縣級供電公司信息安全管理創新與實踐

高海鵬 黎鋒 趙曉偉

國網寧夏電力有限公司靈武市供電公司 寧夏 銀川 750001

引言

近年來，隨著大數據、云計算、物聯網及移動互聯等新技術在電網和企業的推廣和應用，使得信息安全工作面臨著前所未有的挑戰。通過打造信息安全新防線的“五四三”創新工作模式，提升信息安全意識，確保不發生信息安全事件[1]。

針對引起信息安全事件的直接原因——物的不安全狀態和人的不安全行為，國網寧夏電力有限公司靈武市供電公司（以下簡稱靈武公司）結合實際現狀深刻分析，及時掌握公司內部“物的不安全狀態和人的不安全行為”，充分調動員工主觀能動性，將公司員工從信息安全的不穩定因素轉化為公司信息安全保障力量，彌補強制管理手段在信息安全建設工作中的不足，從人員主體上提高公司信息安全程度，積極應對互聯網時代信息安全新形勢、新挑戰。

2 改進思路和目標

2.1 縣級供電公司信息網絡安全風險分析

縣級供電企業處于公司網絡及應用系統終端層面，外源性網絡威脅相對較少，但傳統的企業管理模式、較低的人員綜合素質和落后的信息網絡安全觀念，都為企業信息網絡安全帶來了重大的內源性安全隱患。所謂“后院起火”，即說明內源性安全隱患是最嚴重的，也是最應引起重視的。

2.2 信息網絡安風險成因分析

為解決縣級供電企業信息網絡安全管理問題，通過對風險分析采用頭腦風暴法進行成因分析，剔除客觀原因、次要因素，最終可以將主要原因歸納為安全意識淡薄和管理機制不完善。

2.2.1 安全意識淡薄是縣級供電企業信息網絡安全管理問題的主要成因之一[2]?？h級供電企業員工信息網絡基礎相對薄弱，信息網絡的唯一作用在于操作各類應用系統，完成日常工作，學習使用各類應用操作尚且需要多次培訓、詳細指導，對信息網絡的安全防護更無暇顧及，因此，信息網絡安全意識無從談起。

當前，信息網絡系統是各級電力企業生產、管理和經營各類業務系統的載體，下至一線生產員工，上至經營管理領導，無不享受著各類應用平臺帶來的高效、便捷，因此，各類應用平臺的功能性、實用性和是否正常運行是使用者所關心的內容，而在應用平臺幕后的信息網絡是否安全卻被完全忽視。

縣級供電企業將信息通信管理部門定位為傳統檢修班組，管理職責和管理崗位模糊，不具備監管和執行力度。同時，對于信息網絡安全領域的投入和重視程度，遠遠不能滿足公司系統安全防范的要求，重口號而輕措施。為滿足信息網終的基本安全條件，網絡系統處于被動的封堵漏洞狀態，在應對特殊安全任務時，采取全面封網，斷絕出入口的封堵抵御模式。從管理層到終端用戶，普遍存在僥幸心理，沒有形成主動防范、積極應對的全民信息網絡安全意識，更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。

2.2.2 管理機制不完善，制約了信息網絡安全防范的執行力度。信息網絡的安全管理機制的缺陷集中體現在兩個方面：一方面，信息網絡管理人才匱乏，信息網絡管理方案、制度和規范不完善，現有制度實施不到位。隨著信息技術的快速更替和生立、管理系統的大范圍推廣應用，科技信息管理也應同步推進，但由于縣級供電企業的人員結構和專業特點，從事信息網絡系統的管理、應用人員大多來自非信息通信專業，以生產和現場操作人員為主要來源，且年齡組成偏大，新生力量斷層，不具備現代化企業信息網絡安全管理所需的知識、技能、資源和利益導向。另一方面，缺乏完善的管理制度和綜合性較強的技術解決方案。從縣級供電公司的信息網絡專業機構設置，到專業管理制度的定制，均體現出對信息網絡安全的重視程度過低，信息網絡安全管理機制嚴重缺失。大多數終端用戶缺乏綜合性的安全管理解決方案，稍有網絡安全意識的用戶依賴升級防火墻、殺毒軟件和加密技術，產生虛假的安全感。

2.3 縣級供電公司信息網絡安全目標[3]

一是在公司信息安全新防線建設過程中，管控層作為信息安全防線的建設和引導者，籌備部門信息安全培訓教室和組建部門信息員隊伍，由公司信息安全專職，定期組織信息員隊伍開展信息安全知識培訓，配合有效的激勵機制，發揮信息員在信息安全中的基層管理角色。二是在信息安全管理方面，實現管理工作對公司信息系統的100%全覆蓋，實現信息安全與數據安全的雙重100%安全。三是在信息安全防線建設中，落實信息系統、信息網絡、信息終端二級安全域的信息安全管理，實現信息安全理念的廣泛推廣。

3 改進思路和目標

針對4個綜合指標和1個單項指標進行逐項分析（新入網設備首檢健康指標主機健康運行指標、安全性評價綜合指標、員工信息安全指數和IP地址活躍度），提出增強信息網絡安全管理水平的技術措施和綜合措施。

