防风险夯基础 确保网络信息安全
2021-08-03杨军杰
杨军杰
“安全无小事”,安全生产是发电企业永恒的主题。安全管理对企业每个员工而言,每天每时都是新的课题。2020年企业提出实现安全“九无”“四零”目标要求,安全管理理念上要未雨绸缪、关口前移、分级管控、风险预控。
“预防为主”,加强安全风险的预研、预判、预控和预案。
网络信息安全与生产安全密切相关。管理信息大区网络安全外连互联网,内联生产管理大区非实时控制区,如果防线被攻陷,生产控制大区网络就直接暴露在黑客攻击范围之内,严重威胁机组运行安全、设备安全和人身安全。以下从人员、设备、环境和管理等关键要素着手,对公司网络信息安全存在的安全风险进行分析。
人员
人的因素是动态因素,也是最具主观能动性的,主要分3类:信息技术人员、外部施工人员和信息系统用户。
信息技术人员:明确分工责任,进行专业技能、安全技能教育培训。综合个人专业知识能力,对全厂信息、网络系统设备进行科学分工,增强个人责任感、使命感。严格规范重要设备操作流程,避免人为重大操作失误。
存在风险:目前信息化人员培养数量不足,制约公司信息化高质量发展。
信息系统用户:用户的信息安全也是整体网络信息安全的重要内容。用户日常行为可直接影响到公司网络和信息系统的安全。
存在的风险:包括信息系统弱密码、VPN系统账号泄露、个人电脑安全软件防护等。
外部施工人员:对项目施工人员加强安全、质量及进度等过程监管,做好安全交底、信息保密和访问权限控制等措施。在项目实施期间,由专人配合厂商对存在的高危安全隐患点、风险点进行梳理分析,形成切合现场安全要求的施工方案,通过实施期间的跟踪学习培养锻炼新员工,为后期系统或设备运维打好基础。
存在风险:未经授权的数据库操作以及未经授权的远程访问等。
系统及设备
系统及设备安全管理是公司网络信息安全的基础。信息系统数据库、交换机、服务器、存储、超融合和安全设备等是公司基础设施。健全设备台账,坚持全生命周期管理理念,对设备健康、运行效率进行管理。
存在风险:①等保2.O标准实施后,提高了安全防护标准要求,公司实施信息网络安全防护项目,进一步增强公司网络安全防护水平。②对生产区域个人电脑(不含项目部)杀毒软件情况进行检查,根据检查结果采取整改,确保公司网络健康稳定运行。
环境
环境安全,是确保整体安全的前提条件,人员、设备安全均基于环境安全。信息网络安全方面,首先要考虑的是机房物理安全,机房温湿度、电源是每日机房安全巡检的必查项目。需做到防火、防水、防爆、防盗、防电磁干扰、防小动物、防非法外接存储和防非法外接网络。
存在风险:重要设备操作规程不够完善。目前,机房存在蓄电池与设备未分开、蓄电池超期服役的安全隐患,已申报公司自控项目进行整改。
管理
按照国家法律法规、集团要求,建立健全网络安全管理制度,落实管理责任,信息资产资源管理规范化、制度化。近期根据皖能集团下发的《网络信息安全责任追究制度》文件精神,起草了公司《网络信息安全责任追究制度》待公司审议。
存在问题:目前存在重技术、轻管理的现象,对最新的网络安全政策、知识学习不够,对用户信息技术技能、安全意识技能培训不够到位。
以“九无”“四零”目标为指引,分析不足,查缺补漏,严守网络信息安全红线
现阶段需要关注的问题主要有:
現办公网区域IP地址(VLAN3-12)资源重新规划,实行备案使用制;
计算机等设备接入办公网实行准入审批制,防止未认证设备联网;
完善重要设备、操作规程的编制;
办公区无线进行改造,区分用户模式、访客模式,统一认证、集中统一管理,进一步提升公司网络信息安全水平。
加强网络信息安全的建议
充分利用ERP平台,融合“互联网+”安全管理、大数据等理念或技术,建立风险预控体系,变被动安全为主动安全。
对办公区无线网络进行改造,区分用户模式、访客模式,统一认证、集中统一管理。
邀请专家开设网络安全培训课程,采取多种培训形式把网络信息安全教育工作纳入到日常办公中,并长期执行,防止潜在的网络信息安全风险事件发生。
网络信息安全与生产安全密切相关,安全管理理念上要未雨绸缪、关口前移,分级管控、风险预控。