国网 晋城供电公司 山西晋城 048000
摘要:现代电力企业网络基础设施日益完善,电力信息化水平不断提高,网络规模不断扩大。然而当下的信息工作面临着身份认证安全性不高、非法操作、黑客攻击等安全问题,现有的管理体系无法实现由点到面、由浅及深的转变。本文以“五位一体”流程为核心,开展信息系统支撑能力分析,对“五位一体”业务流程、系统、进行梳理,结合“五位一体” 体系开展业务互融互通建设,通过人防与技防并重的工作思路,监管并处理两率、弱口令、违规外联等信息安全事件。进一步提升了业务协同能力, 促进信息系统业务流、信息流、数据流的可管理、可追溯,实现信息系统有效支撑“五位一体”的深化应用,促进“三集五大”体系巩固提升、高效运转。
关键词:信息安全;五位一体;三集五大
一、应用“五位一体”前管理现状及存在问题
1、企业信息系统安全指的是企业系统数据、硬件及软件,在发生威胁时,对企业的信息数据造成泄露,丢失及损坏等,或直接干扰信息管理系统的正常运行,使得系统崩溃,无法继续运行。在技术水平加快的同时,企业信息系统受到技术环境、人文环境、物理环境等多方面影响,严重威胁着系统安全。企业信息安全管理形势不容乐观,信息系统违规的风险系数较高,现有的管理体系无法实现由点到面、由浅及深的转变,存在一定的局限性。因此,迫切需要建立科学全面、系统完善的监督检查体系。
2、信息系统中具体的业务,特别是末端业务,仍然存在协同与融合问题,影响业务的运作和效率的提升。流程方面,还存在一些“真空地带”,影响业务的正常运转;制度方面,信息类通用制度已经下到第五批,但公司内部规章制度的宣贯学培还需进一步落实;标准方面,很多国家级、行业级、地方级技术标准虽然已经发布,但对其实际实施情况和适应性缺乏及时的检验评价;风控方面,目前的风控更多地体现为“提示”风险,还缺乏实实在在“管控”风险的手段;考核方面,部分业务、部分岗位还缺乏有效的绩效指标来提供正确的导向。上述问题需要我们创新“五位一体”评价手段,通过业务实际开展情况对各要素进行系统检验,促进公司信息安全管理体系真正走向持续完善。
3、网络结构日趋复杂,信息系统趋于多元化,信息产业的兴起在给人类社会带来无限发展空间和机遇的同时,也使企业安全面临前所未有的挑战。许多黑客通过计算机操作系统的漏洞和后门程序进入企业信息系统。传统的网络安全架构已经无法解决日益复杂的内网安全问题。随着企业和组织的信息化程度越来越深入、越来越广泛,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。
二、主要做法
1、以“五位一体”流程为核心,开展信息系统支撑能力分析,以“五位一体” 流程为基础,分析对应的“三集五大”职能,梳理国网公司信息化架构中设计的业务职能是否与之匹配,并进一步分析信息化企业架构中现有的业务流程是否对“三集五大” 业务职能、“五位一体” 业务流程支撑到位。
2、同步开展业务梳理,明确业务流程、步骤、岗位、系统的对应关系,明确流程所需数据项标准,落实流程到责任人。对“五位一体”业务流程、系统、进行梳理,明确流程数据权威源,流程执行步骤所需数据维护标准和数据项,强化考核,实现数据的岗位认责,有效提升业务处理的及时性,为信息安全管理打下基础。
业务流程梳理见图1。具体梳理过程:一是按照业务流程和系统间关联性,分批梳理信息系统业务流程,第一批梳理系统有桌面终端系统、IMS6000系统以及ERP 系统三个主要系统;第二批梳理系统包括第一批系统以外的其他信息系统。二是认领“五位一体”业务流程清单中属于本系统所涉及的业务流程,填写信息系统业务流程梳理岗位认责反馈表,明确业务流程各级步骤所涉及的认责岗位名称、步骤名称、规范标准等信息。三是汇总各系统反馈的业务流程清单,标记重复梳理的业务流程、未被梳理业务流程等有异议流程。信通公司和业务部门共同明确问题流程差异内容并达成一致,梳理完毕后最终版由业务流程使用部门进行确认。四是发布信息系统岗位认责业务流程清单,以此作为后续数据认责的依据,并据此开展业务系统消缺工作。
图1 业务梳理流程图
