèi)部信息設(shè)備，落實(shí)信息安全與保密各項(xiàng)管理措施。

我們建立三級(jí)信息安全組織機(jī)構(gòu)如圖1所示。由公司總經(jīng)理親自擔(dān)任信息安全領(lǐng)導(dǎo)小組組長(zhǎng)，對(duì)信息安全全面負(fù)責(zé)。充分發(fā)揮各層級(jí)人員的作用，形成縱深、有效的安全管理組織機(jī)構(gòu)。

建章立制、明確職責(zé)，通過(guò)一系列規(guī)章制度、管理規(guī)定與工作單的制定，規(guī)范信息安全工作?；鶎訂挝痪幹仆瓿伞缎畔踩珔f(xié)議》，《外來(lái)人員現(xiàn)場(chǎng)信息安全專(zhuān)用教育卡》、《外來(lái)人員使用公司信息網(wǎng)工作單》、《信息設(shè)備管理辦法》等，并將制度考核納入績(jī)效考核實(shí)現(xiàn)閉環(huán)管理，取得顯著成效。

全面落實(shí)信息安全責(zé)任，各部門(mén)單位及其員工的年度安全責(zé)任目標(biāo)中都包含了信息安全與保密責(zé)任指標(biāo)。每年組織全員開(kāi)展“保密四書(shū)”（保密工作責(zé)任書(shū)、涉密人員保證書(shū)、涉密人員離崗保密承諾書(shū)、保密承諾書(shū)）的簽署工作。通過(guò)切實(shí)扎實(shí)的工作，員工對(duì)于信息安全與保密的理解上升到了一個(gè)新的高度。

圖1 三級(jí)信息安全組織機(jī)構(gòu)圖

2.2 制度建設(shè)，規(guī)范信息安全與保密工作

2.3 全員教育，形成人人知安全、人人懂保密

目前所面臨的大多數(shù)信息安全威脅都來(lái)自于企業(yè)內(nèi)部員工有意識(shí)或無(wú)意識(shí)的行為，電力企業(yè)信息終端用戶(hù)又呈現(xiàn)信息安全意識(shí)參差不齊的現(xiàn)象，因此信息安全不應(yīng)只是公司專(zhuān)業(yè)人員關(guān)心的事情，還應(yīng)當(dāng)廣泛發(fā)動(dòng)全體員工參與。提升全體員工的信息安全意識(shí)才是保障安全的最關(guān)鍵因素。多方式宣傳，創(chuàng)新形式，全方位營(yíng)造安全氛圍，普及安全保密教育，做到全民動(dòng)員，共筑安全。

（1）加強(qiáng)信息安全與保密宣傳

通過(guò)在公司網(wǎng)站中設(shè)置違規(guī)外聯(lián)專(zhuān)欄及信息安全警示語(yǔ)懸浮窗口、在公共場(chǎng)所、會(huì)議室、培訓(xùn)中心張貼防違規(guī)外聯(lián)宣傳畫(huà)與臺(tái)簽、定期將信息安全知識(shí)通過(guò)手機(jī)短信如圖2所示，展板宣傳如圖3所示等多方位宣傳方式，做到時(shí)時(shí)提醒，層層宣貫，將信息安全重要性傳達(dá)到每一個(gè)員工的心中。

（2）加強(qiáng)外部人員信息安全與保密管控

對(duì)待外來(lái)工作人員也同樣不能放松要求，要進(jìn)行信息安全教育，并且嚴(yán)禁單獨(dú)進(jìn)入機(jī)房等重要區(qū)域，因工作需要確需進(jìn)出機(jī)房等重要區(qū)域，相關(guān)負(fù)責(zé)人員應(yīng)根據(jù)操作內(nèi)容，填寫(xiě)相應(yīng)的申請(qǐng)單，整個(gè)工作過(guò)程需由相關(guān)班組工作人員陪同進(jìn)行，嚴(yán)禁從事非業(yè)務(wù)范圍內(nèi)的其它任何操作，保證安全管理覆蓋到每個(gè)落點(diǎn)。

2.4 系統(tǒng)運(yùn)維，規(guī)范運(yùn)維管理

信息系統(tǒng)的上線(xiàn)必須經(jīng)過(guò)信息管理部門(mén)與保密部門(mén)的審批，提交完整資料，并公司保密委審核同意，經(jīng)第三方安全測(cè)評(píng)通過(guò)后，方可上線(xiàn)。對(duì)確認(rèn)不再使用的信息系統(tǒng)，及時(shí)備份業(yè)務(wù)數(shù)據(jù)，調(diào)整安全策略，將設(shè)備進(jìn)行及時(shí)停役，避免了資源閑置和安全隱患。

