劉呱呱

【摘要】 隨之信息化的快速發(fā)展，電力系統(tǒng)遭受黑客入侵，讓人們深刻認(rèn)識到電力系統(tǒng)的信息安全亟不可待。而獲取系統(tǒng)權(quán)限是所有黑客入侵系統(tǒng)時(shí)首當(dāng)其沖需要解決的問題，本文就如何加強(qiáng)電力系統(tǒng)帳號權(quán)限管理，提升供電企業(yè)信息安全管控水平進(jìn)行探討。

【關(guān)鍵詞】 系統(tǒng) 賬號 權(quán)限 信息安全 供電企業(yè)

一、國內(nèi)外信息安全形式

1、2015年12月，黑客用“烏克蘭大面積停電事件”告訴全球，“電力系統(tǒng)被黑客入侵，造成超過一半的地區(qū)斷電幾個(gè)小時(shí)[1]”將不再是美國大片中的一幕。該事件的發(fā)生，為全球工控行業(yè)敲響了警鐘，伴隨著網(wǎng)絡(luò)攻擊的日益猖獗，工控系統(tǒng)網(wǎng)絡(luò)也面臨著越來越多的安全威脅[2]。

2、近年來，電力企業(yè)信息化和智能化高速發(fā)展，各類高科技產(chǎn)品如無人巡線機(jī)、巡檢機(jī)器人、掌上APP等逐漸廣泛應(yīng)用到電力生產(chǎn)和營銷，電力企業(yè)的信息安全將面臨新的考驗(yàn)。

二、問題描述

1、隨著電力企業(yè)信息化和智能化水平的提升，特別是“SG-ERP”系統(tǒng)的建設(shè)[3]，電力企業(yè)信息系統(tǒng)帳號權(quán)限已覆蓋到公司生產(chǎn)、營銷、辦公等各個(gè)領(lǐng)域，涉及人員多，輻射范圍廣，帳號權(quán)限及規(guī)范匹配難度大，人工管理困難。

2、電力企業(yè)各類信息系統(tǒng)賬號管理過程中普遍存在帳號權(quán)限設(shè)置不規(guī)范，人員、賬號、權(quán)限信息不匹配，人走權(quán)留等問題。同時(shí)，系統(tǒng)帳號權(quán)限管理普遍存在管理執(zhí)行過程中可控性差的問題，各類帳號權(quán)限異常不能及時(shí)發(fā)現(xiàn)和處理，給公司整體信息安全帶來很大隱患。

三、帳號權(quán)限管理措施

3.1 規(guī)范賬號管理流程

針對目前電力企業(yè)系統(tǒng)賬號權(quán)限管理過程中存在的問題，首先應(yīng)梳理規(guī)范的管理流程，做到管理全過程，管控全方位的一體化管理，實(shí)現(xiàn)賬號從申請、使用、注銷全過程閉環(huán)管控。同時(shí)，應(yīng)加強(qiáng)賬號使用過程中信息監(jiān)測，做好異常及時(shí)處理。

3.1.1賬號權(quán)限的申請階段

業(yè)務(wù)部門通過在線系統(tǒng)自動(dòng)發(fā)起賬號及權(quán)限申請請求，業(yè)務(wù)部門和人資部門相關(guān)負(fù)責(zé)人對系統(tǒng)中收到的請求進(jìn)行逐級審核，重點(diǎn)對申請人個(gè)人信息、是否符合申請條件進(jìn)行審查，對符合開通條件的人員信息提交信息部門進(jìn)行賬號和權(quán)限分配，并做好后臺賬號權(quán)限信息記錄，對于提交的申請信息不完備、不符合申請條件的信息進(jìn)行駁回處理，做到權(quán)限賬號實(shí)名制管理，便于權(quán)限賬號使用過程中問題的追查。

3.1.2賬號權(quán)限使用階段

采用技術(shù)手段限制人員訪問入口，設(shè)置固定的登錄平臺，同時(shí)，后臺數(shù)據(jù)庫做好人員登錄信息的及時(shí)記錄，便于審計(jì)。

信息運(yùn)維人員應(yīng)定期對系統(tǒng)中的人員賬號進(jìn)行清理。系統(tǒng)中所有賬號權(quán)限應(yīng)設(shè)置訪問有效期，對已過有效期沒有重新申請或修改的權(quán)限和賬號應(yīng)進(jìn)行定期清理，防止因人員變動(dòng)造成權(quán)限和賬號未按照實(shí)名制使用造成的信息安全隱患。

3.1.3帳號權(quán)限注銷

信息部門應(yīng)定期對數(shù)據(jù)庫中的賬號和權(quán)限信息進(jìn)行維護(hù)，對于因長時(shí)間未登錄，或已過訪問有效期但未重新申報(bào)或者修改的權(quán)限賬號進(jìn)行清理，收回相應(yīng)的權(quán)限，其他賬號的停運(yùn)均要求使用人發(fā)起注銷請求，通過逐級審核后由信息部門進(jìn)行權(quán)限回收。

3.2 落實(shí)管理制度

1、制定信息系統(tǒng)賬號權(quán)限管理細(xì)則，明確賬號權(quán)限使用規(guī)范，讓持有賬號和權(quán)限的使用人明確自己的權(quán)限范圍，規(guī)范自己的行為，并制定詳細(xì)的賬號權(quán)限操作手冊，讓人員定期設(shè)置滿足安全要求的賬號權(quán)限訪問密碼，并定期進(jìn)行修改。

2、制定系統(tǒng)后臺數(shù)據(jù)操作人員管理規(guī)范，嚴(yán)格落實(shí)賬號權(quán)限申請、使用、注銷流程，限制“走后門”開通臨時(shí)賬號權(quán)限帶來的隱患。

3、將賬號權(quán)限管理納入公司月度及年度績效，通過績效進(jìn)一步約束使用人的行為，從而讓管理制度和流程落地。

四 結(jié)束語

隨著電力信息化和智能化的快速發(fā)展，電力系統(tǒng)未來的信息安全形勢也越來越嚴(yán)峻。對于電力企業(yè)而言，信息安全已不單是一門技術(shù)問題，更是一項(xiàng)管理問題[4]，如何做好信息安全管理、提升電力系統(tǒng)信息安全防護(hù)將任重而道遠(yuǎn)，需要所有人員從自身做起，從正確使用系統(tǒng)賬號權(quán)限做起，逐步提升企業(yè)信息安全管理水平。

參 考 文 獻(xiàn)

[1]安天.烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報(bào)告.2016.02

[2]烏克蘭電網(wǎng)攻擊事件之所思 http：//weibo.com/ttarticle/show？id=2309403955091416728168

[3]鄭偉.烏克蘭電網(wǎng)攻擊事件：工控系統(tǒng)網(wǎng)絡(luò)或成黑客攻擊的新目標(biāo)

[4]劉向波.新形勢下供電企業(yè)網(wǎng)絡(luò)終端計(jì)算機(jī)信息安全淺談[M].信息技術(shù) 2014