加强新时代国有企业机要信息安全体系理论研究

文/洪露 徐俊波 刘焜（中共国家电网有限公司党校）

一、引言

国有企业在信息化发展中，企业内部的机要信息管理就成为企业最重要的环节，必须对企业机要信息加强安全体系的管理建设，不仅可以帮助企业在新时代的信息发展中站稳脚跟，还可以快速地帮助企业建立机要信息的监管体系。因此对国有企业的机要信息的安全体系必须高度重视，保障企业内部信息的安全工作，促进企业快速发展。

二、新时代国有企业机要信息安全的现状

新时代形势下，企业信息化快速发展。国有企业的机要信息安全也受到国家的重视和关注，但是现在多数的国有企业内部的信息安全仍然处在初级阶段，还存在很多不足之处，会给企业带来不同程度的影响和损失。新时代国有企业在信息化建设过程中，大部分国有企业对信息化的安全不够重视，也不会产生危机意识，尤其是对于新时代下的网络信息安全的认识度更是达不到规定的要求，根据多数国有企业针对信息安全作出的调查可以分析出，绝大部分的国有企业的机要信息都存在安全问题，这其中主要的原因就是国有企业内部的员工和管理者对于信息化的安全意识的认识淡薄，新时代国有企业对于信息安全的安全体系还存在问题。2014年2 月27 日，国家成立了中央网络安全和信息化领导小组，标志着中国网络安全和信息化国家战略迈出了重要一步，同时也将信息安全推向了一个新的台阶。习近平总书记亲自担任组长，并在中央网络安全和信息化领导小组第一次会议上讲话中提出“没有网络安全就没有国家安全，没有信息化就没有现代化”。信息安全不仅是宏观需要，也是战略考量，这也开启了信息安全战略规划全新时代。

国家电网公司历年来对信息安全工作极其重视，并持续推进信息安全管理工作，对信息安全防护体系的推进持续加强。舒印彪董事长指出“要狠抓意识形态和保密措施，增强信息安全保障能力；信息到哪里，安全就到哪里”。寇伟总经理在迎峰度夏安全生产电视电话会议上指出“随着通信信息和信息系统在电网运行中的作用越来越凸显，利用信息攻击破坏电网安全的风险与日俱增，信息安全形势严峻”。杨晋柏副总经理在公司信息安全和信息化领导小组第五次会议上提出“要秉承总体国家安全观理念，坚守信息安全‘底线’，增强信息安全保障能力”。“十二五”和“十三五”期间，国家电网公司全面推进信息安全主动防御体系建设，建成了覆盖了总部、省、市的信息安全督查体系，实现了督查工作的“横向到边，纵向到底”。但公司信息安全漏洞隐患发现、安全内控及事件调查等技术能力有待提高，公司各单位安全防护水平参差不齐。而在现代信息攻防对抗中，任何一个节点都会影响整体信息安全，一点突破都可能导致全网危机，因此只有构建先进的面向信息安全事件与隐患调查核查的信息安全攻防对抗体系，只有构建先进的面向信息安全事件发现机制，及早处置漏洞与隐患，才能在严峻的“信息战”环境下保障企业信息系统安全稳定运行。

三、新时代国有企业机要信息安全存在的问题

（一）新时代国有企业机要信息安全体系的防护性有待加强

大部分国有企业购买了大量的保障信息安全的电子产品，但是仍然存在很多问题，针对保障国有企业的机要信息的安全体系购买的绝大多数电子设备达不到标准，很多保障信息安全的设备配置都是通过购买产品的厂家负责。其与国有企业的信息安全体系的建立没有合理地结合起来，造成新时代国有企业的安全技术防护的功能和使用的效果比较差，我国在针对国有企业安全信息的核心技术进行自主研发的发展还不稳定，缺乏信息化安全的核心技术支持，和国外的信息安全保障相比完全处于落后的状态。

