电力企业信息通信本质安全管理体系分析

英大国际信托有限责任公司 姚晓斌

随着信息技术的高速发展，工业化与信息化深度融合，电力行业作为国家关键信息基础设施，关乎社会民生。在推动四个革命一个合作能源安全新战略过程中，信息通信安全与电力生产安全紧密相连，同时，对信息通信安全运行提出了更高的要求。本文将对电力企业信息通信存在的问题进行分析，提出相应的安全运行管理策略，从而提高电力企业信息通信本质安全管理水平。

随着电力企业加快数字化转型的步伐，公司生产运营高度依赖网络和信息系统。信息通信的安全运行直接导致电力企业经营管理事件，甚至影响电网安全运行。因此企业信息通信本质安全管理尤为重要。

1 信息通信本质安全面临的挑战

1.1 信息通信安全运行压力大

当前，电力企业数字化转型过程中对信息化提出更高要求，电力企业安全运行对信息通信安全稳定运行也提出了更为严格的要求。随着信息通信系统规模和应用范围的大幅持续增长，信息通信系统安全运行的风险不断增加。同时电力企业对信息通信安全事件定级更加严格，安全考核压力大。

1.2 网络与信息安全形势严峻

近年来，电力企业信息化程度逐步增高，同时也存在多个方面的安全风险，例如，监测并拦截互联网出口攻击数量大幅增加、网络安全边界持续扩大、网络接入用户不断增多、跨地域经营、网络结构复杂、对社会公众提供服务、信息安全风险点和暴露面多。随着智能电网、“互联网+”、新电力体制改革以及新型电力系统建设逐步推进，各种新业务形态大量涌现，“大云物移”新技术深度应用，分布式电源、电动汽车等新型电力设施的接入，同时也引入了各种新的安全风险，网络与信息安全防控难度陡增[1]。

2 信息通信本质安全存在的问题

近年来，我国电力企业信息通信系统运行总体保持安全平稳，但各类故障和事件仍时有发生，暴露出管理、系统、设备、队伍等方面的基础仍然薄弱，与电力企业推动能源安全新战略的发展要求相比，还存在诸多不适应，亟须加强本质安全建设。

2.1 部分企业安全管理落实不到位

部分企业安全管理[2-5]、安全责任落实不到位屡见不鲜，安全管理粗放，制度执行不严，存在重业务轻安全的问题，安全压力层层衰减。信息通信系统安全运行责任划分不清，系统安全运行出现故障导致无人发现，待业务部门或客户反馈才得知系统故障发生。存在安全例会记录、安全学习记录、工程资料等不完善，安全生产“月、周、日”例会制度建立和落实不完善，未定期组织开展班组安全日活动，部分企业日常巡检工作还需加强等问题，同时员工的信息安全意识有待进一步提高。普通员工信息安全意识薄弱，个人终端安全防护、内/外网接入、安全U 盘使用、文件加密、邮件使用等环节易产生违规操作。

2.2 信息通信系统架构相对薄弱

信息通信业务快速发展，新能源、电动汽车、移动终端等大量新业务的出现，使系统规模大幅增长，网络安全边界愈加模糊，系统建设运行标准不尽统一，运行保障措施不配套；多个信息系统存在单点隐患；通信网络存在局部结构薄弱问题[6]，部分重要站点未落实双节点要求，单条光缆承载多条线路保护控制业务现象较为普遍；同时面对极端恶劣天气造成的破坏，使得信息通信安全运行压力陡增。风电、光伏等新能源快速发展，电网格局和电源结构发生重大改变，与之紧密相连的信息通信网布局和运行方式也必须同步优化与增强。

2.3 信息通信安全生产队伍配备不到位

随着信息通信运维范围越来越广，运维设备量猛增，信息通信突显运维力量不足。针对信息通信行业人才需求较高，高端人才、技术型人才、中坚骨干人才缺乏问题仍存在，基层通信运维人员老龄化严重，年龄结构不合理，信息安全人员存在兼职现象。部分企业人才培养理念缺失，未制定专业人才培训计划，人才储备明显不足。特别是基层单位信息通信运维人员配备严重不足，岗位设置不尽规范合理，人员流失较多，员工技能水平提升受到制约[7]。

2.4 网络及设备缺陷隐患较多

信息通信系统建设未按照总体架构进行研发建设，导致各系统建设质量不高，网络安全设备存在使用年限较长，老化问题尤为突出，缺乏有效运维保障手段。部分单位存在一些基础设施、电源、老旧设备等隐患，整改周期较长，需严格控制风险并做好应急预案。网络安全设备存在单点隐患，部分单位隐患排查工作不够深入，缺陷和隐患发生故障后才发现。信息通信系统、网络设备、安全设备、主机、应用服务、中间件和数据库存在弱口令、长期未改密码及默认口令、已知漏洞未修复等问题[8-10]。

