杨军杰

“安全无小事”，安全生产是发电企业永恒的主题。安全管理对企业每个员工而言，每天每时都是新的课题。2020年企业提出实现安全“九无”“四零”目标要求，安全管理理念上要未雨绸缪、关口前移、分级管控、风险预控。

“预防为主”，加强安全风险的预研、预判、预控和预案。

网络信息安全与生产安全密切相关。管理信息大区网络安全外连互联网，内联生产管理大区非实时控制区，如果防线被攻陷，生产控制大区网络就直接暴露在黑客攻击范围之内，严重威胁机组运行安全、设备安全和人身安全。以下从人员、设备、环境和管理等关键要素着手，对公司网络信息安全存在的安全风险进行分析。

人员

人的因素是动态因素，也是最具主观能动性的，主要分3类：信息技术人员、外部施工人员和信息系统用户。

信息技术人员：明确分工责任，进行专业技能、安全技能教育培训。综合个人专业知识能力，对全厂信息、网络系统设备进行科学分工，增强个人责任感、使命感。严格规范重要设备操作流程，避免人为重大操作失误。

存在风险：目前信息化人员培养数量不足，制约公司信息化高质量发展。

信息系统用户：用户的信息安全也是整体网络信息安全的重要内容。用户日常行为可直接影响到公司网络和信息系统的安全。

存在的风险：包括信息系统弱密码、VPN系统账号泄露、个人电脑安全软件防护等。

外部施工人员：对项目施工人员加强安全、质量及进度等过程监管，做好安全交底、信息保密和访问权限控制等措施。在项目实施期间，由专人配合厂商对存在的高危安全隐患点、风险点进行梳理分析，形成切合现场安全要求的施工方案，通过实施期间的跟踪学习培养锻炼新员工，为后期系统或设备运维打好基础。

存在风险：未经授权的数据库操作以及未经授权的远程访问等。

系统及设备

系统及设备安全管理是公司网络信息安全的基础。信息系统数据库、交换机、服务器、存储、超融合和安全设备等是公司基础设施。健全设备台账，坚持全生命周期管理理念，对设备健康、运行效率进行管理。

存在风险：①等保2.O标准实施后，提高了安全防护标准要求，公司实施信息网络安全防护项目，进一步增强公司网络安全防护水平。②对生产区域个人电脑（不含项目部）杀毒软件情况进行检查，根据检查结果采取整改，确保公司网络健康稳定运行。

环境

环境安全，是确保整体安全的前提条件，人员、设备安全均基于环境安全。信息网络安全方面，首先要考虑的是机房物理安全，机房温湿度、电源是每日机房安全巡检的必查项目。需做到防火、防水、防爆、防盗、防电磁干扰、防小动物、防非法外接存储和防非法外接网络。

存在风险：重要设备操作规程不够完善。目前，机房存在蓄电池与设备未分开、蓄电池超期服役的安全隐患，已申报公司自控项目进行整改。

管理

按照国家法律法规、集团要求，建立健全网络安全管理制度，落实管理责任，信息资产资源管理规范化、制度化。近期根据皖能集团下发的《网络信息安全责任追究制度》文件精神，起草了公司《网络信息安全责任追究制度》待公司审议。

存在问题：目前存在重技术、轻管理的现象，对最新的网络安全政策、知识学习不够，对用户信息技术技能、安全意识技能培训不够到位。

以“九无”“四零”目标为指引，分析不足，查缺补漏，严守网络信息安全红线

现阶段需要关注的问题主要有：

現办公网区域IP地址（VLAN3-12）资源重新规划，实行备案使用制;

计算机等设备接入办公网实行准入审批制，防止未认证设备联网;

完善重要设备、操作规程的编制;

办公区无线进行改造，区分用户模式、访客模式，统一认证、集中统一管理，进一步提升公司网络信息安全水平。

加强网络信息安全的建议

充分利用ERP平台，融合“互联网+”安全管理、大数据等理念或技术，建立风险预控体系，变被动安全为主动安全。

对办公区无线网络进行改造，区分用户模式、访客模式，统一认证、集中统一管理。

邀请专家开设网络安全培训课程，采取多种培训形式把网络信息安全教育工作纳入到日常办公中，并长期执行，防止潜在的网络信息安全风险事件发生。

网络信息安全与生产安全密切相关，安全管理理念上要未雨绸缪、关口前移，分级管控、风险预控。