1、2017 年度信息通信工作總結一、年度工作開展情況（一）落實安全責任嚴格制度執行為貫徹“ 安全第 一、 預防為主、 綜合治理”的安全生產方針， 公司修訂和發布了 研發安全管理辦法 、數據安全管理辦法 等安全制度， 嚴格落實安全責任制， 做到安全生產以規可依。 公司設立安全生產委員會領導公司安全生產工作， 主任由公司總經理擔任 ， 常務副主任由公司分管安全副總經理擔任， 成員由公司分管業務、 技術副總經理及各一 級部門負責人組成 。 公司安全生產一 貫堅持 “ 管業務必須管安全”的原則 ， 各部門設立安全員， 多措并舉強化本質安全。（ 二 ） 加強安全生產隊伍建設管理體系高效的落地實施， 必須有

2、優良的人才隊伍做支撐 ，目 前公司運維團隊人員42人 ， 信息安全技術部門現有安全技術人員23人 （ 含 3名實習生）， 安全管理部門2人 。 公司各部門內部設置安全員對接安全管理工作， 安全員共有28人 。 為進 一 步優化人才梯隊， 提升人員技能水平 ， 公司從核心任務管理和團隊建設兩方面入手， 開展人才隊伍建設工作。一 是 強化高級安全人員運維管理核心作用， 由高級安全人員負責重要安全業務， 既能提升核心業務安全保密級別 ， 又能使核心技術掌握在核心人員手中； 在會做 、 可控的前提下， 指派初 、 中級人員輔助開展工作， 有效提升運維團隊的管控能力和管理水平。二是 開展運維團隊文化建設

3、， 每月就當下先進的運維技術和典型經驗開展討論， 促進各團隊間人員、 信息交流和運維經驗分享， 逐步形成安全團隊良好的學習氛圍，建設有公司特色的安全團隊文化， 力爭實現“ 以文化熏陶人、 以文化留住人、 通過人豐富文化” 的目 標。（ 三 ） 夯實信息通信系統安全基礎1、 進 一 步健全信息安全機制根據 公司關于進一步加強數據安全工作的通知 要求 ， 梳理數據安全工作要點， 組織開展數據安全宣貫 ， 組織信息系統和通訊群組相關責任人、 部門負責人進行數據安全責任書的簽訂； 修訂 研發安全管理辦法 ， 在研發安全職責分工、 外包管理等環節上 做了更 加明確的規定； 在信息系統外包管理上， 嚴格外

4、包人員管理 ， 對外包人員加強提出簽訂保密協議與信息安全承諾書 、 填寫入網申請、 入職前的安全培訓和考試、 外包研發人員持證上 崗等要求。2、 強化隱患漏洞排查治理公司將安全隊伍分為紅、 藍隊伍 ， 專門負責信息安全的攻擊與阻抗、 開展版本滲透測試、 定期對信息系統開展審計與測試。 公司建立并優化隱患排查治理管理機制 ， 狠抓源頭治理， 強化過程考核， 全面開展信息系統基礎數據治理； 組織開展信息系統賬號權限、 弱口令檢查工作 ； 對終端辦公設備和服務器統一 自查漏洞并下載補丁進行升級， 形成常態化； 在公司內外網辦公設備上 均安裝桌面終端管理系統， 并及時 更 新病毒庫和系統補丁， 整體提

5、升辦公環境安全。針對 HP 鍵盤記錄功能漏洞， 組織相關人員開展HP 鍵盤預警處置工作， 對可能會受此漏洞影響的相關惠普筆記本和辦公電腦共計66臺進行了音頻驅動升級。利用部署在全球能源互聯網研究院的S6000系統， 收集整理在系統上 發布的安全預警及系統漏洞通知， 第 一 時間在公司內部進行預警通知， 實現相關部門聯動， 及時排查 、 處置信息系統安全隱患， 保證信息系統安全運行，夯實信息系統安全基礎。3、 加強系統監控預警不斷完善I6000系統中的軟硬件設備信息， 進 一 步完善物理主機、 虛擬機 、 存儲 、 數據庫 、 網絡設備 、 安全設備等硬件臺賬信息， 同時也完善了操作系統 、 虛

