省級電網公司信息安全技術監督體系設計與實現論文

省級電網公司信息安全技術監督體系設計與實現論文

　　為確保省級電網公司電力安全生產和穩定運營，省級電網公司應形成完善的信息安全技術監督體系。本文提出了一套完整的信息安全技術監督體系的解決方案，具體包括組織架構的設計，工作組織形式，主要技術手段，人力資源資格審核和培訓，以及制度體系。江蘇省電力公司的運轉經驗表明，這套體系經受住了企業繁重的改革、發展任務的考驗，有效保障了電網公司的信息安全。

　　1.引言

　　省級電網公司信息安全防護工作事關電力安全生產和電網公司穩定運營，意義重大[1]。由于大多數業務應用已經省級集中，常規信息安全技術監督工作多被認為是省級公司層面的問題。省級單位監督力量不足，久而久之，信息安全監督工作流于形式，檢查前重視、檢查后忽視，信息安全地區差異大，網絡末端安全防護不足。究其根源在于：(1)信息安全技術監督未成體系，監督力量多依靠公司級監督隊伍，市、縣公司專(兼)職信息安全員未被賦予督查的權力，導致基層單位日常督查的力度和效果不夠，各項技術措施落實情況管控不足。(2)基層單位地區經濟水平、單位領導信息安全重視程度、信息從業人員技術水平存在差異，造成信息安全意識宣貫和管理手段不同，且各單位缺乏安全技術交流。

　　為此，本文結合作者單位實際，提出一種電力企業信息安全技術監督體系，從組織架構、工作組織形式、主要技術手段、人力資源資格審核與培養以及制度規范等5個方面具體分析工作機制，并總結其實際工作成效。

　　2.電力企業信息安全技術監督體系的設計

　　2.1 組織架構

　　信息安全技術監督不僅僅是公司層面的問題，為充分發揮信息安全監督體系的整體作用，促進信息安全管理水平的不斷提升，電力企業應建立貫穿所屬各單位的信息安全監督網絡，健全完善信息安全技術督查工作體系，如圖1所示。

　　2.1.1 省公司級信息安全監督網絡

　　由省級單位信息管理部門、省級信息技術研究單位信息安全分管領導和專職組成。主要負責貫徹落實上級單位有關信息通信系統安全的方針政策、規范和標準;組織公司信息通信安全技術督查工作，督促有關單位及時有效整改，建立常態信息通信安全技術督查機制;根據公司實際情況，組織制定公司信息通信安全技術督查工作實施細則、考核細則;健全公司信息通信安全技術督查執行隊伍，定期組織督查執行人員的培訓和考核，負責督查資質證書的認定工作。

　　2.1.2 市公司級信息安全監督網絡

　　由市級單位信息管理部門信息安全分管領導和信息安全專職組成，主要負責依據信息安全技術督查有關政策、法規、標準、規程、制度，執行公司級信息安全督查執行隊伍安排的信息安全技術督查和跨單位互查工作;開展本單位運維范圍內的日常督查，將運行維護階段的督查內容融入日常安全工作中，對督查要求執行情況進行檢查，及時發現問題并提出處理意見和技術措施建議;參與本單位信息通信系統重大技術措施與技術改造方案的制訂，督查、促進和檢查本單位范圍內的技術標準、反事故措施、改造方案的貫徹和執行。

　　2.1.3 縣級信息安全監督網絡

　　由縣級單位信息管理部門信息安全分管領導和專(兼)職信息安全員組成，主要負責開展本單位日常督查，將運行維護階段的督查內容融入各自單位的日常安全工作中，對本單位運行維護階段的督查要求執行情況進行檢查，及時發現問題并提出處理意見和技術措施建議。

　　2.2 工作組織形式

　　監督工作應包括年度督查、日常督查、專項督查三種類型，以遠程檢查、區域互查、現場抽查等多種形式加強監督工作，監測分析當前信息通信安全形勢，及時發現和消除安全隱患。

　　2.2.1 年度督查

　　公司級信息安全監督網應根據全年信息化和通信工作情況，按照橫向到邊、縱向到底的原則，每年至少實施兩次由公司級和市級督查執行隊伍聯合開展的年度督查工作，以區域互查的方式，全方位的查找信息系統安全隱患，督促隱患整改。

