文章來(lai)源(yuan):中國(guo)華電集團(tuan)有限公司 發布時間:2021-10-27
【編者按】近日,國務院國資委印發《關于加快推進國有企業數字化轉型工作的通知》(以下簡稱《通知》),為國有企業下一步數字化轉型提供了基本遵循和工作指導。近年來,中國華電堅決貫徹落實習近平總書記關于推動數字經濟和實體經濟融合發展、新一代信息技術創新發展的系列重要指示精神,落實黨中央國務院決策部署,加快推進企業數字化轉型升級,同時不斷完善網絡安全防護體系,提升技術防護水平,增強安全保障能力,護航企業數字化轉型升級和高質量發展。結合對《通知》有關要求的學習領會和自身工作的實踐體會,對《通知》有關內容進行解讀分享。
一、數字化轉型背景下的網絡安全形勢
隨著“數字中國(guo)”“網(wang)絡強國(guo)”和“新基建(jian)”等國(guo)家(jia)重大戰略(lve)部署加快(kuai)推(tui)進,國(guo)有企業(ye)數字化轉型(xing)成為大勢所趨,伴隨著新一代信息(xi)技術(shu)的(de)創新應用,業(ye)務運營模式的(de)變化更迭,網(wang)絡安全工作面臨新的(de)挑(tiao)戰。
一是國(guo)(guo)家法(fa)(fa)(fa)(fa)(fa)律法(fa)(fa)(fa)(fa)(fa)規對(dui)加強網(wang)(wang)絡安全工(gong)(gong)作(zuo)提(ti)(ti)出更高(gao)要(yao)(yao)求(qiu)。近兩年(nian),《密碼法(fa)(fa)(fa)(fa)(fa)》《數(shu)據安全法(fa)(fa)(fa)(fa)(fa)(草案(an))》、網(wang)(wang)絡安全等(deng)級(ji)保護2.0和(he)關鍵信(xin)息基礎設施安全保護相關制度等(deng)法(fa)(fa)(fa)(fa)(fa)律法(fa)(fa)(fa)(fa)(fa)規陸續頒布施行(xing),對(dui)數(shu)字化(hua)轉型背景下的(de)云安全、數(shu)據安全、工(gong)(gong)控安全和(he)密碼應用(yong)等(deng)工(gong)(gong)作(zuo)和(he)能力(li)提(ti)(ti)出新要(yao)(yao)求(qiu)新挑戰。國(guo)(guo)務院國(guo)(guo)資(zi)委(wei)發布新版《中(zhong)央企(qi)業負(fu)責人經(jing)營(ying)業績考核辦法(fa)(fa)(fa)(fa)(fa)》,增加了對(dui)網(wang)(wang)絡安全事件的(de)考核要(yao)(yao)求(qiu),對(dui)國(guo)(guo)有企(qi)業的(de)網(wang)(wang)絡安全工(gong)(gong)作(zuo)提(ti)(ti)出了更高(gao)要(yao)(yao)求(qiu)。
二是網(wang)(wang)絡(luo)安全保障成(cheng)為數(shu)(shu)字化(hua)轉(zhuan)型的重要挑戰。國有(you)企(qi)業(ye)數(shu)(shu)字化(hua)轉(zhuan)型將會(hui)極大(da)地改進(jin)原有(you)生(sheng)(sheng)產(chan)和經營(ying)方(fang)(fang)式,信息技術與業(ye)務(wu)發展的深(shen)度融(rong)合將凸顯網(wang)(wang)絡(luo)安全風險的實質性影響,網(wang)(wang)絡(luo)安全風險已延伸至生(sheng)(sheng)產(chan)和經營(ying)的方(fang)(fang)方(fang)(fang)面面,將會(hui)直接影響業(ye)務(wu)運營(ying),進(jin)而影響生(sheng)(sheng)產(chan)安全、社會(hui)安全、甚至國家(jia)安全。
三(san)是新(xin)(xin)一(yi)代(dai)信(xin)息技術(shu)創新(xin)(xin)應用帶來(lai)(lai)新(xin)(xin)的網(wang)絡安(an)(an)全(quan)風(feng)險(xian)。5G、云計算、大(da)數(shu)據、物聯網(wang)、人工智能等(deng)新(xin)(xin)一(yi)代(dai)信(xin)息技術(shu)的創新(xin)(xin)應用給(gei)國有企(qi)業(ye)帶來(lai)(lai)巨大(da)的創新(xin)(xin)紅利,同(tong)時引起企(qi)業(ye)IT環境(jing)的變化發展,云安(an)(an)全(quan)、數(shu)據安(an)(an)全(quan)、工控安(an)(an)全(quan)等(deng)諸(zhu)多新(xin)(xin)的安(an)(an)全(quan)風(feng)險(xian)隨之而來(lai)(lai)。此外,大(da)數(shu)據、人工智能等(deng)新(xin)(xin)一(yi)代(dai)信(xin)息技術(shu)也被廣泛用于(yu)網(wang)絡攻擊中(zhong),大(da)大(da)增(zeng)加了網(wang)絡安(an)(an)全(quan)防護難度。
