北京市電力公司(總工程師)王少毅

 

　　4月15日，中央國(guó)家安全委員會(huì)第一次會(huì)議中強(qiáng)調(diào)既重視傳統(tǒng)安全，又重視非傳統(tǒng)安全，構(gòu)建包括信息安全在內(nèi)的十一個(gè)領(lǐng)域于一體的國(guó)家安全體系。北京市電力公司作為國(guó)家電網(wǎng)公司服務(wù)首都社會(huì)經(jīng)濟(jì)發(fā)展的窗口，是關(guān)系首都能源安全和經(jīng)濟(jì)命脈的國(guó)有重要骨干企業(yè)，負(fù)責(zé)北京地區(qū)1.64萬平方公里范圍內(nèi)的電網(wǎng)規(guī)劃建設(shè)、運(yùn)行管理、電力銷售和717萬客戶的供電服務(wù)工作。

 

　　隨著信息化建設(shè)的逐步深入，公司部署的各類信息系統(tǒng)覆蓋多個(gè)管理領(lǐng)域和業(yè)務(wù)環(huán)節(jié)，承載了生產(chǎn)、經(jīng)營(yíng)的大量業(yè)務(wù)。近年來的監(jiān)測(cè)分析表明，作為社會(huì)能源基礎(chǔ)產(chǎn)業(yè)的電網(wǎng)控制、電力企業(yè)業(yè)務(wù)應(yīng)用、對(duì)外網(wǎng)站等系統(tǒng)已成為境內(nèi)外各類黑客組織重點(diǎn)攻擊目標(biāo)。

 

　　長(zhǎng)期以來，北京市電力公司堅(jiān)持信息安全工作的“三個(gè)納入”，既：將等級(jí)保護(hù)納入信息安全工作、將信息安全納入信息化工作、將信息安全納入電力安全生產(chǎn)管理體系。在電力生產(chǎn)控制大區(qū)嚴(yán)格遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的安全防護(hù)原則，在管理信息大區(qū)嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動(dòng)態(tài)感知、精益管理、全面防護(hù)”的主動(dòng)防護(hù)策略，建立了完整的網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)技術(shù)體系和管理體系。以嚴(yán)格落實(shí)國(guó)家信息安全等級(jí)保護(hù)為抓手，不斷深化信息安全技術(shù)應(yīng)用和基礎(chǔ)建設(shè)，大幅提升了信息安全管控能力。著重從信息安全組織、標(biāo)準(zhǔn)、防御、督查、人才隊(duì)伍、全員教育、考核評(píng)價(jià)七個(gè)方面加強(qiáng)信息安全體系建設(shè)，取得了一定效果。

 

　　北京市電力公司成立兩級(jí)信息安全領(lǐng)導(dǎo)小組。在組織機(jī)構(gòu)發(fā)生調(diào)整時(shí)，同步調(diào)整信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，確保信息安全工作的領(lǐng)導(dǎo)有力、責(zé)任落實(shí)。

 

　　同時(shí)成立國(guó)網(wǎng)北京信通公司，作為北京市電力公司網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行維護(hù)單位，按專業(yè)設(shè)置科室班組，確保信息安全工作有序開展。成立公司“信息通信調(diào)度監(jiān)控中心”，負(fù)責(zé)全天24小時(shí)監(jiān)控網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行情況和信息安全態(tài)勢(shì)，實(shí)現(xiàn)指揮協(xié)調(diào)、資源調(diào)配、應(yīng)急處理、安全管理、分析預(yù)測(cè)和全景透視的全口徑管控，及時(shí)處置信息安全突發(fā)事件。

 

　　明確所屬各單位的信息化管理歸口部門，獨(dú)立設(shè)置信息通信運(yùn)維班組，并在所屬單位的各部室及營(yíng)業(yè)網(wǎng)點(diǎn)、分支辦公地點(diǎn)設(shè)置信息安全網(wǎng)員800余名，形成了橫向到邊、縱向到底的信息安全管控體系。四是形成一支涵蓋企業(yè)架構(gòu)、信息技術(shù)、信息安全與系統(tǒng)運(yùn)行等專業(yè)組成的信息化專家團(tuán)隊(duì)，并采取掛職培養(yǎng)、交流輪崗等常態(tài)化方式培養(yǎng)、選拔專業(yè)人才。

 

　　為實(shí)現(xiàn)信息安全工作閉環(huán)管理，北京市電力公司構(gòu)建了科學(xué)的標(biāo)準(zhǔn)體系并修訂完善制度。通過總結(jié)提煉、集中修訂，印發(fā)了《信息系統(tǒng)調(diào)度運(yùn)行管理辦法》等26項(xiàng)制度，制定了網(wǎng)絡(luò)典型設(shè)計(jì)、數(shù)據(jù)中心管理規(guī)范等一系列技術(shù)標(biāo)準(zhǔn)。

 

