文/洪露 徐俊波 劉焜（中共國家電網(wǎng)有限公司黨校）

一、引言

國有企業(yè)在信息化發(fā)展中，企業(yè)內(nèi)部的機要信息管理就成為企業(yè)最重要的環(huán)節(jié)，必須對企業(yè)機要信息加強安全體系的管理建設(shè)，不僅可以幫助企業(yè)在新時代的信息發(fā)展中站穩(wěn)腳跟，還可以快速地幫助企業(yè)建立機要信息的監(jiān)管體系。因此對國有企業(yè)的機要信息的安全體系必須高度重視，保障企業(yè)內(nèi)部信息的安全工作，促進(jìn)企業(yè)快速發(fā)展。

二、新時代國有企業(yè)機要信息安全的現(xiàn)狀

新時代形勢下，企業(yè)信息化快速發(fā)展。國有企業(yè)的機要信息安全也受到國家的重視和關(guān)注，但是現(xiàn)在多數(shù)的國有企業(yè)內(nèi)部的信息安全仍然處在初級階段，還存在很多不足之處，會給企業(yè)帶來不同程度的影響和損失。新時代國有企業(yè)在信息化建設(shè)過程中，大部分國有企業(yè)對信息化的安全不夠重視，也不會產(chǎn)生危機意識，尤其是對于新時代下的網(wǎng)絡(luò)信息安全的認(rèn)識度更是達(dá)不到規(guī)定的要求，根據(jù)多數(shù)國有企業(yè)針對信息安全作出的調(diào)查可以分析出，絕大部分的國有企業(yè)的機要信息都存在安全問題，這其中主要的原因就是國有企業(yè)內(nèi)部的員工和管理者對于信息化的安全意識的認(rèn)識淡薄，新時代國有企業(yè)對于信息安全的安全體系還存在問題。2014年2 月27 日，國家成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，標(biāo)志著中國網(wǎng)絡(luò)安全和信息化國家戰(zhàn)略邁出了重要一步，同時也將信息安全推向了一個新的臺階。習(xí)近平總書記親自擔(dān)任組長，并在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上講話中提出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”。信息安全不僅是宏觀需要，也是戰(zhàn)略考量，這也開啟了信息安全戰(zhàn)略規(guī)劃全新時代。

國家電網(wǎng)公司歷年來對信息安全工作極其重視，并持續(xù)推進(jìn)信息安全管理工作，對信息安全防護體系的推進(jìn)持續(xù)加強。舒印彪董事長指出“要狠抓意識形態(tài)和保密措施，增強信息安全保障能力；信息到哪里，安全就到哪里”?？軅タ偨?jīng)理在迎峰度夏安全生產(chǎn)電視電話會議上指出“隨著通信信息和信息系統(tǒng)在電網(wǎng)運行中的作用越來越凸顯，利用信息攻擊破壞電網(wǎng)安全的風(fēng)險與日俱增，信息安全形勢嚴(yán)峻”。楊晉柏副總經(jīng)理在公司信息安全和信息化領(lǐng)導(dǎo)小組第五次會議上提出“要秉承總體國家安全觀理念，堅守信息安全‘底線’，增強信息安全保障能力”?！笆濉焙汀笆濉逼陂g，國家電網(wǎng)公司全面推進(jìn)信息安全主動防御體系建設(shè)，建成了覆蓋了總部、省、市的信息安全督查體系，實現(xiàn)了督查工作的“橫向到邊，縱向到底”。但公司信息安全漏洞隱患發(fā)現(xiàn)、安全內(nèi)控及事件調(diào)查等技術(shù)能力有待提高，公司各單位安全防護水平參差不齊。而在現(xiàn)代信息攻防對抗中，任何一個節(jié)點都會影響整體信息安全，一點突破都可能導(dǎo)致全網(wǎng)危機，因此只有構(gòu)建先進(jìn)的面向信息安全事件與隱患調(diào)查核查的信息安全攻防對抗體系，只有構(gòu)建先進(jìn)的面向信息安全事件發(fā)現(xiàn)機制，及早處置漏洞與隱患，才能在嚴(yán)峻的“信息戰(zhàn)”環(huán)境下保障企業(yè)信息系統(tǒng)安全穩(wěn)定運行。

