如何强化信息安全体系建设

2014-06-03 23:02:06 《中国经济和信息化》　点击量：评论 (0)

　　北京市电力公司(总工程师)王少毅　　4月15日，中央国家安全委员会第一次会议中强调既重视传统安全，又重视非传统安全，构建包括信息安全在内的十一个领域于一体的国家安全体系。北京市电力公司作为国家电网公

　　北京市电力公司(总工程师)王少毅

　　4月15日，中央国家安全委员会第一次会议中强调既重视传统安全，又重视非传统安全，构建包括信息安全在内的十一个领域于一体的国家安全体系。北京市电力公司作为国家电网公司服务首都社会经济发展的窗口，是关系首都能源安全和经济命脉的国有重要骨干企业，负责北京地区1.64万平方公里范围内的电网规划建设、运行管理、电力销售和717万客户的供电服务工作。

　　随着信息化建设的逐步深入，公司部署的各类信息系统覆盖多个管理领域和业务环节，承载了生产、经营的大量业务。近年来的监测分析表明，作为社会能源基础产业的电网控制、电力企业业务应用、对外网站等系统已成为境内外各类黑客组织重点攻击目标。

　　长期以来，北京市电力公司坚持信息安全工作的“三个纳入”，既：将等级保护纳入信息安全工作、将信息安全纳入信息化工作、将信息安全纳入电力安全生产管理体系。在电力生产控制大区严格遵循“安全分区、网络专用、横向隔离、纵向认证”的安全防护原则，在管理信息大区严格执行“双网双机、分区分域、安全接入、动态感知、精益管理、全面防护”的主动防护策略，建立了完整的网络与信息系统安全防护技术体系和管理体系。以严格落实国家信息安全等级保护为抓手，不断深化信息安全技术应用和基础建设，大幅提升了信息安全管控能力。着重从信息安全组织、标准、防御、督查、人才队伍、全员教育、考核评价七个方面加强信息安全体系建设，取得了一定效果。

　　北京市电力公司成立两级信息安全领导小组。在组织机构发生调整时，同步调整信息安全领导机构，确保信息安全工作的领导有力、责任落实。

　　同时成立国网北京信通公司，作为北京市电力公司网络与信息系统运行维护单位，按专业设置科室班组，确保信息安全工作有序开展。成立公司“信息通信调度监控中心”，负责全天24小时监控网络与信息系统运行情况和信息安全态势，实现指挥协调、资源调配、应急处理、安全管理、分析预测和全景透视的全口径管控，及时处置信息安全突发事件。

　　明确所属各单位的信息化管理归口部门，独立设置信息通信运维班组，并在所属单位的各部室及营业网点、分支办公地点设置信息安全网员800余名，形成了横向到边、纵向到底的信息安全管控体系。四是形成一支涵盖企业架构、信息技术、信息安全与系统运行等专业组成的信息化专家团队，并采取挂职培养、交流轮岗等常态化方式培养、选拔专业人才。

　　为实现信息安全工作闭环管理，北京市电力公司构建了科学的标准体系并修订完善制度。通过总结提炼、集中修订，印发了《信息系统调度运行管理办法》等26项制度，制定了网络典型设计、数据中心管理规范等一系列技术标准。

　　编制工作流程。制定信息通信检修管理、缺陷管理、方式管理、安全管理等22个工作流程，注重对审批、发布等环节的管控。同时推行标准化作业书。编制企业门户、营销系统等各类标准化作业书16套。对运行维护中的每一个操作环节、注意事项、突发事件处置流程均作了文图说明，配以信息报送和操作流程表格，确保业务人员按章操作。

　　实现信息安全工作可控能控在控需要构建完备的防御体系，扎实的开展信息系统等级保护建设。严格开展信息系统备案和等级保护测评工作。认真接受北京市公安局等上级单位对网络与信息安全的专项检查，对照检查组专家提出的意见建议，积极开展整改提高工作。

　　同时加强隐患排查治理。将信息安全隐患排查治理纳入年度安全生产常态工作。按照基础设施、网络安全、主机设备、应用系统等专业执行73个排查项目，并进行月度排查和闭环管控。定期邀请国家级测评机构开展信息安全风险评估。对财务资金、外网网站等系统开展设备配置核查、漏洞扫描、渗透测试、特种木马检测等工作，对整改加固成果进行验证。

