电力企业信息安全保障体系建设探讨

陈 騉

（江苏省电力公司常州供电公司，江苏 常州 213000）

1 信息安全的定位与重要性

电力系统是我国计算机应用起步较早的行业，信息技术的高速发展和广泛应用，为公司门户网站、办公自动化、电网调度、生产运行、财务资金、营销管理等各方面提供了有力支撑。在信息时代和知识经济新形势下，一头是日新月异的信息技术，一头是管理效能的变革提升，信息安全，则是联通两岸的壮丽大桥，每一种管理手段，每一条防护技术，都是支撑起这座重要桥梁的鲁班石。

2012年初，国家电网公司颁布了新版《安全事故调查规程》，首次将信息系统事件与人身、设备、电网事故一并列入安全事故体系，并详细进行了5～8级分级定义。省公司确定了“不发生五级信息系统事件”的安全目标；省公司将信息安全纳入信息化专业业绩考核内容和同业对标评价细则中：如发生本单位负主要责任的六级及六级以上信息事件，考核总分为0分，信息专业同业对标所有指标一票否决。可以说，对信息安全的关注与重视已提升到了前所未有的高度。

2 电力企业信息安全保障体系建设

安全体系建设是一个整体、系统的工程，不是刻板的“管理教条”，不是简单的“技术积木”。必须以预防为主，管理与技术双管齐下，相辅相成实现全面、完整、高效的一体化安全体系建设，为公司的生产经营业务发展提供坚实的信息安全保障。

2.1 信息安全管理保障体系建设

2.1.1 组织机构

人力资源是体系正常运转的首要保证，信息安全管理体系建设需形成决策层、管理层、执行层等机构，确保人员的配置和安全责任制的落实。常州公司构建了从公司领导到各部门分管负责人为成员的信息安全组织体系，公司设置信息安全管理岗位，各基层单位均明确信息化网络管理成员专职（兼职）人员，负责本单位信息安全工作的组织和项目实施。

2.1.2 规章制度

“没有规矩，不成方圆。”建章立制、明确职责是加强和规范公司信息安全工作，做到“流程管事，制度管人，规范管理”的前提与基础。常州公司修订完善了《信息化工作考核办法》、《信息设备管理办法》、《网络与信息系统突发事件应急预案》等一系列制度。对于制度的执行情况，公司每季组织安全检查，每月发布《信息安全月报》，在公司安全网络会议上通报近期信息安全情况、分析违章原因，实现闭环管理，取得显著成效。

2.1.3 系统运维

作为近年来高速发展的新兴专业，信息运维管理的规范性亟待提高。常州公司信息运维工作坚持“运行与安全”、“建设与应用”并重原则，注重规范化与标准化，明确运维人员职责、工作内容与工作要求，以“总值班—服务监控—桌面终端管理”三层次运维管理机制确保全公司信息系统稳定、可靠、安全运行。

2.1.4 人员教育

人的不安全行为是导致信息系统事件发生的主要原因，仅凭信息人员“救火式”的维护只能“头疼医头、脚痛治脚”，治标不治本。提升全体员工的信息安全意识才是保障安全的最关键因素。常州公司在人员培训方面采用分层面教育，多方式宣传，创新新式，不留死角，全方位营造安全氛围，普及安全教育，做到全民动员，共筑安全。

2.2 信息安全技术防护体系建设

2.2.1 物理安全

信息机房是各类信息设备的存放地点，是公司信息化工作的核心枢纽。在制定《机房管理制度》、《运行值班制度》做好人员进出和设备监控管理基础上，2013年6月起，常州公司全面开展了安全管理专项整治工作。为做好火灾等突发事件的防范，常州公司多次开展信息主机房、重要节点机房的火灾应急演练，加强相关部门间的配合，提高信息运维人员的协同能力、快速反应能力和突发事故处理能力。

2.2.2 网络安全

信息网络的安全与稳定是应用正常流转，数据顺畅交互的前提与基础。部分担负承载重任的核心与汇聚网络设备已连续运行达5年以上。为在保持网络稳定前提下消除设备安全隐患，常州公司全新探索和实践尝试了带电清洗技术，避免了传统人工除尘方式需将设备停运，在不停电、不影响设备正常运行的情况下全面彻底消除黏附灰尘静电给设备带来的安全隐患，延长设备使用寿命，也提高了信息网络运行质量。

2.2.3 系统安全

业务应用是公司经营发展的生命线，作为流转平台的信息系统必须保证稳定可靠。对于承载应用的服务器，常州公司将原单线联网方式改造为二套网络一主一备方式，并用技术手段实现发生网络故障时的自动实时切换，通过网络冗余极大提高了服务器的可靠性。为应对数据篡改、应用数据丢失、业务中断等信息系统事件，有针对性地编写了《信息系统数据库管理标准化作业指导书》、《服务器备机及应用恢复作业指导书》，内容精细至命令级，具有较强的可操作性。此外，模拟服务器故障导致应用系统无法使用场景开展信息系统应急演练，在最短时间内恢复应用和数据，降低事故损失，提高了应急恢复技能。

2.2.4 应用安全

常州公司全面推广实施国家电网公司桌面终端管理系统，并启动用户权限、用户密码、补丁检测等各项安全策略对终端设备进行安全管控。目前内网注册终端4634台，终端注册率、防病毒安装率、补丁安装率均达 100%.“兵成于密而败于泄”公司在所有内外网终端上统一推广保密自动检测系统，指导员工开展自查并进行了保密检查，严格确保“涉密信息不上网，上网信息不涉密”。

3 结束语

综上所述，在信息技术广泛应用于电力系统的今天，信息安全已与企业生产经营管理密切相关。不能单纯依靠管理教条的生搬硬套和静态技术的堆砌叠加盲目管控，必须结合公司实情，研究信息安全各要素间的联系，不断进行管理创新与技术实践，建立一套先进、实用、高效的信息安全保障体系，确保公司信息系统安全、可靠、稳定运行。

[1]关良辉.电力企业局域网的信息安全[J].电力安全技术，2010（06）.

[2]赵志宇.谈电力信息系统安全保障体系建设原则及思路[J].计算机安全，2009（06）.