胡俊勇

【摘要】 本文闡述了電力施工企業(yè)如何通過組織、管理、運(yùn)行、技術(shù)等各類手段，全方位保障企業(yè)信息系統(tǒng)安全的過程。

【關(guān)鍵詞】 電力施工 信息系統(tǒng) 安全

筆者就職于四川電力建設(shè)三公司（以下簡稱為“公司”），從事企業(yè)信息化管理工作。四川電力建設(shè)三公司是一家典型的電力施工企業(yè)，擁有眾多的施工項(xiàng)目，分散在國內(nèi)外各地。隨著信息技術(shù)的飛速發(fā)展，公司也緊跟時(shí)代的腳步，開發(fā)并使用了一系列信息系統(tǒng)，包括公司OA辦公系統(tǒng)、數(shù)據(jù)報(bào)表系統(tǒng)、人事管理系統(tǒng)、財(cái)務(wù)資金管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、郵件系統(tǒng)等。由于公司是一家大型電力施工企業(yè)，主營業(yè)務(wù)為電源建設(shè)，項(xiàng)目投資金額大、項(xiàng)目周期長、生產(chǎn)環(huán)節(jié)繁雜、參與人員較多，因此信息系統(tǒng)的數(shù)據(jù)流鏈條較長、信息采集點(diǎn)較多，且包含大量公司商業(yè)秘密，信息系統(tǒng)的安全保障是公司異常關(guān)注的重點(diǎn)工作。本人在多年的工作實(shí)踐中，積累了一定的信息系統(tǒng)保障工作經(jīng)驗(yàn)，現(xiàn)對(duì)此項(xiàng)工作進(jìn)行全面總結(jié)。信息系統(tǒng)安全保障工作，從宏觀角度可以分為信息安全管理體系建設(shè)、信息安全組織與管理、信息安全法規(guī)與標(biāo)準(zhǔn)化工作、信息安全技術(shù)工程幾個(gè)方面。

信息安全體系建設(shè)主要指信息安全管理體系ISMS的建立與運(yùn)行。信息安全管理體系ISMS是目前國際上使用較廣泛的信息安全管理方法，其認(rèn)證標(biāo)準(zhǔn)對(duì)企業(yè)進(jìn)行信息安全保障工作具有較強(qiáng)的指導(dǎo)意義。公司作為一家大型電力施工企業(yè)，未雨綢繆，在本世紀(jì)初就開始了相關(guān)的體系建設(shè)工作。信息安全管理體系ISMS的相關(guān)標(biāo)準(zhǔn)有ISO/IEC27001和GB/ T22080，主要有規(guī)劃建立、實(shí)施運(yùn)行、監(jiān)視評(píng)審、保持改進(jìn)四個(gè)過程。

1、在規(guī)劃建立階段，公司參照國際國內(nèi)先進(jìn)企業(yè)經(jīng)驗(yàn)，確定了公司ISMS組織結(jié)構(gòu)范圍、業(yè)務(wù)范圍、信息系統(tǒng)范圍和物理范圍，制訂了ISMS方針，確定了風(fēng)險(xiǎn)評(píng)估方法。2、在實(shí)施運(yùn)行階段，公司制定了風(fēng)險(xiǎn)處理計(jì)劃、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、開發(fā)有效測量程序、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃、管理ISMS運(yùn)行。其中，工作重點(diǎn)是對(duì)具體風(fēng)險(xiǎn)的有效應(yīng)對(duì)與控制。公司針對(duì)面臨的各項(xiàng)風(fēng)險(xiǎn)制定了專門的風(fēng)險(xiǎn)管理計(jì)劃，對(duì)每一項(xiàng)風(fēng)險(xiǎn)的處理優(yōu)先順序、處理措施、所需資源、責(zé)任人、驗(yàn)證方式進(jìn)行了詳細(xì)定義，確保風(fēng)險(xiǎn)管理的可執(zhí)行性。3、在監(jiān)視評(píng)審階段，公司通過日常監(jiān)視與檢查、內(nèi)部審核、風(fēng)險(xiǎn)評(píng)估、管理評(píng)審等活動(dòng)確保整體監(jiān)控水平。4、保持改進(jìn)階段，公司主要活動(dòng)為實(shí)施糾正和預(yù)防措施，消除各個(gè)管理不符合項(xiàng)，確保在發(fā)生信息安全事件時(shí)，能夠從容應(yīng)對(duì)、科學(xué)分析，并采取最優(yōu)的處理措施。