圖2 信息安全短信

圖3 宣傳展示畫(huà)

信息運(yùn)維工作堅(jiān)持運(yùn)行與安全原則，注重規(guī)范化與標(biāo)準(zhǔn)化，嚴(yán)格執(zhí)行兩票制度，通過(guò)全省統(tǒng)一信息服務(wù)管理系統(tǒng)（ITSM）進(jìn)行流轉(zhuǎn)。明確運(yùn)維人員職責(zé)、工作內(nèi)容與工作要求，制定一套標(biāo)準(zhǔn)運(yùn)維管理機(jī)制確保全公司信息系統(tǒng)穩(wěn)定、可靠、安全運(yùn)行。

2.5 技術(shù)防護(hù)，實(shí)現(xiàn)信息安全可控

（1）設(shè)備準(zhǔn)入和管控

強(qiáng)化信息內(nèi)網(wǎng)設(shè)備的安全準(zhǔn)入。對(duì)所有接入公司網(wǎng)絡(luò)的系統(tǒng)、終端和設(shè)備實(shí)施全面準(zhǔn)入管控。內(nèi)外部人員使用信息網(wǎng)都必須填寫(xiě)入網(wǎng)申請(qǐng)單。使用省公司統(tǒng)一出口的信息外網(wǎng)需要按照省公司信息外網(wǎng)管理規(guī)定由相關(guān)職能部門(mén)和公司領(lǐng)導(dǎo)審批，并簽署上網(wǎng)安全協(xié)議。使用IP-MAC地址綁定技術(shù)在技術(shù)上限制非法接入。

（2）物理隔離管控

開(kāi)展防違規(guī)外聯(lián)硬件接口裝置的研究。通過(guò)對(duì)公司違規(guī)外聯(lián)案例研究發(fā)現(xiàn)70%的案例都是由于USB接口連接手機(jī)、3G網(wǎng)卡造成的，為避免這種情況發(fā)生。通過(guò)兩種方式降低安全事件發(fā)生，一種是通過(guò)將電腦USB插口安裝防誤塞裝置如圖4所示，將不用的USB插口封掉的方法來(lái)人為隔離主機(jī)USB接口。主機(jī)前面常用USB口使用帶手柄的USB塞，利于插拔。后面不用的USB口使用不帶手柄的 USB塞并且在無(wú)特殊情況下禁止拔出。另一種是在電腦主機(jī)前端 USB口插入一個(gè)接口設(shè)備，類(lèi)似讀卡器外型，通過(guò)對(duì)這個(gè)接口設(shè)備芯片硬件編程和處理，使得這個(gè)接口設(shè)備只能識(shí)別U盤(pán)這類(lèi)存儲(chǔ)設(shè)備，屏蔽其他所有設(shè)備，這兩種措施都是從物理上隔絕外部網(wǎng)絡(luò)從而保護(hù)信息內(nèi)網(wǎng)安全。

圖4 USB插口防誤塞及警示標(biāo)簽

（3）保密敏感詞檢測(cè)攔截

對(duì)內(nèi)外網(wǎng)文件實(shí)時(shí)檢測(cè)掃描，對(duì)于沒(méi)有按照要求進(jìn)行加密處理的文件，通過(guò)技術(shù)手段分析，發(fā)現(xiàn)涉密敏感詞或者關(guān)鍵字內(nèi)容，進(jìn)行前端攔截，防止敏感信息外泄。同時(shí)對(duì)發(fā)現(xiàn)敏感文件發(fā)送事情進(jìn)行穿透性分析，明確責(zé)任原因，落實(shí)考核責(zé)任，舉一反三，督促閉環(huán)整改。

3 結(jié)論

綜上所述，通過(guò)研究信息安全各要素間的聯(lián)系并結(jié)合公司實(shí)情開(kāi)展切實(shí)扎實(shí)地信息安全與保密管理工作，不斷進(jìn)行安全管理創(chuàng)新與技術(shù)實(shí)踐，建立一套全面、高效的一體化信息安全與保密管理體系，公司信息安全與保密水平有了飛躍的提升，實(shí)現(xiàn)全維度立體式無(wú)盲點(diǎn)信息安全管理目標(biāo)。

[1]陳騉．電力企業(yè)信息安全保障體系建設(shè)探討[J]．科學(xué)之友，2013．