防風(fēng)險(xiǎn)夯基礎(chǔ) 確保網(wǎng)絡(luò)信息安全

楊軍杰

“安全無(wú)小事”，安全生產(chǎn)是發(fā)電企業(yè)永恒的主題。安全管理對(duì)企業(yè)每個(gè)員工而言，每天每時(shí)都是新的課題。2020年企業(yè)提出實(shí)現(xiàn)安全“九無(wú)”“四零”目標(biāo)要求，安全管理理念上要未雨綢繆、關(guān)口前移、分級(jí)管控、風(fēng)險(xiǎn)預(yù)控。

“預(yù)防為主”，加強(qiáng)安全風(fēng)險(xiǎn)的預(yù)研、預(yù)判、預(yù)控和預(yù)案。

網(wǎng)絡(luò)信息安全與生產(chǎn)安全密切相關(guān)。管理信息大區(qū)網(wǎng)絡(luò)安全外連互聯(lián)網(wǎng)，內(nèi)聯(lián)生產(chǎn)管理大區(qū)非實(shí)時(shí)控制區(qū)，如果防線被攻陷，生產(chǎn)控制大區(qū)網(wǎng)絡(luò)就直接暴露在黑客攻擊范圍之內(nèi)，嚴(yán)重威脅機(jī)組運(yùn)行安全、設(shè)備安全和人身安全。以下從人員、設(shè)備、環(huán)境和管理等關(guān)鍵要素著手，對(duì)公司網(wǎng)絡(luò)信息安全存在的安全風(fēng)險(xiǎn)進(jìn)行分析。

人員

人的因素是動(dòng)態(tài)因素，也是最具主觀能動(dòng)性的，主要分3類：信息技術(shù)人員、外部施工人員和信息系統(tǒng)用戶。

信息技術(shù)人員：明確分工責(zé)任，進(jìn)行專業(yè)技能、安全技能教育培訓(xùn)。綜合個(gè)人專業(yè)知識(shí)能力，對(duì)全廠信息、網(wǎng)絡(luò)系統(tǒng)設(shè)備進(jìn)行科學(xué)分工，增強(qiáng)個(gè)人責(zé)任感、使命感。嚴(yán)格規(guī)范重要設(shè)備操作流程，避免人為重大操作失誤。

存在風(fēng)險(xiǎn)：目前信息化人員培養(yǎng)數(shù)量不足，制約公司信息化高質(zhì)量發(fā)展。

信息系統(tǒng)用戶：用戶的信息安全也是整體網(wǎng)絡(luò)信息安全的重要內(nèi)容。用戶日常行為可直接影響到公司網(wǎng)絡(luò)和信息系統(tǒng)的安全。

存在的風(fēng)險(xiǎn)：包括信息系統(tǒng)弱密碼、VPN系統(tǒng)賬號(hào)泄露、個(gè)人電腦安全軟件防護(hù)等。

外部施工人員：對(duì)項(xiàng)目施工人員加強(qiáng)安全、質(zhì)量及進(jìn)度等過程監(jiān)管，做好安全交底、信息保密和訪問權(quán)限控制等措施。在項(xiàng)目實(shí)施期間，由專人配合廠商對(duì)存在的高危安全隱患點(diǎn)、風(fēng)險(xiǎn)點(diǎn)進(jìn)行梳理分析，形成切合現(xiàn)場(chǎng)安全要求的施工方案，通過實(shí)施期間的跟蹤學(xué)習(xí)培養(yǎng)鍛煉新員工，為后期系統(tǒng)或設(shè)備運(yùn)維打好基礎(chǔ)。

存在風(fēng)險(xiǎn)：未經(jīng)授權(quán)的數(shù)據(jù)庫(kù)操作以及未經(jīng)授權(quán)的遠(yuǎn)程訪問等。

系統(tǒng)及設(shè)備

系統(tǒng)及設(shè)備安全管理是公司網(wǎng)絡(luò)信息安全的基礎(chǔ)。信息系統(tǒng)數(shù)據(jù)庫(kù)、交換機(jī)、服務(wù)器、存儲(chǔ)、超融合和安全設(shè)備等是公司基礎(chǔ)設(shè)施。健全設(shè)備臺(tái)賬，堅(jiān)持全生命周期管理理念，對(duì)設(shè)備健康、運(yùn)行效率進(jìn)行管理。