二、數字化轉型過程中的網絡安全問題
在數(shu)字(zi)化(hua)轉型過程中,新技術、新應用(yong)、新模式層出不(bu)窮,新問題、新風險、新挑戰不(bu)斷出現(xian),傳統安全防護手段面(mian)對更加開放多元(yuan)的應用(yong)場景(jing),難以保(bao)障(zhang)數(shu)字(zi)化(hua)業務的平穩、可(ke)靠、有序和高效運(yun)營。
一是網(wang)(wang)絡(luo)安(an)(an)全(quan)缺乏(fa)頂層設(she)(she)(she)計,防(fang)護(hu)體系化缺失,安(an)(an)全(quan)能(neng)力(li)難于協同。網(wang)(wang)絡(luo)安(an)(an)全(quan)采用“局部整改(gai)” “查漏(lou)補缺” “輔助配套(tao)”建(jian)設(she)(she)(she)模(mo)式,IT和網(wang)(wang)絡(luo)安(an)(an)全(quan)治理(li)層面缺乏(fa)頂層設(she)(she)(she)計,安(an)(an)全(quan)系統之間安(an)(an)全(quan)能(neng)力(li)分散(san),缺乏(fa)聯動與(yu)協同,無法發揮(hui)整體防(fang)護(hu)效能(neng),網(wang)(wang)絡(luo)安(an)(an)全(quan)防(fang)御能(neng)力(li)與(yu)保障(zhang)數字化業務運營的高標準要求尚(shang)有差距。
二是工(gong)(gong)業控(kong)制(zhi)(zhi)系(xi)(xi)統安(an)全(quan)問(wen)題日(ri)趨凸顯。隨著IT與OT的深度(du)融(rong)合(he),工(gong)(gong)業控(kong)制(zhi)(zhi)系(xi)(xi)統與信息化結合(he)日(ri)益緊(jin)密,生(sheng)產安(an)全(quan)更(geng)加依賴網絡安(an)全(quan)。工(gong)(gong)控(kong)系(xi)(xi)統大多采用國外(wai)產品,老舊設(she)備占比較大,對(dui)(dui)業務連續性要(yao)求較高,難以承擔漏(lou)洞修復后(hou)產生(sheng)的影響,導致系(xi)(xi)統“帶病運行”。部分工(gong)(gong)業控(kong)制(zhi)(zhi)系(xi)(xi)統網絡內部未進行分區分域隔離,缺(que)乏有效的安(an)全(quan)防護手段,工(gong)(gong)控(kong)系(xi)(xi)統缺(que)乏針對(dui)(dui)性安(an)全(quan)管理和策略。
三是新(xin)(xin)(xin)技術(shu)的發(fa)展(zhan)和廣泛應(ying)用帶(dai)來(lai)網(wang)(wang)(wang)絡(luo)安全(quan)新(xin)(xin)(xin)挑(tiao)戰。近(jin)年來(lai),云計算、大數(shu)據、工業互聯網(wang)(wang)(wang)、人工智(zhi)能等新(xin)(xin)(xin)技術(shu)新(xin)(xin)(xin)應(ying)用大規(gui)模發(fa)展(zhan),業務應(ying)用模式(shi)不(bu)斷創新(xin)(xin)(xin),國有企業網(wang)(wang)(wang)絡(luo)結(jie)構復雜(za)化(hua)(hua)、邊界模糊化(hua)(hua)、數(shu)據集中化(hua)(hua),網(wang)(wang)(wang)絡(luo)安全(quan)風險融(rong)合疊加并快(kuai)速(su)演變趨向多樣(yang)化(hua)(hua),傳(chuan)統的網(wang)(wang)(wang)絡(luo)安全(quan)架構無法應(ying)對新(xin)(xin)(xin)技術(shu)帶(dai)來(lai)的虛擬(ni)化(hua)(hua)、數(shu)據集中、平臺可用性等安全(quan)風險,網(wang)(wang)(wang)絡(luo)安全(quan)面臨新(xin)(xin)(xin)的挑(tiao)戰。
