電力行業(yè)信息安全水平常態(tài)督查研究

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了電力行業(yè)信息安全水平常態(tài)督查研究范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：針對(duì)電力行業(yè)網(wǎng)絡(luò)和信息安全指數(shù)，改進(jìn)信息安全常態(tài)督查模式，本文提出建立隱患漏洞庫(kù)，發(fā)送警示牌、通知單，編寫(xiě)通報(bào)等方式建立實(shí)時(shí)監(jiān)控、及時(shí)整改、定期通報(bào)的閉環(huán)工作機(jī)制，有效解決了信息安全監(jiān)控不全面、漏洞發(fā)現(xiàn)不及時(shí)、隱患整改不徹底、問(wèn)題通報(bào)不到位等常態(tài)督查問(wèn)題，做到信息安全預(yù)防、監(jiān)控、整改不留死角，有效增強(qiáng)了信息安全管控力度，提升了網(wǎng)絡(luò)與信息安全水平。

關(guān)鍵詞：督查模式；網(wǎng)絡(luò)；信息安全

1信息安全隱患漏洞庫(kù)

對(duì)信息安全督查發(fā)現(xiàn)的各類(lèi)安全隱患漏洞進(jìn)行梳理歸納，利用信息化手段建立全省統(tǒng)一的信息安全隱患漏洞電子檔案庫(kù)，并收集隱患漏洞治理各環(huán)節(jié)相關(guān)記錄文檔比如治理方案、治理報(bào)告、現(xiàn)場(chǎng)照片、會(huì)議紀(jì)要等。根據(jù)可能造成的事故后果，信息安全隱患漏洞分為重大隱患漏洞和一般隱患漏洞兩個(gè)等級(jí)。同時(shí)隱患漏洞分為技術(shù)和管理兩大類(lèi)，其中技術(shù)類(lèi)具體分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全5個(gè)子類(lèi)，管理類(lèi)分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理，系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理5個(gè)子類(lèi)。通過(guò)建立信息安全隱患漏洞電子檔案庫(kù)，實(shí)現(xiàn)對(duì)各類(lèi)隱患漏洞的統(tǒng)一管理，并實(shí)現(xiàn)信息安全隱患排查治理工作的共享，使檔案庫(kù)成為隱患排查治理的經(jīng)驗(yàn)庫(kù)、知識(shí)庫(kù)，確保好的經(jīng)驗(yàn)和做法可以有效積累與傳播，顯著提升隱患漏洞排查治理效率，使信息安全隱患漏洞排查治理工作整體水平再上新臺(tái)階。

2信息安全督查紅黃牌

為強(qiáng)化隱患漏洞閉環(huán)管理流程，督促各單位及時(shí)整改安全督查中發(fā)現(xiàn)的信息系統(tǒng)漏洞及缺陷隱患，制定信息安全督查紅黃牌整改督辦機(jī)制。黃牌發(fā)送條件：安全問(wèn)題未在規(guī)定限期內(nèi)完成整改，或安全問(wèn)題在2個(gè)月內(nèi)重復(fù)發(fā)生，或省公司認(rèn)定需發(fā)放黃牌的安全問(wèn)題；紅牌發(fā)送條件：對(duì)發(fā)放黃牌進(jìn)行督辦的安全問(wèn)題，如督辦期內(nèi)仍未整改，則發(fā)放紅牌。通過(guò)執(zhí)行信息安全督查紅黃牌整改督辦機(jī)制，做到了“問(wèn)題未消除絕不放過(guò)”，實(shí)現(xiàn)了隱患漏洞的快速、閉環(huán)整改。

