_曹海軍 智海燕 孔祥晨

自2006年開始，國家電網(wǎng)公司全面實施了“SG186工程”，公司的信息化水平達到國內領先、國際先進，初步建成數(shù)字化電網(wǎng)、信息化企業(yè)。但是，與信息化對公司發(fā)展的支撐日益強大相比，作為工程落地的地市公司在信息安全諸多方面還存在著不足，尤其是人員安全意識薄弱等方面，給信息系統(tǒng)安全運行帶來諸多隱患，嚴重制約著地市公司信息化發(fā)展進程，甚至影響到了省公司的信息化進程，給工程成果價值打了不小的折扣。

針對這些問題，商丘供電公司按照統(tǒng)一部署，構建起了完善的信息安全技術防護體系和信息安全管理保障體系，并通過兩個體系有機結合，使之相輔相成，互補不足，建成了覆蓋公司內、外網(wǎng)的整體信息安全防護體系，從而為信息系統(tǒng)及網(wǎng)絡的安全提供有效保障。

一、構建信息安全防護體系的主要做法

在部署管控系統(tǒng)，進行技術防范的同時，商丘公司牢牢抓住最具變性的人的因素，筑建起了一道重在“人防”的安全管理保障體系。

1.全面部署信息安全技術管控系統(tǒng)

商丘公司全面實施了雙網(wǎng)隔離、IP與MAC地址綁定等信息安全技術措施，全面部署了網(wǎng)絡安全準入系統(tǒng)、桌面終端安全管理系統(tǒng)、防病毒系統(tǒng)、入侵防御系統(tǒng)、入侵檢測系統(tǒng)、安全審計系統(tǒng)、防火墻等信息安全技術管控系統(tǒng)，構建起了完善的公司信息安全技術防護體系，從而為有效降低信息網(wǎng)絡和信息系統(tǒng)安全面臨的風險，提高公司內、外網(wǎng)安全技術防護能力打下了堅實的物質基礎。

2.嚴密部署七道安全關口

商丘公司秉承“專業(yè)的人員做專業(yè)的事”的原則，從網(wǎng)絡安全、設備安全、數(shù)據(jù)安全等方面，嚴密部署并嚴格把好七道安全關口，充分發(fā)揮了先進技術和設備的防控能力。

邊界防護關——在所有內、外網(wǎng)絡邊界均安裝硬件防火墻，并設置嚴格的雙向安全策略；安裝上網(wǎng)行為管理系統(tǒng)，部署IPS、IDS等安全防護系統(tǒng)，記錄所有網(wǎng)絡通信數(shù)據(jù)，及時進行分析審計，做到信息事件可審查。

網(wǎng)絡設備關——對網(wǎng)絡設備進行安全加固，關閉非必要的服務和端口，設置登錄設備的安全訪問控制，強密碼并定期更換，重新設置SNMP字符串，關閉空閑端口，設置端口安全，執(zhí)行IP—MAC—端口綁定，防止外部計算機接入。

終端防護關——加強終端上下線管控，確保桌面終端注冊安裝率保持100%。嚴格執(zhí)行IP與MAC綁定策略和新計算機準入策略，所有IP分配統(tǒng)一管控。對桌面終端非法外聯(lián)、密碼、防病毒安裝進行統(tǒng)一的監(jiān)控和管理。同時，加強安全移動存儲介質管理，包括移動介質領取、使用、損壞、丟失等方面。

補丁漏洞關——每月使用補丁漏洞監(jiān)測工具（如綠盟RSAS）進行全網(wǎng)掃描檢測，針對發(fā)現(xiàn)漏洞下發(fā)信息安全整改通知單，提供整改方法及補丁文件，統(tǒng)一進行修補，并對整改結果進行復查。禁止內外網(wǎng)計算機混用，設置八位及以上由字母數(shù)字混合的開機密碼、開啟屏保密碼設置。

病毒木馬關——公司信息內網(wǎng)安裝統(tǒng)一的防病毒系統(tǒng)，制定客戶端病毒庫升級策略，對于未按要求安裝防病毒系統(tǒng)的終端及時下發(fā)信息安全整改通知單，要求立即整改。同時，設置明確的預警策略和定時掃描策略等，統(tǒng)一發(fā)布終端防火墻策略，及時處理病毒源。

機房環(huán)境關——在執(zhí)行機房巡視制度的同時，定期開展設備定檢測試。機房監(jiān)控系統(tǒng)每年開展應急演練時進行一次全面的故障模擬測試。嚴格執(zhí)行外來人員出入登記制度、專人負責制度、巡檢制度、操作票、工作票制度等。