　　編制工作流程。制定信息通信檢修管理、缺陷管理、方式管理、安全管理等22個(gè)工作流程，注重對(duì)審批、發(fā)布等環(huán)節(jié)的管控。同時(shí)推行標(biāo)準(zhǔn)化作業(yè)書。編制企業(yè)門戶、營(yíng)銷系統(tǒng)等各類標(biāo)準(zhǔn)化作業(yè)書16套。對(duì)運(yùn)行維護(hù)中的每一個(gè)操作環(huán)節(jié)、注意事項(xiàng)、突發(fā)事件處置流程均作了文圖說明，配以信息報(bào)送和操作流程表格，確保業(yè)務(wù)人員按章操作。

 

　　實(shí)現(xiàn)信息安全工作可控能控在控需要構(gòu)建完備的防御體系，扎實(shí)的開展信息系統(tǒng)等級(jí)保護(hù)建設(shè)。嚴(yán)格開展信息系統(tǒng)備案和等級(jí)保護(hù)測(cè)評(píng)工作。認(rèn)真接受北京市公安局等上級(jí)單位對(duì)網(wǎng)絡(luò)與信息安全的專項(xiàng)檢查，對(duì)照檢查組專家提出的意見建議，積極開展整改提高工作。

 

　　同時(shí)加強(qiáng)隱患排查治理。將信息安全隱患排查治理納入年度安全生產(chǎn)常態(tài)工作。按照基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、主機(jī)設(shè)備、應(yīng)用系統(tǒng)等專業(yè)執(zhí)行73個(gè)排查項(xiàng)目，并進(jìn)行月度排查和閉環(huán)管控。定期邀請(qǐng)國(guó)家級(jí)測(cè)評(píng)機(jī)構(gòu)開展信息安全風(fēng)險(xiǎn)評(píng)估。對(duì)財(cái)務(wù)資金、外網(wǎng)網(wǎng)站等系統(tǒng)開展設(shè)備配置核查、漏洞掃描、滲透測(cè)試、特種木馬檢測(cè)等工作，對(duì)整改加固成果進(jìn)行驗(yàn)證。

 

　　建設(shè)主動(dòng)防御安全防護(hù)技術(shù)體系。開展信息系統(tǒng)安全域建設(shè)，采用防火墻、入侵檢測(cè)系統(tǒng)，進(jìn)行安全域劃分和區(qū)域隔離。對(duì)公司本部、各二級(jí)單位、分支機(jī)構(gòu)間實(shí)現(xiàn)縱向邊界訪問控制，部署安全審計(jì)系統(tǒng)，全面增強(qiáng)安全預(yù)警應(yīng)急處理能力。統(tǒng)一歸集互聯(lián)網(wǎng)出口，實(shí)現(xiàn)公司本部及所屬各單位均通過統(tǒng)一出口訪問互聯(lián)網(wǎng)，并通過部署訪問控制設(shè)備和入侵檢測(cè)、防篡改等設(shè)備實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)出口的安全防護(hù)，使訪問控制粒度達(dá)到端口級(jí)。定期進(jìn)行漏洞掃描檢查，對(duì)存在漏洞和隱患的主機(jī)及時(shí)進(jìn)行安全整改和加固。

 

　　加強(qiáng)信息系統(tǒng)全生命周期管理。采取技術(shù)措施保證開發(fā)測(cè)試環(huán)境與實(shí)際運(yùn)行環(huán)境物理分離，并限定開發(fā)人員的活動(dòng)范圍和行為。針對(duì)開發(fā)人員的遠(yuǎn)程訪問實(shí)行書面審批、訪問控制、在線監(jiān)測(cè)、日志審計(jì)等管控措施。在系統(tǒng)設(shè)計(jì)階段，嚴(yán)格制定并審核安全方案，在系統(tǒng)上線前必須經(jīng)過安全測(cè)評(píng)審批，上線后定期進(jìn)行等級(jí)保護(hù)測(cè)評(píng)和整改提升，在系統(tǒng)下線前進(jìn)行風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)安全進(jìn)行妥善處理，確保不發(fā)生失泄密及對(duì)其它系統(tǒng)造成影響。

 

　　加強(qiáng)應(yīng)急演練，提高響應(yīng)能力。編制涵蓋各應(yīng)用信息系統(tǒng)、網(wǎng)絡(luò)核心設(shè)備、基礎(chǔ)設(shè)施的現(xiàn)場(chǎng)處置方案57個(gè)。針對(duì)重大政治活動(dòng)、重點(diǎn)時(shí)段保障開展聯(lián)合應(yīng)急演練。2013年，在北京市公安局的領(lǐng)導(dǎo)下，開展了針對(duì)外網(wǎng)網(wǎng)站遭受攻擊、營(yíng)銷系統(tǒng)中斷的信息網(wǎng)絡(luò)與信息系統(tǒng)聯(lián)合應(yīng)急演習(xí)。通過演練不斷檢驗(yàn)、修訂處置方案，提升應(yīng)急隊(duì)伍處置水平。

 

