如何強化信息安全體系建設

2014-06-03 23:02:06 《中國經濟和信息化》　點擊量：評論 (0)

　　北京市電力公司(總工程師)王少毅　　4月15日，中央國家安全委員會第一次會議中強調既重視傳統安全，又重視非傳統安全，構建包括信息安全在內的十一個領域于一體的國家安全體系。北京市電力公司作為國家電網公

　　北京市電力公司(總工程師)王少毅

　　4月15日，中央國家安全委員會第一次會議中強調既重視傳統安全，又重視非傳統安全，構建包括信息安全在內的十一個領域于一體的國家安全體系。北京市電力公司作為國家電網公司服務首都社會經濟發展的窗口，是關系首都能源安全和經濟命脈的國有重要骨干企業，負責北京地區1.64萬平方公里范圍內的電網規劃建設、運行管理、電力銷售和717萬客戶的供電服務工作。

　　隨著信息化建設的逐步深入，公司部署的各類信息系統覆蓋多個管理領域和業務環節，承載了生產、經營的大量業務。近年來的監測分析表明，作為社會能源基礎產業的電網控制、電力企業業務應用、對外網站等系統已成為境內外各類黑客組織重點攻擊目標。

　　長期以來，北京市電力公司堅持信息安全工作的“三個納入”，既：將等級保護納入信息安全工作、將信息安全納入信息化工作、將信息安全納入電力安全生產管理體系。在電力生產控制大區嚴格遵循“安全分區、網絡專用、橫向隔離、縱向認證”的安全防護原則，在管理信息大區嚴格執行“雙網雙機、分區分域、安全接入、動態感知、精益管理、全面防護”的主動防護策略，建立了完整的網絡與信息系統安全防護技術體系和管理體系。以嚴格落實國家信息安全等級保護為抓手，不斷深化信息安全技術應用和基礎建設，大幅提升了信息安全管控能力。著重從信息安全組織、標準、防御、督查、人才隊伍、全員教育、考核評價七個方面加強信息安全體系建設，取得了一定效果。

　　北京市電力公司成立兩級信息安全領導小組。在組織機構發生調整時，同步調整信息安全領導機構，確保信息安全工作的領導有力、責任落實。

　　同時成立國網北京信通公司，作為北京市電力公司網絡與信息系統運行維護單位，按專業設置科室班組，確保信息安全工作有序開展。成立公司“信息通信調度監控中心”，負責全天24小時監控網絡與信息系統運行情況和信息安全態勢，實現指揮協調、資源調配、應急處理、安全管理、分析預測和全景透視的全口徑管控，及時處置信息安全突發事件。

　　明確所屬各單位的信息化管理歸口部門，獨立設置信息通信運維班組，并在所屬單位的各部室及營業網點、分支辦公地點設置信息安全網員800余名，形成了橫向到邊、縱向到底的信息安全管控體系。四是形成一支涵蓋企業架構、信息技術、信息安全與系統運行等專業組成的信息化專家團隊，并采取掛職培養、交流輪崗等常態化方式培養、選拔專業人才。

　　為實現信息安全工作閉環管理，北京市電力公司構建了科學的標準體系并修訂完善制度。通過總結提煉、集中修訂，印發了《信息系統調度運行管理辦法》等26項制度，制定了網絡典型設計、數據中心管理規范等一系列技術標準。

　　編制工作流程。制定信息通信檢修管理、缺陷管理、方式管理、安全管理等22個工作流程，注重對審批、發布等環節的管控。同時推行標準化作業書。編制企業門戶、營銷系統等各類標準化作業書16套。對運行維護中的每一個操作環節、注意事項、突發事件處置流程均作了文圖說明，配以信息報送和操作流程表格，確保業務人員按章操作。

　　實現信息安全工作可控能控在控需要構建完備的防御體系，扎實的開展信息系統等級保護建設。嚴格開展信息系統備案和等級保護測評工作。認真接受北京市公安局等上級單位對網絡與信息安全的專項檢查，對照檢查組專家提出的意見建議，積極開展整改提高工作。

　　同時加強隱患排查治理。將信息安全隱患排查治理納入年度安全生產常態工作。按照基礎設施、網絡安全、主機設備、應用系統等專業執行73個排查項目，并進行月度排查和閉環管控。定期邀請國家級測評機構開展信息安全風險評估。對財務資金、外網網站等系統開展設備配置核查、漏洞掃描、滲透測試、特種木馬檢測等工作，對整改加固成果進行驗證。

