县级供电公司信息安全管理创新与实践

高海鹏 黎锋 赵晓伟

国网宁夏电力有限公司灵武市供电公司 宁夏 银川 750001

引言

近年来，随着大数据、云计算、物联网及移动互联等新技术在电网和企业的推广和应用，使得信息安全工作面临着前所未有的挑战。通过打造信息安全新防线的“五四三”创新工作模式，提升信息安全意识，确保不发生信息安全事件[1]。

针对引起信息安全事件的直接原因——物的不安全状态和人的不安全行为，国网宁夏电力有限公司灵武市供电公司（以下简称灵武公司）结合实际现状深刻分析，及时掌握公司内部“物的不安全状态和人的不安全行为”，充分调动员工主观能动性，将公司员工从信息安全的不稳定因素转化为公司信息安全保障力量，弥补强制管理手段在信息安全建设工作中的不足，从人员主体上提高公司信息安全程度，积极应对互联网时代信息安全新形势、新挑战。

2 改进思路和目标

2.1 县级供电公司信息网络安全风险分析

县级供电企业处于公司网络及应用系统终端层面，外源性网络威胁相对较少，但传统的企业管理模式、较低的人员综合素质和落后的信息网络安全观念，都为企业信息网络安全带来了重大的内源性安全隐患。所谓“后院起火”，即说明内源性安全隐患是最严重的，也是最应引起重视的。

2.2 信息网络安风险成因分析

为解决县级供电企业信息网络安全管理问题，通过对风险分析采用头脑风暴法进行成因分析，剔除客观原因、次要因素，最终可以将主要原因归纳为安全意识淡薄和管理机制不完善。

2.2.1 安全意识淡薄是县级供电企业信息网络安全管理问题的主要成因之一[2]。县级供电企业员工信息网络基础相对薄弱，信息网络的唯一作用在于操作各类应用系统，完成日常工作，学习使用各类应用操作尚且需要多次培训、详细指导，对信息网络的安全防护更无暇顾及，因此，信息网络安全意识无从谈起。

当前，信息网络系统是各级电力企业生产、管理和经营各类业务系统的载体，下至一线生产员工，上至经营管理领导，无不享受着各类应用平台带来的高效、便捷，因此，各类应用平台的功能性、实用性和是否正常运行是使用者所关心的内容，而在应用平台幕后的信息网络是否安全却被完全忽视。

县级供电企业将信息通信管理部门定位为传统检修班组，管理职责和管理岗位模糊，不具备监管和执行力度。同时，对于信息网络安全领域的投入和重视程度，远远不能满足公司系统安全防范的要求，重口号而轻措施。为满足信息网终的基本安全条件，网络系统处于被动的封堵漏洞状态，在应对特殊安全任务时，采取全面封网，断绝出入口的封堵抵御模式。从管理层到终端用户，普遍存在侥幸心理，没有形成主动防范、积极应对的全民信息网络安全意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。

2.2.2 管理机制不完善，制约了信息网络安全防范的执行力度。信息网络的安全管理机制的缺陷集中体现在两个方面：一方面，信息网络管理人才匮乏，信息网络管理方案、制度和规范不完善，现有制度实施不到位。随着信息技术的快速更替和生立、管理系统的大范围推广应用，科技信息管理也应同步推进，但由于县级供电企业的人员结构和专业特点，从事信息网络系统的管理、应用人员大多来自非信息通信专业，以生产和现场操作人员为主要来源，且年龄组成偏大，新生力量断层，不具备现代化企业信息网络安全管理所需的知识、技能、资源和利益导向。另一方面，缺乏完善的管理制度和综合性较强的技术解决方案。从县级供电公司的信息网络专业机构设置，到专业管理制度的定制，均体现出对信息网络安全的重视程度过低，信息网络安全管理机制严重缺失。大多数终端用户缺乏综合性的安全管理解决方案，稍有网络安全意识的用户依赖升级防火墙、杀毒软件和加密技术，产生虚假的安全感。

2.3 县级供电公司信息网络安全目标[3]

一是在公司信息安全新防线建设过程中，管控层作为信息安全防线的建设和引导者，筹备部门信息安全培训教室和组建部门信息员队伍，由公司信息安全专职，定期组织信息员队伍开展信息安全知识培训，配合有效的激励机制，发挥信息员在信息安全中的基层管理角色。二是在信息安全管理方面，实现管理工作对公司信息系统的100%全覆盖，实现信息安全与数据安全的双重100%安全。三是在信息安全防线建设中，落实信息系统、信息网络、信息终端二级安全域的信息安全管理，实现信息安全理念的广泛推广。

3 改进思路和目标

针对4个综合指标和1个单项指标进行逐项分析（新入网设备首检健康指标主机健康运行指标、安全性评价综合指标、员工信息安全指数和IP地址活跃度），提出增强信息网络安全管理水平的技术措施和综合措施。