四是網(wang)絡(luo)(luo)安(an)(an)全(quan)(quan)專業隊(dui)伍儲備不(bu)足(zu)。高端人才匱乏導致企業網(wang)絡(luo)(luo)安(an)(an)全(quan)(quan)能力上限不(bu)高,過于依(yi)賴安(an)(an)全(quan)(quan)廠商,無法形成穩(wen)定可持(chi)續的(de)安(an)(an)全(quan)(quan)能力輸出;基(ji)層單位網(wang)絡(luo)(luo)安(an)(an)全(quan)(quan)人員不(bu)足(zu),缺乏專人專崗,導致網(wang)絡(luo)(luo)安(an)(an)全(quan)(quan)制度和要求無法得到全(quan)(quan)面(mian)落實(shi)。
三、數字化轉型工作中網絡安全保障的思考和建議
國有(you)(you)企業(ye)要(yao)堅決(jue)貫徹落實(shi)(shi)習(xi)近平總書(shu)記(ji)關于網絡強(qiang)(qiang)國的(de)(de)重要(yao)思想(xiang),落實(shi)(shi)黨(dang)中央國務院有(you)(you)關決(jue)策部署,切(qie)實(shi)(shi)增強(qiang)(qiang)責任感使命感,進一步認清新形勢下(xia)網絡安(an)全(quan)(quan)工作的(de)(de)重要(yao)性緊迫性,準確把握數字(zi)(zi)化轉型(xing)(xing)形勢背景下(xia)網絡安(an)全(quan)(quan)工作面臨的(de)(de)新問題新挑戰,把網絡安(an)全(quan)(quan)防護工作作為數字(zi)(zi)化轉型(xing)(xing)的(de)(de)前提(ti)基(ji)礎(chu)和堅實(shi)(shi)保障,堅決(jue)落實(shi)(shi)主(zhu)體責任,不斷(duan)強(qiang)(qiang)化頂層設計,健全(quan)(quan)組(zu)織管理(li)體系(xi),加(jia)強(qiang)(qiang)防護能力(li)建設,加(jia)快人才隊伍培養,全(quan)(quan)面提(ti)升安(an)全(quan)(quan)保障能力(li),切(qie)實(shi)(shi)為企業(ye)數字(zi)(zi)化轉型(xing)(xing)保駕護航,推動(dong)高質(zhi)量發展。
(一(yi))加強頂層設(she)計,強化體(ti)系建設(she)
國(guo)有企業(ye)網(wang)(wang)絡安全(quan)(quan)體(ti)系(xi)建設(she)是一(yi)項復雜的系(xi)統性工程(cheng),尤其對于數字化(hua)(hua)轉(zhuan)型深入階段的安全(quan)(quan)防(fang)護,必須深入保障數字化(hua)(hua)業(ye)務(wu)的各個方(fang)面,加強網(wang)(wang)絡安全(quan)(quan)頂層設(she)計(ji)規(gui)劃(hua),以體(ti)系(xi)化(hua)(hua)、工程(cheng)化(hua)(hua)的模式(shi)建立新(xin)型網(wang)(wang)絡安全(quan)(quan)防(fang)御體(ti)系(xi),增(zeng)強應對各類(lei)網(wang)(wang)絡安全(quan)(quan)風險的能力(li)。中(zhong)國(guo)華電完成互(hu)聯網(wang)(wang)統一(yi)出(chu)口安全(quan)(quan)防(fang)護,通過網(wang)(wang)絡安全(quan)(quan)架構實(shi)現整體(ti)網(wang)(wang)絡安全(quan)(quan)能力(li)的大幅提升,并在此基(ji)礎上進(jin)行體(ti)系(xi)化(hua)(hua)的網(wang)(wang)絡安全(quan)(quan)能力(li)建設(she),逐步構建網(wang)(wang)絡安全(quan)(quan)縱深防(fang)御體(ti)系(xi),夯實(shi)網(wang)(wang)絡安全(quan)(quan)基(ji)礎。
