王彬

【摘要】? ? 隨著電力泛在物聯網的快速發(fā)展，需進一步加強網絡信息基礎設施安全防護，提升配網和用電側、重要網站和互聯網等系統(tǒng)安全防護水平。以1+3工作法，形成一種優(yōu)良的網絡信息安全氛圍，最終實現零泄漏、零篡改、零入侵、零漏洞、零違規(guī)等網絡信息安全事件。

【關鍵字】? ? 1+3工作法? ? 網絡信息安全

一、網絡信息安全的背景與管理目標

1、網絡信息安全的理念 。網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。網絡安全不僅包括web安全，還包括了局域網、廣域網、專網等網絡。2、網絡信息安全的范圍和目標。通過廣泛宣傳，提高每位員工的網絡安全意識。同時，制訂安全警示卡內外網電腦標識，粘貼在每臺電腦終端上，封堵營業(yè)廳內網專用電腦USB接口等，實現目標：內網終端和服務器實現零泄漏、零篡改、零入侵、零漏洞、零違規(guī)，注冊率和殺毒軟件安裝率實現了100%。

二、1+3工作法的內涵和主要做法

2.1 1指的是完善制度，從管理上提高網絡信息安全

1、信息內外網網站統(tǒng)一發(fā)布與管控、內外網郵件統(tǒng)一管理與監(jiān)控。1） 對外門戶網站要求統(tǒng)一管理，進行統(tǒng)一備案。嚴禁任何單位、個人在信息內網設立與工作無關的娛樂、論壇、視頻等網站。嚴禁利用公司資源在互聯網上設立網站。嚴禁將承擔安全責任的對外網站托管于我公司的外部單位。2）? 嚴禁用戶使用弱口令，默認口令要強制清除;嚴禁開啟自動轉發(fā)功能;嚴禁使用社會電子郵箱處理我公司辦公業(yè)務的行為;要及時清理注銷廢舊郵件帳號。

2、桌面計算機與信息設備的安全保密。1）嚴禁將涉及我公司秘密的計算機、存儲設備與信息內外網和其他公共信息網絡連接，嚴禁在連接互聯網的計算機上處理、存儲涉及我公司秘密信息;嚴禁信息內網辦公計算機配置使用無線上網卡等無線設備;嚴禁信息內網和信息外網計算機交叉使用;嚴禁普通移動存儲介質和掃描儀、打印機等計算機外設在信息內網和信息外網上交叉使用。2） 加強對內網桌面終端管理系統(tǒng)應用，確保桌面終端計算機注冊率達到100%并與總部級聯暢通，要加強桌面終端管理系統(tǒng)實時監(jiān)測、終端安全情況分析與問題處置，嚴禁基線策略不全;關閉默認共享，杜絕終端空口令、弱口令和非法外聯的情況，嚴禁私自卸載桌面終端管理系統(tǒng)客戶端。

3、建立電子辦公設備全壽命周期管理制度。從設備的領取到報廢，建立一機一檔案，實行全壽命管理制度。設備出現故障時，由使用人向信通中心報修。維護人員按照以下維修流程進行維修。設備不得私自拿到外部維修點維修，以免造成違規(guī)接入和信息泄露。

4、賬號與口令必須規(guī)范使用。1）用戶口令管理：杜絕各類信息系統(tǒng)、桌面計算機、操作系統(tǒng)和數據庫系統(tǒng)等用戶訪問賬號和口令為空或相同。嚴禁使用默認口令及弱口令，口令要足夠強?。ㄩL度不得少于8位，由字符和數字或特殊字符組成），2）投運或上線系統(tǒng)缺省賬戶口令管理：應用軟件、系統(tǒng)正式投運或上線后，應指定專人進行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶、測試賬號，杜絕弱口令。

2.2 3指的是通過廣泛宣傳、扎實推進、互動交流三種方法，提高全員網絡安全意識，培育良好網絡安全氛圍。

1、廣泛宣傳，培養(yǎng)員工居安思危的危機意識。公司通過廣泛宣傳網絡安全和信息化知識，培養(yǎng)居安思危的安全危機意識;通過扎實推進，減少網絡安全違規(guī)行為發(fā)生;通過互動交流全員參與，形成良好的網絡信息安全氛圍。公司通過內部網站、電子顯示屏、宣傳展板、答卷等形式，對違反網絡安全的事件和危害進行廣泛宣傳。2、扎實推進網絡安全工作，杜絕違規(guī)行為發(fā)生。信通中心通過天珣、貝信源等桌面監(jiān)控系統(tǒng)，實時監(jiān)控終端電腦運行狀態(tài)，內網終端殺毒軟件安裝率和注冊率等。各部門員工在工作中遇到的各類信息安全問題，均可以撥打維修服務電話給予解答和輔導，使員工的安全思想逐步從“要我安全”向“我要安全”轉變，切實杜絕違規(guī)行為發(fā)生。3、互動交流，形成“我要安全”的良好氛圍。我們結合工作，對在系統(tǒng)中發(fā)現有違規(guī)行為的IP地址，查明當事責任人，組織培訓。通過對安規(guī)學習，并結合生產工作中的實例，生動、細致的講解，使當事人充分意識到網絡信息安全違規(guī)的危害，有效彌補了這部分人員信息安全知識不足的短板為了培育優(yōu)良的信息安全氛圍。

三、評估與改進

1、專業(yè)管理的評估方法。公司在終端管理過程中，開展月、季、年信息安全分析，統(tǒng)計分析安全事件發(fā)生的原因、次數情況，安全指標的升降的原因。逐步杜絕安全事件的發(fā)生，同業(yè)對標中，信息安全指標得到持續(xù)提升。

2、今后的改進方向或對策。1）加大信息安全意識教育和人才培養(yǎng)，進一步宣傳信息安全防護知識、防護措施和安全操作技能。把握國內外最新信息安全動向，與安全專控隊伍開展研討、交流、協作與測評。培養(yǎng)信息安全專家，不斷提升各級從事信息安全保障人員的防護技能，營造信息安全的良好氛圍，實現各環(huán)節(jié)信息安全風險管控。2）加強對安全事件分析，完善準入系統(tǒng)，提高終端用戶網絡信息安全意識：加大對用戶登錄分析，指導信息網絡優(yōu)化調整，提升基礎管理水平;研究終端弱口令檢測功能，完善地址轉換功能，進一步提高終端安全性和注冊率，把信息安全隱患消滅在萌芽中。