人防為重的信息安全防護體系構建

_曹海軍 智海燕 孔祥晨

自2006年開始，國家電網公司全面實施了“SG186工程”，公司的信息化水平達到國內領先、國際先進，初步建成數字化電網、信息化企業。但是，與信息化對公司發展的支撐日益強大相比，作為工程落地的地市公司在信息安全諸多方面還存在著不足，尤其是人員安全意識薄弱等方面，給信息系統安全運行帶來諸多隱患，嚴重制約著地市公司信息化發展進程，甚至影響到了省公司的信息化進程，給工程成果價值打了不小的折扣。

針對這些問題，商丘供電公司按照統一部署，構建起了完善的信息安全技術防護體系和信息安全管理保障體系，并通過兩個體系有機結合，使之相輔相成，互補不足，建成了覆蓋公司內、外網的整體信息安全防護體系，從而為信息系統及網絡的安全提供有效保障。

一、構建信息安全防護體系的主要做法

在部署管控系統，進行技術防范的同時，商丘公司牢牢抓住最具變性的人的因素，筑建起了一道重在“人防”的安全管理保障體系。

1.全面部署信息安全技術管控系統

商丘公司全面實施了雙網隔離、IP與MAC地址綁定等信息安全技術措施，全面部署了網絡安全準入系統、桌面終端安全管理系統、防病毒系統、入侵防御系統、入侵檢測系統、安全審計系統、防火墻等信息安全技術管控系統，構建起了完善的公司信息安全技術防護體系，從而為有效降低信息網絡和信息系統安全面臨的風險，提高公司內、外網安全技術防護能力打下了堅實的物質基礎。

2.嚴密部署七道安全關口

商丘公司秉承“專業的人員做專業的事”的原則，從網絡安全、設備安全、數據安全等方面，嚴密部署并嚴格把好七道安全關口，充分發揮了先進技術和設備的防控能力。

邊界防護關——在所有內、外網絡邊界均安裝硬件防火墻，并設置嚴格的雙向安全策略；安裝上網行為管理系統，部署IPS、IDS等安全防護系統，記錄所有網絡通信數據，及時進行分析審計，做到信息事件可審查。

網絡設備關——對網絡設備進行安全加固，關閉非必要的服務和端口，設置登錄設備的安全訪問控制，強密碼并定期更換，重新設置SNMP字符串，關閉空閑端口，設置端口安全，執行IP—MAC—端口綁定，防止外部計算機接入。

終端防護關——加強終端上下線管控，確保桌面終端注冊安裝率保持100%。嚴格執行IP與MAC綁定策略和新計算機準入策略，所有IP分配統一管控。對桌面終端非法外聯、密碼、防病毒安裝進行統一的監控和管理。同時，加強安全移動存儲介質管理，包括移動介質領取、使用、損壞、丟失等方面。

補丁漏洞關——每月使用補丁漏洞監測工具（如綠盟RSAS）進行全網掃描檢測，針對發現漏洞下發信息安全整改通知單，提供整改方法及補丁文件，統一進行修補，并對整改結果進行復查。禁止內外網計算機混用，設置八位及以上由字母數字混合的開機密碼、開啟屏保密碼設置。

病毒木馬關——公司信息內網安裝統一的防病毒系統，制定客戶端病毒庫升級策略，對于未按要求安裝防病毒系統的終端及時下發信息安全整改通知單，要求立即整改。同時，設置明確的預警策略和定時掃描策略等，統一發布終端防火墻策略，及時處理病毒源。

機房環境關——在執行機房巡視制度的同時，定期開展設備定檢測試。機房監控系統每年開展應急演練時進行一次全面的故障模擬測試。嚴格執行外來人員出入登記制度、專人負責制度、巡檢制度、操作票、工作票制度等。