2.5 信息通信风险预警管控机制不健全

部分单位未开展信息通信风险预警年度、月度评估工作。存在风险预警流程不规范，管理制度不完善。信息通信运行风险预警管控机制不健全，工作流程不规范；信息通信风险预警单反馈流程不及时，反馈内容未能包括方式调整、预案编制、现场值守、应急准备等各项工作内容。

2.6 信息通信应急工作有待加强

部分单位应急演练存在“重演轻练”现象，演练未落到实处。演练内容较为固化、评估手段不完善，总体演练效果有待提升，同时存在应急物资、应急装备缺失，不能满足应急抢险的需要，个别单位不具备应急车辆和应急通信系统。

3 信息通信本质安全管理策略

3.1 落实安全责任严格制度执行

坚决落实《中华人民共和国网络安全法》，开展网络安全法相关法规的宣贯培训，签订《网络安全承诺书》，严格执行信息通信安全事故调查规程和运行安全事件报告工作要求等规范制度，落实反违章手册，充分发挥企业安委会职能，将信息通信安全纳入企业安全责任体系，确保横到边、纵到底、全面覆盖、不留死角。企业分管安全的领导要对企业信息通信安全工作亲自组织、亲自部署、亲自督导，保证安全经费投入。涉及信息通信系统规划、设计、建设、运行、应用、管理各环节的各级领导落实分管范围的安全责任，管业务必须管安全。全体员工自觉履行岗位安全职责，强化全方位、全过程的安全管理，杜绝责任盲区。最大程度杜绝有制度不执行、有标准不落实等违章行为，着力提高员工安全生产意识，提升安全生产水平。

3.2 夯实信息通信系统安全基础

优化通信网络结构和信息系统架构，严把可研设计审查关，深化运行分析，总结提炼运行隐患和问题解决的典型措施并及时反馈至设计环节。落实信息系统非功能性需求，按照保障业务连续性及满足N-1 安全裕度要求，开展重要系统架构优化与运行加固，切实提升系统架构的容错性、可靠性和健壮性，实现故障处理从“抢修-恢复”到“隔离-保障”的转变。完善基础光缆网架，根据实际需要，业务通道按照“双设备、双路由、双电源”原则，提高通信网抵御多重故障和严重灾害的能力。严格执行信息通信系统建设及验收投运相关管理规定，落实建管、设计、施工、监理单位安全责任。严格执行安全措施与信息化项目同步规划、同步建设和同步投入运行的要求，落实信息通信工程建设标准化要求。严格施工现场安全管理，规范作业审批，加强现场监督，提升工程质量，强化技术交底，落实运维责任，优化运行方式，更新运行资料，严格工程交接验收，实现“零缺陷”投运。严格设备准入审查、招标选型、工程安装、运行维护等全过程质量控制和监督，推进公司信息通信设备国产化。建立全过程沟通协调机制，共享设备质量信息及项目质量信息，建立设备供应商黑名单制度和质量责任追溯制度，健全项目评价反馈机制与信息化厂商评价体系。严格执行系统功能性测评、非功能性测评和安全测试，加强第三方测试中信息系统与信息安全网络隔离装置的集成测试，满足实际应用需求。

3.3 加强安全生产队伍建设

构建年龄结构优、知识结构优、专业技术优、人才梯队优的人才队伍，组织学习信息通信安全事故调查规程和运行安全事件报告工作要求等规范制度，加强新版调规和事件报告学习，极大提升了员工安全风险意识、遵章作业意识、自我保护意识及安全技能水平，积极参与网络安全攻防演练，提升网络安全人员技术水平。与所有第三方人员签订了《网络安全承诺书》及《保密协议》，加强信息化建设运维人员管理。强化网络与信息安全专业队伍建设，加强网络安全红蓝队和督查人员的技能培训与选拔培养，提升技术能力和装备配备，强化网络安全装备配置，着力提升网络实战、隐患发现、事件调查等能力。强化网络攻击监测、日志审计和关联分析，提高对各类攻击威胁和安全事件的及时发现、应急处置、精准溯源的能力。扩大蓝队防护覆盖面，进一步加强红蓝队信息共享和沟通协作，形成网络安全管理、防护和支撑保障的工作合力。加强外委人员安全管理。强化外委人员准入管理，实行“黑名单”和“负面清单”管理，严格资质审查，严格培训考试，建立人员档案，建立清退机制。坚持外委人员与主业人员同标准、同要求，严格安全交底，严格现场监督。加强供应链全过程安全审查，强化服务商风险管控，确保服务商提供的产品和服务合法合规。推进安全文化宣传、培训、推广，使全体员工牢固树立“大安全”观。将信息通信安全纳入各级各类培训，培养安全行为习惯，提升员工安全素养。加强信息通信安全宣传，树立先进典型，加强班组建设，激活员工和组织活力，营造浓厚的安全生产氛围。

