基層單位信息安全與保密管理的研究與應用

◆秦明波 成 龍 黃 赟

（1.國網嘉善縣供電公司 浙江 314100；2.國網浙江嘉興供電公司 浙江 314000）

基層單位信息安全與保密管理的研究與應用

◆秦明波1成 龍1黃 赟2

（1.國網嘉善縣供電公司 浙江 314100；2.國網浙江嘉興供電公司 浙江 314000）

電網信息安全和保密工作為電網安全的重要組成部分，是電網信息化持續推進的基本保障。結合當前形勢與公司現狀，不斷進行安全管理與保密工作的研究與實踐，從組織機構、規章制度、人員教育、技術管理等方面形成安全管理體系，實現信息安全監測全方位、信息安全防護全覆蓋、信息安全管控全過程、信息安全督查無死角和信息安全保密不泄露。

信息安全；管理；電力信息化

0 引言

伴隨著基層單位信息化的飛速發展，網絡衍生出的應用層出不窮，網絡信息安全的防御范圍也在不斷地延伸，如何形成一套全面、高效的安全管理體系，使信息安全得到全方位的保護，確保重要信息不泄密，已成為當前基層單位最迫切需要解決的問題。

1 基層單位信息安全與保密管理的現狀及目標

目前在基層單位桌面終端、采集終端、視頻監控終端等應用和接入需求越來越廣泛，各類接入終端數量龐大，其形式多樣化、部署分散、終端用戶信息安全意識參差不齊的現狀已成為基層單位信息安全與保密管理體系的薄弱環節。

針對基層單位信息安全和保密工作風險點多面廣的特點，著力解決基層單位信息安全保密責任與制度落實、接入設備準入流程、信息資產全生命周期管理，安全防護措施執行等方面存在的問題和薄弱環節，從查漏補缺、被動防御向整體掌控、主動防御轉變，進一步規范安全管控，實施信息安全管理提升，實現“全員、全過程、全方位”信息安全管理目標。

2 基層單位信息安全與保密管理體系建設

傳統的信息安全與保密管理防護分散不成體系，我們迫切需要全面、高效的一體化管理體系建設，為公司的生產經營業務發展提可靠的保障。

2.1 組織機構建設，充分發揮人員作用

針對基層單位人員分布面廣、信息安全管理過程紛繁復雜、涉及部門層面空間多樣化、保密意識和氛圍等實際情況，在每個部門安排兼職安全員，形成了一支信息安全與保密管控的隊伍，負責協助管理部門、班組內部信息設備，落實信息安全與保密各項管理措施。

我們建立三級信息安全組織機構如圖1所示。由公司總經理親自擔任信息安全領導小組組長，對信息安全全面負責。充分發揮各層級人員的作用，形成縱深、有效的安全管理組織機構。

建章立制、明確職責，通過一系列規章制度、管理規定與工作單的制定，規范信息安全工作。基層單位編制完成《信息安全協議》，《外來人員現場信息安全專用教育卡》、《外來人員使用公司信息網工作單》、《信息設備管理辦法》等，并將制度考核納入績效考核實現閉環管理，取得顯著成效。

全面落實信息安全責任，各部門單位及其員工的年度安全責任目標中都包含了信息安全與保密責任指標。每年組織全員開展“保密四書”（保密工作責任書、涉密人員保證書、涉密人員離崗保密承諾書、保密承諾書）的簽署工作。通過切實扎實的工作，員工對于信息安全與保密的理解上升到了一個新的高度。

圖1 三級信息安全組織機構圖

2.2 制度建設，規范信息安全與保密工作

2.3 全員教育，形成人人知安全、人人懂保密

目前所面臨的大多數信息安全威脅都來自于企業內部員工有意識或無意識的行為，電力企業信息終端用戶又呈現信息安全意識參差不齊的現象，因此信息安全不應只是公司專業人員關心的事情，還應當廣泛發動全體員工參與。提升全體員工的信息安全意識才是保障安全的最關鍵因素。多方式宣傳，創新形式，全方位營造安全氛圍，普及安全保密教育，做到全民動員，共筑安全。

