信息安全在国家电网应用.docVIP

信息安全在国家电网的应用 　　【摘要】信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。电力行业关系国家经济民生安全，国家电网公司信息安全防护的重点在于保障供电安全，防止黑客或恶意势力攻击、控制电网信息系统，确保电网信息系统稳定、安全、可靠运行。 　　一、国家电网公司信息安全的特点： 　　1.规模大：国家电网公司信息系统信息安全涉及电网调度自动化、生产管理系统、营销管理系统、供电服务、电子商务、协同办公、ERP等有关生产、经营和管理方面的多个领域，是一个复杂的大型系统工程； 　　2.点多面广：国家电网公司下属单位多、分布范围广，网络更加复杂，对如何保证边界清晰、管理要求实时准确落实等方面提出了更高的要求； 　　3.智能电网：同时随着智能电网的建设，网络边界向发电侧、用户侧延伸覆盖至智能电网各环节，具有点多、面广、技术复杂的特点，信息安全风险隐患更为突出； 　　4.新技术广泛应用：云计算、物联网、大数据等新技术的不断引入，对公司信息安全构成了新的挑战。 　　二、国家电网公司信息安全保护总体思路： 　　坚持“三同步”、“三个纳入”、“四全”、“四防”，信息安全全面融入公司安全生产管理体系。多年来，严格贯彻国资委、公安部、国家电监会工作要求，在国家主管部委、专家的指导帮助下，公司领导高度重视信息安全工作，坚持两手抓，一手抓信息化建设，一手抓信息安全： 　　1）坚持信息安全与信息化工作同步规划、同步建设、同步投入运行的“三同步”原则；2）坚持三个纳入，等级保护纳入信息安全工作中，将信息安全纳入信息化中，将信息安全纳入公司安全生产管理体系中；3）按照“人员、时间、精力”三个百分之百的原则、实现了全面、全员、全过程、全方位的安全管理；4）全面加强“人防、制防、技防、物防”的“四防”工作，落实安全责任，严肃安全运行纪律，确保公司网络与信息系统安全。 　　三、国家电网公司信息安全保护工作机制： 　　按照国家等级保护管理要求，结合电网企业长期以来的安全文化，建立了覆盖信息系统全生命周期的54项管理措施，形成了8项工作机制： 　　公司按照“谁主管谁负责、谁运行谁负责”和属地化管理原则，公司各级单位成立了信息化工作领导小组，统一部署信息安全工作，逐级落实信息安全防护责任。 　　1）信息化管理部门归口管理本单位网络与信息安全管理。2）网络与信息系统建设、运维和使用部门分别负责信息系统建设、运行维护和使用环节的网络与信息安全保障。3）业务部门在业务分管范围内协助做好相关系统的安全管理的检查监督和业务指导。4）总部、分部及公司级信息安全督查队伍负责开展信息安全技术督查。5）各单位与总部签定保密责任书和员工承诺书，建立自上而下、层层负责的保密责任体系。6）“涉密不上网、上网不涉密”。严禁涉密计算机与信息内外网连接；严禁在连接外网的计算机上处理、存储涉密信息；严禁信息内网和外网计算机交叉使用；严禁普通移动存储介质在内网和外网交叉使用；严禁扫描仪、打印机等计算机外设在内网和外网上交叉使用。7）技防：内外网强逻辑隔离+部署安全移动存储介质+安装桌面计算机监控系统+安装企业级防病毒系统+360卫士防护软件+对互联网出口+外网邮件内容+门户网站内容进行监控8）人防：培训竞赛+警示教育+检查+责任追究+《信息安全管理手册》+《信息系统安全典型案例手册》9）物防：保密管理系统，保密机及介质统一备案 　　四、国家电网公司信息安全的督察体系 　　建立公司级、省级两级信息安全技术督查体系，依托中国电科院、省电科院信息安全技术队伍，独立于日常安全建设和运行工作，有效监督检查、督促公司信息安全管理、技术要求和措施落实，及时发现各层面安全隐患，快速堵漏保全，消除短板，支撑公司网络与信息系统安全防御体系有效运转。 　　1）两级共计502人的信息安全技术督查队伍。2）开展常态、专项、年度和高级督查工作。3）督查覆盖各级单位，延伸至信息系统生命周期各环节。4）建立闭环整改、红黄牌督办、督查通报、群众举报等督查工作机制。5）充实督查技术装备，加强人员技能培养。6）2005年，电监会发布5号令，确立“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护策略；。7）2007年，公司制定“双网双机、分区分域、等级防护、多层防御”的管理大区信息安全纵深防御策略。8）2010年，深化等级保护安全设计技术要求，结合智能电网防护需求深化完善，形成“双网双机、分区分域、安全接入、动态感知、全面防护”的管理大区信息安全主动防御策略。 　　五、国家电网公司信息安全的技术措施 　　1.信息安全的总体架构 　　a.双网双机。已完成信息内外网独立部署服务器及桌面主