電力關(guān)鍵信息基礎(chǔ)設(shè)施運行的安全管理體系建設(shè)與實踐

張可心 劉穎 趙西林 吳利剛

摘要：近年來，網(wǎng)絡(luò)與信息安全形勢異常嚴(yán)峻，對公司網(wǎng)絡(luò)安全工作提出了新的挑戰(zhàn)。如何更好的建立網(wǎng)絡(luò)與信息安全管理體系也成為了電力行業(yè)日益關(guān)注的焦點?；诖?，本文對電力企業(yè)網(wǎng)絡(luò)與信息安全管理體系建立，提出相應(yīng)的見解和建議。

關(guān)鍵詞：網(wǎng)絡(luò);信息安全管理;電力

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2019）12-0214-01

1 安全管理體系的建立

1.1 體系建立的思路

信通公司借鑒ISO/IEC 27001要求相關(guān)內(nèi)容，參照國家電網(wǎng)公司信息通信專業(yè)管理制度體系，對國家電網(wǎng)公司已發(fā)行的50余套現(xiàn)行有效的信息通信專業(yè)的通用制度進(jìn)行梳理編排，按照“五步法”展開體系的建立。

（1）策劃與準(zhǔn)備;（2）確定適用范圍;（3）現(xiàn)狀調(diào)查;（4）建立管理框架;（5）體系文件升級。經(jīng)過以上5個步驟，信通公司形成了一套信息系統(tǒng)安全管理體系文件。該文件共包含五個部分。

1.2 體系建立的方法

系統(tǒng)管理方法屬于一般科學(xué)方法論，按照事物本身的系統(tǒng)性把研究對象放在系統(tǒng)的形式中認(rèn)識和考察的一種方法。信通公司運用系統(tǒng)管理法結(jié)合公司業(yè)務(wù)實際情況，將工作中的人員，設(shè)備，環(huán)境，制度，工作專業(yè)放在一個整體中考慮，按照實際工作需求，將工作分為四類：安全管理、項目建設(shè)、系統(tǒng)運行、客戶服務(wù)，并對此四類工作展開制度分析，從背景、工作目標(biāo)、分析方法、調(diào)研情況、存在問題、整改意見6個方面對安全管理體系展開分析。

2 安全管理體系建立領(lǐng)域

通過對適用的制度進(jìn)行梳理，形成的安全管理體系包括安全管理、項目建設(shè)、系統(tǒng)運行、客戶服務(wù)四大領(lǐng)域。

（1）安全管理域：安全管理工作主要負(fù)責(zé)維護(hù)并向班（組）員工提供安全的生產(chǎn)、工作環(huán)境，落實公司安全生產(chǎn)責(zé)任，負(fù)責(zé)中心安全管理，確保部門安全管理制度落實及監(jiān)督，宣貫落實公司各項安全規(guī)章制度與技術(shù)標(biāo)準(zhǔn)，組織開展班（組）內(nèi)部的安全教育培訓(xùn)。

（2）項目建設(shè)域：項目建設(shè)工作主要負(fù)責(zé)項目的正常實施，項目資料整理收集，項目開工驗收，項目管控工作，確保項目符合要求。項目建設(shè)域?qū)氖马椖拷ㄔO(shè)工作的人員需要遵循的制度以及提供相應(yīng)的記錄等內(nèi)容模板建立框架，形成了從項目需求、儲備、采購、建設(shè)實施、驗收、歸檔等全過程的項目生命周期管理。

（3）系統(tǒng)運行域：系統(tǒng)運行工作負(fù)責(zé)信息調(diào)度值班工作組織與落實，確保調(diào)度值班工作有序開展，負(fù)責(zé)信息系統(tǒng)檢修管理，確保檢修順利執(zhí)行，負(fù)責(zé)信息系統(tǒng)突發(fā)事件處置，負(fù)責(zé)主機(jī)存儲設(shè)備運行維護(hù)，虛擬化平臺生產(chǎn)系統(tǒng)、虛擬化外網(wǎng)生產(chǎn)平臺技術(shù)管理和運行維護(hù)、內(nèi)、外網(wǎng)及DMZ區(qū)DNS域名服務(wù)器管理、動環(huán)系統(tǒng)維護(hù)管理，確保各信息系統(tǒng)的安全穩(wěn)定運。

（4）客戶服務(wù)域：客戶服務(wù)工作負(fù)責(zé)客戶服務(wù)管理工作，確保數(shù)據(jù)安全，保證不發(fā)生泄密事件，開展終端客戶問題處理，保障客服終端機(jī)安全可用;負(fù)責(zé)視頻會議保障，不發(fā)生視頻會議中斷?？蛻舴?wù)域?qū)氖驴蛻舴?wù)工作的人員需要遵循的制度以及提供相應(yīng)的記錄等內(nèi)容模板建立框架，在提升桌面安全治理水平，持續(xù)推進(jìn)計算機(jī)類固定資產(chǎn)精細(xì)化管理工作。

