如何強(qiáng)化信息安全體系建設(shè)
北京市電力公司(總工程師)王少毅 4月15日,中央國(guó)家安全委員會(huì)第一次會(huì)議中強(qiáng)調(diào)既重視傳統(tǒng)安全,又重視非傳統(tǒng)安全,構(gòu)建包括信息安全在內(nèi)的十一個(gè)領(lǐng)域于一體的國(guó)家安全體系。北京市電力公司作為國(guó)家電網(wǎng)公
北京市電力公司(總工程師)王少毅
4月15日,中央國(guó)家安全委員會(huì)第一次會(huì)議中強(qiáng)調(diào)既重視傳統(tǒng)安全,又重視非傳統(tǒng)安全,構(gòu)建包括信息安全在內(nèi)的十一個(gè)領(lǐng)域于一體的國(guó)家安全體系。北京市電力公司作為國(guó)家電網(wǎng)公司服務(wù)首都社會(huì)經(jīng)濟(jì)發(fā)展的窗口,是關(guān)系首都能源安全和經(jīng)濟(jì)命脈的國(guó)有重要骨干企業(yè),負(fù)責(zé)北京地區(qū)1.64萬平方公里范圍內(nèi)的電網(wǎng)規(guī)劃建設(shè)、運(yùn)行管理、電力銷售和717萬客戶的供電服務(wù)工作。
隨著信息化建設(shè)的逐步深入,公司部署的各類信息系統(tǒng)覆蓋多個(gè)管理領(lǐng)域和業(yè)務(wù)環(huán)節(jié),承載了生產(chǎn)、經(jīng)營(yíng)的大量業(yè)務(wù)。近年來的監(jiān)測(cè)分析表明,作為社會(huì)能源基礎(chǔ)產(chǎn)業(yè)的電網(wǎng)控制、電力企業(yè)業(yè)務(wù)應(yīng)用、對(duì)外網(wǎng)站等系統(tǒng)已成為境內(nèi)外各類黑客組織重點(diǎn)攻擊目標(biāo)。
長(zhǎng)期以來,北京市電力公司堅(jiān)持信息安全工作的“三個(gè)納入”,既:將等級(jí)保護(hù)納入信息安全工作、將信息安全納入信息化工作、將信息安全納入電力安全生產(chǎn)管理體系。在電力生產(chǎn)控制大區(qū)嚴(yán)格遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的安全防護(hù)原則,在管理信息大區(qū)嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動(dòng)態(tài)感知、精益管理、全面防護(hù)”的主動(dòng)防護(hù)策略,建立了完整的網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)技術(shù)體系和管理體系。以嚴(yán)格落實(shí)國(guó)家信息安全等級(jí)保護(hù)為抓手,不斷深化信息安全技術(shù)應(yīng)用和基礎(chǔ)建設(shè),大幅提升了信息安全管控能力。著重從信息安全組織、標(biāo)準(zhǔn)、防御、督查、人才隊(duì)伍、全員教育、考核評(píng)價(jià)七個(gè)方面加強(qiáng)信息安全體系建設(shè),取得了一定效果。
北京市電力公司成立兩級(jí)信息安全領(lǐng)導(dǎo)小組。在組織機(jī)構(gòu)發(fā)生調(diào)整時(shí),同步調(diào)整信息安全領(lǐng)導(dǎo)機(jī)構(gòu),確保信息安全工作的領(lǐng)導(dǎo)有力、責(zé)任落實(shí)。