三、新時代國有企業(yè)機要信息安全存在的問題

（一）新時代國有企業(yè)機要信息安全體系的防護性有待加強

大部分國有企業(yè)購買了大量的保障信息安全的電子產(chǎn)品，但是仍然存在很多問題，針對保障國有企業(yè)的機要信息的安全體系購買的絕大多數(shù)電子設(shè)備達(dá)不到標(biāo)準(zhǔn)，很多保障信息安全的設(shè)備配置都是通過購買產(chǎn)品的廠家負(fù)責(zé)。其與國有企業(yè)的信息安全體系的建立沒有合理地結(jié)合起來，造成新時代國有企業(yè)的安全技術(shù)防護的功能和使用的效果比較差，我國在針對國有企業(yè)安全信息的核心技術(shù)進(jìn)行自主研發(fā)的發(fā)展還不穩(wěn)定，缺乏信息化安全的核心技術(shù)支持，和國外的信息安全保障相比完全處于落后的狀態(tài)。

當(dāng)前國家電網(wǎng)公司信息安全架構(gòu)規(guī)模大，點多面廣且形勢復(fù)雜，各單位分布范圍較分散，對各單位落實信息安全管理基本要求、確保信息邊界劃分清晰等方面提出了考驗以及更高的管理要求。近幾年智能電網(wǎng)的普遍建設(shè)，發(fā)電側(cè)及用戶側(cè)的信息邊界已延伸并覆蓋了智能電網(wǎng)的各個環(huán)節(jié)，突出了信息安全風(fēng)險隱患。隨著“大云物移”（即大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動終端）等新技術(shù)的研究與引入，對國家電網(wǎng)公司信息安全提出了新的要求，也構(gòu)成了新的威脅和挑戰(zhàn)。以“大云物移”為代表的“互聯(lián)信息安全＋”等新技術(shù)，以及自主研發(fā)的智能終端設(shè)備（如電動汽車、智能插座、智能電器、傳感器等）的不斷接入，信息安全防護對象在不斷增加，致使信息安全防護的基礎(chǔ)環(huán)境也發(fā)生了新的變化，而新的變化終將會引入新的安全風(fēng)險。隨著安全防護暴露面的增加，以高級持續(xù)性信息攻擊為代表的新型攻擊手段不斷演進(jìn)，如何發(fā)現(xiàn)新業(yè)務(wù)面臨的安全威脅以及未知風(fēng)險隨之變得異常困難，而電力系統(tǒng)聯(lián)系緊密、分布廣泛、重要性高，一旦癱瘓影響巨大，給國家電網(wǎng)公司信息安全防護工作帶來了嚴(yán)峻的挑戰(zhàn)。

（二）新時代國有企業(yè)機要信息安全的事故難以杜絕

新時代互聯(lián)網(wǎng)的不斷發(fā)展，國有企業(yè)的信息安全保障體系也在接受者嚴(yán)峻的挑戰(zhàn)，信息安全事故在國有企業(yè)發(fā)生的頻率也在不斷增加，國有企業(yè)的信息化建設(shè)和國有企業(yè)在新時代的信息安全保障存在很大的問題和沖突，對信息化安全的保障體系一直沒有落實下去，互相進(jìn)步的步伐也不一致，國有企業(yè)對于信息化的建設(shè)是很感興趣的，而且對于信息化建設(shè)也非常有信心，因此一些機要信息的安全就無法得到保障，導(dǎo)致新時代國有企業(yè)的機要信息安全的事故就會持續(xù)上升，一旦發(fā)生，解決問題的周期較長，對國有企業(yè)員工和管理者的工作效率就會產(chǎn)生影響，還會給企業(yè)內(nèi)部的員工帶來一定工作壓力，國有企業(yè)的信息安全保障體系的建立是否可以高效地完成和企業(yè)的員工有很重要的內(nèi)在聯(lián)系，企業(yè)員工對機要信息安全意識越強就會對企業(yè)的發(fā)展越有力，還可以有效地防止信息安全帶來的事故危害。

