淺析新形式下如何提升供電企業帳號權限管控水平

劉呱呱

【摘要】 隨之信息化的快速發展，電力系統遭受黑客入侵，讓人們深刻認識到電力系統的信息安全亟不可待。而獲取系統權限是所有黑客入侵系統時首當其沖需要解決的問題，本文就如何加強電力系統帳號權限管理，提升供電企業信息安全管控水平進行探討。

【關鍵詞】 系統 賬號 權限 信息安全 供電企業

一、國內外信息安全形式

1、2015年12月，黑客用“烏克蘭大面積停電事件”告訴全球，“電力系統被黑客入侵，造成超過一半的地區斷電幾個小時[1]”將不再是美國大片中的一幕。該事件的發生，為全球工控行業敲響了警鐘，伴隨著網絡攻擊的日益猖獗，工控系統網絡也面臨著越來越多的安全威脅[2]。

2、近年來，電力企業信息化和智能化高速發展，各類高科技產品如無人巡線機、巡檢機器人、掌上APP等逐漸廣泛應用到電力生產和營銷，電力企業的信息安全將面臨新的考驗。

二、問題描述

1、隨著電力企業信息化和智能化水平的提升，特別是“SG-ERP”系統的建設[3]，電力企業信息系統帳號權限已覆蓋到公司生產、營銷、辦公等各個領域，涉及人員多，輻射范圍廣，帳號權限及規范匹配難度大，人工管理困難。

2、電力企業各類信息系統賬號管理過程中普遍存在帳號權限設置不規范，人員、賬號、權限信息不匹配，人走權留等問題。同時，系統帳號權限管理普遍存在管理執行過程中可控性差的問題，各類帳號權限異常不能及時發現和處理，給公司整體信息安全帶來很大隱患。

三、帳號權限管理措施

3.1 規范賬號管理流程

針對目前電力企業系統賬號權限管理過程中存在的問題，首先應梳理規范的管理流程，做到管理全過程，管控全方位的一體化管理，實現賬號從申請、使用、注銷全過程閉環管控。同時，應加強賬號使用過程中信息監測，做好異常及時處理。

3.1.1賬號權限的申請階段

業務部門通過在線系統自動發起賬號及權限申請請求，業務部門和人資部門相關負責人對系統中收到的請求進行逐級審核，重點對申請人個人信息、是否符合申請條件進行審查，對符合開通條件的人員信息提交信息部門進行賬號和權限分配，并做好后臺賬號權限信息記錄，對于提交的申請信息不完備、不符合申請條件的信息進行駁回處理，做到權限賬號實名制管理，便于權限賬號使用過程中問題的追查。

3.1.2賬號權限使用階段

采用技術手段限制人員訪問入口，設置固定的登錄平臺，同時，后臺數據庫做好人員登錄信息的及時記錄，便于審計。

信息運維人員應定期對系統中的人員賬號進行清理。系統中所有賬號權限應設置訪問有效期，對已過有效期沒有重新申請或修改的權限和賬號應進行定期清理，防止因人員變動造成權限和賬號未按照實名制使用造成的信息安全隱患。

3.1.3帳號權限注銷

信息部門應定期對數據庫中的賬號和權限信息進行維護，對于因長時間未登錄，或已過訪問有效期但未重新申報或者修改的權限賬號進行清理，收回相應的權限，其他賬號的停運均要求使用人發起注銷請求，通過逐級審核后由信息部門進行權限回收。

3.2 落實管理制度

1、制定信息系統賬號權限管理細則，明確賬號權限使用規范，讓持有賬號和權限的使用人明確自己的權限范圍，規范自己的行為，并制定詳細的賬號權限操作手冊，讓人員定期設置滿足安全要求的賬號權限訪問密碼，并定期進行修改。

2、制定系統后臺數據操作人員管理規范，嚴格落實賬號權限申請、使用、注銷流程，限制“走后門”開通臨時賬號權限帶來的隱患。

3、將賬號權限管理納入公司月度及年度績效，通過績效進一步約束使用人的行為，從而讓管理制度和流程落地。

四 結束語

隨著電力信息化和智能化的快速發展，電力系統未來的信息安全形勢也越來越嚴峻。對于電力企業而言，信息安全已不單是一門技術問題，更是一項管理問題[4]，如何做好信息安全管理、提升電力系統信息安全防護將任重而道遠，需要所有人員從自身做起，從正確使用系統賬號權限做起，逐步提升企業信息安全管理水平。

參 考 文 獻

[1]安天.烏克蘭電力系統遭受攻擊事件綜合分析報告.2016.02

[2]烏克蘭電網攻擊事件之所思 http：//weibo.com/ttarticle/show？id=2309403955091416728168

[3]鄭偉.烏克蘭電網攻擊事件：工控系統網絡或成黑客攻擊的新目標

[4]劉向波.新形勢下供電企業網絡終端計算機信息安全淺談[M].信息技術 2014