同時(shí)成立國(guó)網(wǎng)北京信通公司,作為北京市電力公司網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行維護(hù)單位,按專業(yè)設(shè)置科室班組,確保信息安全工作有序開展。成立公司“信息通信調(diào)度監(jiān)控中心”,負(fù)責(zé)全天24小時(shí)監(jiān)控網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行情況和信息安全態(tài)勢(shì),實(shí)現(xiàn)指揮協(xié)調(diào)、資源調(diào)配、應(yīng)急處理、安全管理、分析預(yù)測(cè)和全景透視的全口徑管控,及時(shí)處置信息安全突發(fā)事件。
明確所屬各單位的信息化管理歸口部門,獨(dú)立設(shè)置信息通信運(yùn)維班組,并在所屬單位的各部室及營(yíng)業(yè)網(wǎng)點(diǎn)、分支辦公地點(diǎn)設(shè)置信息安全網(wǎng)員800余名,形成了橫向到邊、縱向到底的信息安全管控體系。四是形成一支涵蓋企業(yè)架構(gòu)、信息技術(shù)、信息安全與系統(tǒng)運(yùn)行等專業(yè)組成的信息化專家團(tuán)隊(duì),并采取掛職培養(yǎng)、交流輪崗等常態(tài)化方式培養(yǎng)、選拔專業(yè)人才。
為實(shí)現(xiàn)信息安全工作閉環(huán)管理,北京市電力公司構(gòu)建了科學(xué)的標(biāo)準(zhǔn)體系并修訂完善制度。通過總結(jié)提煉、集中修訂,印發(fā)了《信息系統(tǒng)調(diào)度運(yùn)行管理辦法》等26項(xiàng)制度,制定了網(wǎng)絡(luò)典型設(shè)計(jì)、數(shù)據(jù)中心管理規(guī)范等一系列技術(shù)標(biāo)準(zhǔn)。
編制工作流程。制定信息通信檢修管理、缺陷管理、方式管理、安全管理等22個(gè)工作流程,注重對(duì)審批、發(fā)布等環(huán)節(jié)的管控。同時(shí)推行標(biāo)準(zhǔn)化作業(yè)書。編制企業(yè)門戶、營(yíng)銷系統(tǒng)等各類標(biāo)準(zhǔn)化作業(yè)書16套。對(duì)運(yùn)行維護(hù)中的每一個(gè)操作環(huán)節(jié)、注意事項(xiàng)、突發(fā)事件處置流程均作了文圖說明,配以信息報(bào)送和操作流程表格,確保業(yè)務(wù)人員按章操作。
實(shí)現(xiàn)信息安全工作可控能控在控需要構(gòu)建完備的防御體系,扎實(shí)的開展信息系統(tǒng)等級(jí)保護(hù)建設(shè)。嚴(yán)格開展信息系統(tǒng)備案和等級(jí)保護(hù)測(cè)評(píng)工作。認(rèn)真接受北京市公安局等上級(jí)單位對(duì)網(wǎng)絡(luò)與信息安全的專項(xiàng)檢查,對(duì)照檢查組專家提出的意見建議,積極開展整改提高工作。
同時(shí)加強(qiáng)隱患排查治理。將信息安全隱患排查治理納入年度安全生產(chǎn)常態(tài)工作。按照基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、主機(jī)設(shè)備、應(yīng)用系統(tǒng)等專業(yè)執(zhí)行73個(gè)排查項(xiàng)目,并進(jìn)行月度排查和閉環(huán)管控。定期邀請(qǐng)國(guó)家級(jí)測(cè)評(píng)機(jī)構(gòu)開展信息安全風(fēng)險(xiǎn)評(píng)估。對(duì)財(cái)務(wù)資金、外網(wǎng)網(wǎng)站等系統(tǒng)開展設(shè)備配置核查、漏洞掃描、滲透測(cè)試、特種木馬檢測(cè)等工作,對(duì)整改加固成果進(jìn)行驗(yàn)證。
