北京市電力公司(總工程師)王少毅

 

　　4月15日，中央國家安全委員會第一次會議中強調(diào)既重視傳統(tǒng)安全，又重視非傳統(tǒng)安全，構(gòu)建包括信息安全在內(nèi)的十一個領域于一體的國家安全體系。北京市電力公司作為國家電網(wǎng)公司服務首都社會經(jīng)濟發(fā)展的窗口，是關(guān)系首都能源安全和經(jīng)濟命脈的國有重要骨干企業(yè)，負責北京地區(qū)1.64萬平方公里范圍內(nèi)的電網(wǎng)規(guī)劃建設、運行管理、電力銷售和717萬客戶的供電服務工作。

 

　　隨著信息化建設的逐步深入，公司部署的各類信息系統(tǒng)覆蓋多個管理領域和業(yè)務環(huán)節(jié)，承載了生產(chǎn)、經(jīng)營的大量業(yè)務。近年來的監(jiān)測分析表明，作為社會能源基礎產(chǎn)業(yè)的電網(wǎng)控制、電力企業(yè)業(yè)務應用、對外網(wǎng)站等系統(tǒng)已成為境內(nèi)外各類黑客組織重點攻擊目標。

 

　　長期以來，北京市電力公司堅持信息安全工作的“三個納入”，既：將等級保護納入信息安全工作、將信息安全納入信息化工作、將信息安全納入電力安全生產(chǎn)管理體系。在電力生產(chǎn)控制大區(qū)嚴格遵循“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的安全防護原則，在管理信息大區(qū)嚴格執(zhí)行“雙網(wǎng)雙機、分區(qū)分域、安全接入、動態(tài)感知、精益管理、全面防護”的主動防護策略，建立了完整的網(wǎng)絡與信息系統(tǒng)安全防護技術(shù)體系和管理體系。以嚴格落實國家信息安全等級保護為抓手，不斷深化信息安全技術(shù)應用和基礎建設，大幅提升了信息安全管控能力。著重從信息安全組織、標準、防御、督查、人才隊伍、全員教育、考核評價七個方面加強信息安全體系建設，取得了一定效果。

 

　　北京市電力公司成立兩級信息安全領導小組。在組織機構(gòu)發(fā)生調(diào)整時，同步調(diào)整信息安全領導機構(gòu)，確保信息安全工作的領導有力、責任落實。

 

　　同時成立國網(wǎng)北京信通公司，作為北京市電力公司網(wǎng)絡與信息系統(tǒng)運行維護單位，按專業(yè)設置科室班組，確保信息安全工作有序開展。成立公司“信息通信調(diào)度監(jiān)控中心”，負責全天24小時監(jiān)控網(wǎng)絡與信息系統(tǒng)運行情況和信息安全態(tài)勢，實現(xiàn)指揮協(xié)調(diào)、資源調(diào)配、應急處理、安全管理、分析預測和全景透視的全口徑管控，及時處置信息安全突發(fā)事件。

 

　　明確所屬各單位的信息化管理歸口部門，獨立設置信息通信運維班組，并在所屬單位的各部室及營業(yè)網(wǎng)點、分支辦公地點設置信息安全網(wǎng)員800余名，形成了橫向到邊、縱向到底的信息安全管控體系。四是形成一支涵蓋企業(yè)架構(gòu)、信息技術(shù)、信息安全與系統(tǒng)運行等專業(yè)組成的信息化專家團隊，并采取掛職培養(yǎng)、交流輪崗等常態(tài)化方式培養(yǎng)、選拔專業(yè)人才。

 

　　為實現(xiàn)信息安全工作閉環(huán)管理，北京市電力公司構(gòu)建了科學的標準體系并修訂完善制度。通過總結(jié)提煉、集中修訂，印發(fā)了《信息系統(tǒng)調(diào)度運行管理辦法》等26項制度，制定了網(wǎng)絡典型設計、數(shù)據(jù)中心管理規(guī)范等一系列技術(shù)標準。