3.1 增强信息网络安全管理水平的技术措施

对新入网设备进行检测和加固，确保首检健康指标、主机健康运行指标和IP地址活跃度指标达到目标要求。

3.1.1 建立完善的访问控制策略，确保信息安全。访问控制的主要任务是保证信息网络资源不被非法使用和访问。访问控制是维护网络系统安全、保护网络资源的重要手段，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。其基本目标是防止对任何资源（如计算机资源、通信资源或信息资源）进行未授权的访问，从而使系统在合法范围内使用。这里未授权的访问指未经授权的使用、泄露、修改、销毁信息以及颁发指令等。它包括非法用户进入系统和合法用户对系统资源的非法使用。因此，访问控制对机密性、完整性起直接的作用。

3.1.2 建立桌面管控系统，支持终端防护。目前采用的桌面终端管理系统由国网公司统一推广，于2010年1月正式上线运行。系统上线之初，仅具备桌面终端非安全行为监控功能，运行至今，已对接程序、防病毒软件监控等进行数次版本升级。

目前的桌面管控系统，集桌面终端管理、IP过滤绑定、弱口令监视、移动存储监控及补丁监控等功能于一体。公司通过设立信息终端设备运行首检健康指标，综合考察入网信息设备的弱口令、防病毒程序、补丁安装等情况，既完成了对入网设备信息安全强度的评估，又形成了对信息安全新防线建设成果的反馈，成为整个信息安全新防线建设工作中必不可少的支持力量。

3.1.3 升级IP授权管理方式，支持IP资源长期有效管理。IP资源是信息网络重要资源之一。通过IP资源分配管理，公司可以及时了解、管控各单位的人员流动。自2013年起，国网宁夏电力有限公司已着手开发IP地址管理数据库，为了满足日渐扩大的网络规模、不断扩充的网络设备类型以及不断提高的网络安全性能的要求。2018年，公司上线了新的IP授权管理数据库。

3.2 增强信息网络安全管理水平的综合措施

主要确保安全性评价综合指标和员工信息安全指数两个指标，达到目标要求。

3.2.1 充分学习、全面贯彻国网公司、省公司、地市公司的信息网络安全相关文件、制度和标准。并根据县级供电公司的实际情况制定相关实施细则，使县级供电公司的信息网络安全管理有章可循。建立、健全信息网络安全管理机制，并强化制度执行力度，从制度执行和管理层面保障企业信息网络的安全运行。

3.2.2 组建公司信息安全管理网络，加强员工的信息安全教育培训。定期召开信息员联络会，及时传达上级有关信息安全的相关通知文件，组织各部门信息员学习《国网银川供电公司关于进一步加强网络安全管理的通知》《国网银川供电公司桌面终端用户安全使用手册》，每个季度由公司信息安全员对全公司信息员进行信息安全文件、信息安全知识、防病毒安装和保密知识宣贯，多维度普及信息安全知识，增强信息安全观念，提高全员信息安全意识[4]。多层次开展信息安全教育活动，通过公司网站、OA系统等对重要信息安全规章制度进行宣传教育，防止违规外联、弱口令等事件发生。对发生的信息安全事件严格考核。

3.2.3 全体员工与公司签订保密协议，严格执行有关信息系统和保密管理工作的相关规定。根据公司文件要求，对企业内外网进行物理隔离，切断第三方连接，物理线路清晰明确，并对内外网设备进行显著区分，粘贴风险警示标签。

3.2.4 强化信息资产和信通点位精细化管理，个人电脑作为信息终端，直接接入信息网络，是信息安全新防线中的一个重要环节。为了应对信息资产安全管理中直存在的点多面广，难以统一管理的问题，公司结合账户权限控制，展开了全公司范围内常态化的信息资产核查工作。工作将全公司信息资产分为两个部分，即存量部分和增量部分。增量部分，公司综合运用IP授权管理系统与桌面管控系统，对新入网的设备，严格要求设备编码、序列号与设备IP一一对应，实现信息安全责任到人；存量部分，公司常态化开展全面信息资产核查与账户权限核查，并对核查中发现存在安全隐患的信息设备进行登记，并即时要求整改。

4 改进效果

通过改进信息安全管理的技术措施和综合措施，有效管控新入网设备首检健康指标、主机健康运行指标、安全性评价综合指标、员工信息安全指数和IP地址活跃度。

在加强员工的信息安全教育培训和强化信通点位精细化管理方面亮点突出。通过开展季度信息安全培训，并且把该项工作纳入绩效考核，大大提升信息系统安全运行规范指数等关键指标（截至2023年7月），内网桌面终端注册率100%、内网桌面终端防毒软件安装率（%）100%、无内网弱口令，外网桌面终端注册率100%、外网桌面终端防毒软件安装率（%）100%、无外网弱口令和违规外联。通过实施信通点位精细化管理，确保了信息点的完全管控，信息设备的使用变更需进行审核批准流程，无法随意变更信息点位，从而杜绝内外网终端的互联操作，同时，有效缩短信息点定位时间，为公司对外窗口的服务提供技术支撑。通过实施该项目，平均故障定位时间从原先的24.76骤降至5.18min，每年合计节约成本16.88万元，大大提升公司的信息安全经济效益和社会效益。

5 结束语

通过在县级供电企业采取增强信息网络安全管理水平的技术措施和综合措施，将从根源上降低基层单位在制度标准、主观观念、客观网络环境等方面存在的安全风险，打破县级供电企业长期固化的传统管理理念和惯性思维，注入现代企业的新型管理理念，从电力企业末端建立并完善的信息化安全管理机制。