建設(shè)主動(dòng)防御安全防護(hù)技術(shù)體系。開展信息系統(tǒng)安全域建設(shè),采用防火墻、入侵檢測(cè)系統(tǒng),進(jìn)行安全域劃分和區(qū)域隔離。對(duì)公司本部、各二級(jí)單位、分支機(jī)構(gòu)間實(shí)現(xiàn)縱向邊界訪問控制,部署安全審計(jì)系統(tǒng),全面增強(qiáng)安全預(yù)警應(yīng)急處理能力。統(tǒng)一歸集互聯(lián)網(wǎng)出口,實(shí)現(xiàn)公司本部及所屬各單位均通過統(tǒng)一出口訪問互聯(lián)網(wǎng),并通過部署訪問控制設(shè)備和入侵檢測(cè)、防篡改等設(shè)備實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)出口的安全防護(hù),使訪問控制粒度達(dá)到端口級(jí)。定期進(jìn)行漏洞掃描檢查,對(duì)存在漏洞和隱患的主機(jī)及時(shí)進(jìn)行安全整改和加固。
加強(qiáng)信息系統(tǒng)全生命周期管理。采取技術(shù)措施保證開發(fā)測(cè)試環(huán)境與實(shí)際運(yùn)行環(huán)境物理分離,并限定開發(fā)人員的活動(dòng)范圍和行為。針對(duì)開發(fā)人員的遠(yuǎn)程訪問實(shí)行書面審批、訪問控制、在線監(jiān)測(cè)、日志審計(jì)等管控措施。在系統(tǒng)設(shè)計(jì)階段,嚴(yán)格制定并審核安全方案,在系統(tǒng)上線前必須經(jīng)過安全測(cè)評(píng)審批,上線后定期進(jìn)行等級(jí)保護(hù)測(cè)評(píng)和整改提升,在系統(tǒng)下線前進(jìn)行風(fēng)險(xiǎn)評(píng)估,對(duì)數(shù)據(jù)安全進(jìn)行妥善處理,確保不發(fā)生失泄密及對(duì)其它系統(tǒng)造成影響。
加強(qiáng)應(yīng)急演練,提高響應(yīng)能力。編制涵蓋各應(yīng)用信息系統(tǒng)、網(wǎng)絡(luò)核心設(shè)備、基礎(chǔ)設(shè)施的現(xiàn)場(chǎng)處置方案57個(gè)。針對(duì)重大政治活動(dòng)、重點(diǎn)時(shí)段保障開展聯(lián)合應(yīng)急演練。2013年,在北京市公安局的領(lǐng)導(dǎo)下,開展了針對(duì)外網(wǎng)網(wǎng)站遭受攻擊、營(yíng)銷系統(tǒng)中斷的信息網(wǎng)絡(luò)與信息系統(tǒng)聯(lián)合應(yīng)急演習(xí)。通過演練不斷檢驗(yàn)、修訂處置方案,提升應(yīng)急隊(duì)伍處置水平。
加強(qiáng)重要政治供電保障的信息安全。將重大政治供電保障全過程劃定為“方案制定、排查評(píng)估、整改提高、演練沖刺、保障實(shí)戰(zhàn)”五個(gè)階段,并將信息安全工作貫穿始終,實(shí)現(xiàn)信息安全保障工作流程化、標(biāo)準(zhǔn)化。在黨的十八大等歷次重要保障任務(wù)期間,組織開展隱患排查治理,對(duì)機(jī)房基礎(chǔ)設(shè)施、重要系統(tǒng)進(jìn)行安全加固,組織信息安全技術(shù)督查隊(duì)伍赴重要站點(diǎn)開展現(xiàn)場(chǎng)督查,執(zhí)行7*24小時(shí)運(yùn)行保障制度,有效監(jiān)測(cè)、發(fā)現(xiàn)并攔截阻斷了來自境內(nèi)外的各種惡意攻擊和破壞行為。