3、结合“五位一体” 体系开展业务互融互通建设以IMS6000、国网桌面终端管理系统、行为审计系统等信息化管理系统为基础,通过人防与技防并重的工作思路,开展两率、弱口令、违规外联等信息安全事件的监管、处理,为办公计算机用户提供专业技术支撑,实现信息安全事件的可控、在控、能控,充分发挥信息安全管理部门在终端入网检测、技术监督、技术应用、技术标准等方面的业务支撑作用。完善计算机终端接入、信息系统上线运行等重点业务流程,提升业务协同能力, 促进信息系统业务流、信息流、数据流的可管理、可追溯,实现信息系统有效支撑“五位一体”的深化应用,促进“三集五大”体系巩固提升、 高效运转。
三、具体案例分析
1、梳理制作班组级实用流程展板
针对系统中流程过长,查找不方便的问题,梳理制作了班组内流程展板,如“计算机终端接入作业流程”,全部流程涉及20余项关键点, 班组梳理出本班组8项关键节点,根据岗位职责确定各个岗位应对应参与的节点。根据各项制度匹配相应的标准,并将工作中的项目列入绩效系统的任务库和质量库,进一步细致完善了积分标准和积分数值。在风控方面,根据《安规》和以往工作中总结的经验教训,预判工作中的风险因素,根据每项风险制定行之有效的控制措施,有效保障信息网络安全。班组成员在工作中严格执行各岗位的职责、流程、制度、标准、绩效指标以及岗位风险,并对各项工作进行闭环管理。
2、编制专业管理办法
编制完善《计算机终端征信体系管理办法》,针对信息安全管理工作特点,征集主体为个人和单位(部门)的信息安全事件,征集数据来源由国网公司、省公司信息安全通报、信息安全专项检查结果、公司信息安全监控数据组成,以此为基础建立包含个人和单位(部门)的信息安全征信档案。信息安全征信档案通过采集、整理、保存个人和单位(部门)信息安全数据,为公司信息安全管理提供基础资料,提供信息安全风险分析,对信息安全违规行为进行预判并采取相关防护措施。规范国网晋城供电公司各级、各类用户的相关信息安全行为,使信息安全征信体系最大限度地服务于公司安全发展和信息安全风险控制,进一步提升公司全员信息安全意识,促进公司整体信息安全水平的提升。
3、统一技术支持系统建设
实现在网在运设备的集中监控,全面支撑办公计算机设备的运行情况。改变传统计算机分布广、使用人员参差不齐,应用状态管理难的状况,通过北信源桌面终端安全管控系统的安装部暑实现办公计算机终端的全面管理。推广360XP盾甲防护软件,解决windows XP系统的安全漏洞问题。积极应对微软公司停止对windows XP操作系统漏洞补丁的技术支持,下发360XP盾甲程序进行防护。推广安装计算机终端防违规外联程序,全面解决系统弱口令及违规外联事件的发生。公司统一建设、规范、推广计算机终端安全防护软件系统,进一步加强终端安全管控力度。实施标准化注册程序的推广应用,全面规范注册终端信息的完整可靠。在公司推广实施标准化注册程序,通过对需注册办公计算机终端进行注册前的准入核查,包括安装软件、系统补丁、活动帐户等情况进行检查,对不符合项列出,注册用户参考相关信息进行修改后才可进行注册,进一步规范了注册终端的信息完整可靠。
四、工作成效
1、工作效率明显提升
通过安全管理体系的重建,优化业务运作模式,业务流程通过重新梳理,计算机终端处置信息更准确、响应更高效,故障定位查找时间明显缩短、事故处理效率显著提高。从图2可以看出,显著提升了办公计算机的安全稳定运行水平,全面消除了网络内部的安全隐患。
图2 终端违规对比图
2、信息系统支撑业务能力得到提升
建立“五位一体”机制以来,公司以“五位一体”流程为基础,开展操作流程、管理办法的重梳理,梳理信息系统的支撑能力,为信息系统持续提升打下基础。
3、信息安全管理水平得到提升
构建了信息安全管理的软平台,同时应用“五位一体”协同机制,开展信息安全管理水平提升工作,实现了信息安全事件不发生、少发生,发生后可追溯,可查询,降低了信息系统的外来及内部隐患水平,提升了信息安全管理水平。促进了信息系统业务流、信息流、数据流的安全可靠,“三集五大”体系协同作用得到提高。
参考文献
[1] 王灵霞,刘永纯.网管员典藏书架:网络管理与运维实战[M].中国铁道出版社.2016
[2] 网络安全和信息化杂志社.网络安全和信息化[M].电子工业出版社.2017
[3] 阮晓龙,许成刚.网络构建与运维管理[M].中国水利水电出版社.2016
4