,

(國網(wǎng)四川省電力公司信息通信公司，四川 成都 610041)

0 引 言

隨著國網(wǎng)四川省電力公司(以下簡稱四川公司)信息通信系統(tǒng)與電網(wǎng)安全生產(chǎn)、日常經(jīng)營活動深度融合，信息專業(yè)已成為大電網(wǎng)運(yùn)行控制和四川公司生產(chǎn)經(jīng)營管理的重要基礎(chǔ)。與之對應(yīng)的是，該專業(yè)具有數(shù)據(jù)量大、分布面廣、利用價值高、技術(shù)復(fù)雜度高、運(yùn)行渠道多樣化等特點(diǎn)[1]，給工作帶來便利的同時，各類外部攻擊和數(shù)據(jù)泄漏風(fēng)險大幅提升。國網(wǎng)四川省電力公司信息通信公司(以下簡稱信通公司)作為四川公司信息化支撐單位，運(yùn)行維護(hù)著全省絕大多數(shù)信息系統(tǒng)和通信信息骨干網(wǎng)絡(luò)，肩負(fù)著重要的政治責(zé)任、經(jīng)濟(jì)責(zé)任和社會責(zé)任。全新的形勢帶來了全新的要求，信通公司平臺安全防護(hù)面臨著嚴(yán)峻挑戰(zhàn)。

1 問題分析

當(dāng)前，四川公司面臨的信息安全形勢空前嚴(yán)峻。電網(wǎng)生產(chǎn)運(yùn)行高度依賴網(wǎng)絡(luò)和信息化，一旦外部攻擊突破安全防護(hù)體系，將直接威脅電力系統(tǒng)安全[2]。信通公司支撐著四川公司各業(yè)務(wù)部門生產(chǎn)、營銷、財務(wù)、人資、ERP、電力交易等逾百套信息系統(tǒng)的運(yùn)維工作，管理著超過數(shù)百T的核心數(shù)據(jù)，服務(wù)著超過10萬內(nèi)部用戶和數(shù)千萬外部電力用戶，存在大量可能具有安全隱患的環(huán)節(jié)，信息安全如履薄冰。

1)網(wǎng)絡(luò)攻擊威脅日益增加。網(wǎng)絡(luò)攻擊技術(shù)與手段的迅速發(fā)展，網(wǎng)絡(luò)安全攻擊的針對性、持續(xù)性、隱蔽性顯著增強(qiáng)，大大增加了網(wǎng)絡(luò)安全防護(hù)難度，甚至造成嚴(yán)重的損失。2017年迄今為止，信通公司監(jiān)測并攔截互聯(lián)網(wǎng)出口高風(fēng)險攻擊數(shù)量295.96萬余次，比去年同比增加11.58%；外網(wǎng)網(wǎng)站遭受攻擊數(shù)量2 543.2萬余次，比去年同比增加12.48%。

2)信息安全運(yùn)行壓力大。隨著信息通信系統(tǒng)規(guī)模和應(yīng)用范圍的大幅持續(xù)增長，信息通信系統(tǒng)大面積停運(yùn)的風(fēng)險不斷增加,尤其是因信息通信故障導(dǎo)致大面積停電的風(fēng)險依然存在。

3)信息安全邊界持續(xù)擴(kuò)大。四川公司信息化應(yīng)用由內(nèi)網(wǎng)為主、向內(nèi)外網(wǎng)協(xié)同轉(zhuǎn)變，接入方式由有線向無線演變，全業(yè)務(wù)統(tǒng)一數(shù)據(jù)中心、移動作業(yè)終端、光伏電廠、風(fēng)電廠、充電樁、計(jì)量采集終端、智能電表等新業(yè)務(wù)的安全管理存在隱患，安全防控難度陡增[3]。

4)服務(wù)對象范圍不斷膨脹。四川公司的公眾服務(wù)業(yè)務(wù)作為面向用戶的服務(wù)窗口和展示形象，存儲了大量公眾客戶的敏感信息，智能電表和掌上電力等營銷類自動繳費(fèi)業(yè)務(wù)應(yīng)用的推廣，在帶來業(yè)務(wù)創(chuàng)新的同時，也引入了工控安全風(fēng)險，隨之而來的還有權(quán)限、內(nèi)容、數(shù)據(jù)、操作等各類安全風(fēng)險不斷擴(kuò)大[4]。

