北京国电通网络技术有限公司 王 鹏 王志鹏 尹 帅 郭 鹏

电力系统信息安全防护体系问题研究

北京国电通网络技术有限公司 王 鹏 王志鹏 尹 帅 郭 鹏

【摘要】随着互联网对经济社会方方面面的渗透，网络信息安全的重要性日益凸显，网络传播给国家安全与社会稳定带来了前所未有的新问题与新挑战。近期，网络与信息安全已经上升到一个国家战略，政府对网络安全问题的重视已达到前所未有的程度。同样，在电网企业中，信息安全作为生产自动化和管理信息化深入推进的重要保障，其基础性、全局性、全员性作用日益增强，对电网安全有着重大影响。

【关键词】信息安全防护体系；风险评估；信息安全隐患；应急预案

信息安全管理是信息安全防护体系建设的重要内容，也是完善各项信息安全技术措施的基础，而信息安全管理标准又是信息安全管理的基础和准则，因此要做好信息安全防护体系建设，必须从强化管理着手，首先制定信息安全管理标准。电力系统借鉴ISO27000国际信息安全管理理念，并结合公司信息安全实际情况，制订了信息安全管理标准，明确了各单位、各部门的职责划分，固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程，促进了各单位信息安全规范性管理，为各项信息安全技术措施奠定了基础，显著提升了公司信息安全防护体系建设水平。

1.电力系统信息安全防护目标

规范、加强公司网络和信息系统安全的管理，确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故，并以此提升公司信息安全的整体管理水平。

2.信息安全防护体系建设重点工作

电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面，结合本公司信息安全防护体系建设经验，对信息安全防护体系建设四项重点工作进行阐述。

2.1 信息系统安全检测与风险评估管理

信息管理部门信息安全管理专职根据年度信息化项目综合计划，每年在综合计划正式下达后，制定全年新建应用系统安全检测与风险评估计划，确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内，按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内， 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试，并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分， 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南（试行）》进行安全加固，加固后 5个工作日内，经信息管理部门复查，符合安全要求后方可上线试运行。应用系统进入试运行后，应严格做好数据的备份、保证系统及用户数据的安全，对在上线后影响网络信息安全的，信息管理部门有权停止系统的运行。

2.2 信息安全专项检查与治理

信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作，对在检查中发现的问题，检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位，隐患分为重大隐患和一般隐患，对于重大隐患，信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案， 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪，并组织复查，对未能按期完成整改的单位，信息安全专职 10 个工作日内汇报信息管理部门负责人， 信息管理部门有权向人资部建议对其进行绩效考核。

2.3 信息安全应急预案管理

信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划，并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定，各种预案制定后 5 个工作日内交本部门主要负责人审批，审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训，并按年度计划开展预案演练。 根据演练结果，10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订， 对更新后的内容， 需在 10 个工作日内经本部门领导审批，并在审批通过后 5 个工作日内报信息管理部门备案。

2.4 安全事件统计、调查及组织整改

信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件，并在每月 30 日以书面形式报告信息管理部门信息安全专职， 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内，信息管理部门信息安全专职负责组织对事件的调查，调查过程严格按照《国家电网公司信息系统事故调查及统计规定（试行）》执行，并组织开展信息系统事故原因分析，坚持“四不放过”原则，调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。

3.评估与改进

通过执行“强化管理、标准先行”的信息安全防护体系建设理念和实施电力公司信息安全管理标准， 明确了各项工作的“5W1H”。使信息管理部门和各部门及下属各单位的接口与职责划分进一步清晰，有效协调了相互之间的分工协作。 并通过 ITMIS 系统进行对上述流程进行固化，在严格执行国网公司、省公司各项安全要求的基础上简化了工作流程， 搭建了信息安全防护建设工作的基础架构，实现了信息安全防护建设工作的体系化。同时在标准的 PDCA四阶段循环周期通过管理目标、职责分工，管理方法，管理流程、考核要求，文档记录 6 种管理要素对信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改4 项管理内容进行持续改进，使信息安全防护体系建设工作的质量有了质变提升。 在信息安全防护建设工作的基础架构搭建完成后，下一步将重点完善信息安全防护体系中技术体系建设，管理与技术措施并举，构建坚强信息安全防护体系。

4.结论

信息安全工作是一项系统工程，“攻击”与“防范”、“威胁”与“脆弱性”之间经常此消彼长，不断发展。健全电力公司信息安全防护基础体系，必须从管理和技术两方面入手，夯实物理安全、网络安全、系统安全、应用安全、数据安全和用户安全。以安全区域划分、系统等级保护、安全边界防护、访问控制技术、主动监控措施、安全通报机制和应急响应体系为手段，多方面构筑全方位、多层次的安全防护体系，初步实现网络与信息系统全方位、细粒度的安全管理，做到“安全风险可控制，内部操作可审计，措施执行可度量，安全管理精细化，运行维护主业化”。实现企业信息安全防御的重点从“以网络层防护为主”转向为“网络和应用防护并举”，从“以防外为主”转向为“防内防外并举”的二个转变。其中，信息外网以“防攻击、防泄露”为主，信息内网以“强内控，防外联”为主，实现信息内外网的深度安全防护，确保应用系统的安全稳定运行，保障电网企业信息安全。

参考文献

［1］李文武，游文霞，王先培.电力系统信息安全研究综述［J］.电力系统保护与控制，2011，39（10）∶140-146.

［2］苗新，张恺，田世明等.支撑智能电网的信息通信体系［J］.电网技术，2009，33（17）∶8-13.

作者简介：

王鹏（1983—），男，吉林四平人，双学士，主要从事：电力信息化及通信工程研究。

王志鹏（1990—），男，河北秦皇岛人，学士，主要从事：电力信息化及通信工程研究。