電力企業信息通信本質安全管理體系分析

英大國際信托有限責任公司 姚曉斌

隨著信息技術的高速發展，工業化與信息化深度融合，電力行業作為國家關鍵信息基礎設施，關乎社會民生。在推動四個革命一個合作能源安全新戰略過程中，信息通信安全與電力生產安全緊密相連，同時，對信息通信安全運行提出了更高的要求。本文將對電力企業信息通信存在的問題進行分析，提出相應的安全運行管理策略，從而提高電力企業信息通信本質安全管理水平。

隨著電力企業加快數字化轉型的步伐，公司生產運營高度依賴網絡和信息系統。信息通信的安全運行直接導致電力企業經營管理事件，甚至影響電網安全運行。因此企業信息通信本質安全管理尤為重要。

1 信息通信本質安全面臨的挑戰

1.1 信息通信安全運行壓力大

當前，電力企業數字化轉型過程中對信息化提出更高要求，電力企業安全運行對信息通信安全穩定運行也提出了更為嚴格的要求。隨著信息通信系統規模和應用范圍的大幅持續增長，信息通信系統安全運行的風險不斷增加。同時電力企業對信息通信安全事件定級更加嚴格，安全考核壓力大。

1.2 網絡與信息安全形勢嚴峻

近年來，電力企業信息化程度逐步增高，同時也存在多個方面的安全風險，例如，監測并攔截互聯網出口攻擊數量大幅增加、網絡安全邊界持續擴大、網絡接入用戶不斷增多、跨地域經營、網絡結構復雜、對社會公眾提供服務、信息安全風險點和暴露面多。隨著智能電網、“互聯網+”、新電力體制改革以及新型電力系統建設逐步推進，各種新業務形態大量涌現，“大云物移”新技術深度應用，分布式電源、電動汽車等新型電力設施的接入，同時也引入了各種新的安全風險，網絡與信息安全防控難度陡增[1]。

2 信息通信本質安全存在的問題

近年來，我國電力企業信息通信系統運行總體保持安全平穩，但各類故障和事件仍時有發生，暴露出管理、系統、設備、隊伍等方面的基礎仍然薄弱，與電力企業推動能源安全新戰略的發展要求相比，還存在諸多不適應，亟須加強本質安全建設。

2.1 部分企業安全管理落實不到位

部分企業安全管理[2-5]、安全責任落實不到位屢見不鮮，安全管理粗放，制度執行不嚴，存在重業務輕安全的問題，安全壓力層層衰減。信息通信系統安全運行責任劃分不清，系統安全運行出現故障導致無人發現，待業務部門或客戶反饋才得知系統故障發生。存在安全例會記錄、安全學習記錄、工程資料等不完善，安全生產“月、周、日”例會制度建立和落實不完善，未定期組織開展班組安全日活動，部分企業日常巡檢工作還需加強等問題，同時員工的信息安全意識有待進一步提高。普通員工信息安全意識薄弱，個人終端安全防護、內/外網接入、安全U 盤使用、文件加密、郵件使用等環節易產生違規操作。

2.2 信息通信系統架構相對薄弱

信息通信業務快速發展，新能源、電動汽車、移動終端等大量新業務的出現，使系統規模大幅增長，網絡安全邊界愈加模糊，系統建設運行標準不盡統一，運行保障措施不配套；多個信息系統存在單點隱患；通信網絡存在局部結構薄弱問題[6]，部分重要站點未落實雙節點要求，單條光纜承載多條線路保護控制業務現象較為普遍；同時面對極端惡劣天氣造成的破壞，使得信息通信安全運行壓力陡增。風電、光伏等新能源快速發展，電網格局和電源結構發生重大改變，與之緊密相連的信息通信網布局和運行方式也必須同步優化與增強。

2.3 信息通信安全生產隊伍配備不到位

隨著信息通信運維范圍越來越廣，運維設備量猛增，信息通信突顯運維力量不足。針對信息通信行業人才需求較高，高端人才、技術型人才、中堅骨干人才缺乏問題仍存在，基層通信運維人員老齡化嚴重，年齡結構不合理，信息安全人員存在兼職現象。部分企業人才培養理念缺失，未制定專業人才培訓計劃，人才儲備明顯不足。特別是基層單位信息通信運維人員配備嚴重不足，崗位設置不盡規范合理，人員流失較多，員工技能水平提升受到制約[7]。

2.4 網絡及設備缺陷隱患較多

信息通信系統建設未按照總體架構進行研發建設，導致各系統建設質量不高，網絡安全設備存在使用年限較長，老化問題尤為突出，缺乏有效運維保障手段。部分單位存在一些基礎設施、電源、老舊設備等隱患，整改周期較長，需嚴格控制風險并做好應急預案。網絡安全設備存在單點隱患，部分單位隱患排查工作不夠深入，缺陷和隱患發生故障后才發現。信息通信系統、網絡設備、安全設備、主機、應用服務、中間件和數據庫存在弱口令、長期未改密碼及默認口令、已知漏洞未修復等問題[8-10]。