3.1 增強信息網絡安全管理水平的技術措施

對新入網設備進行檢測和加固，確保首檢健康指標、主機健康運行指標和IP地址活躍度指標達到目標要求。

3.1.1 建立完善的訪問控制策略，確保信息安全。訪問控制的主要任務是保證信息網絡資源不被非法使用和訪問。訪問控制是維護網絡系統安全、保護網絡資源的重要手段，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。其基本目標是防止對任何資源（如計算機資源、通信資源或信息資源）進行未授權的訪問，從而使系統在合法范圍內使用。這里未授權的訪問指未經授權的使用、泄露、修改、銷毀信息以及頒發指令等。它包括非法用戶進入系統和合法用戶對系統資源的非法使用。因此，訪問控制對機密性、完整性起直接的作用。

3.1.2 建立桌面管控系統，支持終端防護。目前采用的桌面終端管理系統由國網公司統一推廣，于2010年1月正式上線運行。系統上線之初，僅具備桌面終端非安全行為監控功能，運行至今，已對接程序、防病毒軟件監控等進行數次版本升級。

目前的桌面管控系統，集桌面終端管理、IP過濾綁定、弱口令監視、移動存儲監控及補丁監控等功能于一體。公司通過設立信息終端設備運行首檢健康指標，綜合考察入網信息設備的弱口令、防病毒程序、補丁安裝等情況，既完成了對入網設備信息安全強度的評估，又形成了對信息安全新防線建設成果的反饋，成為整個信息安全新防線建設工作中必不可少的支持力量。

3.1.3 升級IP授權管理方式，支持IP資源長期有效管理。IP資源是信息網絡重要資源之一。通過IP資源分配管理，公司可以及時了解、管控各單位的人員流動。自2013年起，國網寧夏電力有限公司已著手開發IP地址管理數據庫，為了滿足日漸擴大的網絡規模、不斷擴充的網絡設備類型以及不斷提高的網絡安全性能的要求。2018年，公司上線了新的IP授權管理數據庫。

3.2 增強信息網絡安全管理水平的綜合措施

主要確保安全性評價綜合指標和員工信息安全指數兩個指標，達到目標要求。

3.2.1 充分學習、全面貫徹國網公司、省公司、地市公司的信息網絡安全相關文件、制度和標準。并根據縣級供電公司的實際情況制定相關實施細則，使縣級供電公司的信息網絡安全管理有章可循。建立、健全信息網絡安全管理機制，并強化制度執行力度，從制度執行和管理層面保障企業信息網絡的安全運行。

3.2.2 組建公司信息安全管理網絡，加強員工的信息安全教育培訓。定期召開信息員聯絡會，及時傳達上級有關信息安全的相關通知文件，組織各部門信息員學習《國網銀川供電公司關于進一步加強網絡安全管理的通知》《國網銀川供電公司桌面終端用戶安全使用手冊》，每個季度由公司信息安全員對全公司信息員進行信息安全文件、信息安全知識、防病毒安裝和保密知識宣貫，多維度普及信息安全知識，增強信息安全觀念，提高全員信息安全意識[4]。多層次開展信息安全教育活動，通過公司網站、OA系統等對重要信息安全規章制度進行宣傳教育，防止違規外聯、弱口令等事件發生。對發生的信息安全事件嚴格考核。

3.2.3 全體員工與公司簽訂保密協議，嚴格執行有關信息系統和保密管理工作的相關規定。根據公司文件要求，對企業內外網進行物理隔離，切斷第三方連接，物理線路清晰明確，并對內外網設備進行顯著區分，粘貼風險警示標簽。

3.2.4 強化信息資產和信通點位精細化管理，個人電腦作為信息終端，直接接入信息網絡，是信息安全新防線中的一個重要環節。為了應對信息資產安全管理中直存在的點多面廣，難以統一管理的問題，公司結合賬戶權限控制，展開了全公司范圍內常態化的信息資產核查工作。工作將全公司信息資產分為兩個部分，即存量部分和增量部分。增量部分，公司綜合運用IP授權管理系統與桌面管控系統，對新入網的設備，嚴格要求設備編碼、序列號與設備IP一一對應，實現信息安全責任到人；存量部分，公司常態化開展全面信息資產核查與賬戶權限核查，并對核查中發現存在安全隱患的信息設備進行登記，并即時要求整改。

4 改進效果

通過改進信息安全管理的技術措施和綜合措施，有效管控新入網設備首檢健康指標、主機健康運行指標、安全性評價綜合指標、員工信息安全指數和IP地址活躍度。

在加強員工的信息安全教育培訓和強化信通點位精細化管理方面亮點突出。通過開展季度信息安全培訓，并且把該項工作納入績效考核，大大提升信息系統安全運行規范指數等關鍵指標（截至2023年7月），內網桌面終端注冊率100%、內網桌面終端防毒軟件安裝率（%）100%、無內網弱口令，外網桌面終端注冊率100%、外網桌面終端防毒軟件安裝率（%）100%、無外網弱口令和違規外聯。通過實施信通點位精細化管理，確保了信息點的完全管控，信息設備的使用變更需進行審核批準流程，無法隨意變更信息點位，從而杜絕內外網終端的互聯操作，同時，有效縮短信息點定位時間，為公司對外窗口的服務提供技術支撐。通過實施該項目，平均故障定位時間從原先的24.76驟降至5.18min，每年合計節約成本16.88萬元，大大提升公司的信息安全經濟效益和社會效益。

5 結束語

通過在縣級供電企業采取增強信息網絡安全管理水平的技術措施和綜合措施，將從根源上降低基層單位在制度標準、主觀觀念、客觀網絡環境等方面存在的安全風險，打破縣級供電企業長期固化的傳統管理理念和慣性思維，注入現代企業的新型管理理念，從電力企業末端建立并完善的信息化安全管理機制。