(二(er))健全管理體系(xi),實現全方位管理
落實(shi)(shi)網絡(luo)(luo)安全(quan)(quan)(quan)(quan)主體(ti)(ti)責任(ren),厘清界面職責,健全(quan)(quan)(quan)(quan)組織架構,編(bian)制和(he)修訂管(guan)理(li)制度,強(qiang)化(hua)考核督導,不斷完善網絡(luo)(luo)安全(quan)(quan)(quan)(quan)保障、信息通報(bao)和(he)應(ying)急體(ti)(ti)系。中國華電通過建立健全(quan)(quan)(quan)(quan)網絡(luo)(luo)安全(quan)(quan)(quan)(quan)管(guan)理(li)體(ti)(ti)系,落實(shi)(shi)主體(ti)(ti)責任(ren),強(qiang)化(hua)考核監督,明確(que)分工(gong)界面、理(li)順(shun)工(gong)作流程,實(shi)(shi)現(xian)全(quan)(quan)(quan)(quan)產(chan)業、全(quan)(quan)(quan)(quan)業務、全(quan)(quan)(quan)(quan)過程、全(quan)(quan)(quan)(quan)要(yao)素(su)的(de)網絡(luo)(luo)安全(quan)(quan)(quan)(quan)管(guan)理(li)。
(三)加(jia)強產品(pin)服務(wu)管控,增(zeng)強本(ben)質安全
一是(shi)使用安(an)全(quan)可靠的產品(pin)(pin)和(he)服(fu)務(wu),建(jian)立(li)安(an)全(quan)審(shen)查機制。貫徹(che)落(luo)實《網絡(luo)安(an)全(quan)審(shen)查辦法(fa)》要求,建(jian)立(li)健全(quan)網絡(luo)安(an)全(quan)審(shen)查機制,依法(fa)依規對供應商、安(an)全(quan)方案、產品(pin)(pin)和(he)服(fu)務(wu)等進行嚴(yan)格(ge)審(shen)查,提高產品(pin)(pin)和(he)服(fu)務(wu)的安(an)全(quan)性(xing)(xing)可控性(xing)(xing)。
二(er)是堅持安(an)全(quan)創新,加(jia)快(kuai)信(xin)創產品(pin)和服(fu)務的(de)(de)使用(yong)。逐步加(jia)快(kuai)安(an)全(quan)可(ke)靠的(de)(de)信(xin)創產品(pin)和服(fu)務在(zai)設(she)備設(she)施、工具(ju)軟件(jian)、信(xin)息(xi)系(xi)(xi)統(tong)和服(fu)務平(ping)臺(tai)等方面的(de)(de)使用(yong),提升本質安(an)全(quan),實現國有企業網絡(luo)安(an)全(quan)體系(xi)(xi)的(de)(de)可(ke)信(xin)、可(ke)控、可(ke)持續。中國華電加(jia)強(qiang)信(xin)創產品(pin)與(yu)(yu)系(xi)(xi)統(tong)的(de)(de)研制與(yu)(yu)應(ying)用(yong),在(zai)火力(li)發(fa)(fa)電DCS和水力(li)發(fa)(fa)電監控系(xi)(xi)統(tong)領域(yu)實現了自主可(ke)控,打破了技術壟斷,能夠有效(xiao)防止“卡脖子”事件(jian)發(fa)(fa)生,提高電力(li)控制系(xi)(xi)統(tong)的(de)(de)運(yun)行效(xiao)率和安(an)全(quan)可(ke)靠性(xing),保障能源電力(li)等重要基礎設(she)施安(an)全(quan)運(yun)行。
(四(si))強化技(ji)術防護(hu)(hu),提升(sheng)綜合防護(hu)(hu)水平