由此，怎樣堅(jiān)決貫徹落實(shí)國家電網(wǎng)公司戰(zhàn)略部署，做好信息安全工作，保障信息通信專業(yè)的穩(wěn)定、可靠運(yùn)行和服務(wù)，構(gòu)建符合電力行業(yè)特點(diǎn)的信息安全保障體系，是信通公司一項(xiàng)重大課題，也是推動公司面向電力市場競爭新形勢發(fā)展的必然要求。

2 信息安全保障體系構(gòu)建

2.1 總體架構(gòu)

信息系統(tǒng)現(xiàn)階段自動化和智能化程度有限，其穩(wěn)定運(yùn)行的核心因素依然是各級從業(yè)人員及其在運(yùn)維過程中的操作，構(gòu)建適應(yīng)四川公司實(shí)際工作特點(diǎn)的信息安全保障體系至關(guān)重要。顯然，僅依靠技術(shù)手段規(guī)范人的行為，很多時候會失之于僵化；而僅依靠管理手段則常常失之于松軟。因此，“人防”與“技防”雙管齊下，從兩個方面同步規(guī)范運(yùn)維人員日常工作，才能達(dá)到期望的效果。信息安全保障體系的基礎(chǔ)架構(gòu)如圖 1所示。

信息安全保障體系設(shè)計(jì)的初衷，是從技術(shù)和管理兩個層面保障四川公司信息系統(tǒng)、網(wǎng)絡(luò)及數(shù)據(jù)的運(yùn)維安全，達(dá)到底層支撐服務(wù)保密、完整、可用等安全目標(biāo)。其中，技術(shù)體系重點(diǎn)關(guān)注系統(tǒng)的安全防護(hù)、檢測、響應(yīng)和恢復(fù)，而管理體系則著重強(qiáng)調(diào)日常工作的合規(guī)性和人員管理的嚴(yán)密性，通過完善的管理流程和制度標(biāo)準(zhǔn)對運(yùn)維過程進(jìn)行規(guī)范，在統(tǒng)一的安全策略指引下，共同保障信息安全保障體系的有效性。

圖1 信息安全保障體系基礎(chǔ)架構(gòu)

2.2 管理要素

管理體系是信息安全保障體系的總體原則，也是保障體系落地的制度保障。因此，管理體系應(yīng)當(dāng)從四川公司的整體出發(fā)，全面考慮各方面安全管理問題，健全四川公司信息安全管理組織和管理機(jī)制，結(jié)合完善的安全管理制度，覆蓋公司信息安全的全流程，其要素如表 1所示。

表1 管理體系基本要素

1)落實(shí)安全責(zé)任

全面開展《網(wǎng)絡(luò)安全法》[5]宣貫培訓(xùn)，做到深入理解、逐條落實(shí)，將網(wǎng)絡(luò)安全法要求制度化，牢固樹立風(fēng)險意識，充分認(rèn)識責(zé)任義務(wù)，層層簽訂安全責(zé)任書，將相關(guān)責(zé)任壓緊壓實(shí)，直至貫穿公司全業(yè)務(wù)、全環(huán)節(jié)、全過程。

2)完善安全制度

以標(biāo)準(zhǔn)化為目標(biāo)，通用制度為準(zhǔn)繩，構(gòu)建四川公司標(biāo)準(zhǔn)化制度體系。利用信息專業(yè)獨(dú)特優(yōu)勢，構(gòu)建管理統(tǒng)一、職責(zé)明確、界面清晰的四川公司信息安全管理體系、監(jiān)督體系和保障體系，發(fā)揮信通公司在信息化建設(shè)與業(yè)務(wù)部門支撐中承上啟下的作用，強(qiáng)化內(nèi)控機(jī)制[6]，堅(jiān)持內(nèi)控與外防并重、人防與技防并重，對各類違規(guī)、違章和網(wǎng)絡(luò)信息安全事件，嚴(yán)肅問責(zé)、堅(jiān)決處理。借鑒營銷、財務(wù)等專業(yè)的標(biāo)準(zhǔn)化服務(wù)體系，明確各專業(yè)信息安全管理體系關(guān)鍵節(jié)點(diǎn)和要素，打造標(biāo)準(zhǔn)化制度體系，力爭實(shí)現(xiàn)信息通信運(yùn)維服務(wù)從“面向設(shè)備”到“面向業(yè)務(wù)”，從“支撐業(yè)務(wù)”到“推動業(yè)務(wù)”，最終到“面向服務(wù)”的轉(zhuǎn)變。

