王彬

【摘要】? ? 隨著電力泛在物聯(lián)網(wǎng)的快速發(fā)展，需進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施安全防護(hù)，提升配網(wǎng)和用電側(cè)、重要網(wǎng)站和互聯(lián)網(wǎng)等系統(tǒng)安全防護(hù)水平。以1+3工作法，形成一種優(yōu)良的網(wǎng)絡(luò)信息安全氛圍，最終實(shí)現(xiàn)零泄漏、零篡改、零入侵、零漏洞、零違規(guī)等網(wǎng)絡(luò)信息安全事件。

【關(guān)鍵字】? ? 1+3工作法? ? 網(wǎng)絡(luò)信息安全

一、網(wǎng)絡(luò)信息安全的背景與管理目標(biāo)

1、網(wǎng)絡(luò)信息安全的理念 。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全不僅包括web安全，還包括了局域網(wǎng)、廣域網(wǎng)、專網(wǎng)等網(wǎng)絡(luò)。2、網(wǎng)絡(luò)信息安全的范圍和目標(biāo)。通過(guò)廣泛宣傳，提高每位員工的網(wǎng)絡(luò)安全意識(shí)。同時(shí)，制訂安全警示卡內(nèi)外網(wǎng)電腦標(biāo)識(shí)，粘貼在每臺(tái)電腦終端上，封堵?tīng)I(yíng)業(yè)廳內(nèi)網(wǎng)專用電腦USB接口等，實(shí)現(xiàn)目標(biāo)：內(nèi)網(wǎng)終端和服務(wù)器實(shí)現(xiàn)零泄漏、零篡改、零入侵、零漏洞、零違規(guī)，注冊(cè)率和殺毒軟件安裝率實(shí)現(xiàn)了100%。

二、1+3工作法的內(nèi)涵和主要做法

2.1 1指的是完善制度，從管理上提高網(wǎng)絡(luò)信息安全

1、信息內(nèi)外網(wǎng)網(wǎng)站統(tǒng)一發(fā)布與管控、內(nèi)外網(wǎng)郵件統(tǒng)一管理與監(jiān)控。1） 對(duì)外門(mén)戶網(wǎng)站要求統(tǒng)一管理，進(jìn)行統(tǒng)一備案。嚴(yán)禁任何單位、個(gè)人在信息內(nèi)網(wǎng)設(shè)立與工作無(wú)關(guān)的娛樂(lè)、論壇、視頻等網(wǎng)站。嚴(yán)禁利用公司資源在互聯(lián)網(wǎng)上設(shè)立網(wǎng)站。嚴(yán)禁將承擔(dān)安全責(zé)任的對(duì)外網(wǎng)站托管于我公司的外部單位。2）? 嚴(yán)禁用戶使用弱口令，默認(rèn)口令要強(qiáng)制清除;嚴(yán)禁開(kāi)啟自動(dòng)轉(zhuǎn)發(fā)功能;嚴(yán)禁使用社會(huì)電子郵箱處理我公司辦公業(yè)務(wù)的行為;要及時(shí)清理注銷(xiāo)廢舊郵件帳號(hào)。

2、桌面計(jì)算機(jī)與信息設(shè)備的安全保密。1）嚴(yán)禁將涉及我公司秘密的計(jì)算機(jī)、存儲(chǔ)設(shè)備與信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴(yán)禁在連接互聯(lián)網(wǎng)的計(jì)算機(jī)上處理、存儲(chǔ)涉及我公司秘密信息;嚴(yán)禁信息內(nèi)網(wǎng)辦公計(jì)算機(jī)配置使用無(wú)線上網(wǎng)卡等無(wú)線設(shè)備;嚴(yán)禁信息內(nèi)網(wǎng)和信息外網(wǎng)計(jì)算機(jī)交叉使用;嚴(yán)禁普通移動(dòng)存儲(chǔ)介質(zhì)和掃描儀、打印機(jī)等計(jì)算機(jī)外設(shè)在信息內(nèi)網(wǎng)和信息外網(wǎng)上交叉使用。2） 加強(qiáng)對(duì)內(nèi)網(wǎng)桌面終端管理系統(tǒng)應(yīng)用，確保桌面終端計(jì)算機(jī)注冊(cè)率達(dá)到100%并與總部級(jí)聯(lián)暢通，要加強(qiáng)桌面終端管理系統(tǒng)實(shí)時(shí)監(jiān)測(cè)、終端安全情況分析與問(wèn)題處置，嚴(yán)禁基線策略不全;關(guān)閉默認(rèn)共享，杜絕終端空口令、弱口令和非法外聯(lián)的情況，嚴(yán)禁私自卸載桌面終端管理系統(tǒng)客戶端。

3、建立電子辦公設(shè)備全壽命周期管理制度。從設(shè)備的領(lǐng)取到報(bào)廢，建立一機(jī)一檔案，實(shí)行全壽命管理制度。設(shè)備出現(xiàn)故障時(shí)，由使用人向信通中心報(bào)修。維護(hù)人員按照以下維修流程進(jìn)行維修。設(shè)備不得私自拿到外部維修點(diǎn)維修，以免造成違規(guī)接入和信息泄露。