一是(shi)增強面向(xiang)安(an)(an)(an)全(quan)(quan)運營的(de)態(tai)(tai)勢(shi)(shi)感(gan)知能(neng)力,完善(shan)網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)監測預警(jing)與(yu)應急(ji)(ji)處置體系。建設網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)態(tai)(tai)勢(shi)(shi)感(gan)知平(ping)(ping)臺(tai),匯聚來自網(wang)絡(luo)(luo)流量、人員行(xing)為(wei)、安(an)(an)(an)全(quan)(quan)系統(tong)、主機應用以及業務(wu)系統(tong)的(de)各(ge)種(zhong)安(an)(an)(an)全(quan)(quan)數(shu)據,從資產、漏洞、攻(gong)擊、威(wei)脅、風險、行(xing)為(wei)等(deng)維度全(quan)(quan)面感(gan)知安(an)(an)(an)全(quan)(quan)態(tai)(tai)勢(shi)(shi)。中國華電以態(tai)(tai)勢(shi)(shi)感(gan)知平(ping)(ping)臺(tai)為(wei)依(yi)托,實現(xian)覆蓋平(ping)(ping)臺(tai)、系統(tong)、數(shu)據等(deng)所有信(xin)息(xi)資產的(de)實時安(an)(an)(an)全(quan)(quan)監測和(he)預警(jing),并與(yu)網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)信(xin)息(xi)通報平(ping)(ping)臺(tai)集(ji)成,實現(xian)網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)系統(tong)之間的(de)協作聯動,完善(shan)網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)態(tai)(tai)勢(shi)(shi)感(gan)知、監測預警(jing)和(he)應急(ji)(ji)處置體系,提升網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)綜合防護(hu)能(neng)力。
二是建(jian)設(she)(she)網絡安全基礎資源庫(ku),持續(xu)(xu)輸(shu)出安全能力。以(yi)(yi)整體化(hua)(hua)(hua)、集中化(hua)(hua)(hua)、規(gui)模化(hua)(hua)(hua)的方式(shi)規(gui)劃建(jian)設(she)(she)漏(lou)洞(dong)庫(ku)、病(bing)毒庫(ku)、威脅情報庫(ku)等(deng)網絡安全基礎資源庫(ku),加強(qiang)安全資源儲備。中國華(hua)電以(yi)(yi)平臺化(hua)(hua)(hua)方式(shi)建(jian)設(she)(she)和(he)豐富基礎資源庫(ku),以(yi)(yi)安全服務持續(xu)(xu)輸(shu)出安全能力,并據此開展日(ri)常(chang)化(hua)(hua)(hua)、規(gui)程化(hua)(hua)(hua)和(he)可持續(xu)(xu)的網絡安全運營。
三是加(jia)強(qiang)工(gong)業控(kong)(kong)制系統的安(an)全防護。以工(gong)控(kong)(kong)系統監督檢查、等級測評、風(feng)(feng)險評估、漏洞修(xiu)復、數據保護、信息通報和(he)共(gong)享(xiang)、應(ying)急處置等為(wei)抓(zhua)手,進一步健全管(guan)理制度和(he)工(gong)作機制,強(qiang)化工(gong)控(kong)(kong)系統安(an)全管(guan)理與防護,在國有企業數字(zi)化轉型中(zhong)落實(shi)安(an)全閉環管(guan)控(kong)(kong)。中(zhong)國華電(dian)制定《電(dian)力(li)企業網(wang)(wang)絡安(an)全監督實(shi)施細(xi)則》,加(jia)強(qiang)工(gong)控(kong)(kong)系統全生命周(zhou)期安(an)全監督,不斷夯實(shi)工(gong)控(kong)(kong)安(an)全基礎。同(tong)時(shi)積極參與國資委能源工(gong)業互聯網(wang)(wang)安(an)全態勢感知平臺建設工(gong)作,增強(qiang)集團級工(gong)控(kong)(kong)安(an)全態勢感知、應(ying)急處置、風(feng)(feng)險管(guan)控(kong)(kong)等安(an)全能力(li),有效應(ying)對和(he)防范電(dian)力(li)網(wang)(wang)絡安(an)全風(feng)(feng)險。
