英大國際信托有限責任公司 姚曉斌

隨著信息技術的高速發(fā)展，工業(yè)化與信息化深度融合，電力行業(yè)作為國家關鍵信息基礎設施，關乎社會民生。在推動四個革命一個合作能源安全新戰(zhàn)略過程中，信息通信安全與電力生產(chǎn)安全緊密相連，同時，對信息通信安全運行提出了更高的要求。本文將對電力企業(yè)信息通信存在的問題進行分析，提出相應的安全運行管理策略，從而提高電力企業(yè)信息通信本質(zhì)安全管理水平。

隨著電力企業(yè)加快數(shù)字化轉(zhuǎn)型的步伐，公司生產(chǎn)運營高度依賴網(wǎng)絡和信息系統(tǒng)。信息通信的安全運行直接導致電力企業(yè)經(jīng)營管理事件，甚至影響電網(wǎng)安全運行。因此企業(yè)信息通信本質(zhì)安全管理尤為重要。

1 信息通信本質(zhì)安全面臨的挑戰(zhàn)

1.1 信息通信安全運行壓力大

當前，電力企業(yè)數(shù)字化轉(zhuǎn)型過程中對信息化提出更高要求，電力企業(yè)安全運行對信息通信安全穩(wěn)定運行也提出了更為嚴格的要求。隨著信息通信系統(tǒng)規(guī)模和應用范圍的大幅持續(xù)增長，信息通信系統(tǒng)安全運行的風險不斷增加。同時電力企業(yè)對信息通信安全事件定級更加嚴格，安全考核壓力大。

1.2 網(wǎng)絡與信息安全形勢嚴峻

近年來，電力企業(yè)信息化程度逐步增高，同時也存在多個方面的安全風險，例如，監(jiān)測并攔截互聯(lián)網(wǎng)出口攻擊數(shù)量大幅增加、網(wǎng)絡安全邊界持續(xù)擴大、網(wǎng)絡接入用戶不斷增多、跨地域經(jīng)營、網(wǎng)絡結構復雜、對社會公眾提供服務、信息安全風險點和暴露面多。隨著智能電網(wǎng)、“互聯(lián)網(wǎng)+”、新電力體制改革以及新型電力系統(tǒng)建設逐步推進，各種新業(yè)務形態(tài)大量涌現(xiàn)，“大云物移”新技術深度應用，分布式電源、電動汽車等新型電力設施的接入，同時也引入了各種新的安全風險，網(wǎng)絡與信息安全防控難度陡增[1]。

2 信息通信本質(zhì)安全存在的問題

近年來，我國電力企業(yè)信息通信系統(tǒng)運行總體保持安全平穩(wěn)，但各類故障和事件仍時有發(fā)生，暴露出管理、系統(tǒng)、設備、隊伍等方面的基礎仍然薄弱，與電力企業(yè)推動能源安全新戰(zhàn)略的發(fā)展要求相比，還存在諸多不適應，亟須加強本質(zhì)安全建設。

2.1 部分企業(yè)安全管理落實不到位

部分企業(yè)安全管理[2-5]、安全責任落實不到位屢見不鮮，安全管理粗放，制度執(zhí)行不嚴，存在重業(yè)務輕安全的問題，安全壓力層層衰減。信息通信系統(tǒng)安全運行責任劃分不清，系統(tǒng)安全運行出現(xiàn)故障導致無人發(fā)現(xiàn)，待業(yè)務部門或客戶反饋才得知系統(tǒng)故障發(fā)生。存在安全例會記錄、安全學習記錄、工程資料等不完善，安全生產(chǎn)“月、周、日”例會制度建立和落實不完善，未定期組織開展班組安全日活動，部分企業(yè)日常巡檢工作還需加強等問題，同時員工的信息安全意識有待進一步提高。普通員工信息安全意識薄弱，個人終端安全防護、內(nèi)/外網(wǎng)接入、安全U 盤使用、文件加密、郵件使用等環(huán)節(jié)易產(chǎn)生違規(guī)操作。

2.2 信息通信系統(tǒng)架構相對薄弱

信息通信業(yè)務快速發(fā)展，新能源、電動汽車、移動終端等大量新業(yè)務的出現(xiàn)，使系統(tǒng)規(guī)模大幅增長，網(wǎng)絡安全邊界愈加模糊，系統(tǒng)建設運行標準不盡統(tǒng)一，運行保障措施不配套；多個信息系統(tǒng)存在單點隱患；通信網(wǎng)絡存在局部結構薄弱問題[6]，部分重要站點未落實雙節(jié)點要求，單條光纜承載多條線路保護控制業(yè)務現(xiàn)象較為普遍；同時面對極端惡劣天氣造成的破壞，使得信息通信安全運行壓力陡增。風電、光伏等新能源快速發(fā)展，電網(wǎng)格局和電源結構發(fā)生重大改變，與之緊密相連的信息通信網(wǎng)布局和運行方式也必須同步優(yōu)化與增強。