 

　　編制工作流程。制定信息通信檢修管理、缺陷管理、方式管理、安全管理等22個工作流程，注重對審批、發(fā)布等環(huán)節(jié)的管控。同時推行標準化作業(yè)書。編制企業(yè)門戶、營銷系統(tǒng)等各類標準化作業(yè)書16套。對運行維護中的每一個操作環(huán)節(jié)、注意事項、突發(fā)事件處置流程均作了文圖說明，配以信息報送和操作流程表格，確保業(yè)務人員按章操作。

 

　　實現(xiàn)信息安全工作可控能控在控需要構(gòu)建完備的防御體系，扎實的開展信息系統(tǒng)等級保護建設。嚴格開展信息系統(tǒng)備案和等級保護測評工作。認真接受北京市公安局等上級單位對網(wǎng)絡與信息安全的專項檢查，對照檢查組專家提出的意見建議，積極開展整改提高工作。

 

　　同時加強隱患排查治理。將信息安全隱患排查治理納入年度安全生產(chǎn)常態(tài)工作。按照基礎設施、網(wǎng)絡安全、主機設備、應用系統(tǒng)等專業(yè)執(zhí)行73個排查項目，并進行月度排查和閉環(huán)管控。定期邀請國家級測評機構(gòu)開展信息安全風險評估。對財務資金、外網(wǎng)網(wǎng)站等系統(tǒng)開展設備配置核查、漏洞掃描、滲透測試、特種木馬檢測等工作，對整改加固成果進行驗證。

 

　　建設主動防御安全防護技術(shù)體系。開展信息系統(tǒng)安全域建設，采用防火墻、入侵檢測系統(tǒng)，進行安全域劃分和區(qū)域隔離。對公司本部、各二級單位、分支機構(gòu)間實現(xiàn)縱向邊界訪問控制，部署安全審計系統(tǒng)，全面增強安全預警應急處理能力。統(tǒng)一歸集互聯(lián)網(wǎng)出口，實現(xiàn)公司本部及所屬各單位均通過統(tǒng)一出口訪問互聯(lián)網(wǎng)，并通過部署訪問控制設備和入侵檢測、防篡改等設備實現(xiàn)對互聯(lián)網(wǎng)出口的安全防護，使訪問控制粒度達到端口級。定期進行漏洞掃描檢查，對存在漏洞和隱患的主機及時進行安全整改和加固。

 

　　加強信息系統(tǒng)全生命周期管理。采取技術(shù)措施保證開發(fā)測試環(huán)境與實際運行環(huán)境物理分離，并限定開發(fā)人員的活動范圍和行為。針對開發(fā)人員的遠程訪問實行書面審批、訪問控制、在線監(jiān)測、日志審計等管控措施。在系統(tǒng)設計階段，嚴格制定并審核安全方案，在系統(tǒng)上線前必須經(jīng)過安全測評審批，上線后定期進行等級保護測評和整改提升，在系統(tǒng)下線前進行風險評估，對數(shù)據(jù)安全進行妥善處理，確保不發(fā)生失泄密及對其它系統(tǒng)造成影響。

 

　　加強應急演練，提高響應能力。編制涵蓋各應用信息系統(tǒng)、網(wǎng)絡核心設備、基礎設施的現(xiàn)場處置方案57個。針對重大政治活動、重點時段保障開展聯(lián)合應急演練。2013年，在北京市公安局的領導下，開展了針對外網(wǎng)網(wǎng)站遭受攻擊、營銷系統(tǒng)中斷的信息網(wǎng)絡與信息系統(tǒng)聯(lián)合應急演習。通過演練不斷檢驗、修訂處置方案，提升應急隊伍處置水平。

 

