为确保省级电网公司电力安全生产和稳定运营,省级电网公司应形成完善的信息安全技术监督体系。本文提出了一套完整的信息安全技术监督体系的解决方案,具体包括组织架构的设计,工作组织形式,主要技术手段,人力资源资格审核和培训,以及制度体系。江苏省电力公司的运转经验表明,这套体系经受住了企业繁重的改革、发展任务的考验,有效保障了电网公司的信息安全。
1.引言
省级电网公司信息安全防护工作事关电力安全生产和电网公司稳定运营,意义重大[1]。由于大多数业务应用已经省级集中,常规信息安全技术监督工作多被认为是省级公司层面的问题。省级单位监督力量不足,久而久之,信息安全监督工作流于形式,检查前重视、检查后忽视,信息安全地区差异大,网络末端安全防护不足。究其根源在于:(1)信息安全技术监督未成体系,监督力量多依靠公司级监督队伍,市、县公司专(兼)职信息安全员未被赋予督查的权力,导致基层单位日常督查的力度和效果不够,各项技术措施落实情况管控不足。(2)基层单位地区经济水平、单位领导信息安全重视程度、信息从业人员技术水平存在差异,造成信息安全意识宣贯和管理手段不同,且各单位缺乏安全技术交流。
为此,本文结合作者单位实际,提出一种电力企业信息安全技术监督体系,从组织架构、工作组织形式、主要技术手段、人力资源资格审核与培养以及制度规范等5个方面具体分析工作机制,并总结其实际工作成效。
2.电力企业信息安全技术监督体系的设计
2.1 组织架构
信息安全技术监督不仅仅是公司层面的问题,为充分发挥信息安全监督体系的整体作用,促进信息安全管理水平的不断提升,电力企业应建立贯穿所属各单位的信息安全监督网络,健全完善信息安全技术督查工作体系,如图1所示。
2.1.1 省公司级信息安全监督网络
由省级单位信息管理部门、省级信息技术研究单位信息安全分管领导和专职组成。主要负责贯彻落实上级单位有关信息通信系统安全的方针政策、规范和标准;组织公司信息通信安全技术督查工作,督促有关单位及时有效整改,建立常态信息通信安全技术督查机制;根据公司实际情况,组织制定公司信息通信安全技术督查工作实施细则、考核细则;健全公司信息通信安全技术督查执行队伍,定期组织督查执行人员的培训和考核,负责督查资质证书的认定工作。
2.1.2 市公司级信息安全监督网络
由市级单位信息管理部门信息安全分管领导和信息安全专职组成,主要负责依据信息安全技术督查有关政策、法规、标准、规程、制度,执行公司级信息安全督查执行队伍安排的信息安全技术督查和跨单位互查工作;开展本单位运维范围内的日常督查,将运行维护阶段的督查内容融入日常安全工作中,对督查要求执行情况进行检查,及时发现问题并提出处理意见和技术措施建议;参与本单位信息通信系统重大技术措施与技术改造方案的制订,督查、促进和检查本单位范围内的技术标准、反事故措施、改造方案的贯彻和执行。
2.1.3 县级信息安全监督网络
由县级单位信息管理部门信息安全分管领导和专(兼)职信息安全员组成,主要负责开展本单位日常督查,将运行维护阶段的督查内容融入各自单位的日常安全工作中,对本单位运行维护阶段的督查要求执行情况进行检查,及时发现问题并提出处理意见和技术措施建议。
2.2 工作组织形式
监督工作应包括年度督查、日常督查、专项督查三种类型,以远程检查、区域互查、现场抽查等多种形式加强监督工作,监测分析当前信息通信安全形势,及时发现和消除安全隐患。
2.2.1 年度督查
公司级信息安全监督网应根据全年信息化和通信工作情况,按照横向到边、纵向到底的原则,每年至少实施两次由公司级和市级督查执行队伍联合开展的年度督查工作,以区域互查的方式,全方位的查找信息系统安全隐患,督促隐患整改。
2.2.2 日常督查