3信息安全督查通知單

3.1信息安全技術(shù)督查工作任務(wù)單

對(duì)信息安全常態(tài)督查中需要各單位開(kāi)展或配合開(kāi)展的工作，協(xié)助省公司以工作任務(wù)單的形式通知相關(guān)單位。任務(wù)單中明確了承擔(dān)單位和配合單位，并對(duì)工作內(nèi)容、工作要求及需要報(bào)送的材料等信息進(jìn)行了描述。通過(guò)執(zhí)行工作任務(wù)單機(jī)制，實(shí)現(xiàn)了信息安全常態(tài)督查各項(xiàng)工作下達(dá)、反饋的統(tǒng)一規(guī)范管理，同時(shí)由省公司將工作任務(wù)單完成情況納入對(duì)各單位的績(jī)效考核，顯著提升工作效率和質(zhì)量，確保各項(xiàng)工作能按時(shí)按要求完成。

3.2信息安全技術(shù)督查預(yù)警單

為充分發(fā)揮信息安全預(yù)警機(jī)制在信息系統(tǒng)安全穩(wěn)定運(yùn)行中的重要作用，拓展信息安全常態(tài)督查工作內(nèi)容，督查隊(duì)伍實(shí)時(shí)關(guān)注互聯(lián)網(wǎng)、微信公眾號(hào)上曝光的各類(lèi)高危安全漏洞，并針對(duì)涉及省公司的漏洞及時(shí)信息安全技術(shù)督查預(yù)警單，協(xié)助省公司組織各單位進(jìn)行排查整改，并通過(guò)反饋單形式督查各單位整改完成情況，實(shí)現(xiàn)了對(duì)信息安全突發(fā)漏洞的閉環(huán)管理。通過(guò)開(kāi)展信息安全預(yù)警工作，實(shí)現(xiàn)了對(duì)現(xiàn)有信息安全督查技術(shù)手段與互聯(lián)網(wǎng)信息安全資源的有效整合，在信息安全漏洞處理上化被動(dòng)為主動(dòng)，提升了安全漏洞整改工作的及時(shí)性。

3.3信息安全技術(shù)督查整改通知單

根據(jù)公司信息安全要求，對(duì)信息安全常態(tài)督查內(nèi)容進(jìn)行調(diào)整，形成了包括信息內(nèi)網(wǎng)桌面終端注冊(cè)情況、信息內(nèi)網(wǎng)防病毒軟件安裝情況、信息內(nèi)網(wǎng)弱口令情況、信息內(nèi)網(wǎng)違規(guī)外聯(lián)情況等17類(lèi)指標(biāo)。由信息安全督查隊(duì)伍每日對(duì)上述17類(lèi)指標(biāo)進(jìn)行監(jiān)控，發(fā)現(xiàn)問(wèn)題指標(biāo)后，及時(shí)向問(wèn)題單位發(fā)送信息安全技術(shù)督查整改通知單，并要求問(wèn)題單位限期反饋整改情況。通過(guò)執(zhí)行信息安全技術(shù)督查整改通知單機(jī)制，有效解決了安全監(jiān)控不全面、漏洞發(fā)現(xiàn)不及時(shí)的問(wèn)題，顯著提升了桌面終端注冊(cè)率、防病毒軟件安裝率等指標(biāo)，確保第一時(shí)間發(fā)現(xiàn)各類(lèi)信息安全惡意攻擊并組織攔截。

4信息安全督查通報(bào)

4.1信息安全技術(shù)督查周報(bào)

督查隊(duì)伍根據(jù)每日指標(biāo)監(jiān)控情況，定期編寫(xiě)信息安全技術(shù)督查周報(bào)，對(duì)本周發(fā)生的信息安全事件進(jìn)行分析，提出工作建議，并由省公司在生產(chǎn)調(diào)度例會(huì)上進(jìn)行工作通報(bào)。信息安全技術(shù)督查周報(bào)包括桌面終端注冊(cè)率、防病毒軟件安裝率等信息安全指標(biāo)，IDS、防火墻、內(nèi)外網(wǎng)邊界安全檢測(cè)系統(tǒng)等高級(jí)攻擊事件，整改通知單、紅黃牌、預(yù)警單下發(fā)及反饋情況，信息安全工作建議等內(nèi)容。通過(guò)執(zhí)行信息安全技術(shù)督查周報(bào)機(jī)制，每周對(duì)信息安全態(tài)勢(shì)、常態(tài)督查工作情況進(jìn)行分析總結(jié)，實(shí)現(xiàn)了對(duì)信息安全常態(tài)督查發(fā)現(xiàn)問(wèn)題的及時(shí)通報(bào)和整改進(jìn)度全過(guò)程監(jiān)督。