　　建设主动防御安全防护技术体系。开展信息系统安全域建设，采用防火墙、入侵检测系统，进行安全域划分和区域隔离。对公司本部、各二级单位、分支机构间实现纵向边界访问控制，部署安全审计系统，全面增强安全预警应急处理能力。统一归集互联网出口，实现公司本部及所属各单位均通过统一出口访问互联网，并通过部署访问控制设备和入侵检测、防篡改等设备实现对互联网出口的安全防护，使访问控制粒度达到端口级。定期进行漏洞扫描检查，对存在漏洞和隐患的主机及时进行安全整改和加固。

　　加强信息系统全生命周期管理。采取技术措施保证开发测试环境与实际运行环境物理分离，并限定开发人员的活动范围和行为。针对开发人员的远程访问实行书面审批、访问控制、在线监测、日志审计等管控措施。在系统设计阶段，严格制定并审核安全方案，在系统上线前必须经过安全测评审批，上线后定期进行等级保护测评和整改提升，在系统下线前进行风险评估，对数据安全进行妥善处理，确保不发生失泄密及对其它系统造成影响。

　　加强应急演练，提高响应能力。编制涵盖各应用信息系统、网络核心设备、基础设施的现场处置方案57个。针对重大政治活动、重点时段保障开展联合应急演练。2013年，在北京市公安局的领导下，开展了针对外网网站遭受攻击、营销系统中断的信息网络与信息系统联合应急演习。通过演练不断检验、修订处置方案，提升应急队伍处置水平。

　　加强重要政治供电保障的信息安全。将重大政治供电保障全过程划定为“方案制定、排查评估、整改提高、演练冲刺、保障实战”五个阶段，并将信息安全工作贯穿始终，实现信息安全保障工作流程化、标准化。在党的十八大等历次重要保障任务期间，组织开展隐患排查治理，对机房基础设施、重要系统进行安全加固，组织信息安全技术督查队伍赴重要站点开展现场督查，执行7*24小时运行保障制度，有效监测、发现并拦截阻断了来自境内外的各种恶意攻击和破坏行为。

　　为实现信息安全工作动态提升，北京市电力公司在北京电科院成立信息安全技术督查室。设置专人负责信息安全技术督查工作，每年开展2次对公司各二级单位的现场督查工作。实时开展内外网弱口令、防病毒软件、桌面终端管控软件、敏感信息泄露等方面的常态督查。针对重要保障活动、信息设备规范管理等开展多项信息安全专项督查。四是从信息化标准制修订与应用、系统架构遵从情况等方面开展信息化标准督查工作。

　　适应公司改革发展要求，加大信息安全人才培养力度。每季度举办一次信息安全专题学习班，每年组织信息安全督查、信息安全运维等专业的脱产学习班，开展一次信息系统反事故措施普考。加大轮岗力度，实现公司专业人员在信息调控、运维、安全、检修、客服等专业上轮岗。加强奖惩力度，形成竞争机制。对在国家及北京市级信息专业类考试取得证书及比赛成绩突出的员工，给予业绩考核和同业对标奖励，增加晋升机会。

　　北京市电力公司组建信息安全红蓝队。以北京电科院督查人员和各单位技术骨干为主体组建信息安全红队，开展对公司内部网站和业务系统的漏洞挖掘及攻防渗透。以信通公司运维人员为主体组建信息蓝队，重点开展信息系统建转运管控、边界接入、安全审计、巡检评估等多维度安全防护。同时，定期组织信息安全红队、蓝队开展攻防演练，验证信息安全管理措施和技术措施的成效，全面提升公司信息安全治理水平和管理能力。

　　为实现信息安全良好氛围，搭建信息安全教育网络。通过建立信息安全专题网页，编播信息安全视频教育宣传片，开办信息安全意见征集信箱，为每一名员工获取信息安全知识提供平台。组织全员签订信息安全责任(承诺)书、开展信息安全知识竞赛、通过调控中心定期下发信息安全提示短信，形成覆盖全公司的信息安全教育网络。

　　加强警示教育，增强教育针对性。开辟信息安全违章曝光台、印发信息安全通报、公示信息安全违规事件考核结果，将各类违规事件的严重性、危害性宣贯到每一位员工，增强员工的信息安全责任意识。

　　实现量化考核评价，强化信息安全的考核工作机制。按年度印发《信息化工作年度考核细则》，对所属信息化专业公司和其他二级单位采取两套不同的管理细则，确保绩效考核的针对性和可执行性。同时强化信息安全评价通报机制。运用同业对标对各单位进行量化考核。印发《信息安全与运行工作月度通报》，促进所属各单位及时查找不足，制定落实整改措施。