（1）加強信息安全與保密宣傳

通過在公司網站中設置違規外聯專欄及信息安全警示語懸浮窗口、在公共場所、會議室、培訓中心張貼防違規外聯宣傳畫與臺簽、定期將信息安全知識通過手機短信如圖2所示，展板宣傳如圖3所示等多方位宣傳方式，做到時時提醒，層層宣貫，將信息安全重要性傳達到每一個員工的心中。

（2）加強外部人員信息安全與保密管控

對待外來工作人員也同樣不能放松要求，要進行信息安全教育，并且嚴禁單獨進入機房等重要區域，因工作需要確需進出機房等重要區域，相關負責人員應根據操作內容，填寫相應的申請單，整個工作過程需由相關班組工作人員陪同進行，嚴禁從事非業務范圍內的其它任何操作，保證安全管理覆蓋到每個落點。

2.4 系統運維，規范運維管理

信息系統的上線必須經過信息管理部門與保密部門的審批，提交完整資料，并公司保密委審核同意，經第三方安全測評通過后，方可上線。對確認不再使用的信息系統，及時備份業務數據，調整安全策略，將設備進行及時停役，避免了資源閑置和安全隱患。

圖2 信息安全短信

圖3 宣傳展示畫

信息運維工作堅持運行與安全原則，注重規范化與標準化，嚴格執行兩票制度，通過全省統一信息服務管理系統（ITSM）進行流轉。明確運維人員職責、工作內容與工作要求，制定一套標準運維管理機制確保全公司信息系統穩定、可靠、安全運行。

2.5 技術防護，實現信息安全可控

（1）設備準入和管控

強化信息內網設備的安全準入。對所有接入公司網絡的系統、終端和設備實施全面準入管控。內外部人員使用信息網都必須填寫入網申請單。使用省公司統一出口的信息外網需要按照省公司信息外網管理規定由相關職能部門和公司領導審批，并簽署上網安全協議。使用IP-MAC地址綁定技術在技術上限制非法接入。

（2）物理隔離管控

開展防違規外聯硬件接口裝置的研究。通過對公司違規外聯案例研究發現70%的案例都是由于USB接口連接手機、3G網卡造成的，為避免這種情況發生。通過兩種方式降低安全事件發生，一種是通過將電腦USB插口安裝防誤塞裝置如圖4所示，將不用的USB插口封掉的方法來人為隔離主機USB接口。主機前面常用USB口使用帶手柄的USB塞，利于插拔。后面不用的USB口使用不帶手柄的 USB塞并且在無特殊情況下禁止拔出。另一種是在電腦主機前端 USB口插入一個接口設備，類似讀卡器外型，通過對這個接口設備芯片硬件編程和處理，使得這個接口設備只能識別U盤這類存儲設備，屏蔽其他所有設備，這兩種措施都是從物理上隔絕外部網絡從而保護信息內網安全。

圖4 USB插口防誤塞及警示標簽

（3）保密敏感詞檢測攔截

對內外網文件實時檢測掃描，對于沒有按照要求進行加密處理的文件，通過技術手段分析，發現涉密敏感詞或者關鍵字內容，進行前端攔截，防止敏感信息外泄。同時對發現敏感文件發送事情進行穿透性分析，明確責任原因，落實考核責任，舉一反三，督促閉環整改。

3 結論

綜上所述，通過研究信息安全各要素間的聯系并結合公司實情開展切實扎實地信息安全與保密管理工作，不斷進行安全管理創新與技術實踐，建立一套全面、高效的一體化信息安全與保密管理體系，公司信息安全與保密水平有了飛躍的提升，實現全維度立體式無盲點信息安全管理目標。

[1]陳騉．電力企業信息安全保障體系建設探討[J]．科學之友，2013．