例如，2016 年“雙十二”之前，國家電網(wǎng)“電e 寶”“掌上電力”手機APP 系統(tǒng)被爆泄露千萬用戶信息的消息傳來，令人震驚。涉及用戶規(guī)模已經(jīng)超過千萬級，而且部分?jǐn)?shù)據(jù)可能已經(jīng)流入黑產(chǎn)，危害持續(xù)擴大。

目前國家電網(wǎng)公司對于信息安全采取的策略是保持三個同步，也即是確保公司的信息化安全建設(shè)和信息安全規(guī)劃保持同步，相關(guān)基礎(chǔ)設(shè)施的建設(shè)也要選擇同步，保證兩者之間的運營是同步的。對于國家電網(wǎng)公司的建設(shè)也應(yīng)當(dāng)堅持三個納入的準(zhǔn)則，不同級別的信息的保護納入電網(wǎng)信息安全的方面，將信息安全放入到信息化進(jìn)程中，對于國家電網(wǎng)公司的安全信息應(yīng)當(dāng)及時納入整個公司的安全體系中。國家電網(wǎng)公司應(yīng)當(dāng)按照四個全面的方式對信息安全進(jìn)行管理，國家電網(wǎng)公司應(yīng)當(dāng)保證公司的所有員工的全部精力。保證公司在各個方面、所有員工、一切方面進(jìn)行信息安全建設(shè)。國家電網(wǎng)公司對于信息安全應(yīng)當(dāng)按照四個防止的方法進(jìn)行設(shè)置，將電網(wǎng)公司全部的信息安全融入產(chǎn)業(yè)管理體系中，國家電網(wǎng)公司應(yīng)當(dāng)嚴(yán)格按照國家的相關(guān)信息安全法律，進(jìn)行執(zhí)行。所謂信息安全的四個防止，分別是人為防止信息安全的泄露，制定相關(guān)的法律制度保證信息的安全，國家電網(wǎng)應(yīng)當(dāng)設(shè)定相應(yīng)的安全技術(shù)標(biāo)準(zhǔn)來防止信息的泄露，物理防止信息泄露。從而保證信息的安全。

（三）新時代國有企業(yè)機要信息管理隊伍安全意識不足

現(xiàn)如今，國有企業(yè)機要信息缺乏一定的安全意識，互聯(lián)網(wǎng)的快速發(fā)展，讓企業(yè)的員工在對企業(yè)的機要信息進(jìn)行調(diào)閱或者查看時沒有足夠的安全隱患，減低了企業(yè)機要信息泄露的防范心理，國有企業(yè)比較關(guān)心的問題就是機要信息的防護能力與信息的安全性，機要信息對于企業(yè)來講，是企業(yè)的重要組成部分，一旦泄露或者丟失就會給企業(yè)帶來嚴(yán)重的損失，甚至還會給國有企業(yè)帶來滅頂之災(zāi)，必須要對企業(yè)的員工和企業(yè)的管理者加強機要信息安全的管理，提高信息安全防護意識。

