李瑞基
国网白银供电公司互联网部,甘肃 白银 730900
摘要:随着云计算、大数据、移动互联网、物联网等新兴IT技术的发展,新的蠕虫病毒及黑客攻击形态层出不穷,信息安全的威胁正变得更加智能化和复杂化。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取等等这些信息基础设施的安全隐患,成为我们电力企业需日益面临的威胁与风险。建立一个机制严谨、有法可依的制度体系,打造一支管理缜密、技术精湛的信息安全运维队伍,全面提升企业员工信息安全的风险意识及防范能力显得很有必要。
关键词:安全运维;信息安全;覆盖
一、信息网络安全问题描述
公司信息网络安全管理存在问题,信息网络安全工作开展困难。
一是部分单位管理层对信息安全重视程度不够。公司要求各单位要完善计算机设备的警示标语,办公计算机必须安装信息安全屏保、桌面管理等安全管理软件,但仍有部分单位对公司的规定和要求不重视。
二是员工信息安全意识普遍不强。宣传教育只是提升信息安全意识的外在推力,提升信息安全意识主要在于员工自身的内在因素,大部分员工觉得信息安全与自己无关,使得弱口令、违规外联等事件时有发生。
三是个别技术人员对信息安全把关不严,措施落实不到位。个别技术人员图一时清闲,对设备的安全措施制定不合理,导致后续问题频繁出现,虽未造成严重后果,但也反映出信息安全队伍中有不稳定因素。
二、信息网络安全运维三级网的构建
结合公司信息安全三级网防护体系建设的工作需要,从信息安全体系建立、管理措施和技术措施三个方面构建信息安全管控三级网络体系。
1.体系建立:健全信息安全组织领导架构、管理理架构及技术架构;细化国家、国网、省公司有关制度,健全规章制度、技术标准、岗位职责体系;制定符合公司实际情况的信息安全管理流程,形成一套完备的信息安全三级网络管理体系。
(1)组织架构图
.png)
(2)信息安全运维三级网络职责说明
第一层级:市公司级
.png)
按照信息安全领导小组的各项要求,统筹规划网络安全管理方案,制定各项信息安全管理制度并监督执行。组织有关人员讨论信息安全管理各关键环节的注意事项,制定实施细则。
.png)
按照信息网络安全的需求,组织一年两次全公司信息安全培训工作,组织班组信息安全培训。分析指标薄弱环节,提出整改措施,督促各项安全管理措施、技术的措施的落实,协调解决指标监控中发现的问题。
.png)
负责防火墙、交换机、路由器等网络设备安全策略配置的审核,提出优化建议,负责信息内外网终端设备接入安全性、合理性的审核。
.png)
负责指标监控,合理配置防火墙、交换机、路由器等网络设备,部署安全策略,清除无用配置信息,提升设备安全性。严格执行网络设备和终端入网流程,进行网络设备配置文件归档工作,捕捉网络异常流量,分析原因,排除隐患。
.png)
负责维护公司的计算机、打印机等终端设备,按照终端安全管理策略,安装终端安全管理软件、杀毒软件,监督终端安全管理制度的执行,把控终端信息安全工作。
第二层级:基层单位及县公司级
.png)
负责本单位信息安全运维监督工作,负责本单位信息通信终端设备管理,负责信息通信机房巡视,负责信息安全培训工作。将公司信息安全相关政策、规定宣传到每个人。负责公司委派至本单位(或片区)外来计算机运维人员的安全教育与监督。负责信息安全事件调查工作。
.png)
负责县公司信息安全运维监督工作,负责县公司信息通信终端设备管理及信息通信机房巡视。负责信息安全培训工作,负责公司委派至本单位(或片区)外来计算机运维人员的安全教育与监督。负责信息安全事件调查工作。
第三层级:基层班组级
.png)
负责信息安全培训工作,负责所属办公场所信息设备的安全巡视及管理,协助信息安全事件调查及分析。
.png)
负责参加地市公司层面一年两次信息安全培训工作,并在培训完成后将公司信息安全相关政策、规定宣传到各自班组。负责所属办公场所信息设备的安全巡视及管理,协助信息安全事件调查及分析。
2.分级培训:按市、县、班组三级不同的岗位职责及技术需求,对症下药,按需进行层级培训,研究创新形式多样、丰富多彩的宣传培训方式,营造良好的信息安全学习氛围,形成一套完善的信息安全宣传培训体系。
一是“开源引流”创新技术培训。信通公司引进外部师资技术力量,进行新一轮信息通信技术骨干培训,强化信息通信新技术、新科技的应用工作。为进一步提升信息通信运检人员的安全运维技能水平,拓宽知识视野,信息通信公司结合信通安全运维工作实际,特邀请省公司信息安全技术专家及设备供应厂商进行信息通运维新技术培训工作。主要包括服务器硬件介绍、Windows操作系统安全加固、Linux操作系统安全加固、Phython编程;SDH传输原理、组网原理、故障判断;OLT、PTN等新技术介绍;以及TMS通信管理系统深化应用培训。与以往培训方式不同的是,本次培训注重信息通信技术骨干人员的技术更新及拓展,注重实际操练和互动,运维人员结合实际工作中的问题在培训过程中提出问题并采取讨论引导方式获得问题答案。
二是“肥水自流”充实技术培训。发挥“内部兼职培训师”的作用,召集公司专家人才队伍,进行“查漏补缺”式的针对性强的信通运检人员的专业运维技能培训,夯实专业基础能力、锻炼实际操作技能,提高了公司信息通信安全运维水平。
三是“量体定制”按需开展培训。针对基层单位及县公司信息管理人员、基层班组信息管理人员开展不同层面的技术培训及信息安全知识宣贯,营造人人讲信息安全、人人懂信息安全的良好氛围。
3.责任落实:按市、县、班组三级网络安全管理体系,从管理上、技术上严格落实信息安全“分区、分级、分域”的总体防护策略,梳理网络边界,加强边界管理,优化安全策略,确保安全策略有效、实用,通过桌面管理系统、网络准入系统、安全审计系统、入侵检测系统、病毒防护系统从信息安全技术方面构建全方位的信息安全技术防护体系。
三、效果和经验
白银公司建立了以互联网部为主导的信息通信安全运维三级监督网络体系,通过公司级、基层单位(及县)级、班组级三级不同层面的岗位设立及安全监控,全面加强公司市、县、班组三级信息通信安全运维的一体化管理,明确各层级信息通信安全运维责任,加强员工信息安全知识培训、宣传,严格落实交换机IP/MAC端口绑定措施,全面做好桌面管理系统、防病毒系统、网络准入系统应用,警示员工不碰信息安全红线。
通过建立自上而下的信息网络安全三级网运维体系,各级人员各负其责,发挥三网网的职能,建立一个常态化的信息通信安全运维管理机制,进一步提升公司信息网络安全管控水平。
参考文献
[1]陈龙, 郝悍勇, 巢玉坚,等. 基于大数据的电力信息网络智能风险预警策略研究及应用[J]. 电力信息与通信技术, 2019, 000(001):P.18-24.
[2] 梁军士, 袁金丽, 陈建新. 基于大数据技术的信息运维监管系统应用与研究[J]. 工程技术(全文版):00296-00296.
[3] 王妍, 吕遒健, 马秀. 面向国产生态的网络安全事件运维技术研究[J]. 信息安全研究, 2020(10).
作者简介:李瑞基(1984年5月),女,甘肃景泰,研究生,工程师,从事信息系统及网络运维技术工作。