2.3 信息通信安全生產(chǎn)隊伍配備不到位

隨著信息通信運維范圍越來越廣，運維設備量猛增，信息通信突顯運維力量不足。針對信息通信行業(yè)人才需求較高，高端人才、技術型人才、中堅骨干人才缺乏問題仍存在，基層通信運維人員老齡化嚴重，年齡結構不合理，信息安全人員存在兼職現(xiàn)象。部分企業(yè)人才培養(yǎng)理念缺失，未制定專業(yè)人才培訓計劃，人才儲備明顯不足。特別是基層單位信息通信運維人員配備嚴重不足，崗位設置不盡規(guī)范合理，人員流失較多，員工技能水平提升受到制約[7]。

2.4 網(wǎng)絡及設備缺陷隱患較多

信息通信系統(tǒng)建設未按照總體架構進行研發(fā)建設，導致各系統(tǒng)建設質(zhì)量不高，網(wǎng)絡安全設備存在使用年限較長，老化問題尤為突出，缺乏有效運維保障手段。部分單位存在一些基礎設施、電源、老舊設備等隱患，整改周期較長，需嚴格控制風險并做好應急預案。網(wǎng)絡安全設備存在單點隱患，部分單位隱患排查工作不夠深入，缺陷和隱患發(fā)生故障后才發(fā)現(xiàn)。信息通信系統(tǒng)、網(wǎng)絡設備、安全設備、主機、應用服務、中間件和數(shù)據(jù)庫存在弱口令、長期未改密碼及默認口令、已知漏洞未修復等問題[8-10]。

2.5 信息通信風險預警管控機制不健全

部分單位未開展信息通信風險預警年度、月度評估工作。存在風險預警流程不規(guī)范，管理制度不完善。信息通信運行風險預警管控機制不健全，工作流程不規(guī)范；信息通信風險預警單反饋流程不及時，反饋內(nèi)容未能包括方式調(diào)整、預案編制、現(xiàn)場值守、應急準備等各項工作內(nèi)容。

2.6 信息通信應急工作有待加強

部分單位應急演練存在“重演輕練”現(xiàn)象，演練未落到實處。演練內(nèi)容較為固化、評估手段不完善，總體演練效果有待提升，同時存在應急物資、應急裝備缺失，不能滿足應急搶險的需要，個別單位不具備應急車輛和應急通信系統(tǒng)。

3 信息通信本質(zhì)安全管理策略

3.1 落實安全責任嚴格制度執(zhí)行

堅決落實《中華人民共和國網(wǎng)絡安全法》，開展網(wǎng)絡安全法相關法規(guī)的宣貫培訓，簽訂《網(wǎng)絡安全承諾書》，嚴格執(zhí)行信息通信安全事故調(diào)查規(guī)程和運行安全事件報告工作要求等規(guī)范制度，落實反違章手冊，充分發(fā)揮企業(yè)安委會職能，將信息通信安全納入企業(yè)安全責任體系，確保橫到邊、縱到底、全面覆蓋、不留死角。企業(yè)分管安全的領導要對企業(yè)信息通信安全工作親自組織、親自部署、親自督導，保證安全經(jīng)費投入。涉及信息通信系統(tǒng)規(guī)劃、設計、建設、運行、應用、管理各環(huán)節(jié)的各級領導落實分管范圍的安全責任，管業(yè)務必須管安全。全體員工自覺履行崗位安全職責，強化全方位、全過程的安全管理，杜絕責任盲區(qū)。最大程度杜絕有制度不執(zhí)行、有標準不落實等違章行為，著力提高員工安全生產(chǎn)意識，提升安全生產(chǎn)水平。