四是加強數(shu)據全生命周期的安(an)全防(fang)護。建(jian)設數(shu)據安(an)全管理平臺,梳理數(shu)據資產,進行分類分級,加強數(shu)據采集、傳(chuan)輸、存儲、使用、共享、銷毀等各個環(huan)節的保護措施,加強數(shu)據防(fang)攻擊、防(fang)竊取、防(fang)泄露(lu)及訪(fang)問(wen)控制能力建(jian)設,實現數(shu)據全生命周期的安(an)全防(fang)護。
五是加強云(yun)(yun)(yun)平(ping)臺的(de)安全(quan)防(fang)護。構(gou)建云(yun)(yun)(yun)安全(quan)防(fang)護體系,全(quan)面(mian)覆蓋(gai)云(yun)(yun)(yun)邊界、應(ying)用系統區域、主機、容(rong)器(qi)等層次,實現公有(you)云(yun)(yun)(yun)、私有(you)云(yun)(yun)(yun)、混合云(yun)(yun)(yun)多(duo)云(yun)(yun)(yun)架構(gou)環境下網絡安全(quan)的(de)深度(du)融合,形成IaaS、PaaS、SaaS層級的(de)云(yun)(yun)(yun)安全(quan)防(fang)護能力。
(五(wu))加強攻防演練,提升應(ying)急處置水平
網(wang)絡(luo)(luo)安(an)(an)(an)(an)全(quan)(quan)攻防(fang)演(yan)練是檢驗網(wang)絡(luo)(luo)安(an)(an)(an)(an)全(quan)(quan)防(fang)護水平(ping)最直接、最有(you)效的方式。國(guo)有(you)企業(ye)應(ying)持(chi)續開(kai)展(zhan)攻防(fang)演(yan)習,一方面能夠真(zhen)實(shi)掌握自身網(wang)絡(luo)(luo)安(an)(an)(an)(an)全(quan)(quan)防(fang)護水平(ping),發現(xian)網(wang)絡(luo)(luo)安(an)(an)(an)(an)全(quan)(quan)防(fang)御體(ti)系中(zhong)的短板和(he)薄(bo)弱(ruo)環節(jie),及(ji)時優化整(zheng)改,提(ti)升整(zheng)體(ti)防(fang)御能力(li),另(ling)一方面能夠檢驗和(he)完(wan)善網(wang)絡(luo)(luo)安(an)(an)(an)(an)全(quan)(quan)應(ying)急預案,提(ti)升突發網(wang)絡(luo)(luo)安(an)(an)(an)(an)全(quan)(quan)事件應(ying)急處置和(he)協同(tong)聯動能力(li)。
(六)加強人(ren)才隊伍培(pei)養,強化(hua)智力支(zhi)撐
網絡(luo)(luo)(luo)安全(quan)的本質(zhi)在(zai)(zai)對抗(kang),人(ren)(ren)始終是對抗(kang)中最(zui)關鍵的要素。中國華電每年(nian)在(zai)(zai)集團內部開展網絡(luo)(luo)(luo)安全(quan)宣傳教(jiao)育月(yue)活動,通過各種形式培(pei)(pei)養(yang)(yang)和(he)提(ti)升(sheng)員工的網絡(luo)(luo)(luo)安全(quan)意識(shi)和(he)基本技能(neng)。同時,加快網絡(luo)(luo)(luo)安全(quan)專業人(ren)(ren)才隊伍(wu)培(pei)(pei)養(yang)(yang),逐步建立網絡(luo)(luo)(luo)安全(quan)專業人(ren)(ren)才的選拔、培(pei)(pei)養(yang)(yang)、任用機制,通過安排技術(shu)技能(neng)培(pei)(pei)訓與考核、參與技能(neng)大賽和(he)攻防演練(lian)等(deng)方式實(shi)現人(ren)(ren)才隊伍(wu)從等(deng)保合規測評能(neng)力向(xiang)網絡(luo)(luo)(luo)攻防專業技術(shu)能(neng)力及(ji)實(shi)戰能(neng)力的提(ti)升(sheng)。
【責任編輯:伍全】