电力企业网络安全保密管理浅谈

2017-11-26国网浙江江山市供电有限公司应俊薛利兵徐冰

办公室业务 2017年21期

文/国网浙江江山市供电有限公司应俊薛利兵徐冰

电力企业网络安全保密管理浅谈

文/国网浙江江山市供电有限公司应俊薛利兵徐冰

在当前这个信息时代，计算机已经成为企业员工工作的必备工具，通过计算机、网络可以大幅度提高工作效率。同时，计算机也为企业重要文件存储、传输提供了极大的便利，虽然便利了工作开展，但也使得企业的信息安全面临着巨大风险，企业内部员工可以轻松通过各种途径将电脑文件泄密出去，从而给企业带来巨大损失。

电力企业；网络保密管理；浅谈

随着信息网络的快速发展，计算机通过互联网泄密呈高发态势，经调查发现，电力企业大量外网计算机存在管理不到位，安全防护措施不完善，使用责任人风险意识、保密意识薄弱，部分外网计算机存在长期无专人管理的现象。少数涉密人员保密意识淡薄，对网络保密形势的严峻性和复杂性估计不足，无网络安全防范意识，最终导致泄密，给国家和企业的安全和利益造成了严重损害，而泄密责任人则受到党纪政纪乃至刑事责任的严厉追究。为此，必须要提前了解其中的不足之处，做好相应的预防措施。

一、电力企业网络存在的泄密因素

（一）移动存储等所有带有USB存储功能的设备泄密的行为。由于移动存储介质的大量使用而引起的安全问题给供电企业信息化建设带来了很大的困扰，随着移动存储介质越来越轻便、存储容量越来越大，这些问题随着信息化建设的逐步深入也会越来越突出、越来越严重！移动存储介质在使用中存在的问题主要有：管理难度大，易因物理丢失造成信息泄密，易因使用保管不善造成信息丢失；移动存储介质在涉密网和互联网之间交替使用，多人共用，公私混用等造成数据泄密的隐患；病毒防范不到位，容易形成病毒传播源。

（二）通过邮件、网盘、QQ发送文件、FTP文件上传以及论坛附件等网络泄密的行为。现在邮箱虽然使用率正在下降，但是邮件附件可以上传几个G大小的文件也不容小觑，同时很多邮件还可以进行加密，使得常规网络管理手段根本无法识别和拦截；而网盘存储空间同样十分可观，QQ传文件、FTP文件上传以及论坛附件等也都可以大量上传、发送电脑文件，从而使得网络途径泄密也变得极为“便捷”。上述途径一和途径二是当前国内各行业企事业单位信息泄密的主要途径。因此，要想防止企业信息泄密，就必须对上述途径一一杜绝。

（三）手机泄密风险。随着信息技术的飞速发展，移动互联网已经渗透到我们日常工作生活的方方面面。通过移动互联网，人们可以很方便地获取信息，但也可能随时泄露信息。在这种背景下，每一名电力工作人员都应该具有防范泄密的常识。目前用得最多的社交类APP，如微信、微博、手机qq等，很多同事喜欢在网络社交圈发布涉及单位的有关工作信息，在大数据时代，大量个人单条、孤立信息的汇聚，能把我们工作的特点规律勾勒出来，不经意之间就会泄密。

二、电力企业计算机网络安全保密管理的预防措施

（一）切实提高涉密人员的网络保密安全意识。应针对涉密员工组织多轮次开展网络保密培训，培训结合工作实际，以具体案例为主，深入浅出地讲解国网系统保密工作的重要性、信息化条件下保密安全面临的形势、常见的认知误区、保密监控技术手段、违规事件的整改及责任追究等方面的内容，并重点就员工个人如何安全使用手机、外网发送邮件方面，防止个人及企业敏感信息泄露进行了讲解。

（二）规范涉密人员管理。根据公司标准岗位名录，组织对本单位涉密人员的范围和层级进行界定，实现分级分类定期动态管理；每年应组织与领导班子成员、中层管理人员签订《保密工作责任状》，要求各级管理人员切实履行保密工作的领导职责，确保本公司、本部门、本单位在责任期内不发生泄密事件；与重要部门、重要岗位的涉密人员签订《涉密员工责任保证书》《涉密人员审查表》，要求可能发生涉密的重要部门、重要岗位，要对本部门、本岗位中涉及的密件、密电和涉密事项都应严格遵守各项保密制度。

（三）加强对移动存储设备的管理。涉密移动存储介质应遵循“统一购置、集中管理、严密防范、确保安全”的原则；配发涉密移动存储介质时必须进行登记、编号、贴注密级标识。严格遵守授权审批流程；严禁将涉密移动存储介质转借给外单位或他人；严禁将以报废的涉密移动存储介质转为非涉密载体继续使用，对报废的涉密移动存储介质要进行彻底的损毁；对涉及企业秘密数据必须保存在保密区。

（四）规范外网邮箱及信息传递制度。严格执行“上网不涉密，涉密不上网”要求，涉及政府部门的外网信息文件传递应由办公室保密专职统一审核，通过政府的公文交换阅办系统发送，并进行登记备案。严禁通过单位外网qq在线及离线文件、邮件、web上传、互联网云盘存储等方式外发公司工作秘密、商业秘密、核心商业秘密信息行为。

（五）应定期开展外网计算机整治及网络保密督查工作。保密责任部门应联合信通部门定期开展外网计算机集中整治清理工作；对外网计算机采取重新办理严格的审批制度，未经审批的外网计算机一律退网。

（六）严格落实“谁使用、谁管理、谁负责”的网络安全责任制。针对网络泄密事件级别应定期修编制定考核细则，做到考核到个人及部门领导，并组织宣贯到每个部门、班组及个人。实行信息发布责任追究制度，所报送和发布的一切信息必须是符合中华人民共和国法规，真实有效的。