3.2 夯實信息通信系統(tǒng)安全基礎

優(yōu)化通信網(wǎng)絡結構和信息系統(tǒng)架構，嚴把可研設計審查關，深化運行分析，總結提煉運行隱患和問題解決的典型措施并及時反饋至設計環(huán)節(jié)。落實信息系統(tǒng)非功能性需求，按照保障業(yè)務連續(xù)性及滿足N-1 安全裕度要求，開展重要系統(tǒng)架構優(yōu)化與運行加固，切實提升系統(tǒng)架構的容錯性、可靠性和健壯性，實現(xiàn)故障處理從“搶修-恢復”到“隔離-保障”的轉(zhuǎn)變。完善基礎光纜網(wǎng)架，根據(jù)實際需要，業(yè)務通道按照“雙設備、雙路由、雙電源”原則，提高通信網(wǎng)抵御多重故障和嚴重災害的能力。嚴格執(zhí)行信息通信系統(tǒng)建設及驗收投運相關管理規(guī)定，落實建管、設計、施工、監(jiān)理單位安全責任。嚴格執(zhí)行安全措施與信息化項目同步規(guī)劃、同步建設和同步投入運行的要求，落實信息通信工程建設標準化要求。嚴格施工現(xiàn)場安全管理，規(guī)范作業(yè)審批，加強現(xiàn)場監(jiān)督，提升工程質(zhì)量，強化技術交底，落實運維責任，優(yōu)化運行方式，更新運行資料，嚴格工程交接驗收，實現(xiàn)“零缺陷”投運。嚴格設備準入審查、招標選型、工程安裝、運行維護等全過程質(zhì)量控制和監(jiān)督，推進公司信息通信設備國產(chǎn)化。建立全過程溝通協(xié)調(diào)機制，共享設備質(zhì)量信息及項目質(zhì)量信息，建立設備供應商黑名單制度和質(zhì)量責任追溯制度，健全項目評價反饋機制與信息化廠商評價體系。嚴格執(zhí)行系統(tǒng)功能性測評、非功能性測評和安全測試，加強第三方測試中信息系統(tǒng)與信息安全網(wǎng)絡隔離裝置的集成測試，滿足實際應用需求。

3.3 加強安全生產(chǎn)隊伍建設

構建年齡結構優(yōu)、知識結構優(yōu)、專業(yè)技術優(yōu)、人才梯隊優(yōu)的人才隊伍，組織學習信息通信安全事故調(diào)查規(guī)程和運行安全事件報告工作要求等規(guī)范制度，加強新版調(diào)規(guī)和事件報告學習，極大提升了員工安全風險意識、遵章作業(yè)意識、自我保護意識及安全技能水平，積極參與網(wǎng)絡安全攻防演練，提升網(wǎng)絡安全人員技術水平。與所有第三方人員簽訂了《網(wǎng)絡安全承諾書》及《保密協(xié)議》，加強信息化建設運維人員管理。強化網(wǎng)絡與信息安全專業(yè)隊伍建設，加強網(wǎng)絡安全紅藍隊和督查人員的技能培訓與選拔培養(yǎng)，提升技術能力和裝備配備，強化網(wǎng)絡安全裝備配置，著力提升網(wǎng)絡實戰(zhàn)、隱患發(fā)現(xiàn)、事件調(diào)查等能力。強化網(wǎng)絡攻擊監(jiān)測、日志審計和關聯(lián)分析，提高對各類攻擊威脅和安全事件的及時發(fā)現(xiàn)、應急處置、精準溯源的能力。擴大藍隊防護覆蓋面，進一步加強紅藍隊信息共享和溝通協(xié)作，形成網(wǎng)絡安全管理、防護和支撐保障的工作合力。加強外委人員安全管理。強化外委人員準入管理，實行“黑名單”和“負面清單”管理，嚴格資質(zhì)審查，嚴格培訓考試，建立人員檔案，建立清退機制。堅持外委人員與主業(yè)人員同標準、同要求，嚴格安全交底，嚴格現(xiàn)場監(jiān)督。加強供應鏈全過程安全審查，強化服務商風險管控，確保服務商提供的產(chǎn)品和服務合法合規(guī)。推進安全文化宣傳、培訓、推廣，使全體員工牢固樹立“大安全”觀。將信息通信安全納入各級各類培訓，培養(yǎng)安全行為習慣，提升員工安全素養(yǎng)。加強信息通信安全宣傳，樹立先進典型，加強班組建設，激活員工和組織活力，營造濃厚的安全生產(chǎn)氛圍。