3)提升履職能力

人才是發(fā)展的第一資源。嚴(yán)格貫徹落實(shí)四川公司安全工作要求，加強(qiáng)與各業(yè)務(wù)部門的溝通，結(jié)合表1梳理的信息安全管理體系關(guān)鍵節(jié)點(diǎn)所必需的要素，常態(tài)化開展相關(guān)培訓(xùn)，做到梳理一項(xiàng)，培訓(xùn)一項(xiàng)，落實(shí)一項(xiàng)，創(chuàng)新人才培養(yǎng)體制機(jī)制，提升信息安全履職能力。

4)系統(tǒng)建設(shè)管控

建立第三方安全管理的規(guī)范和制度，并要求其嚴(yán)格遵守。嚴(yán)格控制第三方對信息系統(tǒng)的訪問，對第三方訪問的風(fēng)險、人員及運(yùn)維管理進(jìn)行風(fēng)險評估，并在合同中規(guī)定其安全責(zé)任和安全控制要求，以維護(hù)第三方訪問的安全性。

2.3 技術(shù)要素

信息安全技術(shù)是信息安全保障體系構(gòu)建的底層保障，也是管理層面的具體落腳點(diǎn)，對保障體系構(gòu)建尤為重要。信息安全的技術(shù)實(shí)現(xiàn)應(yīng)當(dāng)遵循先進(jìn)性、實(shí)用性、可靠性及可擴(kuò)展性原則，既能夠應(yīng)對信息系統(tǒng)運(yùn)維現(xiàn)狀，又能以足夠的能力滿足四川公司未來業(yè)務(wù)發(fā)展的需求，其架構(gòu)如表 2所示。

表2 技術(shù)體系基本要素

1)網(wǎng)絡(luò)安全域劃分及改造

通過安全域劃分及改造，能夠從網(wǎng)絡(luò)基礎(chǔ)層面實(shí)現(xiàn)對外部攻擊進(jìn)行層次化、立體化防御，從而進(jìn)一步落實(shí)安全管理政策、制定合理安全管理制度的基礎(chǔ)。

2)業(yè)務(wù)安全審計(jì)及安全態(tài)勢感知

業(yè)務(wù)安全審計(jì)通過網(wǎng)絡(luò)對各服務(wù)器系統(tǒng)、數(shù)據(jù)的訪問行為進(jìn)行審計(jì)和控制，使運(yùn)維操作符合企業(yè)合規(guī)性的需求，并做到操作的可審計(jì)、可追溯，能夠建立有效的IT內(nèi)控機(jī)制，提升業(yè)務(wù)操作的可靠性，減少核心數(shù)據(jù)資產(chǎn)的破壞和泄漏。同時，安全態(tài)勢感知則通過對流量和安全事件的采集和分析，有助于更加直觀地掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況。

3)漏洞掃描

漏洞掃描能夠在對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)的掃描過程中有效發(fā)現(xiàn)系統(tǒng)弱點(diǎn)，為實(shí)施安全防護(hù)方案和制定安全管理策略提供依據(jù)和參考。

4)數(shù)據(jù)庫防護(hù)

數(shù)據(jù)庫防護(hù)通常通過數(shù)據(jù)庫防火墻實(shí)現(xiàn)，具備屏蔽直接訪問數(shù)據(jù)庫的通道、對應(yīng)用程序訪問數(shù)據(jù)庫進(jìn)行二次認(rèn)證、對數(shù)據(jù)庫進(jìn)行攻擊保護(hù)、連接監(jiān)控、安全審計(jì)等能力，能夠有效提升數(shù)據(jù)庫安全防護(hù)水平。

5)電子文檔安全審計(jì)

電子文檔安全審計(jì)能力通過具備電子文檔安全保障能力的系統(tǒng)實(shí)現(xiàn)。其能在服務(wù)器上備份所有的文件審查日志，根據(jù)用戶角色不同，將用戶權(quán)限精準(zhǔn)劃分和分配，能夠讓用戶在無感知的前提下極大提升數(shù)據(jù)的完整性和可靠性。