4、賬號(hào)與口令必須規(guī)范使用。1）用戶口令管理：杜絕各類(lèi)信息系統(tǒng)、桌面計(jì)算機(jī)、操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等用戶訪問(wèn)賬號(hào)和口令為空或相同。嚴(yán)禁使用默認(rèn)口令及弱口令，口令要足夠強(qiáng)?。ㄩL(zhǎng)度不得少于8位，由字符和數(shù)字或特殊字符組成），2）投運(yùn)或上線系統(tǒng)缺省賬戶口令管理：應(yīng)用軟件、系統(tǒng)正式投運(yùn)或上線后，應(yīng)指定專人進(jìn)行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶、測(cè)試賬號(hào)，杜絕弱口令。

2.2 3指的是通過(guò)廣泛宣傳、扎實(shí)推進(jìn)、互動(dòng)交流三種方法，提高全員網(wǎng)絡(luò)安全意識(shí)，培育良好網(wǎng)絡(luò)安全氛圍。

1、廣泛宣傳，培養(yǎng)員工居安思危的危機(jī)意識(shí)。公司通過(guò)廣泛宣傳網(wǎng)絡(luò)安全和信息化知識(shí)，培養(yǎng)居安思危的安全危機(jī)意識(shí);通過(guò)扎實(shí)推進(jìn)，減少網(wǎng)絡(luò)安全違規(guī)行為發(fā)生;通過(guò)互動(dòng)交流全員參與，形成良好的網(wǎng)絡(luò)信息安全氛圍。公司通過(guò)內(nèi)部網(wǎng)站、電子顯示屏、宣傳展板、答卷等形式，對(duì)違反網(wǎng)絡(luò)安全的事件和危害進(jìn)行廣泛宣傳。2、扎實(shí)推進(jìn)網(wǎng)絡(luò)安全工作，杜絕違規(guī)行為發(fā)生。信通中心通過(guò)天珣、貝信源等桌面監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)控終端電腦運(yùn)行狀態(tài)，內(nèi)網(wǎng)終端殺毒軟件安裝率和注冊(cè)率等。各部門(mén)員工在工作中遇到的各類(lèi)信息安全問(wèn)題，均可以撥打維修服務(wù)電話給予解答和輔導(dǎo)，使員工的安全思想逐步從“要我安全”向“我要安全”轉(zhuǎn)變，切實(shí)杜絕違規(guī)行為發(fā)生。3、互動(dòng)交流，形成“我要安全”的良好氛圍。我們結(jié)合工作，對(duì)在系統(tǒng)中發(fā)現(xiàn)有違規(guī)行為的IP地址，查明當(dāng)事責(zé)任人，組織培訓(xùn)。通過(guò)對(duì)安規(guī)學(xué)習(xí)，并結(jié)合生產(chǎn)工作中的實(shí)例，生動(dòng)、細(xì)致的講解，使當(dāng)事人充分意識(shí)到網(wǎng)絡(luò)信息安全違規(guī)的危害，有效彌補(bǔ)了這部分人員信息安全知識(shí)不足的短板為了培育優(yōu)良的信息安全氛圍。

三、評(píng)估與改進(jìn)

1、專業(yè)管理的評(píng)估方法。公司在終端管理過(guò)程中，開(kāi)展月、季、年信息安全分析，統(tǒng)計(jì)分析安全事件發(fā)生的原因、次數(shù)情況，安全指標(biāo)的升降的原因。逐步杜絕安全事件的發(fā)生，同業(yè)對(duì)標(biāo)中，信息安全指標(biāo)得到持續(xù)提升。

2、今后的改進(jìn)方向或?qū)Σ摺?）加大信息安全意識(shí)教育和人才培養(yǎng)，進(jìn)一步宣傳信息安全防護(hù)知識(shí)、防護(hù)措施和安全操作技能。把握國(guó)內(nèi)外最新信息安全動(dòng)向，與安全專控隊(duì)伍開(kāi)展研討、交流、協(xié)作與測(cè)評(píng)。培養(yǎng)信息安全專家，不斷提升各級(jí)從事信息安全保障人員的防護(hù)技能，營(yíng)造信息安全的良好氛圍，實(shí)現(xiàn)各環(huán)節(jié)信息安全風(fēng)險(xiǎn)管控。2）加強(qiáng)對(duì)安全事件分析，完善準(zhǔn)入系統(tǒng)，提高終端用戶網(wǎng)絡(luò)信息安全意識(shí)：加大對(duì)用戶登錄分析，指導(dǎo)信息網(wǎng)絡(luò)優(yōu)化調(diào)整，提升基礎(chǔ)管理水平;研究終端弱口令檢測(cè)功能，完善地址轉(zhuǎn)換功能，進(jìn)一步提高終端安全性和注冊(cè)率，把信息安全隱患消滅在萌芽中。