6、擬化 、 中間件等基礎軟件信息， 從而將生產環境設備納入系統監控之內，提升了系統運行的安全基 礎。（ 四 ） 加強專業管理和技術保障一是按照“ 安全第一、 預防為主、 綜合治 理 ” 的原則 ， 已基本建成以“ 業務安全為導向， 以技術安全為支撐， 以人員安全為基礎” 的全方位立體安全管控體系； 不定期與業內安全廠商交流學習， 了解安全前沿技術 ， 開展信息安全意識、 研發安全及 網絡安全法 宣貫培訓共計12次 。二是 完成公司 信息系統運行優化提升方案 的編制 ， 對公司的運維模式、 存在的問題等進行梳理， 提出提升的目 標和具體的工作任務及計劃安排， 并結合春檢 、 秋檢結果對賬號權限等信

7、息進行了收集整理， 排查了弱口令、 僵尸賬號等危險賬號， 保障系統安全； 完成對公司設備臺帳、 帳號權限等基礎信息的收集整理工作及信息系統運維制度、 流程優化的總結工作。三是 按照國網公司對研發環境的要求， 對研發環境進行隔離處理； 研發中心梳理公司編程規范及細則， 檢查了編碼規范， 并進行了更 新 ； 對電 e 寶 、 國網商城、 互聯網金融平臺及相關APP 開展內部安全漏洞和滲透測試 ， 并對發現的漏洞逐一 整改 。四是 圍繞國網商城、 電 e 寶 、 國網電商金融等信息系統開展運營服務， 在遵循國網公司信息通信運行管理相關規范的基礎上， 針對開發、 測試 、 運維建立了一套安全管控機制和

8、措施；針對運維環境，通過部署北 塔 、 ONEAPM 等監控平臺， 實現了對核心系統資源、業務 、 網絡等 層 面的監控預警， 減少了問題故障的排查解決時間， 提高了運維效率； 通過部署WAF 、DDos、IPS 和防火墻等安全設備抵御網絡入侵和攻擊； 針對系統變 更 環節 ， 通過自動化發版平臺的自主研發和腳本的使用 ， 逐步減少了大量重復的人工操作， 減少人為操作導致的潛在風險。（ 五 ） 深化缺陷隱患排查治理一 是 常態開展缺陷隱患排查治理。 開展網絡安全隱患專項排查整改工作， 編制了 網絡安全專項稽查工作方案 、網絡安全隱患排查結果及整改方案及 網絡安全專項稽查工作總結， 認真開展網絡

9、安全隱患排查，稽查主要針對國網電商公司旗下國網商 城 、 電 e 寶 、 互聯網金融三大平臺的網絡安全生產情況 ， 共涉及99臺設備， 其中48臺網絡設備， 51 臺安全設備（ 防火墻 ， IPS， WAF ， 網閘 ， 負載均衡等）； 每月定期上 報信通部 隱患排查月報， 建立完善了 隱患排查檔案， 及時整改安全隱患。二是 依據國網公司信息安全檢查的相關要求， 結合電商公司安全大檢查自查階段發現的安全隱患進行逐條梳理 ， 制定整改計劃， 明確整改時間、 整改措施和職責分工 ， 確保行成隱患排查治理的閉環管理； 開展網絡安全專項自查 。7月21日至7月24日在公司各事業部和子公司內部開展網絡安

10、全自查工作， 主要針對西安機房設備、 網絡、 環境等管理情況，營銷系統（ 電 e 寶 ） 應用安全情況等方面； 為強化信息通信運行安全事件報告管理機制，規范信息系統安裝部署等工作， 針對國網信通部 關于近期部門研發單位未按時提交事件報告的通報 工作要求 ， 編制了故障報告上 報 、 研發質量管理、 代碼測試和信息系統安裝部署標準化等工作落地方案（ 六 ） 全面管控安全事故風險隨著電 e 寶的推廣應用， 用戶數量迅速增長， 用戶信息 、 資金風險、 系統可用性、 穩定性和用戶體驗面臨巨大挑戰。 因此 ， 公司從各個環節嚴格把控各類風險 ， 開發環節通過測試和安全掃描嚴格控制代碼安全， 運維環節通