數(shù)據(jù)安全關——為確保數(shù)據(jù)安全，在執(zhí)行雙機熱備（或冷備）的硬件支撐基礎上，同時利用網(wǎng)絡存儲資源執(zhí)行網(wǎng)絡備份和異地備份策略。按照數(shù)據(jù)重要性備份等級，區(qū)別執(zhí)行月備份、周備份、日備份或實時備份等不同策略。巡視人員在備份后第二天核驗備份結果。

3.健全信息安全組織機構

商丘公司常設公司總經(jīng)理、黨委書記任組長的信息安全領導小組，對公司信息安全工作進行全面督導，下設信息安全工作小組和信息安全專責，具體負責公司信息安全工作的規(guī)劃、實施、檢查、整改和考核；各部門設有兼職信息員，構成公司信息員網(wǎng)絡，負責配合本部門信息安全工作的實施、檢查和整改。人員根據(jù)形勢變化和公司結構及時進行調整。

4.充分發(fā)揮部門信息員的作用

部門信息員由各部門既通曉業(yè)務又熟悉計算機知識的人員擔任，進行基層宣傳、督導與檢查、整改工作，這樣既減輕了信息部專責的勞動強度，又保證了工作質量，同時還解決了“維護人員主業(yè)化”的矛盾。

5.細化工作流程

為實現(xiàn)公司信息安全管理由被動防御向主動防御轉變，公司及時完善所有相關信息工作流程，并納入公司管理工作流程標準體系，由公司信息化工作領導小組指導監(jiān)督執(zhí)行。流程體系涵蓋了信息化所有日常工作，細化到每個崗位以及各個崗位在流程工作各個階段的工作職責和審批權限，做到“有依據(jù)，有保證，可追溯”，從根本上把好了七道安全關口。

6.完善信息化管理制度

為規(guī)范公司信息化管理工作，提升公司信息化安全運行水平，做到“一切工作皆有制度，一切行動皆有措施”，根據(jù)《河南省電力公司信息化工作管理辦法》及相關管理制度要求，結合公司實際情況，不斷修訂完善了一系列配套的管理制度，并對安全責任進行了規(guī)定和劃分，做到把安全責任落實到每一個崗位和每一個環(huán)節(jié)，夯實了信息安全各項工作的基礎。

7.建立完善的應急體系

為正確、有效和快速處理網(wǎng)絡與信息系統(tǒng)突發(fā)事件，提高公司應對網(wǎng)絡與信息系統(tǒng)突發(fā)事件的組織指揮能力和應急處置能力，商丘公司建立了公司網(wǎng)絡與信息系統(tǒng)應急保障體系和應急響應機制，結合工作實際情況，每年均及時修訂完善《商丘供電公司網(wǎng)絡與信息系統(tǒng)突發(fā)事件處置應急預案》，并且嚴格進行演練，并對演練過程中發(fā)現(xiàn)的問題及時進行總結提高，做到細致、嚴密、有效。

8.嚴格進行考核

公司將信息安全考核辦法納入公司績效考核體系，由公司信息化工作領導小組監(jiān)督執(zhí)行。對于違章的責任人和所在部門黨政負責人，在公司范圍內進行通報批評，進行相應的經(jīng)濟處罰并在違章曝光臺公示。

9.持續(xù)開展“反習慣性違章”活動

商丘公司在公司范圍內持續(xù)開展了信息安全“反習慣性違章”活動，從終端安全、終端操作、密碼管理等十個方面進行全面檢查、梳理、完善和提高，公司全員深刻認識到了信息安全“習慣性違章”的利害，徹底改變了不良作業(yè)的習慣，進一步夯實信息系統(tǒng)安全運行基礎。

二、主要創(chuàng)新點

創(chuàng)新性地引入了“技術與管理并重”理念和“三分技術、七分管理”原則，圍繞公司信息安全存在的問題和面臨的威脅，在全面部署信息安全技術管控系統(tǒng)的基礎上，嚴密部署七道安全關口，健全信息安全組織機構，完善信息化管理制度和工作流程，細化信息安全實施階段，充分調動和發(fā)揮關鍵人員作用，并通過嚴格的考核制度促進安全管理體系的真正有效落實，以此提升信息系統(tǒng)安全管理水平，確保公司安全生產(chǎn)局面的持續(xù)穩(wěn)定。

三、實施效果

通過信息安全防護體系的構建和“反習慣性違章”活動持續(xù)、扎實、有效的開展，查處并整改了一批習慣性違章行為，公司范圍內根本杜絕了違規(guī)外聯(lián)等嚴重違章行為，人員的信息安全意識和風險防范意識得到了大幅提升，最大程度減小了信息安全風險，全面提升了信息安全健康率指標，確保了公司信息安全工作的安全穩(wěn)定運行。