大型电网企业信息系统安全管理背景及风险防控创新成果

“十一五”期间，江西电力已建成信息系统集中部署、业务应用纵向贯通、横向集成的大型网省级信息系统支撑体系，实现了信息系统全省网络全覆盖、业务应用全覆盖、人员全覆盖的局面，为加快建设坚强智能电网，建立“三集五大”管理体系提供了信息化基础。但随着信息业务应用的日益深化，信息系统安全管理面临着严峻的挑战。

（一）保障企业信息系统可靠运行的需求

江西电力SG186信息工程建成后，46个业务信息系统全部上线，覆盖公司电力生产、营销、人资、财务、物资等业务管理及协同办公各个方面。各业务部门日常工作和管理决策高度依赖信息系统的持续、稳定、可靠和高效运行。处于安全管理考虑，对信息系统运行采取了“统一调度，分级管理”，以实现信息系统运行的可控、能控、在控。但是，业务需求不断发生变化、软件产品更新升级、系统自身存在的安全隐患、主机设备故障、网络漏洞都增加了信息系统运行的风险。

一成不变的信息系统安全管理模式已经不再适用，如何结合国家电网公司对信息系统安全工作的总体要求和实际信息系统运维工作存在的安全风险，对信息系统安全进行动态风险防控是当前江西电力信息系统安全工作的客观要求。

（二）信息系统大集中模式带来了更高的安全风险

“十一五”信息化建成之前，江西电力省、地市、县公司建立各自的业务应用系统，各自为政，部署分散。各单位亦根据各自的信息系统应用情况设置部门或班组，进行各自的软硬件系统日常维护，安全风险较分散，影响范围较小。“十一五”建成之后，江西电力信息系统集中部署，实现了数据、技术、人员三集中，有利于提高全省系统整体信息化水平，在提高系统灾难恢复能力和保证软硬件资源合理利用方面有不可替代的优越性。但是，数据、业务的集中意味着风险的集中，且集中程度越高，风险越高。一方面由于集中管理的信息系统数量剧增增加风险，另一方面经过业务的集成与数据的整合，信息系统已不仅仅是单个系统或专业的运行，势必导致信息系统应用的错误联动效应急剧增强，影响面也呈纵向横向逐级扩大，信息安全的可控性、可靠性受到前所未有的严重挑战。如何做好信息系统安全风险防控成为江西电力信息化管理工作中一个重大而严峻的课题。(www.xing528.com)

（三）构筑安全、坚强智能电网的重要保障

智能电网的本质是以信息革命的标准和技术手段大规模推动电网体系的革新和升级。信息技术是坚强智能电网的基本特征之一，构筑坚强智能电网的过程，也是信息化深化建设的过程。

根据“十二五”规划，国家电网公司总部信息化建设从SG186工程向SG-ERP转型，用以支撑智能电网各个环节。信息系统的安全稳定运行成为实现电网智能化规划、设计、建设、运营和管理的重要保障。

基于上述客观因素，江西电力作为大型电网企业，把信息系统安全视为企业的生命，确定以风险防控为中心，运用SCP理论分析模型，对信息系统安全实施全面系统的管理。