11、過監控系統平臺及IPS、WAF、 DDos 和防火墻等信息安全設備實時監控系統運行狀態， 變 更 環節嚴格執行兩票制度， 確保變 更 操作的合規性， 變 更 過程中使用雙因素認證及堡壘機登錄方式， 確保人員訪問控制權限嚴格審核 、 操作過程可追溯。（ 七 ） 提升應急處置能力一 是 加強監控告警系統建設。 對北塔監控系統進行多節點擴容， 監控對象最大數量由1000擴容至3500， 確保所有主機節點、 虛擬化資源、 應用服務端口得到監控 ，目 前總共納入監控對象節點1200多個； 完成國網商城 、 電 e 寶等2套系統共120臺虛擬機接入I6000系統統 一納入監控。二是 全 年 計劃開展運維團

12、隊演練6次 ， 截止 10月份已完成4次 ， 完成率66.7%， 在確定系統高可用性同時加強在突發應急情況下處置預案及措施。 按照公司2017年 應急演練計劃， 電商公司7月 14日組織開展了信息系統應急演練 ， 在北京主會場、 西安 、 天津分會場共同參與演練 ， 開展了統一 客戶安全認證平臺mongoDB 主節點故障 、 外聯區防火墻異常、 國網商城頁面異常等應急演練 ； 每次應急演練后做好總結， 找出不足及時整改， 不斷完善各專項應急預案。三是 在西安建設了同城數據級災備中心， 成立以運維團隊為核心的應急響應隊伍， 依據應急演練計劃在7月份執行了應急演練工作， 通過定期不斷地應急演練，

13、打造應急團隊 ， 提升公司信息系統整體應急處置能力。四是 遵照信通部專家對應急體系提升方案的評審要求 ， 完成了電商公司信息通信應急體系提升方案的優化和完善 ， 對公司應急預案、 應急制度、 技術保障、 恢復重建、 任務分解等工作內容及要求進行了補充完 善。（ 八 ） 強化安全監督考核公司成立公司安全生產委員會， 建立了安全責任體系 、 應急保障體系和監督考核體系； 發生安全生產事件后，對相關責任人及分管領導進行處罰，處罰包括通 報 、 經濟處罰、 調離原崗位、 解除勞動關系等； 日常不定期組織信息安全培訓、 信息安全考核、 安全生產檢查等活動， 做好宣貫； 及時 清 理風險問題和安全隱患 ，

14、 將安全檢查結果納入部門的年 度績效考核， 對公司安全檢查結果進行通報和公示， 提升全員的信息安全隱患排查意識 ， 保障信息系統的安全生產活動。二 、 重點工作總結 1、 安全宣貫和信息安全培訓為全方位提升公司安全意識、 研發人員安全編碼能力 ， 公司在2017年 先后組織了8次安全培訓， 包括 網絡安全法 培訓 、 信息系統賬號權限專項培訓、 網絡與信息安全基礎知識攻防培訓、 信息安全等級保護制度培訓 、 研發安全編碼培訓等； 按照 宣貫研發安全通知 的要求，印刷 研發安全制度應知應會手 冊 500本 ， 發放328本 。2、 簽訂網絡與信息安全承諾書為使全員自覺履行崗位安全職責， 在 3月

15、份組織簽訂 網絡與信息安全承諾書 員工類 821 份 、網絡與信息安全承諾書 IT 人員類253份 、網絡與信息安全承諾書 信息安全網絡類230份 。 后續對新入職員工繼續執行簽訂要求。3、 修訂和發布安全相關制度根據國網公司對研發安全評估檢查要求， 對 研發安全管理辦法 進行修訂發布； 同時根據公司實際業務情況和網絡安全法相關要求， 為了保護互聯網用戶的合法權益， 維護網絡信息安全， 規范用戶信息訪問流程和用戶訪問權限， 加強承載用戶信息的環境管理， 降低用戶信息被違法使用和傳播的風險， 制定并發布了 數據安全管理辦法 、SVN 管理和使用規范、終端管理細則 等 。4、 安全檢查及提升工作公

