省级电网公司信息安全技术监督体系设计和实现.docVIP

省级电网公司信息安全技术监督体系设计和实现 　　【摘 要】为确保省级电网公司电力安全生产和稳定运营，省级电网公司应形成完善的信息安全技术监督体系。本文提出了一套完整的信息安全技术监督体系的解决方案，具体包括组织架构的设计，工作组织形式，主要技术手段，人力资源资格审核和培训，以及制度体系。江苏省电力公司的运转经验表明，这套体系经受住了企业繁重的改革、发展任务的考验，有效保障了电网公司的信息安全。 　　【关键词】电网公司；信息安全；监督；体系 　　1.引言 　　省级电网公司信息安全防护工作事关电力安全生产和电网公司稳定运营，意义重大[1]。由于大多数业务应用已经省级集中，常规信息安全技术监督工作多被认为是省级公司层面的问题。省级单位监督力量不足，久而久之，信息安全监督工作流于形式，检查前重视、检查后忽视，信息安全地区差异大，网络末端安全防护不足。究其根源在于：（1）信息安全技术监督未成体系，监督力量多依靠公司级监督队伍，市、县公司专（兼）职信息安全员未被赋予督查的权力，导致基层单位日常督查的力度和效果不够，各项技术措施落实情况管控不足。（2）基层单位地区经济水平、单位领导信息安全重视程度、信息从业人员技术水平存在差异，造成信息安全意识宣贯和管理手段不同，且各单位缺乏安全技术交流。 　　为此，本文结合作者单位实际，提出一种电力企业信息安全技术监督体系，从组织架构、工作组织形式、主要技术手段、人力资源资格审核与培养以及制度规范等5个方面具体分析工作机制，并总结其实际工作成效。 　　2.电力企业信息安全技术监督体系的设计 　　2.1 组织架构 　　信息安全技术监督不仅仅是公司层面的问题，为充分发挥信息安全监督体系的整体作用，促进信息安全管理水平的不断提升，电力企业应建立贯穿所属各单位的信息安全监督网络，健全完善信息安全技术督查工作体系，如图1所示。 　　2.1.1 省公司级信息安全监督网络 　　由省级单位信息管理部门、省级信息技术研究单位信息安全分管领导和专职组成。主要负责贯彻落实上级单位有关信息通信系统安全的方针政策、规范和标准；组织公司信息通信安全技术督查工作，督促有关单位及时有效整改，建立常态信息通信安全技术督查机制；根据公司实际情况，组织制定公司信息通信安全技术督查工作实施细则、考核细则；健全公司信息通信安全技术督查执行队伍，定期组织督查执行人员的培训和考核，负责督查资质证书的认定工作。 　　2.1.2 市公司级信息安全监督网络 　　由市级单位信息管理部门信息安全分管领导和信息安全专职组成，主要负责依据信息安全技术督查有关政策、法规、标准、规程、制度，执行公司级信息安全督查执行队伍安排的信息安全技术督查和跨单位互查工作；开展本单位运维范围内的日常督查，将运行维护阶段的督查内容融入日常安全工作中，对督查要求执行情况进行检查，及时发现问题并提出处理意见和技术措施建议；参与本单位信息通信系统重大技术措施与技术改造方案的制订，督查、促进和检查本单位范围内的技术标准、反事故措施、改造方案的贯彻和执行。 　　2.1.3 县级信息安全监督网络 　　由县级单位信息管理部门信息安全分管领导和专（兼）职信息安全员组成，主要负责开展本单位日常督查，将运行维护阶段的督查内容融入各自单位的日常安全工作中，对本单位运行维护阶段的督查要求执行情况进行检查，及时发现问题并提出处理意见和技术措施建议。 　　2.2 工作组织形式 　　监督工作应包括年度督查、日常督查、专项督查三种类型，以远程检查、区域互查、现场抽查等多种形式加强监督工作，监测分析当前信息通信安全形势，及时发现和消除安全隐患。 　　2.2.1 年度督查 　　公司级信息安全监督网应根据全年信息化和通信工作情况，按照横向到边、纵向到底的原则，每年至少实施两次由公司级和市级督查执行队伍联合开展的年度督查工作，以区域互查的方式，全方位的查找信息系统安全隐患，督促隐患整改。 　　2.2.2 日常督查 　　市级和县级督查执行队伍应在日常工作中履行信息安全管理员的职责，每月对本单位的信息内外网网络与信息系统、桌面终端、存储介质等进行全方位督查。 　　2.2.3 专项督查 　　根据具体信息项目或信息安全工作需求，由省公司级督查执行队伍对信息系统的规划、设计、实施、运行维护、废弃等过程，安全评估、等级测评等信息安全技术服务开展专项督查。 　　2.3 主要技术要求 　　2.3.1 风险评估及漏洞扫描 　　通过定期开展的信息安全风险评估及漏洞扫描，对现有的网络结构、核心路由器、交换机等网络及设备、数据库服务器、邮件服务器、应用服务器等关键服务器，业务流程、安全策略的安全漏洞，安全威胁及潜在影响进行分析，并提出合理的安全建议和解决方案；对全网网络设备、服务器、桌面终端进行漏洞扫描，及时发现各种安全漏洞，并根据危害程度以