2.5 信息通信風險預警管控機制不健全

部分單位未開展信息通信風險預警年度、月度評估工作。存在風險預警流程不規范，管理制度不完善。信息通信運行風險預警管控機制不健全，工作流程不規范；信息通信風險預警單反饋流程不及時，反饋內容未能包括方式調整、預案編制、現場值守、應急準備等各項工作內容。

2.6 信息通信應急工作有待加強

部分單位應急演練存在“重演輕練”現象，演練未落到實處。演練內容較為固化、評估手段不完善，總體演練效果有待提升，同時存在應急物資、應急裝備缺失，不能滿足應急搶險的需要，個別單位不具備應急車輛和應急通信系統。

3 信息通信本質安全管理策略

3.1 落實安全責任嚴格制度執行

堅決落實《中華人民共和國網絡安全法》，開展網絡安全法相關法規的宣貫培訓，簽訂《網絡安全承諾書》，嚴格執行信息通信安全事故調查規程和運行安全事件報告工作要求等規范制度，落實反違章手冊，充分發揮企業安委會職能，將信息通信安全納入企業安全責任體系，確保橫到邊、縱到底、全面覆蓋、不留死角。企業分管安全的領導要對企業信息通信安全工作親自組織、親自部署、親自督導，保證安全經費投入。涉及信息通信系統規劃、設計、建設、運行、應用、管理各環節的各級領導落實分管范圍的安全責任，管業務必須管安全。全體員工自覺履行崗位安全職責，強化全方位、全過程的安全管理，杜絕責任盲區。最大程度杜絕有制度不執行、有標準不落實等違章行為，著力提高員工安全生產意識，提升安全生產水平。

3.2 夯實信息通信系統安全基礎

優化通信網絡結構和信息系統架構，嚴把可研設計審查關，深化運行分析，總結提煉運行隱患和問題解決的典型措施并及時反饋至設計環節。落實信息系統非功能性需求，按照保障業務連續性及滿足N-1 安全裕度要求，開展重要系統架構優化與運行加固，切實提升系統架構的容錯性、可靠性和健壯性，實現故障處理從“搶修-恢復”到“隔離-保障”的轉變。完善基礎光纜網架，根據實際需要，業務通道按照“雙設備、雙路由、雙電源”原則，提高通信網抵御多重故障和嚴重災害的能力。嚴格執行信息通信系統建設及驗收投運相關管理規定，落實建管、設計、施工、監理單位安全責任。嚴格執行安全措施與信息化項目同步規劃、同步建設和同步投入運行的要求，落實信息通信工程建設標準化要求。嚴格施工現場安全管理，規范作業審批，加強現場監督，提升工程質量，強化技術交底，落實運維責任，優化運行方式，更新運行資料，嚴格工程交接驗收，實現“零缺陷”投運。嚴格設備準入審查、招標選型、工程安裝、運行維護等全過程質量控制和監督，推進公司信息通信設備國產化。建立全過程溝通協調機制，共享設備質量信息及項目質量信息，建立設備供應商黑名單制度和質量責任追溯制度，健全項目評價反饋機制與信息化廠商評價體系。嚴格執行系統功能性測評、非功能性測評和安全測試，加強第三方測試中信息系統與信息安全網絡隔離裝置的集成測試，滿足實際應用需求。

3.3 加強安全生產隊伍建設

構建年齡結構優、知識結構優、專業技術優、人才梯隊優的人才隊伍，組織學習信息通信安全事故調查規程和運行安全事件報告工作要求等規范制度，加強新版調規和事件報告學習，極大提升了員工安全風險意識、遵章作業意識、自我保護意識及安全技能水平，積極參與網絡安全攻防演練，提升網絡安全人員技術水平。與所有第三方人員簽訂了《網絡安全承諾書》及《保密協議》，加強信息化建設運維人員管理。強化網絡與信息安全專業隊伍建設，加強網絡安全紅藍隊和督查人員的技能培訓與選拔培養，提升技術能力和裝備配備，強化網絡安全裝備配置，著力提升網絡實戰、隱患發現、事件調查等能力。強化網絡攻擊監測、日志審計和關聯分析，提高對各類攻擊威脅和安全事件的及時發現、應急處置、精準溯源的能力。擴大藍隊防護覆蓋面，進一步加強紅藍隊信息共享和溝通協作，形成網絡安全管理、防護和支撐保障的工作合力。加強外委人員安全管理。強化外委人員準入管理，實行“黑名單”和“負面清單”管理，嚴格資質審查，嚴格培訓考試，建立人員檔案，建立清退機制。堅持外委人員與主業人員同標準、同要求，嚴格安全交底，嚴格現場監督。加強供應鏈全過程安全審查，強化服務商風險管控，確保服務商提供的產品和服務合法合規。推進安全文化宣傳、培訓、推廣，使全體員工牢固樹立“大安全”觀。將信息通信安全納入各級各類培訓，培養安全行為習慣，提升員工安全素養。加強信息通信安全宣傳，樹立先進典型，加強班組建設，激活員工和組織活力，營造濃厚的安全生產氛圍。