当前国家电网公司信息安全架构规模大，点多面广且形势复杂，各单位分布范围较分散，对各单位落实信息安全管理基本要求、确保信息边界划分清晰等方面提出了考验以及更高的管理要求。近几年智能电网的普遍建设，发电侧及用户侧的信息边界已延伸并覆盖了智能电网的各个环节，突出了信息安全风险隐患。随着“大云物移”（即大数据、云计算、物联网、移动终端）等新技术的研究与引入，对国家电网公司信息安全提出了新的要求，也构成了新的威胁和挑战。以“大云物移”为代表的“互联信息安全＋”等新技术，以及自主研发的智能终端设备（如电动汽车、智能插座、智能电器、传感器等）的不断接入，信息安全防护对象在不断增加，致使信息安全防护的基础环境也发生了新的变化，而新的变化终将会引入新的安全风险。随着安全防护暴露面的增加，以高级持续性信息攻击为代表的新型攻击手段不断演进，如何发现新业务面临的安全威胁以及未知风险随之变得异常困难，而电力系统联系紧密、分布广泛、重要性高，一旦瘫痪影响巨大，给国家电网公司信息安全防护工作带来了严峻的挑战。

（二）新时代国有企业机要信息安全的事故难以杜绝

新时代互联网的不断发展，国有企业的信息安全保障体系也在接受者严峻的挑战，信息安全事故在国有企业发生的频率也在不断增加，国有企业的信息化建设和国有企业在新时代的信息安全保障存在很大的问题和冲突，对信息化安全的保障体系一直没有落实下去，互相进步的步伐也不一致，国有企业对于信息化的建设是很感兴趣的，而且对于信息化建设也非常有信心，因此一些机要信息的安全就无法得到保障，导致新时代国有企业的机要信息安全的事故就会持续上升，一旦发生，解决问题的周期较长，对国有企业员工和管理者的工作效率就会产生影响，还会给企业内部的员工带来一定工作压力，国有企业的信息安全保障体系的建立是否可以高效地完成和企业的员工有很重要的内在联系，企业员工对机要信息安全意识越强就会对企业的发展越有力，还可以有效地防止信息安全带来的事故危害。

例如，2016 年“双十二”之前，国家电网“电e 宝”“掌上电力”手机APP 系统被爆泄露千万用户信息的消息传来，令人震惊。涉及用户规模已经超过千万级，而且部分数据可能已经流入黑产，危害持续扩大。

目前国家电网公司对于信息安全采取的策略是保持三个同步，也即是确保公司的信息化安全建设和信息安全规划保持同步，相关基础设施的建设也要选择同步，保证两者之间的运营是同步的。对于国家电网公司的建设也应当坚持三个纳入的准则，不同级别的信息的保护纳入电网信息安全的方面，将信息安全放入到信息化进程中，对于国家电网公司的安全信息应当及时纳入整个公司的安全体系中。国家电网公司应当按照四个全面的方式对信息安全进行管理，国家电网公司应当保证公司的所有员工的全部精力。保证公司在各个方面、所有员工、一切方面进行信息安全建设。国家电网公司对于信息安全应当按照四个防止的方法进行设置，将电网公司全部的信息安全融入产业管理体系中，国家电网公司应当严格按照国家的相关信息安全法律，进行执行。所谓信息安全的四个防止，分别是人为防止信息安全的泄露，制定相关的法律制度保证信息的安全，国家电网应当设定相应的安全技术标准来防止信息的泄露，物理防止信息泄露。从而保证信息的安全。

（三）新时代国有企业机要信息管理队伍安全意识不足

现如今，国有企业机要信息缺乏一定的安全意识，互联网的快速发展，让企业的员工在对企业的机要信息进行调阅或者查看时没有足够的安全隐患，减低了企业机要信息泄露的防范心理，国有企业比较关心的问题就是机要信息的防护能力与信息的安全性，机要信息对于企业来讲，是企业的重要组成部分，一旦泄露或者丢失就会给企业带来严重的损失，甚至还会给国有企业带来灭顶之灾，必须要对企业的员工和企业的管理者加强机要信息安全的管理，提高信息安全防护意识。