　　加強(qiáng)重要政治供電保障的信息安全。將重大政治供電保障全過程劃定為“方案制定、排查評(píng)估、整改提高、演練沖刺、保障實(shí)戰(zhàn)”五個(gè)階段，并將信息安全工作貫穿始終，實(shí)現(xiàn)信息安全保障工作流程化、標(biāo)準(zhǔn)化。在黨的十八大等歷次重要保障任務(wù)期間，組織開展隱患排查治理，對(duì)機(jī)房基礎(chǔ)設(shè)施、重要系統(tǒng)進(jìn)行安全加固，組織信息安全技術(shù)督查隊(duì)伍赴重要站點(diǎn)開展現(xiàn)場(chǎng)督查，執(zhí)行7*24小時(shí)運(yùn)行保障制度，有效監(jiān)測(cè)、發(fā)現(xiàn)并攔截阻斷了來自境內(nèi)外的各種惡意攻擊和破壞行為。

 

　　為實(shí)現(xiàn)信息安全工作動(dòng)態(tài)提升，北京市電力公司在北京電科院成立信息安全技術(shù)督查室。設(shè)置專人負(fù)責(zé)信息安全技術(shù)督查工作，每年開展2次對(duì)公司各二級(jí)單位的現(xiàn)場(chǎng)督查工作。實(shí)時(shí)開展內(nèi)外網(wǎng)弱口令、防病毒軟件、桌面終端管控軟件、敏感信息泄露等方面的常態(tài)督查。針對(duì)重要保障活動(dòng)、信息設(shè)備規(guī)范管理等開展多項(xiàng)信息安全專項(xiàng)督查。四是從信息化標(biāo)準(zhǔn)制修訂與應(yīng)用、系統(tǒng)架構(gòu)遵從情況等方面開展信息化標(biāo)準(zhǔn)督查工作。

 

　　適應(yīng)公司改革發(fā)展要求，加大信息安全人才培養(yǎng)力度。每季度舉辦一次信息安全專題學(xué)習(xí)班，每年組織信息安全督查、信息安全運(yùn)維等專業(yè)的脫產(chǎn)學(xué)習(xí)班，開展一次信息系統(tǒng)反事故措施普考。加大輪崗力度，實(shí)現(xiàn)公司專業(yè)人員在信息調(diào)控、運(yùn)維、安全、檢修、客服等專業(yè)上輪崗。加強(qiáng)獎(jiǎng)懲力度，形成競(jìng)爭(zhēng)機(jī)制。對(duì)在國(guó)家及北京市級(jí)信息專業(yè)類考試取得證書及比賽成績(jī)突出的員工，給予業(yè)績(jī)考核和同業(yè)對(duì)標(biāo)獎(jiǎng)勵(lì)，增加晉升機(jī)會(huì)。

 

　　北京市電力公司組建信息安全紅藍(lán)隊(duì)。以北京電科院督查人員和各單位技術(shù)骨干為主體組建信息安全紅隊(duì)，開展對(duì)公司內(nèi)部網(wǎng)站和業(yè)務(wù)系統(tǒng)的漏洞挖掘及攻防滲透。以信通公司運(yùn)維人員為主體組建信息藍(lán)隊(duì)，重點(diǎn)開展信息系統(tǒng)建轉(zhuǎn)運(yùn)管控、邊界接入、安全審計(jì)、巡檢評(píng)估等多維度安全防護(hù)。同時(shí)，定期組織信息安全紅隊(duì)、藍(lán)隊(duì)開展攻防演練，驗(yàn)證信息安全管理措施和技術(shù)措施的成效，全面提升公司信息安全治理水平和管理能力。

 

　　為實(shí)現(xiàn)信息安全良好氛圍，搭建信息安全教育網(wǎng)絡(luò)。通過建立信息安全專題網(wǎng)頁，編播信息安全視頻教育宣傳片，開辦信息安全意見征集信箱，為每一名員工獲取信息安全知識(shí)提供平臺(tái)。組織全員簽訂信息安全責(zé)任(承諾)書、開展信息安全知識(shí)競(jìng)賽、通過調(diào)控中心定期下發(fā)信息安全提示短信，形成覆蓋全公司的信息安全教育網(wǎng)絡(luò)。

 

　　加強(qiáng)警示教育，增強(qiáng)教育針對(duì)性。開辟信息安全違章曝光臺(tái)、印發(fā)信息安全通報(bào)、公示信息安全違規(guī)事件考核結(jié)果，將各類違規(guī)事件的嚴(yán)重性、危害性宣貫到每一位員工，增強(qiáng)員工的信息安全責(zé)任意識(shí)。

 

　　實(shí)現(xiàn)量化考核評(píng)價(jià)，強(qiáng)化信息安全的考核工作機(jī)制。按年度印發(fā)《信息化工作年度考核細(xì)則》，對(duì)所屬信息化專業(yè)公司和其他二級(jí)單位采取兩套不同的管理細(xì)則，確保績(jī)效考核的針對(duì)性和可執(zhí)行性。同時(shí)強(qiáng)化信息安全評(píng)價(jià)通報(bào)機(jī)制。運(yùn)用同業(yè)對(duì)標(biāo)對(duì)各單位進(jìn)行量化考核。印發(fā)《信息安全與運(yùn)行工作月度通報(bào)》，促進(jìn)所屬各單位及時(shí)查找不足，制定落實(shí)整改措施。