信息安全組織與管理是對(duì)公司信息系統(tǒng)參與者的針對(duì)性管理，主要分為內(nèi)部組織管理與外部管理兩個(gè)方面。其中，內(nèi)部組織管理是該項(xiàng)工作的核心。公司的信息系統(tǒng)由于信息采集點(diǎn)較為分散，信息傳送路徑較長，因此信息安全的潛在威脅也較大。如何保證信息系統(tǒng)中大量的商業(yè)秘密數(shù)據(jù)不被泄漏、不被竊取、不被篡改，是公司信息安全組織管理的核心目標(biāo)。為此，公司進(jìn)行了業(yè)務(wù)梳理，將各項(xiàng)數(shù)據(jù)的報(bào)送流程進(jìn)行了明確規(guī)定，將數(shù)據(jù)的處理權(quán)限同公司組織架構(gòu)有效結(jié)合、綜合考慮，做好了合理分配。比如，工程進(jìn)度報(bào)表，就被限定了填報(bào)人員為各項(xiàng)目部工程部進(jìn)度管理專責(zé)人員，審核者被限定為各項(xiàng)目部工程部經(jīng)理，簽發(fā)者為各項(xiàng)目部項(xiàng)目經(jīng)理，匯總者為公司總部工程管理專責(zé)。這樣，不管具體人員如何變動(dòng)，信息處理參與者都只與限定的崗位有關(guān)聯(lián)，確保了數(shù)據(jù)信息的保密性、可用性和有效性。信息安全法規(guī)與標(biāo)準(zhǔn)化工作對(duì)于信息系統(tǒng)安全保障具有較大的指導(dǎo)意義。只有嚴(yán)格遵從國家信息安全法律法規(guī)、行業(yè)規(guī)定及相關(guān)標(biāo)準(zhǔn)，才能確保企業(yè)信息安全保障工作有法可依、有章可循。我國相關(guān)的法律法規(guī)有《中華人民共和國保守國家秘密法》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《信息安全等級(jí)保護(hù)管理辦法》、《計(jì)算機(jī)信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》、《計(jì)算機(jī)病毒防治管理辦法》、《電子簽名法》等。我國制定的信息安全相關(guān)標(biāo)準(zhǔn)有GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T 25058-2010《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、GB/ T 20269-2006《信息系統(tǒng)安全管理要求》、GB/T 21052-2007《信息系統(tǒng)物理安全技術(shù)要求》等。這些標(biāo)準(zhǔn)從工作、管理、技術(shù)方面對(duì)企業(yè)信息安全保護(hù)活動(dòng)進(jìn)行了標(biāo)準(zhǔn)化約束，為公司進(jìn)行信息系統(tǒng)安全保護(hù)工作提供了文件支持。

信息安全技術(shù)工程是公司進(jìn)行信息系統(tǒng)安全保障工作的基礎(chǔ)性活動(dòng)。也是公司信息系統(tǒng)安全保障工作的具體落腳點(diǎn)，其實(shí)施效果的好壞直接關(guān)系到公司信息系統(tǒng)安全保障工作的最終效果。公司將該項(xiàng)活動(dòng)分為了訪問鑒別技術(shù)、操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)等幾個(gè)方面，逐一落實(shí)。其中，訪問鑒別技術(shù)，主要根據(jù)信息系統(tǒng)的重要性和角色權(quán)限的分配，使用了諸如口令加密技術(shù)、密碼工具、數(shù)字證書技術(shù)。比如，對(duì)于一般的信息系統(tǒng)及普通用戶，公司對(duì)密碼口令進(jìn)行了一定的復(fù)雜性設(shè)置，確保難以被暴力破解。而對(duì)于重要信息系統(tǒng)及重要用戶角色，則配備了密碼加密狗，保證身份鑒別有效性。公司機(jī)關(guān)局域網(wǎng)統(tǒng)一配備了安全防護(hù)軟件，實(shí)行統(tǒng)一后臺(tái)管理，確保操作系統(tǒng)的運(yùn)行安全。為了應(yīng)對(duì)DDOS攻擊、SQL注入攻擊，公司為數(shù)據(jù)庫與網(wǎng)絡(luò)區(qū)域邊界配備了新型防火墻及防篡改系統(tǒng)，并針對(duì)異常流量部署了安全防護(hù)策略，最大限度保證數(shù)據(jù)環(huán)境安全。

公司始終將信息系統(tǒng)安全保障工作視為綜合性工程，無論是組織管理、制度管理、技術(shù)應(yīng)用還是體系建設(shè)，都保持謹(jǐn)小慎微的心態(tài)，將每項(xiàng)工作落實(shí)到位。多年來，公司未發(fā)生一起信息安全事件，信息安全保障工作收到了良好效果。