3.4 深化缺陷隱患排查治理

嚴格落實信息系統研發管理規范，統籌業務需求，適應新形勢特點，遵循架構引領、需求驅動、標準指導、過程管控的原則，保證信息系統功能和性能符合業務要求。在開發過程中應同步開展代碼檢查和測試，建立代碼審查機制、漏洞補丁機制、安全測試機制、數據安全機制，要求代碼結構清晰、合理，運行高效、安全，在滿足功能需求的前提下使系統安全高效、易于維護。組織編制了信息系統運行方式，嚴格審核項目資料，落實信息系統運維責任；開展自建信息系統運行安全評價，提升系統運行水平；嚴格執行安全措施與信息通信項目同步規劃、同步建設和同步投入運行的要求。同時健全缺陷發現、分析、跟蹤、消除快速響應機制，一旦發現缺陷，應盡快消除，防止缺陷發展為故障；建立廠商快速響應機制，保障缺陷快速、準確消除；嚴格執行安全隱患排查治理相關制度，加強網絡安全隱患排查和問題治理工作力度，定期開展隱患排查工作，做到及早發現、消除安全隱患。建立信息化軟硬件缺陷隱患檔案表，預防系統性缺陷的發生；全面梳理網絡安全邊界，嚴格系統、設備、端口測評備案，優化防護策略，消除漏洞隱患；開展弱口令及已知漏洞未修復等問題的深化治理，全面掃描信息通信系統及設備，徹底消除安全隱患。

3.5 加強信息通信運行風險預警管理

強化風險“全面評估、先降后控”，嚴格執行“統一管理，分級負責”的預警預控原則，嚴格執行風險預警審批、報告與告知、現場督導制度，全面評估風險、及時發布預警，用足管控措施。合理安排檢修工作，科學調整運行方式，突出督查高風險工作，確保風險可控。嚴格執行信息通信系統檢修、運行管理規定與標準化工作規范，加強計劃剛性管理，組織作業風險評估，開展安全承載力分析，嚴格“兩票三制”執行，強化現場監督檢查。加強外包工程和施工分包安全管理，落實“同進同出”要求，強化高風險施工作業現場管控。研究推廣移動終端、遠程視頻監督等安全管控手段。貫徹落實國家網絡安全戰略，圍繞“可管可控、精準防護、可視可信、智能防御”的安全策略，進一步提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，實現網絡與信息系統安全的可控、能控、在控。

3.6 提升信息通信應急處置能力

樹立主動應急意識，堅持先期處置原則，建立健全信息通信專業與各單位各部門間信息共享、高效協作的應急協調機制，加強對企業信息通信系統突發事件監測、分析、預警及預處置工作，做到突發事件早發現、早報告、早處置，提高應急響應效率及風險預控能力。按照“平戰結合、反應快速”的原則，健全應急隊伍體系，組建應急處置隊伍，加強應急裝備配置，健全應急物資采購、倉儲、緊急調撥和快速回補機制。加強應急配套設施的維護和管理，確保設備處于完好、可用狀態，提高應急處置能力。完善信息通信總體預案、專項預案、現場處置方案構成的應急預案體系。建立應急演練常態機制并形成制度，滾動修訂應急演練年度計劃，通過演練不斷驗證應急預案的針對性和可操作性，提升應急隊伍指揮協調能力、專業協同能力，增強應急處置能力，確保應急處置響應迅速、保障有力、專業實效。

4 結語

為做好電力企業信息通信本質安全管理，本文對電力企業信息通信本質安全存在的問題進行分析，并結合本質安全管理體系和實際工作，給出了具體的管理策略。切實提升企業信息通信專業內在的預防和抵御事故風險的能力，全面提升信息通信專業本質安全水平。確保信息通信本質安全是一項艱巨繁重的發展任務，要堅持“安全第一、預防為主、綜合治理”方針，堅守發展決不能以犧牲安全為代價這條不可逾越的紅線，把隊伍建設作為安全工作的關鍵，把強化通信網絡結構、健壯信息系統架構、提高系統建設和運行質量作為保障安全的物質基礎，把標準統一、制度執行、隱患治理、風險管控作為安全管理的硬約束，狠抓基層、基礎、基本功，深入開展安全管理提升活動，加強源頭治理和過程管控，健全預防為主的安全管理體系，提高信息通信專業本質安全水平，實現安全可控、能控、在控。