（5）體系的創(chuàng)新工具：在運用以往的體系文件時，由于體系涉及內(nèi)容龐雜，制度條例眾多，安全條例繁多，無法快遞便捷找到需要的安全要求或是制度條例。信通公司通過梳理制度規(guī)程，制作一套信息網(wǎng)絡(luò)系統(tǒng)安全管理體系速查工具通過將工作專業(yè)類型、制度、制度條例、所屬章節(jié)、涉及的安全要求、安全要求對應(yīng)記錄模板、模板類型、負(fù)責(zé)崗位一一對應(yīng)，方便人員在體系快速查找對應(yīng)的工作要求。方便人員迅速快捷查找到所需內(nèi)容。

3 電力關(guān)鍵信息基礎(chǔ)設(shè)施運行的安全管理體系建設(shè)取得的成效

3.1 管理效益

信息安全管理體系是安全工作的基礎(chǔ)，信息安全管理體系的完善，扎實推進(jìn)本質(zhì)安全建設(shè)，從而完成“三落實、三杜絕、三覆蓋、一防范”的工作目標(biāo)。在使用安全管理體系的過程中，摒棄了有礙發(fā)展的一些慣性思維和做法，通過統(tǒng)一認(rèn)識，為深入開展安全體系管理創(chuàng)造了良好的思想環(huán)境，樹立“我要安全”和“要你安全”的虔誠之心。強(qiáng)化“紅線意識”和“底線思維”，堅決克服“信息通信專業(yè)不會出大事”的麻痹松懈思想，真正把安全第一的理念扎根思想深處。形成具有特質(zhì)的安全生產(chǎn)文化，促進(jìn)安全管理水平提升。

3.2 經(jīng)濟(jì)效益

通過安全管理體系，做到安全標(biāo)準(zhǔn)完整、安全防護(hù)立項審慎、內(nèi)容務(wù)實、格式規(guī)范、檢索快捷、管理科學(xué)、成效明顯等七項總體要求，以更高的起點去規(guī)劃計劃、建設(shè)、運維、安全四大業(yè)務(wù)條線中涉及的安全問題。快速、便捷的索引工具，便于員工遵循貫徹、從而使安全管理體系的科學(xué)性、完整性、適用性大幅提升。使用安全管理體系后，安全計劃方面，計劃準(zhǔn)備工作從梳理制度、編制計劃方案、組織隊伍、落實計劃等各個環(huán)節(jié)均得到有效提升。計劃準(zhǔn)備工作中使用安全速查工具，快速檢索工作專業(yè)類型、制度、制度條例、涉及的安全要求、安全要求、負(fù)責(zé)崗位，制定計劃時間節(jié)省20%。建設(shè)方面從制度落實，實施開展等環(huán)節(jié)，整改安全責(zé)任3項，規(guī)范性操作提升30%。運維方面，通過落實安全責(zé)任，整改檢修不規(guī)范操作8項，完善檢修制度中不明確處7項，并形成實施細(xì)則。將實施細(xì)則落實到檢修工作中，檢修規(guī)范性提高15%，有力的保障了業(yè)務(wù)系統(tǒng)的穩(wěn)定運行。安全方面，依據(jù)國網(wǎng)網(wǎng)絡(luò)安全制度要求，構(gòu)建網(wǎng)絡(luò)與信息安全防護(hù)體系，完善網(wǎng)絡(luò)安全裝置3項，加強(qiáng)了網(wǎng)絡(luò)防護(hù)措施、防范了網(wǎng)絡(luò)風(fēng)險;完善機(jī)房裝置4項，為信息系統(tǒng)可靠運行提供堅強(qiáng)環(huán)境保障。

參考文獻(xiàn)

[1] 王棟，李瑞雪，來風(fēng)剛.提升關(guān)鍵信息基礎(chǔ)設(shè)施安全可控仿真驗證能力[J].中國信息安全，2016（03）：95-97.

[2] 王惠蒞.切實加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)[J].信息技術(shù)與標(biāo)準(zhǔn)化，2018（06）：18.

Construction and Practice of? Safety Management System for Power Critical Information Infrastructure Operation

ZHANG Ke-xin，LIU Ying，ZHAO Xi-lin，WU Li-gang

（Shaanxi Electric Power Company，Xi'an? Shaanxi? 710004）

Abstract：In recent years， the situation of network and information security has been extremely severe， which has brought new challenges to the company's network security work. How to better establish the network and information security management system has also become the focus of increasing attention in the power industry. Based on this， this article puts forward the corresponding insights and suggestions for the establishment of the power enterprise network and information security management system.

Key words：network; information security management; electricity