數據安全關——為確保數據安全，在執行雙機熱備（或冷備）的硬件支撐基礎上，同時利用網絡存儲資源執行網絡備份和異地備份策略。按照數據重要性備份等級，區別執行月備份、周備份、日備份或實時備份等不同策略。巡視人員在備份后第二天核驗備份結果。

3.健全信息安全組織機構

商丘公司常設公司總經理、黨委書記任組長的信息安全領導小組，對公司信息安全工作進行全面督導，下設信息安全工作小組和信息安全專責，具體負責公司信息安全工作的規劃、實施、檢查、整改和考核；各部門設有兼職信息員，構成公司信息員網絡，負責配合本部門信息安全工作的實施、檢查和整改。人員根據形勢變化和公司結構及時進行調整。

4.充分發揮部門信息員的作用

部門信息員由各部門既通曉業務又熟悉計算機知識的人員擔任，進行基層宣傳、督導與檢查、整改工作，這樣既減輕了信息部專責的勞動強度，又保證了工作質量，同時還解決了“維護人員主業化”的矛盾。

5.細化工作流程

為實現公司信息安全管理由被動防御向主動防御轉變，公司及時完善所有相關信息工作流程，并納入公司管理工作流程標準體系，由公司信息化工作領導小組指導監督執行。流程體系涵蓋了信息化所有日常工作，細化到每個崗位以及各個崗位在流程工作各個階段的工作職責和審批權限，做到“有依據，有保證，可追溯”，從根本上把好了七道安全關口。

6.完善信息化管理制度

為規范公司信息化管理工作，提升公司信息化安全運行水平，做到“一切工作皆有制度，一切行動皆有措施”，根據《河南省電力公司信息化工作管理辦法》及相關管理制度要求，結合公司實際情況，不斷修訂完善了一系列配套的管理制度，并對安全責任進行了規定和劃分，做到把安全責任落實到每一個崗位和每一個環節，夯實了信息安全各項工作的基礎。

7.建立完善的應急體系

為正確、有效和快速處理網絡與信息系統突發事件，提高公司應對網絡與信息系統突發事件的組織指揮能力和應急處置能力，商丘公司建立了公司網絡與信息系統應急保障體系和應急響應機制，結合工作實際情況，每年均及時修訂完善《商丘供電公司網絡與信息系統突發事件處置應急預案》，并且嚴格進行演練，并對演練過程中發現的問題及時進行總結提高，做到細致、嚴密、有效。

8.嚴格進行考核

公司將信息安全考核辦法納入公司績效考核體系，由公司信息化工作領導小組監督執行。對于違章的責任人和所在部門黨政負責人，在公司范圍內進行通報批評，進行相應的經濟處罰并在違章曝光臺公示。

9.持續開展“反習慣性違章”活動

商丘公司在公司范圍內持續開展了信息安全“反習慣性違章”活動，從終端安全、終端操作、密碼管理等十個方面進行全面檢查、梳理、完善和提高，公司全員深刻認識到了信息安全“習慣性違章”的利害，徹底改變了不良作業的習慣，進一步夯實信息系統安全運行基礎。

二、主要創新點

創新性地引入了“技術與管理并重”理念和“三分技術、七分管理”原則，圍繞公司信息安全存在的問題和面臨的威脅，在全面部署信息安全技術管控系統的基礎上，嚴密部署七道安全關口，健全信息安全組織機構，完善信息化管理制度和工作流程，細化信息安全實施階段，充分調動和發揮關鍵人員作用，并通過嚴格的考核制度促進安全管理體系的真正有效落實，以此提升信息系統安全管理水平，確保公司安全生產局面的持續穩定。

三、實施效果

通過信息安全防護體系的構建和“反習慣性違章”活動持續、扎實、有效的開展，查處并整改了一批習慣性違章行為，公司范圍內根本杜絕了違規外聯等嚴重違章行為，人員的信息安全意識和風險防范意識得到了大幅提升，最大程度減小了信息安全風險，全面提升了信息安全健康率指標，確保了公司信息安全工作的安全穩定運行。