國網(wǎng)公司從2012 年開始實施通用制度戰(zhàn)略，各基層供電公司主管部門響應(yīng)國網(wǎng)號召牽頭制定信息通信安全管理制度，并補充發(fā)布具體實施規(guī)范、細(xì)則和要求等。其中《安全事故調(diào)查規(guī)程》明確網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任追究工作流程和事件等級劃分規(guī)定，按事件級別分別由安質(zhì)部、科信部牽頭，按照四不放過要求開展調(diào)查、處置和通報，調(diào)查結(jié)果納入企業(yè)負(fù)責(zé)人業(yè)績考核及各單位同業(yè)對標(biāo)考核，與各單位經(jīng)濟效益掛鉤；《公司員工安全獎懲條例》也明確了觸犯公司信息安全規(guī)定的相應(yīng)經(jīng)濟和行政處理措施。但經(jīng)過調(diào)研，部分供電公司在責(zé)任落實方面還存在以下幾個問題：（1）職能和業(yè)務(wù)部門之間網(wǎng)絡(luò)安全管理職責(zé)分工與協(xié)同機制尚需建立健全；（2）部分網(wǎng)絡(luò)安全管理崗存在兼職情況，安全責(zé)任全面落實和工作質(zhì)量有折扣；（3）同一系統(tǒng)存在多班組交叉管理時，每個系統(tǒng)缺少總安全責(zé)任人。

部分基層供電局的信息安全管理隊伍還存在一些問題：（1）信息通信生產(chǎn)運維人員結(jié)構(gòu)性缺員嚴(yán)重，大多數(shù)地市每年僅能保證一至兩名新進(jìn)員工，無法跟上員工老化、退休人數(shù)增加及人才流失速度；縣公司通信人才嚴(yán)重不足，多數(shù)縣無通信專業(yè)人員；崗位吸引力不足，高素質(zhì)高水平人才流失嚴(yán)重，員工晉升渠道狹窄，崗位流動性不足，導(dǎo)致各地區(qū)通信專業(yè)運維隊伍人員問題突出。（2）信息通信核心運維崗培養(yǎng)周期長，核心業(yè)務(wù)存在較大運行壓力和運行風(fēng)險。（3）缺少精尖人才，在新技術(shù)研究、大數(shù)據(jù)研究等課題上，缺乏全局研究和規(guī)劃能力。（4）部分單位對進(jìn)入現(xiàn)場的外部人員管理不到位，缺乏有效的安全資質(zhì)審核。對新近的外來人員未能及時作出安全培訓(xùn)，易導(dǎo)致外來人員操作事故。（5）網(wǎng)絡(luò)安全崗位新上崗人員尚需加強安全專業(yè)技能和業(yè)務(wù)管理培訓(xùn)。人員數(shù)量和質(zhì)量尚無法全面支撐安全上臺階需求。