　　2.2.2 日常督查

　　市級和縣級督查執行隊伍應在日常工作中履行信息安全管理員的職責，每月對本單位的信息內外網網絡與信息系統、桌面終端、存儲介質等進行全方位督查。

　　2.2.3 專項督查

　　根據具體信息項目或信息安全工作需求，由省公司級督查執行隊伍對信息系統的規劃、設計、實施、運行維護、廢棄等過程，安全評估、等級測評等信息安全技術服務開展專項督查。

　　2.3 主要技術要求

　　2.3.1 風險評估及漏洞掃描

　　通過定期開展的信息安全風險評估及漏洞掃描，對現有的網絡結構、核心路由器、交換機等網絡及設備、數據庫服務器、郵件服務器、應用服務器等關鍵服務器，業務流程、安全策略的安全漏洞，安全威脅及潛在影響進行分析，并提出合理的安全建議和解決方案;對全網網絡設備、服務器、桌面終端進行漏洞掃描，及時發現各種安全漏洞，并根據危害程度以保證系統資產的機密性、完整性和可用性的基本安全屬性[2]。

　　2.3.2 應用系統安全測評

　　每年各單位都有新應用系統上線運行，由于系統開發人員信息安全意識不足，存在不少安全漏洞。按照信息安全技術監督工作要求，在系統上線前由信息安全技術監督人員參與信息系統技術措施與技術改造方案的制訂，審核信息安全技術與工作內容。在系統投運前開展系統穩定性、安全性測試。通過上線前安全測評及時發現并排除應用系統存在的安全隱患。

　　2.3.3 安全監控及遠程檢查

　　利用信息外網安全監測系統、信息運維綜合監管系統、信息安全綜合工作平臺等各類安全技術手段，對各單位互聯網出口、桌面終端、移動存儲介質、弱口令等開展安全監控;利用互聯網出口部署的入侵監測設備和上網行為管理系統，對互聯網攻擊情況和上網行為進行內容審計和處理。

　　2.4 人力資源資格與培養

　　2.4.1 持證上崗

　　各級督查執行人員需持證上崗，經公司統一組織的安全督查培訓和考核后，分級別發放《信息安全技術督查證》。公司級督查執行人員還應通過注冊信息安全專業人員(CISP)培訓及認證。

　　2.4.2 技術培訓

　　邀請系統內、外信息安全領域專家，定期開展信息安全技術培訓和講座，宣貫國家和公司信息安全形勢和要求，學習當前最新信息安全技術和裝備，分析典型信息安全風險隱患案例。

　　2.5 制度規范

　　制度規范是信息安全監督工作執行的依據，根據國網公司制定并下發的信息安全政策標準和管理規定，公司編制和發布實施細則和《信息安全督查作業指南》，對日常督查工作中各個流程的工作要求、工作模板進行描述。

　　3.工作成效

　　公司信息安全督查體系建立完善期間正值“三集五大”建設的關鍵時期，各單位業務切換、人員調動頻繁，管理難度大為增加，如果沒有很好的監督體系，各項管理制度和技術措施的落實，特別是管理末端桌面終端的安全漏洞就會暴露出來。經過短短幾個月監督工作的開展，各單位信息安全工作井然有序，沒有發生一起因信息安全引發的信息系統運行事故。

　　(1)通過各種形式督查工作的開展，對檢查暴露的安全隱患積極整改，有效消缺，保障了公司發展、運營和改革工作;通過對新上線系統的應用系統安全測評，有力支撐了改革期間大量應用的開發和運行工作。(2)通過持證上崗和各種培訓工作，培養了一支信息安全人才隊伍。目前所有公司級督查人員全部通過了CISP認證，市、縣級專職督查人員逐步實現持證上崗，提高了公司各單位信息安全從業人員的技術素質。(3)通過區域間安全互查，加強了各單位信息安全經驗交流，對消除地區差異，以弱帶強，提升公司整體信息安全防護能力具備積極意義。

　　4.結論

　　通過信息安全技術監督體系的建立和實現，實現了貫穿公司各單位的信息安全督查網絡，各地區信息安全從業人員技術水平平衡發展，監督和保障信息安全技術措施和管理要求有效落實，推進了公司整體信息安全管理水平。

【省級電網公司信息安全技術監督體系設計與實現論文】相關文章：

工業技術體系知識自動化論文04-12

城市旅游網站的設計與實現論文（精選6篇）05-07

藥品技術監督管理機構政策的論文05-17

企業知識管理的實現技術和工具的電商論文05-02

網絡信息安全技術管理下計算機應用論文04-26

計算機信息安全論文07-20

信息安全管理論文07-29

信息技術與幼兒教育的整合論文05-23

信息技術教學論文（通用15篇）08-09

電網工程技術經濟管理對策淺議論文05-05