為實(shí)現(xiàn)信息安全工作動(dòng)態(tài)提升,北京市電力公司在北京電科院成立信息安全技術(shù)督查室。設(shè)置專人負(fù)責(zé)信息安全技術(shù)督查工作,每年開展2次對(duì)公司各二級(jí)單位的現(xiàn)場(chǎng)督查工作。實(shí)時(shí)開展內(nèi)外網(wǎng)弱口令、防病毒軟件、桌面終端管控軟件、敏感信息泄露等方面的常態(tài)督查。針對(duì)重要保障活動(dòng)、信息設(shè)備規(guī)范管理等開展多項(xiàng)信息安全專項(xiàng)督查。四是從信息化標(biāo)準(zhǔn)制修訂與應(yīng)用、系統(tǒng)架構(gòu)遵從情況等方面開展信息化標(biāo)準(zhǔn)督查工作。
適應(yīng)公司改革發(fā)展要求,加大信息安全人才培養(yǎng)力度。每季度舉辦一次信息安全專題學(xué)習(xí)班,每年組織信息安全督查、信息安全運(yùn)維等專業(yè)的脫產(chǎn)學(xué)習(xí)班,開展一次信息系統(tǒng)反事故措施普考。加大輪崗力度,實(shí)現(xiàn)公司專業(yè)人員在信息調(diào)控、運(yùn)維、安全、檢修、客服等專業(yè)上輪崗。加強(qiáng)獎(jiǎng)懲力度,形成競(jìng)爭(zhēng)機(jī)制。對(duì)在國(guó)家及北京市級(jí)信息專業(yè)類考試取得證書及比賽成績(jī)突出的員工,給予業(yè)績(jī)考核和同業(yè)對(duì)標(biāo)獎(jiǎng)勵(lì),增加晉升機(jī)會(huì)。
北京市電力公司組建信息安全紅藍(lán)隊(duì)。以北京電科院督查人員和各單位技術(shù)骨干為主體組建信息安全紅隊(duì),開展對(duì)公司內(nèi)部網(wǎng)站和業(yè)務(wù)系統(tǒng)的漏洞挖掘及攻防滲透。以信通公司運(yùn)維人員為主體組建信息藍(lán)隊(duì),重點(diǎn)開展信息系統(tǒng)建轉(zhuǎn)運(yùn)管控、邊界接入、安全審計(jì)、巡檢評(píng)估等多維度安全防護(hù)。同時(shí),定期組織信息安全紅隊(duì)、藍(lán)隊(duì)開展攻防演練,驗(yàn)證信息安全管理措施和技術(shù)措施的成效,全面提升公司信息安全治理水平和管理能力。
為實(shí)現(xiàn)信息安全良好氛圍,搭建信息安全教育網(wǎng)絡(luò)。通過建立信息安全專題網(wǎng)頁,編播信息安全視頻教育宣傳片,開辦信息安全意見征集信箱,為每一名員工獲取信息安全知識(shí)提供平臺(tái)。組織全員簽訂信息安全責(zé)任(承諾)書、開展信息安全知識(shí)競(jìng)賽、通過調(diào)控中心定期下發(fā)信息安全提示短信,形成覆蓋全公司的信息安全教育網(wǎng)絡(luò)。
加強(qiáng)警示教育,增強(qiáng)教育針對(duì)性。開辟信息安全違章曝光臺(tái)、印發(fā)信息安全通報(bào)、公示信息安全違規(guī)事件考核結(jié)果,將各類違規(guī)事件的嚴(yán)重性、危害性宣貫到每一位員工,增強(qiáng)員工的信息安全責(zé)任意識(shí)。
實(shí)現(xiàn)量化考核評(píng)價(jià),強(qiáng)化信息安全的考核工作機(jī)制。按年度印發(fā)《信息化工作年度考核細(xì)則》,對(duì)所屬信息化專業(yè)公司和其他二級(jí)單位采取兩套不同的管理細(xì)則,確保績(jī)效考核的針對(duì)性和可執(zhí)行性。同時(shí)強(qiáng)化信息安全評(píng)價(jià)通報(bào)機(jī)制。運(yùn)用同業(yè)對(duì)標(biāo)對(duì)各單位進(jìn)行量化考核。印發(fā)《信息安全與運(yùn)行工作月度通報(bào)》,促進(jìn)所屬各單位及時(shí)查找不足,制定落實(shí)整改措施。
責(zé)任編輯:葉雨田
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》