3.4 深化缺陷隐患排查治理

严格落实信息系统研发管理规范，统筹业务需求，适应新形势特点，遵循架构引领、需求驱动、标准指导、过程管控的原则，保证信息系统功能和性能符合业务要求。在开发过程中应同步开展代码检查和测试，建立代码审查机制、漏洞补丁机制、安全测试机制、数据安全机制，要求代码结构清晰、合理，运行高效、安全，在满足功能需求的前提下使系统安全高效、易于维护。组织编制了信息系统运行方式，严格审核项目资料，落实信息系统运维责任；开展自建信息系统运行安全评价，提升系统运行水平；严格执行安全措施与信息通信项目同步规划、同步建设和同步投入运行的要求。同时健全缺陷发现、分析、跟踪、消除快速响应机制，一旦发现缺陷，应尽快消除，防止缺陷发展为故障；建立厂商快速响应机制，保障缺陷快速、准确消除；严格执行安全隐患排查治理相关制度，加强网络安全隐患排查和问题治理工作力度，定期开展隐患排查工作，做到及早发现、消除安全隐患。建立信息化软硬件缺陷隐患档案表，预防系统性缺陷的发生；全面梳理网络安全边界，严格系统、设备、端口测评备案，优化防护策略，消除漏洞隐患；开展弱口令及已知漏洞未修复等问题的深化治理，全面扫描信息通信系统及设备，彻底消除安全隐患。

3.5 加强信息通信运行风险预警管理

强化风险“全面评估、先降后控”，严格执行“统一管理，分级负责”的预警预控原则，严格执行风险预警审批、报告与告知、现场督导制度，全面评估风险、及时发布预警，用足管控措施。合理安排检修工作，科学调整运行方式，突出督查高风险工作，确保风险可控。严格执行信息通信系统检修、运行管理规定与标准化工作规范，加强计划刚性管理，组织作业风险评估，开展安全承载力分析，严格“两票三制”执行，强化现场监督检查。加强外包工程和施工分包安全管理，落实“同进同出”要求，强化高风险施工作业现场管控。研究推广移动终端、远程视频监督等安全管控手段。贯彻落实国家网络安全战略，围绕“可管可控、精准防护、可视可信、智能防御”的安全策略，进一步提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力，实现网络与信息系统安全的可控、能控、在控。

3.6 提升信息通信应急处置能力

树立主动应急意识，坚持先期处置原则，建立健全信息通信专业与各单位各部门间信息共享、高效协作的应急协调机制，加强对企业信息通信系统突发事件监测、分析、预警及预处置工作，做到突发事件早发现、早报告、早处置，提高应急响应效率及风险预控能力。按照“平战结合、反应快速”的原则，健全应急队伍体系，组建应急处置队伍，加强应急装备配置，健全应急物资采购、仓储、紧急调拨和快速回补机制。加强应急配套设施的维护和管理，确保设备处于完好、可用状态，提高应急处置能力。完善信息通信总体预案、专项预案、现场处置方案构成的应急预案体系。建立应急演练常态机制并形成制度，滚动修订应急演练年度计划，通过演练不断验证应急预案的针对性和可操作性，提升应急队伍指挥协调能力、专业协同能力，增强应急处置能力，确保应急处置响应迅速、保障有力、专业实效。

4 结语

为做好电力企业信息通信本质安全管理，本文对电力企业信息通信本质安全存在的问题进行分析，并结合本质安全管理体系和实际工作，给出了具体的管理策略。切实提升企业信息通信专业内在的预防和抵御事故风险的能力，全面提升信息通信专业本质安全水平。确保信息通信本质安全是一项艰巨繁重的发展任务，要坚持“安全第一、预防为主、综合治理”方针，坚守发展决不能以牺牲安全为代价这条不可逾越的红线，把队伍建设作为安全工作的关键，把强化通信网络结构、健壮信息系统架构、提高系统建设和运行质量作为保障安全的物质基础，把标准统一、制度执行、隐患治理、风险管控作为安全管理的硬约束，狠抓基层、基础、基本功，深入开展安全管理提升活动，加强源头治理和过程管控，健全预防为主的安全管理体系，提高信息通信专业本质安全水平，实现安全可控、能控、在控。