4.2信息安全通報(bào)

督查隊(duì)伍根據(jù)信息安全整體態(tài)勢(shì)和信息安全督查工作情況，編寫(xiě)月度信息安全通報(bào)，對(duì)各單位月度信息安全指標(biāo)排名得分、信息安全事件、整改通知單反饋情況進(jìn)行通報(bào)，針對(duì)發(fā)生的共性和個(gè)性問(wèn)題提出整改措施和建議。并由省公司發(fā)文，通過(guò)協(xié)同辦公系統(tǒng)下發(fā)至各單位。月度信息安全通報(bào)具體包括安全態(tài)勢(shì)綜述、桌面終端安全監(jiān)測(cè)情況、外網(wǎng)郵件安全監(jiān)測(cè)情況、信息內(nèi)網(wǎng)安全事件監(jiān)測(cè)情況等12部分內(nèi)容。通過(guò)執(zhí)行信息安全通報(bào)機(jī)制，實(shí)現(xiàn)了對(duì)信息安全常態(tài)督查發(fā)現(xiàn)問(wèn)題的及時(shí)通報(bào)，形成激勵(lì)約束機(jī)制，有效提高各單位積極性和主動(dòng)性，使各基層單位能及時(shí)掌握本單位信息安全狀況，并認(rèn)真落實(shí)各項(xiàng)整改措施。

4.3網(wǎng)站及應(yīng)用系統(tǒng)安全月度檢查報(bào)告

督查人員每月對(duì)省公司信息內(nèi)外網(wǎng)網(wǎng)站及應(yīng)用系統(tǒng)進(jìn)行安全巡檢并編制檢查報(bào)告。主要內(nèi)容包括通過(guò)web應(yīng)用掃描和手工滲透方式對(duì)安全漏洞特別是新曝光漏洞進(jìn)行挖掘，對(duì)邊界防火墻安全策略合理性進(jìn)行審核，對(duì)系統(tǒng)備案情況進(jìn)行檢查，對(duì)IRS系統(tǒng)中信息系統(tǒng)等級(jí)保護(hù)防護(hù)情況及等級(jí)保護(hù)工作開(kāi)展情況進(jìn)行檢查。通過(guò)開(kāi)展網(wǎng)站及應(yīng)用系統(tǒng)常態(tài)安全巡檢，督查隊(duì)伍全面掌握了管理信息系統(tǒng)的動(dòng)態(tài)安全狀況，為消除安全隱患漏洞提供了有力技術(shù)支持，為每月信息安全首發(fā)漏洞申報(bào)工作提供了基礎(chǔ)數(shù)據(jù)，并有效避免因安全漏洞發(fā)現(xiàn)不及時(shí)被外部單位社會(huì)網(wǎng)站曝光。

4.4信息安全技術(shù)督查年度通報(bào)

每年年初，信息安全技術(shù)督查單位根據(jù)上一年度信息安全技術(shù)督查工作開(kāi)展情況編寫(xiě)信息安全技術(shù)督查年度通報(bào)，對(duì)上一年度省公司信息安全總體態(tài)勢(shì)進(jìn)行分析，對(duì)暴露出的信息安全事件、隱患漏洞及其整改情況進(jìn)行匯總分析，提出工作建議，同時(shí)提出當(dāng)年信息安全督查工作思路，并在省公司信息通信工作年會(huì)上進(jìn)行通報(bào)。通過(guò)執(zhí)行信息安全技術(shù)督查年度通報(bào)機(jī)制，有效掌握省公司信息安全總體態(tài)勢(shì)，為信息安全常態(tài)督查模式的動(dòng)態(tài)調(diào)整與持續(xù)改進(jìn)，進(jìn)一步提升網(wǎng)絡(luò)與信息安全水平打下堅(jiān)實(shí)基礎(chǔ)。