国网公司从2012 年开始实施通用制度战略，各基层供电公司主管部门响应国网号召牵头制定信息通信安全管理制度，并补充发布具体实施规范、细则和要求等。其中《安全事故调查规程》明确网络与信息系统安全责任追究工作流程和事件等级划分规定，按事件级别分别由安质部、科信部牵头，按照四不放过要求开展调查、处置和通报，调查结果纳入企业负责人业绩考核及各单位同业对标考核，与各单位经济效益挂钩；《公司员工安全奖惩条例》也明确了触犯公司信息安全规定的相应经济和行政处理措施。但经过调研，部分供电公司在责任落实方面还存在以下几个问题：（1）职能和业务部门之间网络安全管理职责分工与协同机制尚需建立健全；（2）部分网络安全管理岗存在兼职情况，安全责任全面落实和工作质量有折扣；（3）同一系统存在多班组交叉管理时，每个系统缺少总安全责任人。

部分基层供电局的信息安全管理队伍还存在一些问题：（1）信息通信生产运维人员结构性缺员严重，大多数地市每年仅能保证一至两名新进员工，无法跟上员工老化、退休人数增加及人才流失速度；县公司通信人才严重不足，多数县无通信专业人员；岗位吸引力不足，高素质高水平人才流失严重，员工晋升渠道狭窄，岗位流动性不足，导致各地区通信专业运维队伍人员问题突出。（2）信息通信核心运维岗培养周期长，核心业务存在较大运行压力和运行风险。（3）缺少精尖人才，在新技术研究、大数据研究等课题上，缺乏全局研究和规划能力。（4）部分单位对进入现场的外部人员管理不到位，缺乏有效的安全资质审核。对新近的外来人员未能及时作出安全培训，易导致外来人员操作事故。（5）网络安全岗位新上岗人员尚需加强安全专业技能和业务管理培训。人员数量和质量尚无法全面支撑安全上台阶需求。

四、新时代国有企业机要信息安全存在问题的解决对策

（一）新时代国有企业机要信息安全在技术方面的提升

国有企业必须保障企业内部的信息安全，可以在服务器和主机上安装正版的安全防护软件进行保障，严禁将盗版的防护软件安装在服务器和主机上，一旦安装盗版防护软件，国有企业的信息安全就会有安全隐患，安装完正版的信息安全防护软件后，必须根据企业规定的时间进行安全检测，这样可以起到保障信息安全的效果，但也不能大意，国有企业的安全信息软件很难保证长期不出现故障，甚至还会给黑客攻击的机会，在保障国有企业信息不出现问题的情况下，可以针对国有企业重要的信息文件采取备份的方式，对企业内部的机要信息进行存档。国有企业内部的重要信息在不同时期和不同范围的重要文件产生的种类也比较多，不同的机要信息的保密程度也存在很大的差别，国有企业的领导人员和企业的员工对企业的机要信息访问的级别和权限也不一样，可以针对不同的员工或者有需要的建立相关的安全信息保障体系和措施，采用技术手段给不同的员工在查看企业的机要信息时，设立不同的访问权限，保障机要信息不流失、不泄密。互联网在国有企业中的使用量也非常惊人，使用的频率和次数也比较多，企业内部的员工可以通过企业的电脑获取各种需要用到的信息，这就给很多的不法分子带来危害国有企业信息安全的机会，信息安全就会出现危机，必须对国有企业的电脑进行网络防火墙技术的加固，还要对内网和外网的访问设置权限，还必须对信息安全进行有效的防范。随着云计算、物联网、大数据、区块链等新技术的快速发展，给信息安全工作也带来了很多新的思路。例如，运用云计算技术，一线检修人员的操作工单可以直接从手持终端传输到办公室电脑上，提高数据同步的及时性。此外，云计算配备的超级数据中心还能有效提高系统计算速度，提升用户的系统体验。再者，如果在智能电表上采用区块链技术，在一个社区内，如果发生供电故障，这些智能电表就可以确定故障范围，直接与当地变电站通信，重新规划输电路线。很多情况下这些操作可以快速完成，消费者甚至都感受不到发生了变动。

