_曹海军 智海燕 孔祥晨

自2006年开始，国家电网公司全面实施了“SG186工程”，公司的信息化水平达到国内领先、国际先进，初步建成数字化电网、信息化企业。但是，与信息化对公司发展的支撑日益强大相比，作为工程落地的地市公司在信息安全诸多方面还存在着不足，尤其是人员安全意识薄弱等方面，给信息系统安全运行带来诸多隐患，严重制约着地市公司信息化发展进程，甚至影响到了省公司的信息化进程，给工程成果价值打了不小的折扣。

针对这些问题，商丘供电公司按照统一部署，构建起了完善的信息安全技术防护体系和信息安全管理保障体系，并通过两个体系有机结合，使之相辅相成，互补不足，建成了覆盖公司内、外网的整体信息安全防护体系，从而为信息系统及网络的安全提供有效保障。

一、构建信息安全防护体系的主要做法

在部署管控系统，进行技术防范的同时，商丘公司牢牢抓住最具变性的人的因素，筑建起了一道重在“人防”的安全管理保障体系。

1.全面部署信息安全技术管控系统

商丘公司全面实施了双网隔离、IP与MAC地址绑定等信息安全技术措施，全面部署了网络安全准入系统、桌面终端安全管理系统、防病毒系统、入侵防御系统、入侵检测系统、安全审计系统、防火墙等信息安全技术管控系统，构建起了完善的公司信息安全技术防护体系，从而为有效降低信息网络和信息系统安全面临的风险，提高公司内、外网安全技术防护能力打下了坚实的物质基础。

2.严密部署七道安全关口

商丘公司秉承“专业的人员做专业的事”的原则，从网络安全、设备安全、数据安全等方面，严密部署并严格把好七道安全关口，充分发挥了先进技术和设备的防控能力。

边界防护关——在所有内、外网络边界均安装硬件防火墙，并设置严格的双向安全策略；安装上网行为管理系统，部署IPS、IDS等安全防护系统，记录所有网络通信数据，及时进行分析审计，做到信息事件可审查。

网络设备关——对网络设备进行安全加固，关闭非必要的服务和端口，设置登录设备的安全访问控制，强密码并定期更换，重新设置SNMP字符串，关闭空闲端口，设置端口安全，执行IP—MAC—端口绑定，防止外部计算机接入。

终端防护关——加强终端上下线管控，确保桌面终端注册安装率保持100%。严格执行IP与MAC绑定策略和新计算机准入策略，所有IP分配统一管控。对桌面终端非法外联、密码、防病毒安装进行统一的监控和管理。同时，加强安全移动存储介质管理，包括移动介质领取、使用、损坏、丢失等方面。

补丁漏洞关——每月使用补丁漏洞监测工具（如绿盟RSAS）进行全网扫描检测，针对发现漏洞下发信息安全整改通知单，提供整改方法及补丁文件，统一进行修补，并对整改结果进行复查。禁止内外网计算机混用，设置八位及以上由字母数字混合的开机密码、开启屏保密码设置。

病毒木马关——公司信息内网安装统一的防病毒系统，制定客户端病毒库升级策略，对于未按要求安装防病毒系统的终端及时下发信息安全整改通知单，要求立即整改。同时，设置明确的预警策略和定时扫描策略等，统一发布终端防火墙策略，及时处理病毒源。

机房环境关——在执行机房巡视制度的同时，定期开展设备定检测试。机房监控系统每年开展应急演练时进行一次全面的故障模拟测试。严格执行外来人员出入登记制度、专人负责制度、巡检制度、操作票、工作票制度等。

数据安全关——为确保数据安全，在执行双机热备（或冷备）的硬件支撑基础上，同时利用网络存储资源执行网络备份和异地备份策略。按照数据重要性备份等级，区别执行月备份、周备份、日备份或实时备份等不同策略。巡视人员在备份后第二天核验备份结果。

3.健全信息安全组织机构

商丘公司常设公司总经理、党委书记任组长的信息安全领导小组，对公司信息安全工作进行全面督导，下设信息安全工作小组和信息安全专责，具体负责公司信息安全工作的规划、实施、检查、整改和考核；各部门设有兼职信息员，构成公司信息员网络，负责配合本部门信息安全工作的实施、检查和整改。人员根据形势变化和公司结构及时进行调整。

4.充分发挥部门信息员的作用

部门信息员由各部门既通晓业务又熟悉计算机知识的人员担任，进行基层宣传、督导与检查、整改工作，这样既减轻了信息部专责的劳动强度，又保证了工作质量，同时还解决了“维护人员主业化”的矛盾。

5.细化工作流程

为实现公司信息安全管理由被动防御向主动防御转变，公司及时完善所有相关信息工作流程，并纳入公司管理工作流程标准体系，由公司信息化工作领导小组指导监督执行。流程体系涵盖了信息化所有日常工作，细化到每个岗位以及各个岗位在流程工作各个阶段的工作职责和审批权限，做到“有依据，有保证，可追溯”，从根本上把好了七道安全关口。

6.完善信息化管理制度

为规范公司信息化管理工作，提升公司信息化安全运行水平，做到“一切工作皆有制度，一切行动皆有措施”，根据《河南省电力公司信息化工作管理办法》及相关管理制度要求，结合公司实际情况，不断修订完善了一系列配套的管理制度，并对安全责任进行了规定和划分，做到把安全责任落实到每一个岗位和每一个环节，夯实了信息安全各项工作的基础。

7.建立完善的应急体系

为正确、有效和快速处理网络与信息系统突发事件，提高公司应对网络与信息系统突发事件的组织指挥能力和应急处置能力，商丘公司建立了公司网络与信息系统应急保障体系和应急响应机制，结合工作实际情况，每年均及时修订完善《商丘供电公司网络与信息系统突发事件处置应急预案》，并且严格进行演练，并对演练过程中发现的问题及时进行总结提高，做到细致、严密、有效。

8.严格进行考核

公司将信息安全考核办法纳入公司绩效考核体系，由公司信息化工作领导小组监督执行。对于违章的责任人和所在部门党政负责人，在公司范围内进行通报批评，进行相应的经济处罚并在违章曝光台公示。

9.持续开展“反习惯性违章”活动

商丘公司在公司范围内持续开展了信息安全“反习惯性违章”活动，从终端安全、终端操作、密码管理等十个方面进行全面检查、梳理、完善和提高，公司全员深刻认识到了信息安全“习惯性违章”的利害，彻底改变了不良作业的习惯，进一步夯实信息系统安全运行基础。

二、主要创新点

创新性地引入了“技术与管理并重”理念和“三分技术、七分管理”原则，围绕公司信息安全存在的问题和面临的威胁，在全面部署信息安全技术管控系统的基础上，严密部署七道安全关口，健全信息安全组织机构，完善信息化管理制度和工作流程，细化信息安全实施阶段，充分调动和发挥关键人员作用，并通过严格的考核制度促进安全管理体系的真正有效落实，以此提升信息系统安全管理水平，确保公司安全生产局面的持续稳定。

三、实施效果

通过信息安全防护体系的构建和“反习惯性违章”活动持续、扎实、有效的开展，查处并整改了一批习惯性违章行为，公司范围内根本杜绝了违规外联等严重违章行为，人员的信息安全意识和风险防范意识得到了大幅提升，最大程度减小了信息安全风险，全面提升了信息安全健康率指标，确保了公司信息安全工作的安全稳定运行。