　　加強重要政治供電保障的信息安全。將重大政治供電保障全過程劃定為“方案制定、排查評估、整改提高、演練沖刺、保障實戰(zhàn)”五個階段，并將信息安全工作貫穿始終，實現(xiàn)信息安全保障工作流程化、標準化。在黨的十八大等歷次重要保障任務期間，組織開展隱患排查治理，對機房基礎設施、重要系統(tǒng)進行安全加固，組織信息安全技術(shù)督查隊伍赴重要站點開展現(xiàn)場督查，執(zhí)行7*24小時運行保障制度，有效監(jiān)測、發(fā)現(xiàn)并攔截阻斷了來自境內(nèi)外的各種惡意攻擊和破壞行為。

 

　　為實現(xiàn)信息安全工作動態(tài)提升，北京市電力公司在北京電科院成立信息安全技術(shù)督查室。設置專人負責信息安全技術(shù)督查工作，每年開展2次對公司各二級單位的現(xiàn)場督查工作。實時開展內(nèi)外網(wǎng)弱口令、防病毒軟件、桌面終端管控軟件、敏感信息泄露等方面的常態(tài)督查。針對重要保障活動、信息設備規(guī)范管理等開展多項信息安全專項督查。四是從信息化標準制修訂與應用、系統(tǒng)架構(gòu)遵從情況等方面開展信息化標準督查工作。

 

　　適應公司改革發(fā)展要求，加大信息安全人才培養(yǎng)力度。每季度舉辦一次信息安全專題學習班，每年組織信息安全督查、信息安全運維等專業(yè)的脫產(chǎn)學習班，開展一次信息系統(tǒng)反事故措施普考。加大輪崗力度，實現(xiàn)公司專業(yè)人員在信息調(diào)控、運維、安全、檢修、客服等專業(yè)上輪崗。加強獎懲力度，形成競爭機制。對在國家及北京市級信息專業(yè)類考試取得證書及比賽成績突出的員工，給予業(yè)績考核和同業(yè)對標獎勵，增加晉升機會。

 

　　北京市電力公司組建信息安全紅藍隊。以北京電科院督查人員和各單位技術(shù)骨干為主體組建信息安全紅隊，開展對公司內(nèi)部網(wǎng)站和業(yè)務系統(tǒng)的漏洞挖掘及攻防滲透。以信通公司運維人員為主體組建信息藍隊，重點開展信息系統(tǒng)建轉(zhuǎn)運管控、邊界接入、安全審計、巡檢評估等多維度安全防護。同時，定期組織信息安全紅隊、藍隊開展攻防演練，驗證信息安全管理措施和技術(shù)措施的成效，全面提升公司信息安全治理水平和管理能力。

 

　　為實現(xiàn)信息安全良好氛圍，搭建信息安全教育網(wǎng)絡。通過建立信息安全專題網(wǎng)頁，編播信息安全視頻教育宣傳片，開辦信息安全意見征集信箱，為每一名員工獲取信息安全知識提供平臺。組織全員簽訂信息安全責任(承諾)書、開展信息安全知識競賽、通過調(diào)控中心定期下發(fā)信息安全提示短信，形成覆蓋全公司的信息安全教育網(wǎng)絡。

 

　　加強警示教育，增強教育針對性。開辟信息安全違章曝光臺、印發(fā)信息安全通報、公示信息安全違規(guī)事件考核結(jié)果，將各類違規(guī)事件的嚴重性、危害性宣貫到每一位員工，增強員工的信息安全責任意識。

 

　　實現(xiàn)量化考核評價，強化信息安全的考核工作機制。按年度印發(fā)《信息化工作年度考核細則》，對所屬信息化專業(yè)公司和其他二級單位采取兩套不同的管理細則，確?？冃Э己说尼槍π院涂蓤?zhí)行性。同時強化信息安全評價通報機制。運用同業(yè)對標對各單位進行量化考核。印發(fā)《信息安全與運行工作月度通報》，促進所屬各單位及時查找不足，制定落實整改措施。