（二）新时代国有企业机要信息安全在管理方面的提升

新时代国有企业的信息安全是通过企业内部的员工进行控制和管理操作的，国有企业的信息安全体系的保障工作是企业工作中最有挑战性的一项工作，企业的信息安全没有绝对的安全，会在不经意的时间里产生问题，因此针对员工进行有效管理，还可以对能接触到机要文件的员工进行信息安全培训，提高信息安全的重要性，一旦企业掌管机要信息的员工出现离职的情况，就必须做好交接工作，对带有企业机要信息的文件和电子设备进行收回，保障信息安全。

结合国家电网公司实际情况，实施动态防御机制。各省电网公司科信部需要在防护机制上以避免成为攻击者的目标为原则。通过封装攻击入口、让攻击者看到的是一个不确定的动态变化的目标系统，使其无法采用既有的手段进行攻击，同时大幅提升攻击者的成本，从而令其放弃攻击。具体步骤如下：首先，扩大业务安全威胁感知半径。其次，对感知到的业务安全威胁进行细粒度的透视，进而分析出攻击者的来源、目标、使用工具、攻击手法及攻击过程。最后，通过动态封装、动态验证、动态混淆、动态令牌四项核心动态安全技术充分实现对企业业务、应用及数据的全程保护。

（三）新时代国有企业机要信息安全体系的建立和实施

国有企业必须对企业的信息安全体系的建立和实施有充分的认知，增强企业员工对于信息安全体系建立的重要性和提高企业员工对于信息安全的意识程度，保障信息安全体系可以在规定的时间里得到实施，建立针对外来人员对企业信息安全的攻击，还必须对国有企业的管理人员和企业的员工进行信息安全意识防护的知识传授，可以尽快地帮助企业的员工和管理者提高信息安全的认识。

体系的正常运转离不开组织的保障，组织的保障离不开人员的保障。为了体系能落地实施并长效实行，首先应该从规章制度方面建立规范支撑，使整个体系的运行严格有序。其次需要在队伍管理方面加强培训学习，以适应外部环境的挑战和变化。最后，体系的长效机制离不开对人员的鼓励和奖励，加大奖励激励力度，可激发员工的工作积极性，使体系更高效的运行。

对于规范制度保障措施而言，参与国家电网公司网络安全组织管理体系工作的人员首先应当遵守公司保密制度。其次，在遵守保密制度的基础之上，还要在日常工作中遵守工作规范，制定国家电网公司网络与信息安全漏洞和隐患发现人员安全管理要求，进一步细化工作体系、职责分工、工作内容、工作报送、队伍管理、流程管理、工作考核等内容，规范人员操作行为。同时，为了规范体系队员在漏洞挖掘过程中的合规性，制定网络安全漏洞和隐患发现工作指南，进一步规范人员隐患发现工作的安全性和工作效率。

加大奖励激励力度，为了更好地调动员工的工作积极性，对于员工在相关工作方面的突出表现以及其本人所在单位开展：工作的情况纳入积分考核，对于发现漏洞多、在专项工作中积极参与的单位予以加分奖励，分数对应年终的绩效成绩，涉及员工的个人利益以及本单位的集体利益，会直接激发员工的积极性和主动性，有助于增强体系中团队的凝聚力，激发成员的潜能。对于创新队伍管理模式而言，国家电网公司定期组织信息安全组织管理体系队伍培训工作，主要通过理论和实操形式，理论以国家信息安全法、信息安全规章制度、公司信息安全规章制度为主，从意识方面培养队员的操作合规性。实操以渗透技术实训为主，主要为新技术学习和技术交流等。培训采用邀请信息安全领域专家及业内应用系统专家授课，组织参加业内信息安全渗透技能认证考试，邀请信息安全领域较为先进的信息安全攻防队伍交流，实验环境模拟操作培训等多种方式开展。

五、结语

新时代国有企业的信息化体系的建立对企业的信息化建设的发展有很重要的作用，二者缺一不可，必须针对国有企业在新时代的信息安全进行有效的管理，加强企业的信息安全管理制度，对国有企业的信息安全建立相应的管理机制，可以帮助国有企业在针对信息安全的管理工作中顺利发展。