3.4 深化缺陷隱患排查治理

嚴格落實信息系統(tǒng)研發(fā)管理規(guī)范，統(tǒng)籌業(yè)務需求，適應新形勢特點，遵循架構引領、需求驅(qū)動、標準指導、過程管控的原則，保證信息系統(tǒng)功能和性能符合業(yè)務要求。在開發(fā)過程中應同步開展代碼檢查和測試，建立代碼審查機制、漏洞補丁機制、安全測試機制、數(shù)據(jù)安全機制，要求代碼結構清晰、合理，運行高效、安全，在滿足功能需求的前提下使系統(tǒng)安全高效、易于維護。組織編制了信息系統(tǒng)運行方式，嚴格審核項目資料，落實信息系統(tǒng)運維責任；開展自建信息系統(tǒng)運行安全評價，提升系統(tǒng)運行水平；嚴格執(zhí)行安全措施與信息通信項目同步規(guī)劃、同步建設和同步投入運行的要求。同時健全缺陷發(fā)現(xiàn)、分析、跟蹤、消除快速響應機制，一旦發(fā)現(xiàn)缺陷，應盡快消除，防止缺陷發(fā)展為故障；建立廠商快速響應機制，保障缺陷快速、準確消除；嚴格執(zhí)行安全隱患排查治理相關制度，加強網(wǎng)絡安全隱患排查和問題治理工作力度，定期開展隱患排查工作，做到及早發(fā)現(xiàn)、消除安全隱患。建立信息化軟硬件缺陷隱患檔案表，預防系統(tǒng)性缺陷的發(fā)生；全面梳理網(wǎng)絡安全邊界，嚴格系統(tǒng)、設備、端口測評備案，優(yōu)化防護策略，消除漏洞隱患；開展弱口令及已知漏洞未修復等問題的深化治理，全面掃描信息通信系統(tǒng)及設備，徹底消除安全隱患。

3.5 加強信息通信運行風險預警管理

強化風險“全面評估、先降后控”，嚴格執(zhí)行“統(tǒng)一管理，分級負責”的預警預控原則，嚴格執(zhí)行風險預警審批、報告與告知、現(xiàn)場督導制度，全面評估風險、及時發(fā)布預警，用足管控措施。合理安排檢修工作，科學調(diào)整運行方式，突出督查高風險工作，確保風險可控。嚴格執(zhí)行信息通信系統(tǒng)檢修、運行管理規(guī)定與標準化工作規(guī)范，加強計劃剛性管理，組織作業(yè)風險評估，開展安全承載力分析，嚴格“兩票三制”執(zhí)行，強化現(xiàn)場監(jiān)督檢查。加強外包工程和施工分包安全管理，落實“同進同出”要求，強化高風險施工作業(yè)現(xiàn)場管控。研究推廣移動終端、遠程視頻監(jiān)督等安全管控手段。貫徹落實國家網(wǎng)絡安全戰(zhàn)略，圍繞“可管可控、精準防護、可視可信、智能防御”的安全策略，進一步提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，實現(xiàn)網(wǎng)絡與信息系統(tǒng)安全的可控、能控、在控。

3.6 提升信息通信應急處置能力

樹立主動應急意識，堅持先期處置原則，建立健全信息通信專業(yè)與各單位各部門間信息共享、高效協(xié)作的應急協(xié)調(diào)機制，加強對企業(yè)信息通信系統(tǒng)突發(fā)事件監(jiān)測、分析、預警及預處置工作，做到突發(fā)事件早發(fā)現(xiàn)、早報告、早處置，提高應急響應效率及風險預控能力。按照“平戰(zhàn)結合、反應快速”的原則，健全應急隊伍體系，組建應急處置隊伍，加強應急裝備配置，健全應急物資采購、倉儲、緊急調(diào)撥和快速回補機制。加強應急配套設施的維護和管理，確保設備處于完好、可用狀態(tài)，提高應急處置能力。完善信息通信總體預案、專項預案、現(xiàn)場處置方案構成的應急預案體系。建立應急演練常態(tài)機制并形成制度，滾動修訂應急演練年度計劃，通過演練不斷驗證應急預案的針對性和可操作性，提升應急隊伍指揮協(xié)調(diào)能力、專業(yè)協(xié)同能力，增強應急處置能力，確保應急處置響應迅速、保障有力、專業(yè)實效。

4 結語

為做好電力企業(yè)信息通信本質(zhì)安全管理，本文對電力企業(yè)信息通信本質(zhì)安全存在的問題進行分析，并結合本質(zhì)安全管理體系和實際工作，給出了具體的管理策略。切實提升企業(yè)信息通信專業(yè)內(nèi)在的預防和抵御事故風險的能力，全面提升信息通信專業(yè)本質(zhì)安全水平。確保信息通信本質(zhì)安全是一項艱巨繁重的發(fā)展任務，要堅持“安全第一、預防為主、綜合治理”方針，堅守發(fā)展決不能以犧牲安全為代價這條不可逾越的紅線，把隊伍建設作為安全工作的關鍵，把強化通信網(wǎng)絡結構、健壯信息系統(tǒng)架構、提高系統(tǒng)建設和運行質(zhì)量作為保障安全的物質(zhì)基礎，把標準統(tǒng)一、制度執(zhí)行、隱患治理、風險管控作為安全管理的硬約束，狠抓基層、基礎、基本功，深入開展安全管理提升活動，加強源頭治理和過程管控，健全預防為主的安全管理體系，提高信息通信專業(yè)本質(zhì)安全水平，實現(xiàn)安全可控、能控、在控。