16、司積極響應國網公司和電商公司的各項安全通知要求 ， 組織開展春季安全大檢查、 秋季安全大檢查、 賬號權限專項檢查、 安全生產大檢查、“ 安全生產月 ”、“安全生產萬里 行 ”、“質量提升月 ” 等工作與活動。5、 漏洞預警通知及處置公司安全部門安排專人使用部署在全球能源互聯網研究院的S6000系統， 收集整理在系統上 發布的安全預警及系統漏洞通知， 第 一 時間在公司內部進行預警通知， 安全管理部門和各部門安全員聯動， 及時排查、 處置信息系統安全隱患， 對信息系統漏洞進行整改， 保證信息系統安全運行 ， 夯實信息系統安全基礎。6、 完成 “ 十九大 ” 安全保障工作依 據 XT17005 信

17、 息 通 信 及 網 絡 安 全 保 障 工 作 部署 、國網電子商務有限公司2017年XT17005期間安全保障工作方案 相關要求， 在 “ 十九大 ” 會議期間 ， 匯通公司從組織保障、 值班保障、 應急保障 、 技術保障等方面， 確保信息系統安全穩定運行， 圓滿完成了信息通信系統安全穩定運行的各項安全保障工作。7、 信息安全技術保障工作2017年 完成電商公司國網商城和電e 寶的兩會、 金磚峰會 、 重要節日等重要活動保障工作， 及公司內部相關信息安全技術服務支持工作， 配合電商公司開展S6000安全基線部署、 研發安全培訓及國網安全大檢查迎檢工作。截至2017年 10月底， 完成電商系

18、統100余次發版安全測試 ， 共發掘漏洞459個 ， 其中高危漏洞74個 ， 中危漏洞224個 ， 低危漏洞161 個 ； 監控攻擊次數677萬次 ， 共處置外部安全事件29起 。順利支持國網客服中心、 英大傳媒、 英大長安 、 英大國際等公司的信息安全服務， 內容涉及日常督查 、 安全檢查、 隱患發現、 滲透測試、 活動保障及內控安全服務工作， 各項工作均有條不紊開展。8、 系統運維工作2017年 運維服務部共規劃上 線的業務系統有： 電費代扣 、 電子賬單、 電子發票、 費控 、 營銷直連、光伏 、 互聯網金融等7大類業務， 發版操作共計195次 ，其中國網商城94次 ， 電 e 寶 10

19、1次 ； 數據變 更 共計614次 ，其中國網商城111 次 ， 電 e 寶 503次 ； 檢修操作共計290次 ，其中國網商城79次 ， 電 e 寶 211次 。 平均單次發版投入人力 2人次 ， 截止當前總共投入發版人數達360人次， 半 年 內人均發版30余次， 每人平均每周1.5次 。9、 新技術研究為了推行自動化、 流程化 ， 運維服務部刻苦鉆研，學習互聯網經驗， 通過 confluence + jira + jenkins 工具初步實現了流程管理， 定制了多種審批流程，目 前接入部門有資管 、 開發 、 測試 、 運維等 ， 實現了 “ 數據變更” 線 上 審批 ， 審核人員可微信

20、通知， 實時 、 有效的解決了跑票難的問題監控方面， 運維人員通過zabbix監控電 e 寶 、 國網商城基礎環境及應用環境， 覆蓋率達80%， JVM 監控持續集成中， 利用空余時間自主研發的自動化發版工具2.0， 完成 70%編碼工作， 后期可接入到自動化平臺配合發版工作。10、 、基礎信息化工作運維支持部配合電商公司搬遷， 搬遷130余臺設備的安裝及網絡配置， 排除故障24處 ， 做好 IP 地址相關資源的規劃及相關信息的分發， 確保 上 級單位全員正常辦公； 工位調整 ， 為了電話、 IP 資源后期擴容方便， 進行了重新規劃涉及信息點500多個， 并逐 一 綁定 ， 將辦公網絡IP 信