存在風(fēng)險(xiǎn)：①等保2.O標(biāo)準(zhǔn)實(shí)施后，提高了安全防護(hù)標(biāo)準(zhǔn)要求，公司實(shí)施信息網(wǎng)絡(luò)安全防護(hù)項(xiàng)目，進(jìn)一步增強(qiáng)公司網(wǎng)絡(luò)安全防護(hù)水平。②對(duì)生產(chǎn)區(qū)域個(gè)人電腦（不含項(xiàng)目部）殺毒軟件情況進(jìn)行檢查，根據(jù)檢查結(jié)果采取整改，確保公司網(wǎng)絡(luò)健康穩(wěn)定運(yùn)行。

環(huán)境

環(huán)境安全，是確保整體安全的前提條件，人員、設(shè)備安全均基于環(huán)境安全。信息網(wǎng)絡(luò)安全方面，首先要考慮的是機(jī)房物理安全，機(jī)房溫濕度、電源是每日機(jī)房安全巡檢的必查項(xiàng)目。需做到防火、防水、防爆、防盜、防電磁干擾、防小動(dòng)物、防非法外接存儲(chǔ)和防非法外接網(wǎng)絡(luò)。

存在風(fēng)險(xiǎn)：重要設(shè)備操作規(guī)程不夠完善。目前，機(jī)房存在蓄電池與設(shè)備未分開、蓄電池超期服役的安全隱患，已申報(bào)公司自控項(xiàng)目進(jìn)行整改。

管理

按照國(guó)家法律法規(guī)、集團(tuán)要求，建立健全網(wǎng)絡(luò)安全管理制度，落實(shí)管理責(zé)任，信息資產(chǎn)資源管理規(guī)范化、制度化。近期根據(jù)皖能集團(tuán)下發(fā)的《網(wǎng)絡(luò)信息安全責(zé)任追究制度》文件精神，起草了公司《網(wǎng)絡(luò)信息安全責(zé)任追究制度》待公司審議。

存在問題：目前存在重技術(shù)、輕管理的現(xiàn)象，對(duì)最新的網(wǎng)絡(luò)安全政策、知識(shí)學(xué)習(xí)不夠，對(duì)用戶信息技術(shù)技能、安全意識(shí)技能培訓(xùn)不夠到位。

以“九無(wú)”“四零”目標(biāo)為指引，分析不足，查缺補(bǔ)漏，嚴(yán)守網(wǎng)絡(luò)信息安全紅線

現(xiàn)階段需要關(guān)注的問題主要有：

現(xiàn)辦公網(wǎng)區(qū)域IP地址（VLAN3-12）資源重新規(guī)劃，實(shí)行備案使用制;

計(jì)算機(jī)等設(shè)備接入辦公網(wǎng)實(shí)行準(zhǔn)入審批制，防止未認(rèn)證設(shè)備聯(lián)網(wǎng);

完善重要設(shè)備、操作規(guī)程的編制;

辦公區(qū)無(wú)線進(jìn)行改造，區(qū)分用戶模式、訪客模式，統(tǒng)一認(rèn)證、集中統(tǒng)一管理，進(jìn)一步提升公司網(wǎng)絡(luò)信息安全水平。

加強(qiáng)網(wǎng)絡(luò)信息安全的建議

充分利用ERP平臺(tái)，融合“互聯(lián)網(wǎng)+”安全管理、大數(shù)據(jù)等理念或技術(shù)，建立風(fēng)險(xiǎn)預(yù)控體系，變被動(dòng)安全為主動(dòng)安全。

對(duì)辦公區(qū)無(wú)線網(wǎng)絡(luò)進(jìn)行改造，區(qū)分用戶模式、訪客模式，統(tǒng)一認(rèn)證、集中統(tǒng)一管理。

邀請(qǐng)專家開設(shè)網(wǎng)絡(luò)安全培訓(xùn)課程，采取多種培訓(xùn)形式把網(wǎng)絡(luò)信息安全教育工作納入到日常辦公中，并長(zhǎng)期執(zhí)行，防止?jié)撛诘木W(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)事件發(fā)生。

網(wǎng)絡(luò)信息安全與生產(chǎn)安全密切相關(guān)，安全管理理念上要未雨綢繆、關(guān)口前移，分級(jí)管控、風(fēng)險(xiǎn)預(yù)控。