5評(píng)估與改進(jìn)

通過(guò)構(gòu)建立足實(shí)際、動(dòng)態(tài)調(diào)整、持續(xù)改進(jìn)的信息安全常態(tài)督查模式，信息安全技術(shù)督查單位有效解決了信息安全監(jiān)控不全面、漏洞發(fā)現(xiàn)不及時(shí)、隱患整改不徹底、問(wèn)題通報(bào)不到位等常態(tài)督查問(wèn)題，信息安全常態(tài)督查工作建立了“實(shí)時(shí)監(jiān)控、及時(shí)整改、定期通報(bào)”的閉環(huán)工作機(jī)制，確保了信息安全預(yù)防、監(jiān)控、整改不留死角，網(wǎng)絡(luò)與信息安全整體水平顯著提升。為保證改進(jìn)信息安全常態(tài)督查模式正常運(yùn)行需要完備信息安全督查工具，特別是攻擊滲透、漏洞挖掘方面的工具，同時(shí)還要加強(qiáng)信息安全督查隊(duì)伍在安全攻防、漏洞挖掘與修復(fù)方面的知識(shí)儲(chǔ)備，進(jìn)一步提升專(zhuān)業(yè)技術(shù)能力。

6應(yīng)用情況

2015年12月，信息安全督查隊(duì)伍通過(guò)實(shí)時(shí)關(guān)注互聯(lián)網(wǎng)信息安全資源開(kāi)展信息安全預(yù)警時(shí)，發(fā)現(xiàn)最新曝光的Java反序列化漏洞，立即著手研究漏洞發(fā)現(xiàn)方法，并及時(shí)下發(fā)Java反序列化漏洞預(yù)警單，經(jīng)過(guò)排查發(fā)現(xiàn)存在Java反序列化漏洞，隨后立即組織信息安全督查人員研究漏洞修復(fù)方法，在確保信息系統(tǒng)安全穩(wěn)定運(yùn)行的前提下，迅速完成漏洞的修復(fù)工作，并積累了寶貴的經(jīng)驗(yàn)。2016年2月在國(guó)家電網(wǎng)有限公司漏洞專(zhuān)項(xiàng)整改工作視頻會(huì)議上就Java反序列化漏洞利用、修補(bǔ)過(guò)程進(jìn)行了演示與講解，取得了良好效果，受到一致好評(píng)。

7結(jié)束語(yǔ)

改進(jìn)的信息安全技術(shù)督查模式能夠?yàn)殡娏ζ髽I(yè)和電網(wǎng)的安全運(yùn)行提供保障，但在管理的過(guò)程中需根據(jù)技術(shù)要求和企業(yè)發(fā)展制定相關(guān)規(guī)定，從而使得督查管理制度適應(yīng)并能夠促進(jìn)企業(yè)的發(fā)展[2]。

參考文獻(xiàn)：

[1]肖玲魁.電力信息、通信技術(shù)監(jiān)督管理研究[J].中國(guó)高新技術(shù)企業(yè)，2016，33:179-180.

[2]任天成，劉晗，馬德凱，等.省級(jí)電網(wǎng)通信技術(shù)監(jiān)督工作體系研究[J].山東電力技術(shù)，2016，233(43):33-36.

作者：劉偉娜 董娜 侯波濤 賈增周 單位：國(guó)網(wǎng)河北省電力有限公司電力科學(xué)研究院