21、息 、 電話分配到每一 個工位 ， 確保公司全部人員的正常辦公 ； 將原祥龍四層、 五 層 機房的服務器進行拆解清理 ， 完成遷移， 改善了四層 辦公司環境， 確保服務器的穩定運行 ；“ 永恒之藍” 病毒及其變種進行應急處置及響應 ， 處置各類終端電腦400余臺 ， 確保公司辦公秩序正常 ， 且無 一 例病毒報告事件； 運營監控中心工作， 共計發現硬件故障、 安全風險隱患、 系統軟件故障等各類問題30多處， 業務運營團隊7*12 小時 ， 梳理大屏數據， 接待多次重要領導視察工作。三 、 典型經驗1、 、隨著電商公司信息系統的不斷增多， 迭代速度加快 ， 信息系統發版安全測試工作尤為重要， 為

22、解決安全測試工作中存在人員不足、 信息記錄不全、 報告編制時間長等問題， 公司自主研發安全測試及漏洞管理信息系統 ， 實現測試申請線上 便捷化 、 漏洞統計工具化， 減少了溝通成本， 對各排隊測試系統實現公開透明化， 大大提升了安全測試工作效率。2、 為貫徹 “ 安全第 一、 預防為主、 綜合治理 ” 的安全生產方針， 規范公司安全生產管理工作， 公司建立健全有系統、 分 層 次的安全責任體系、 安全監督體系及安全保障體系； 在各 一 二級部門內部設立安全員崗位 ， 創建安全員工作溝通群， 及時對接公司安全管理和安全技術部門，開展國網公司和電商公司會議通知傳達 、 安全培訓和宣貫工作； 針對安

23、全技術部門下發的系統 、 軟件漏洞預警通知形成聯動機制， 各部門安全員監督本部門員工及時處置預警并進行整改反饋。3、 加強運維和開發緊密聯系、 相互適應， 加強運行工作機制規范， 強化運行工作管理， 增加技術培訓次數 ； 加快配置中心建設， 加強自動化、 規范化 、 流程化等運維基礎工作； 加快應用持續交付， 實現應用持續部署 ， 提高應用交付能力， 提升工作效率， 增強人員成就4、 互聯網的第三方認證數字證書系統開發及實施項 目 項 目 簡稱 “ 國網電商CA 項 目”， 自 2017 年 開始投入建設， 包括自建CA子系統 、 第三方 RA子系統 、在線電子簽約平臺等功能模塊，目 前已經

24、上 線運行 。 系統即將與光伏云平臺、 招投標平臺、 電 e 寶平臺及互聯網金融平臺等多個平臺應用接入， 滿足國網電商公司在互聯網應用安全訪問、 身份安全認證、 安全交易、操作抗抵賴等領域的安全需求。 預計發放證書量百萬級以 上。四 、 存在的問題及其改進措施1 、2017年 度信息安全部部門重要力量多數均投放在提升合作單位的信息安全管理水平上， 做好信息安全支撐工作 ， 為公司創收， 因此在支持電商公司的信息安全工作開展方面力度略有不足， 后續將加強高級安全人員補充 ， 以便 更 好地支撐電商公司安全工作。2、目前安全員在開展工作時存在一 定的阻力和困難 ， 針對安全員崗位的職責和工作配合方

25、面， 后續將出臺安全員工作管理細則， 強調各方配合， 明確各方責任， 加大安全監督監察機制， 對不配合安全員工作的個人通報批評。3、 運 維 工 作 流 程 化 、 規 范 化 和 電 子化 程 度不高 。 日常運維工作流程較為單一， 人為參與因素過多，導致運維效率較低。 計劃通過運維標準化、 流程化建設 ， 轉變基于ITIL 的流程化升級到DevOps運維 ， 整體從開發到運維必須進行流程化和自動化相結合， 提高從監控到檢修自動化程度。4、 桌面非標準化， 管理難度大。 公司信息化管理 ， 缺少工具、 制度薄弱，目 前辦公電腦操作系統， 及應用軟件為非標準化軟件， 導致在應急處置情況下應急處置方案、 系統補丁、 操作方式等都需要多種重準備和部署 ， 缺乏桌面管理套件， 無法進行統一 推送 ， 需要人工安裝操作，將會導致在信息化管理中難以實現標準化 、 自動化管理，