劉呱呱

【摘要】 隨之信息化的快速發(fā)展，電力系統(tǒng)遭受黑客入侵，讓人們深刻認(rèn)識(shí)到電力系統(tǒng)的信息安全亟不可待。而獲取系統(tǒng)權(quán)限是所有黑客入侵系統(tǒng)時(shí)首當(dāng)其沖需要解決的問(wèn)題，本文就如何加強(qiáng)電力系統(tǒng)帳號(hào)權(quán)限管理，提升供電企業(yè)信息安全管控水平進(jìn)行探討。

【關(guān)鍵詞】 系統(tǒng) 賬號(hào) 權(quán)限 信息安全 供電企業(yè)

一、國(guó)內(nèi)外信息安全形式

1、2015年12月，黑客用“烏克蘭大面積停電事件”告訴全球，“電力系統(tǒng)被黑客入侵，造成超過(guò)一半的地區(qū)斷電幾個(gè)小時(shí)[1]”將不再是美國(guó)大片中的一幕。該事件的發(fā)生，為全球工控行業(yè)敲響了警鐘，伴隨著網(wǎng)絡(luò)攻擊的日益猖獗，工控系統(tǒng)網(wǎng)絡(luò)也面臨著越來(lái)越多的安全威脅[2]。

2、近年來(lái)，電力企業(yè)信息化和智能化高速發(fā)展，各類高科技產(chǎn)品如無(wú)人巡線機(jī)、巡檢機(jī)器人、掌上APP等逐漸廣泛應(yīng)用到電力生產(chǎn)和營(yíng)銷，電力企業(yè)的信息安全將面臨新的考驗(yàn)。

二、問(wèn)題描述

1、隨著電力企業(yè)信息化和智能化水平的提升，特別是“SG-ERP”系統(tǒng)的建設(shè)[3]，電力企業(yè)信息系統(tǒng)帳號(hào)權(quán)限已覆蓋到公司生產(chǎn)、營(yíng)銷、辦公等各個(gè)領(lǐng)域，涉及人員多，輻射范圍廣，帳號(hào)權(quán)限及規(guī)范匹配難度大，人工管理困難。

2、電力企業(yè)各類信息系統(tǒng)賬號(hào)管理過(guò)程中普遍存在帳號(hào)權(quán)限設(shè)置不規(guī)范，人員、賬號(hào)、權(quán)限信息不匹配，人走權(quán)留等問(wèn)題。同時(shí)，系統(tǒng)帳號(hào)權(quán)限管理普遍存在管理執(zhí)行過(guò)程中可控性差的問(wèn)題，各類帳號(hào)權(quán)限異常不能及時(shí)發(fā)現(xiàn)和處理，給公司整體信息安全帶來(lái)很大隱患。

三、帳號(hào)權(quán)限管理措施

3.1 規(guī)范賬號(hào)管理流程

針對(duì)目前電力企業(yè)系統(tǒng)賬號(hào)權(quán)限管理過(guò)程中存在的問(wèn)題，首先應(yīng)梳理規(guī)范的管理流程，做到管理全過(guò)程，管控全方位的一體化管理，實(shí)現(xiàn)賬號(hào)從申請(qǐng)、使用、注銷全過(guò)程閉環(huán)管控。同時(shí)，應(yīng)加強(qiáng)賬號(hào)使用過(guò)程中信息監(jiān)測(cè)，做好異常及時(shí)處理。

3.1.1賬號(hào)權(quán)限的申請(qǐng)階段

業(yè)務(wù)部門通過(guò)在線系統(tǒng)自動(dòng)發(fā)起賬號(hào)及權(quán)限申請(qǐng)請(qǐng)求，業(yè)務(wù)部門和人資部門相關(guān)負(fù)責(zé)人對(duì)系統(tǒng)中收到的請(qǐng)求進(jìn)行逐級(jí)審核，重點(diǎn)對(duì)申請(qǐng)人個(gè)人信息、是否符合申請(qǐng)條件進(jìn)行審查，對(duì)符合開通條件的人員信息提交信息部門進(jìn)行賬號(hào)和權(quán)限分配，并做好后臺(tái)賬號(hào)權(quán)限信息記錄，對(duì)于提交的申請(qǐng)信息不完備、不符合申請(qǐng)條件的信息進(jìn)行駁回處理，做到權(quán)限賬號(hào)實(shí)名制管理，便于權(quán)限賬號(hào)使用過(guò)程中問(wèn)題的追查。