市级和县级督查执行队伍应在日常工作中履行信息安全管理员的职责,每月对本单位的信息内外网网络与信息系统、桌面终端、存储介质等进行全方位督查。
2.2.3 专项督查
根据具体信息项目或信息安全工作需求,由省公司级督查执行队伍对信息系统的规划、设计、实施、运行维护、废弃等过程,安全评估、等级测评等信息安全技术服务开展专项督查。
2.3 主要技术要求
2.3.1 风险评估及漏洞扫描
通过定期开展的信息安全风险评估及漏洞扫描,对现有的网络结构、核心路由器、交换机等网络及设备、数据库服务器、邮件服务器、应用服务器等关键服务器,业务流程、安全策略的安全漏洞,安全威胁及潜在影响进行分析,并提出合理的安全建议和解决方案;对全网网络设备、服务器、桌面终端进行漏洞扫描,及时发现各种安全漏洞,并根据危害程度以保证系统资产的机密性、完整性和可用性的基本安全属性[2]。
2.3.2 应用系统安全测评
每年各单位都有新应用系统上线运行,由于系统开发人员信息安全意识不足,存在不少安全漏洞。按照信息安全技术监督工作要求,在系统上线前由信息安全技术监督人员参与信息系统技术措施与技术改造方案的制订,审核信息安全技术与工作内容。在系统投运前开展系统稳定性、安全性测试。通过上线前安全测评及时发现并排除应用系统存在的安全隐患。
2.3.3 安全监控及远程检查
利用信息外网安全监测系统、信息运维综合监管系统、信息安全综合工作平台等各类安全技术手段,对各单位互联网出口、桌面终端、移动存储介质、弱口令等开展安全监控;利用互联网出口部署的入侵监测设备和上网行为管理系统,对互联网攻击情况和上网行为进行内容审计和处理。
2.4 人力资源资格与培养
2.4.1 持证上岗
各级督查执行人员需持证上岗,经公司统一组织的安全督查培训和考核后,分级别发放《信息安全技术督查证》。公司级督查执行人员还应通过注册信息安全专业人员(CISP)培训及认证。
2.4.2 技术培训
邀请系统内、外信息安全领域专家,定期开展信息安全技术培训和讲座,宣贯国家和公司信息安全形势和要求,学习当前最新信息安全技术和装备,分析典型信息安全风险隐患案例。
2.5 制度规范
制度规范是信息安全监督工作执行的依据,根据国网公司制定并下发的信息安全政策标准和管理规定,公司编制和发布实施细则和《信息安全督查作业指南》,对日常督查工作中各个流程的工作要求、工作模板进行描述。
3.工作成效
公司信息安全督查体系建立完善期间正值“三集五大”建设的关键时期,各单位业务切换、人员调动频繁,管理难度大为增加,如果没有很好的监督体系,各项管理制度和技术措施的落实,特别是管理末端桌面终端的安全漏洞就会暴露出来。经过短短几个月监督工作的开展,各单位信息安全工作井然有序,没有发生一起因信息安全引发的信息系统运行事故。
(1)通过各种形式督查工作的开展,对检查暴露的安全隐患积极整改,有效消缺,保障了公司发展、运营和改革工作;通过对新上线系统的应用系统安全测评,有力支撑了改革期间大量应用的开发和运行工作。(2)通过持证上岗和各种培训工作,培养了一支信息安全人才队伍。目前所有公司级督查人员全部通过了CISP认证,市、县级专职督查人员逐步实现持证上岗,提高了公司各单位信息安全从业人员的技术素质。(3)通过区域间安全互查,加强了各单位信息安全经验交流,对消除地区差异,以弱带强,提升公司整体信息安全防护能力具备积极意义。
4.结论
通过信息安全技术监督体系的建立和实现,实现了贯穿公司各单位的信息安全督查网络,各地区信息安全从业人员技术水平平衡发展,监督和保障信息安全技术措施和管理要求有效落实,推进了公司整体信息安全管理水平。
作者简介:孙琦(1980—),女,江苏徐州人,工程师,从事电力信息化工作。