四、新時代國有企業(yè)機要信息安全存在問題的解決對策

（一）新時代國有企業(yè)機要信息安全在技術(shù)方面的提升

國有企業(yè)必須保障企業(yè)內(nèi)部的信息安全，可以在服務(wù)器和主機上安裝正版的安全防護軟件進(jìn)行保障，嚴(yán)禁將盜版的防護軟件安裝在服務(wù)器和主機上，一旦安裝盜版防護軟件，國有企業(yè)的信息安全就會有安全隱患，安裝完正版的信息安全防護軟件后，必須根據(jù)企業(yè)規(guī)定的時間進(jìn)行安全檢測，這樣可以起到保障信息安全的效果，但也不能大意，國有企業(yè)的安全信息軟件很難保證長期不出現(xiàn)故障，甚至還會給黑客攻擊的機會，在保障國有企業(yè)信息不出現(xiàn)問題的情況下，可以針對國有企業(yè)重要的信息文件采取備份的方式，對企業(yè)內(nèi)部的機要信息進(jìn)行存檔。國有企業(yè)內(nèi)部的重要信息在不同時期和不同范圍的重要文件產(chǎn)生的種類也比較多，不同的機要信息的保密程度也存在很大的差別，國有企業(yè)的領(lǐng)導(dǎo)人員和企業(yè)的員工對企業(yè)的機要信息訪問的級別和權(quán)限也不一樣，可以針對不同的員工或者有需要的建立相關(guān)的安全信息保障體系和措施，采用技術(shù)手段給不同的員工在查看企業(yè)的機要信息時，設(shè)立不同的訪問權(quán)限，保障機要信息不流失、不泄密?；ヂ?lián)網(wǎng)在國有企業(yè)中的使用量也非常驚人，使用的頻率和次數(shù)也比較多，企業(yè)內(nèi)部的員工可以通過企業(yè)的電腦獲取各種需要用到的信息，這就給很多的不法分子帶來危害國有企業(yè)信息安全的機會，信息安全就會出現(xiàn)危機，必須對國有企業(yè)的電腦進(jìn)行網(wǎng)絡(luò)防火墻技術(shù)的加固，還要對內(nèi)網(wǎng)和外網(wǎng)的訪問設(shè)置權(quán)限，還必須對信息安全進(jìn)行有效的防范。隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的快速發(fā)展，給信息安全工作也帶來了很多新的思路。例如，運用云計算技術(shù)，一線檢修人員的操作工單可以直接從手持終端傳輸?shù)睫k公室電腦上，提高數(shù)據(jù)同步的及時性。此外，云計算配備的超級數(shù)據(jù)中心還能有效提高系統(tǒng)計算速度，提升用戶的系統(tǒng)體驗。再者，如果在智能電表上采用區(qū)塊鏈技術(shù)，在一個社區(qū)內(nèi)，如果發(fā)生供電故障，這些智能電表就可以確定故障范圍，直接與當(dāng)?shù)刈冸娬就ㄐ?，重新?guī)劃輸電路線。很多情況下這些操作可以快速完成，消費者甚至都感受不到發(fā)生了變動。

（二）新時代國有企業(yè)機要信息安全在管理方面的提升

新時代國有企業(yè)的信息安全是通過企業(yè)內(nèi)部的員工進(jìn)行控制和管理操作的，國有企業(yè)的信息安全體系的保障工作是企業(yè)工作中最有挑戰(zhàn)性的一項工作，企業(yè)的信息安全沒有絕對的安全，會在不經(jīng)意的時間里產(chǎn)生問題，因此針對員工進(jìn)行有效管理，還可以對能接觸到機要文件的員工進(jìn)行信息安全培訓(xùn)，提高信息安全的重要性，一旦企業(yè)掌管機要信息的員工出現(xiàn)離職的情況，就必須做好交接工作，對帶有企業(yè)機要信息的文件和電子設(shè)備進(jìn)行收回，保障信息安全。

結(jié)合國家電網(wǎng)公司實際情況，實施動態(tài)防御機制。各省電網(wǎng)公司科信部需要在防護機制上以避免成為攻擊者的目標(biāo)為原則。通過封裝攻擊入口、讓攻擊者看到的是一個不確定的動態(tài)變化的目標(biāo)系統(tǒng)，使其無法采用既有的手段進(jìn)行攻擊，同時大幅提升攻擊者的成本，從而令其放棄攻擊。具體步驟如下：首先，擴大業(yè)務(wù)安全威脅感知半徑。其次，對感知到的業(yè)務(wù)安全威脅進(jìn)行細(xì)粒度的透視，進(jìn)而分析出攻擊者的來源、目標(biāo)、使用工具、攻擊手法及攻擊過程。最后，通過動態(tài)封裝、動態(tài)驗證、動態(tài)混淆、動態(tài)令牌四項核心動態(tài)安全技術(shù)充分實現(xiàn)對企業(yè)業(yè)務(wù)、應(yīng)用及數(shù)據(jù)的全程保護。