3.1.2賬號(hào)權(quán)限使用階段

采用技術(shù)手段限制人員訪問(wèn)入口，設(shè)置固定的登錄平臺(tái)，同時(shí)，后臺(tái)數(shù)據(jù)庫(kù)做好人員登錄信息的及時(shí)記錄，便于審計(jì)。

信息運(yùn)維人員應(yīng)定期對(duì)系統(tǒng)中的人員賬號(hào)進(jìn)行清理。系統(tǒng)中所有賬號(hào)權(quán)限應(yīng)設(shè)置訪問(wèn)有效期，對(duì)已過(guò)有效期沒(méi)有重新申請(qǐng)或修改的權(quán)限和賬號(hào)應(yīng)進(jìn)行定期清理，防止因人員變動(dòng)造成權(quán)限和賬號(hào)未按照實(shí)名制使用造成的信息安全隱患。

3.1.3帳號(hào)權(quán)限注銷

信息部門應(yīng)定期對(duì)數(shù)據(jù)庫(kù)中的賬號(hào)和權(quán)限信息進(jìn)行維護(hù)，對(duì)于因長(zhǎng)時(shí)間未登錄，或已過(guò)訪問(wèn)有效期但未重新申報(bào)或者修改的權(quán)限賬號(hào)進(jìn)行清理，收回相應(yīng)的權(quán)限，其他賬號(hào)的停運(yùn)均要求使用人發(fā)起注銷請(qǐng)求，通過(guò)逐級(jí)審核后由信息部門進(jìn)行權(quán)限回收。

3.2 落實(shí)管理制度

1、制定信息系統(tǒng)賬號(hào)權(quán)限管理細(xì)則，明確賬號(hào)權(quán)限使用規(guī)范，讓持有賬號(hào)和權(quán)限的使用人明確自己的權(quán)限范圍，規(guī)范自己的行為，并制定詳細(xì)的賬號(hào)權(quán)限操作手冊(cè)，讓人員定期設(shè)置滿足安全要求的賬號(hào)權(quán)限訪問(wèn)密碼，并定期進(jìn)行修改。

2、制定系統(tǒng)后臺(tái)數(shù)據(jù)操作人員管理規(guī)范，嚴(yán)格落實(shí)賬號(hào)權(quán)限申請(qǐng)、使用、注銷流程，限制“走后門”開通臨時(shí)賬號(hào)權(quán)限帶來(lái)的隱患。

3、將賬號(hào)權(quán)限管理納入公司月度及年度績(jī)效，通過(guò)績(jī)效進(jìn)一步約束使用人的行為，從而讓管理制度和流程落地。

四 結(jié)束語(yǔ)

隨著電力信息化和智能化的快速發(fā)展，電力系統(tǒng)未來(lái)的信息安全形勢(shì)也越來(lái)越嚴(yán)峻。對(duì)于電力企業(yè)而言，信息安全已不單是一門技術(shù)問(wèn)題，更是一項(xiàng)管理問(wèn)題[4]，如何做好信息安全管理、提升電力系統(tǒng)信息安全防護(hù)將任重而道遠(yuǎn)，需要所有人員從自身做起，從正確使用系統(tǒng)賬號(hào)權(quán)限做起，逐步提升企業(yè)信息安全管理水平。

參 考 文 獻(xiàn)

[1]安天.烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報(bào)告.2016.02

[2]烏克蘭電網(wǎng)攻擊事件之所思 http：//weibo.com/ttarticle/show？id=2309403955091416728168

[3]鄭偉.烏克蘭電網(wǎng)攻擊事件：工控系統(tǒng)網(wǎng)絡(luò)或成黑客攻擊的新目標(biāo)

[4]劉向波.新形勢(shì)下供電企業(yè)網(wǎng)絡(luò)終端計(jì)算機(jī)信息安全淺談[M].信息技術(shù) 2014