6)終端安全管理

終端安全管理能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)終端進(jìn)行主動的管理和控制、補(bǔ)丁分發(fā)、強(qiáng)制安全策略、遠(yuǎn)程幫助等主要功能，并形成整體的安全準(zhǔn)入控制體系，其提供網(wǎng)絡(luò)準(zhǔn)入控制、應(yīng)用準(zhǔn)入控制、客戶端準(zhǔn)入控制等多層準(zhǔn)入控制手段，實(shí)現(xiàn)對終端安全接入內(nèi)網(wǎng)管理。通過準(zhǔn)入控制機(jī)制，可以實(shí)現(xiàn)對終端的身份進(jìn)行認(rèn)證，并能夠自動檢測和修復(fù)終端安全狀態(tài)，強(qiáng)制保證終端及時進(jìn)行安全補(bǔ)丁更新、安裝并及時更新防病毒軟件及病毒定義碼、不隨意運(yùn)行可能存在風(fēng)險的軟件，確保只有合法的和安全的終端電腦才能接入企業(yè)內(nèi)網(wǎng)。同時，利用生物特征識別技術(shù)，強(qiáng)化操作人員個人身份的確認(rèn)和權(quán)限的認(rèn)定，克服傳統(tǒng)賬號及密碼登錄方式的繁瑣和隱患，提升終端安全管理水平。

7)數(shù)據(jù)脫敏

數(shù)據(jù)脫敏能夠根據(jù)不同需求隱去涉密內(nèi)容，保留數(shù)據(jù)業(yè)務(wù)含義的基礎(chǔ)上隔絕系統(tǒng)開發(fā)或未經(jīng)授權(quán)的用戶接觸核心真實(shí)數(shù)據(jù)的路徑[7]，同時通過在線或離線脫敏規(guī)則，在保障業(yè)務(wù)研發(fā)進(jìn)度的基礎(chǔ)上，降低數(shù)據(jù)運(yùn)維工作量及難度，最大程度地規(guī)避數(shù)據(jù)安全風(fēng)險。

3 結(jié) 語

隨著信息化建設(shè)的持續(xù)深入，大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈等新技術(shù)的逐步應(yīng)用，以及業(yè)務(wù)需求的持續(xù)增長，安全一直是信息運(yùn)維永恒的話題。從信息安全保障的實(shí)際需求出發(fā)，構(gòu)建了信息安全保障體系，并分別從管理和技術(shù)兩個層面闡述了其架構(gòu)和包含的關(guān)鍵要素。安全管理持續(xù)推進(jìn)的事實(shí)證明，該體系能夠有效地消除信息安全管理死角，夯實(shí)信息安全基礎(chǔ)，提升信息系統(tǒng)安全保障水平，切實(shí)承擔(dān)起智能電網(wǎng)和“五大”體系高效運(yùn)轉(zhuǎn)的支撐職責(zé)，為四川公司筑起一道安全的“防火墻”。

[1] 李文娟, 胡珺珺, 趙瑞玉.通信與信息專業(yè)概論[M].北京:人民郵電出版社, 2014.

[2] 曾鳴, 李娜, 董軍，等. 基于大安全觀的電網(wǎng)運(yùn)行管理關(guān)鍵技術(shù)——關(guān)于印度大停電的思考[J]. 電力系統(tǒng)自動化, 2012, 36(16): 9-13.

[3] 賀惠民, 王剛, 陳樂然，等. 智能電網(wǎng)信息安全問題與優(yōu)化研究[C]. 中國電機(jī)工程學(xué)會年會, 2013.

[4] 周文瓊. 大數(shù)據(jù)環(huán)境下的電力客戶服務(wù)數(shù)據(jù)分析系統(tǒng)[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用, 2015, 24(4): 51-57.

[5] 孫昌軍, 鄭遠(yuǎn)民, 易志斌. 網(wǎng)絡(luò)安全法[M]. 長沙：湖南大學(xué)出版社, 2002.

[6] 王凡林, 陳輝, 王壽榮. IT治理機(jī)制下的企業(yè)內(nèi)部控制問題與建議[J]. 會計(jì)之友, 2011(3): 70-71.

[7] 姜日敏. 電信運(yùn)營商數(shù)據(jù)脫敏系統(tǒng)建設(shè)方案探討[J]. 中國科技信息, 2014(8): 132-133.