　　建設主動防御安全防護技術體系。開展信息系統安全域建設，采用防火墻、入侵檢測系統，進行安全域劃分和區域隔離。對公司本部、各二級單位、分支機構間實現縱向邊界訪問控制，部署安全審計系統，全面增強安全預警應急處理能力。統一歸集互聯網出口，實現公司本部及所屬各單位均通過統一出口訪問互聯網，并通過部署訪問控制設備和入侵檢測、防篡改等設備實現對互聯網出口的安全防護，使訪問控制粒度達到端口級。定期進行漏洞掃描檢查，對存在漏洞和隱患的主機及時進行安全整改和加固。

　　加強信息系統全生命周期管理。采取技術措施保證開發測試環境與實際運行環境物理分離，并限定開發人員的活動范圍和行為。針對開發人員的遠程訪問實行書面審批、訪問控制、在線監測、日志審計等管控措施。在系統設計階段，嚴格制定并審核安全方案，在系統上線前必須經過安全測評審批，上線后定期進行等級保護測評和整改提升，在系統下線前進行風險評估，對數據安全進行妥善處理，確保不發生失泄密及對其它系統造成影響。

　　加強應急演練，提高響應能力。編制涵蓋各應用信息系統、網絡核心設備、基礎設施的現場處置方案57個。針對重大政治活動、重點時段保障開展聯合應急演練。2013年，在北京市公安局的領導下，開展了針對外網網站遭受攻擊、營銷系統中斷的信息網絡與信息系統聯合應急演習。通過演練不斷檢驗、修訂處置方案，提升應急隊伍處置水平。

　　加強重要政治供電保障的信息安全。將重大政治供電保障全過程劃定為“方案制定、排查評估、整改提高、演練沖刺、保障實戰”五個階段，并將信息安全工作貫穿始終，實現信息安全保障工作流程化、標準化。在黨的十八大等歷次重要保障任務期間，組織開展隱患排查治理，對機房基礎設施、重要系統進行安全加固，組織信息安全技術督查隊伍赴重要站點開展現場督查，執行7*24小時運行保障制度，有效監測、發現并攔截阻斷了來自境內外的各種惡意攻擊和破壞行為。

　　為實現信息安全工作動態提升，北京市電力公司在北京電科院成立信息安全技術督查室。設置專人負責信息安全技術督查工作，每年開展2次對公司各二級單位的現場督查工作。實時開展內外網弱口令、防病毒軟件、桌面終端管控軟件、敏感信息泄露等方面的常態督查。針對重要保障活動、信息設備規范管理等開展多項信息安全專項督查。四是從信息化標準制修訂與應用、系統架構遵從情況等方面開展信息化標準督查工作。

　　適應公司改革發展要求，加大信息安全人才培養力度。每季度舉辦一次信息安全專題學習班，每年組織信息安全督查、信息安全運維等專業的脫產學習班，開展一次信息系統反事故措施普考。加大輪崗力度，實現公司專業人員在信息調控、運維、安全、檢修、客服等專業上輪崗。加強獎懲力度，形成競爭機制。對在國家及北京市級信息專業類考試取得證書及比賽成績突出的員工，給予業績考核和同業對標獎勵，增加晉升機會。

　　北京市電力公司組建信息安全紅藍隊。以北京電科院督查人員和各單位技術骨干為主體組建信息安全紅隊，開展對公司內部網站和業務系統的漏洞挖掘及攻防滲透。以信通公司運維人員為主體組建信息藍隊，重點開展信息系統建轉運管控、邊界接入、安全審計、巡檢評估等多維度安全防護。同時，定期組織信息安全紅隊、藍隊開展攻防演練，驗證信息安全管理措施和技術措施的成效，全面提升公司信息安全治理水平和管理能力。

　　為實現信息安全良好氛圍，搭建信息安全教育網絡。通過建立信息安全專題網頁，編播信息安全視頻教育宣傳片，開辦信息安全意見征集信箱，為每一名員工獲取信息安全知識提供平臺。組織全員簽訂信息安全責任(承諾)書、開展信息安全知識競賽、通過調控中心定期下發信息安全提示短信，形成覆蓋全公司的信息安全教育網絡。

　　加強警示教育，增強教育針對性。開辟信息安全違章曝光臺、印發信息安全通報、公示信息安全違規事件考核結果，將各類違規事件的嚴重性、危害性宣貫到每一位員工，增強員工的信息安全責任意識。

　　實現量化考核評價，強化信息安全的考核工作機制。按年度印發《信息化工作年度考核細則》，對所屬信息化專業公司和其他二級單位采取兩套不同的管理細則，確保績效考核的針對性和可執行性。同時強化信息安全評價通報機制。運用同業對標對各單位進行量化考核。印發《信息安全與運行工作月度通報》，促進所屬各單位及時查找不足，制定落實整改措施。