电力企业信息安全征信管理体系构建的探讨

电力企业信息安全征信管理体系构建的探讨

谭丽娟申文栋张丽敏张艳菲

（国网晋城供电公司山西晋城048000）

摘要：随着行业内外信息化、自动化的快速发展，电力企业信息安全已突显其重要性。本文主要介绍了电力企业网络与信息安全形势，并对信息安全征信体系的构建做出了初步探讨。

关键词：征信；信息安全；管理体系；构建

引言

随着网络信息化的不断发展，信息技术已经渗透到电力企业的各个环节。其生产运行高度依赖网络的信息化。能否保障网络安全以及网络中信息的安全，直接影响到电力企业的发展和效益，直接关系到电力系统的安全、稳定、高效运行，一旦安全的防线被外部攻击突破并渗透，将直接威胁电力系统的生产、运行安全，进而对国家和社会造成重大损失。

一电力企业信息网络安全形势

电网是关系国计民生和国家能源安全的重要基础设施，随着网络信息化的不断发展，信息技术已经渗透到电力企业的各个环节。其生产运行高度依赖网络的信息化。能否保障网络安全以及网络中信息的安全，直接影响到电力企业的发展和效益，直接关系到电力系统的安全、稳定、高效运行，一旦安全的防线被外部攻击突破并渗透，将直接威胁电力系统的生产、运行安全，进而对国家和社会造成重大损失。

目前，国家电网公司信息安全存在较大的安全风险：一是网络攻击威胁日益增加，特别是2015年乌克兰因网络攻击造成的停电事件，利用互联网络渗透、攻击电力系统造成的破坏和损失已经成为事实。2016年，国家电网安全系统监测并拦截的互联网出口高风险攻击数量达到240万余次，比前一年增加60%，网络黑客没有一分钟放弃对国家电网信息网络重要设施的攻击，对外网网站攻击达到140万余次，比2014年增加一倍；二是网络安全边界持续扩大，信息化建设进程由电力系统、运行控制系统发展到经营管理系统，接着又发展到运行检修和营销，现在发展到有线变无线，其大量接入靠移动终端，业务拓展到电商，如电费管理系统，各种衍生网络（电动汽车、充电桩等），网络安全边界越来越广；三是网络接入用户不断增加，原来用户主要是内部用户，随着社会发展和交互方式的变更，特别是智能电表和自动缴费系统的应用，用户大量接入会出现权限、内容、数据和操作等各种风险，安全责任更加复杂。四是网络安全管理存在薄弱环节，和当前形势要求相比，公司整体的安全意识还有待大幅度提高，要统一到国家有关法律上来。

二构建信息安全征信体系的思路

针对公司目前面临的安全形势及存在的安全风险，通过对公司信息安全工作中出现的各类问题进行科学的分析，主要存在以下几个问题：一是员工信息安全意识淡薄。安全意识淡薄一直是信息安全管理的瓶颈，现在公司各单位（部门）员工使用计算机的比率已超150%，然而信息安全的防护主要手段仍是依赖于防火墙、防病毒软件等技术手段，员工没有形成主动防范意识，违规事件频繁发生，以国网晋城公司为例，2014年发生未注册、未正确安装趋势杀毒软件、弱口令等违规事件共42起，2015年发生未注册、未正确安装趋势杀毒软件、弱口令等违规事件共36起，违规事件频率较高。二是信息安全管理存在薄弱环节。目前的信息安全管理已明确各级相关管理部门及人员的职责范围，但相关的信息安全管理措施不易落实，信息安全监督考核实施不到位。三是信息安全违规事件处理零散。信息安全管理仍停留在发现一起处理一起的的被动整改状态，缺乏系统地跟踪、科学地分析、行之有效的预先防护措施，至使安全管理一直处于被动状态。

针对公司目前面临的安全形势及存在的安全风险，通过对公司信息安全工作中出现的各类问题进行科学的分析，国网晋城供电公司引入“征信”管理理念，纳入信息安全管理，形成一套科学规范的信息安全管理模式。建立“征集信用体系库”以各级信息安全通报、计算机病毒爆发次数、桌面终端等监控数据为采集依据，以每个人注册信息为采集点，对个人计算机违规行为的类型和次数实行征信积分。累计个人计算机违规行为并定期对其进行通报，形成以点带面模式。并对信息安全征信积分档案进行科学有效的分析，从而可以对公司的各类信息违规事件进行预判，及时地对公司各类安全风险进行评估，对各薄弱环节采取有效的防护措施。通过信息安全征信管理体系的构建与实施降低安全隐患，从而提升信息安全管理水平。

三构建信息安全征信体系的方法

信息安全征信体系是引入“征信”理念，构建适用于电网企业的信息安全管理体系，以《信息安全征信管理办法》为依据，以各级信息安全通报、计算机病毒爆发次数、桌面终端监控情况、系统漏洞扫描结果等为采集来源，以每个终端用户的注册信息为采集点，对各级各类违规行为进行征信积分。一是通过积分落脚点明确为每个员工个人，加强对员工的信息安全行为约束，提高全员安全意识。二是根据征信积分对个人和单位信息安全违规行为进行科学的分析，及时对各单位的安全风险进行评估预判，对其薄弱环节采取有效的防护措施，降低安全隐患。三是信息安全征信体系做为信息专业考核依据，将考核结果反馈到同业对标及业绩考核中，形成闭环考核机制，提升公司整体信息安全管理成效。

征信体系统分析模型通过采用基于历史的MBR分析方法对征信动态数据资源进行科学分析，通过数据解构、特征分析、评估预测、实施跟踪四个步骤形成闭环分析模型。数据抽取。从数据资源库中对单位、人员、类型、设备等四个维度进行数据抽取。特征分析。从四个维度分析哪些单位、哪类人员、哪台设备发生违规事件的几率较高，哪种类型的违规事件发生频率较高。评估预测。根据违规事件行为，发现信息安全管理的薄弱环节、事件触发和成因分析。例如县公司供电所发生违规行为较多、客户服务终端发生违规频次较高等。实施跟踪。依据评估预测结果，采取针对性的管理和技术措施进行完善整改，并对薄弱环节持续跟踪整改归档。例如对供电所存在的网络设备故障多发问题考虑项目储备进行更换，对违规行为多发人员加强培训等。

随着《中华人民共和国网络安全法》的正式施行，将已有的网络安全实践上升为法律制度，通过立法织牢网络安全网，为网络强国战略提供制度保障。网络和信息安全工作已经上升到国家战略的高度。作为关键信息基础设施的电力企业，其关于网络及信息安全防护问题的研究任重而道远。

参考文献：

[1]政府电子信息安全问题刍议[J].刘妍宏.行政与法.2016（10）

[2]信息安全风险管理的基本理论研究[J].杨姗姗.企业改革与管理.2015（06）

[3]信息系统风险评估方法综述[J].顾华杰.无线互联科技.2014（09）

作者简介：

谭丽娟（1975-），女，国网晋城供电公司，高级工程师，从事于信息系统管理工作.

申文栋（1978-），男，国网晋城供电公司，高级工程师，从事于信息系统管理工作.

张丽敏（1980-），女，国网晋城供电公司，高级工程师，从事于信息系统管理工作.

张艳菲（1987-），女，国网晋城供电公司，工程师，从事于信息系统管理工作.