（三）新時代國有企業(yè)機要信息安全體系的建立和實施

國有企業(yè)必須對企業(yè)的信息安全體系的建立和實施有充分的認(rèn)知，增強企業(yè)員工對于信息安全體系建立的重要性和提高企業(yè)員工對于信息安全的意識程度，保障信息安全體系可以在規(guī)定的時間里得到實施，建立針對外來人員對企業(yè)信息安全的攻擊，還必須對國有企業(yè)的管理人員和企業(yè)的員工進(jìn)行信息安全意識防護的知識傳授，可以盡快地幫助企業(yè)的員工和管理者提高信息安全的認(rèn)識。

體系的正常運轉(zhuǎn)離不開組織的保障，組織的保障離不開人員的保障。為了體系能落地實施并長效實行，首先應(yīng)該從規(guī)章制度方面建立規(guī)范支撐，使整個體系的運行嚴(yán)格有序。其次需要在隊伍管理方面加強培訓(xùn)學(xué)習(xí)，以適應(yīng)外部環(huán)境的挑戰(zhàn)和變化。最后，體系的長效機制離不開對人員的鼓勵和獎勵，加大獎勵激勵力度，可激發(fā)員工的工作積極性，使體系更高效的運行。

對于規(guī)范制度保障措施而言，參與國家電網(wǎng)公司網(wǎng)絡(luò)安全組織管理體系工作的人員首先應(yīng)當(dāng)遵守公司保密制度。其次，在遵守保密制度的基礎(chǔ)之上，還要在日常工作中遵守工作規(guī)范，制定國家電網(wǎng)公司網(wǎng)絡(luò)與信息安全漏洞和隱患發(fā)現(xiàn)人員安全管理要求，進(jìn)一步細(xì)化工作體系、職責(zé)分工、工作內(nèi)容、工作報送、隊伍管理、流程管理、工作考核等內(nèi)容，規(guī)范人員操作行為。同時，為了規(guī)范體系隊員在漏洞挖掘過程中的合規(guī)性，制定網(wǎng)絡(luò)安全漏洞和隱患發(fā)現(xiàn)工作指南，進(jìn)一步規(guī)范人員隱患發(fā)現(xiàn)工作的安全性和工作效率。

加大獎勵激勵力度，為了更好地調(diào)動員工的工作積極性，對于員工在相關(guān)工作方面的突出表現(xiàn)以及其本人所在單位開展：工作的情況納入積分考核，對于發(fā)現(xiàn)漏洞多、在專項工作中積極參與的單位予以加分獎勵，分?jǐn)?shù)對應(yīng)年終的績效成績，涉及員工的個人利益以及本單位的集體利益，會直接激發(fā)員工的積極性和主動性，有助于增強體系中團隊的凝聚力，激發(fā)成員的潛能。對于創(chuàng)新隊伍管理模式而言，國家電網(wǎng)公司定期組織信息安全組織管理體系隊伍培訓(xùn)工作，主要通過理論和實操形式，理論以國家信息安全法、信息安全規(guī)章制度、公司信息安全規(guī)章制度為主，從意識方面培養(yǎng)隊員的操作合規(guī)性。實操以滲透技術(shù)實訓(xùn)為主，主要為新技術(shù)學(xué)習(xí)和技術(shù)交流等。培訓(xùn)采用邀請信息安全領(lǐng)域?qū)＜壹皹I(yè)內(nèi)應(yīng)用系統(tǒng)專家授課，組織參加業(yè)內(nèi)信息安全滲透技能認(rèn)證考試，邀請信息安全領(lǐng)域較為先進(jìn)的信息安全攻防隊伍交流，實驗環(huán)境模擬操作培訓(xùn)等多種方式開展。

五、結(jié)語

新時代國有企業(yè)的信息化體系的建立對企業(yè)的信息化建設(shè)的發(fā)展有很重要的作用，二者缺一不可，必須針對國有企業(yè)在新時代的信息安全進(jìn)行有效的管理，加強企業(yè)的信息安全管理制度，對國有企業(yè)的信息安全建立相應(yīng)的管理機制，可以幫助國有企業(yè)在針對信息安全的管理工作中順利發(fā)展。