國網(wǎng)信通：加快提升網(wǎng)絡(luò)安全保障能力建設(shè)

作者：呂建平發(fā)布時間：2017-05-25 來源：電力網(wǎng)

　　即將于6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》），是我國第一部關(guān)于網(wǎng)絡(luò)安全工作的專用法律。該法律首次將能源、金融、交通、通信等關(guān)鍵領(lǐng)域的信息基礎(chǔ)設(shè)施，納入國家重點保護范圍，明確了相關(guān)方責任義務(wù)，將對我國網(wǎng)絡(luò)空間治理和網(wǎng)絡(luò)安全工作產(chǎn)生重大影響。

　　國家電網(wǎng)公司信息通信分公司負責國家電網(wǎng)公司主要關(guān)鍵信息系統(tǒng)的建設(shè)運維工作，承擔著十分重大的網(wǎng)絡(luò)安全保障任務(wù)，學(xué)習好、理解好、貫徹好《網(wǎng)絡(luò)安全法》，將是當前和今后一個時期的重要工作。國網(wǎng)信通公司將切實引導(dǎo)全體干部員工深刻認識網(wǎng)絡(luò)安全定位，樹立網(wǎng)絡(luò)安全理念和法律紅線意識，加快提升網(wǎng)絡(luò)安全保障能力建設(shè)。

　　增強做好網(wǎng)絡(luò)安全工作的責任感緊迫感

　　認清復(fù)雜嚴峻的網(wǎng)絡(luò)安全形勢。以勒索病毒等為代表的新型安全案例說明，來自于敵對勢力的網(wǎng)絡(luò)戰(zhàn)部隊、由黑色產(chǎn)業(yè)鏈驅(qū)動的黑客組織正在成為網(wǎng)絡(luò)安全主要威脅。公司信息系統(tǒng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，是網(wǎng)絡(luò)安全的重中之重，也是網(wǎng)絡(luò)戰(zhàn)首當其沖的攻擊目標。同時，隨著“互聯(lián)網(wǎng)+”業(yè)務(wù)蓬勃發(fā)展，各類作業(yè)終端廣泛接入內(nèi)網(wǎng)，公司網(wǎng)絡(luò)邊界持續(xù)延伸，網(wǎng)絡(luò)安全防線持續(xù)擴大，網(wǎng)絡(luò)安全保障壓力與日俱增。

　　認清極端重要的網(wǎng)絡(luò)安全定位。網(wǎng)絡(luò)空間已經(jīng)成為主權(quán)國家繼陸、海、空、天四個疆域之后的第五疆域，競爭異常激烈。黨和國家對網(wǎng)絡(luò)安全問題高度重視，《網(wǎng)絡(luò)安全法》出臺后網(wǎng)絡(luò)安全工作將有法可依、有法必依、執(zhí)法必嚴、違法必究。

　　認清艱巨繁重的網(wǎng)絡(luò)安全保障職責。《網(wǎng)絡(luò)安全法》對關(guān)鍵基礎(chǔ)信息設(shè)施范圍、運行安全具體保護要求、運營者的保護義務(wù)和法律責任均進行了明確的定義和規(guī)定，同時還界定了關(guān)鍵信息基礎(chǔ)設(shè)施運營者違反相關(guān)條款應(yīng)承擔的法律責任。

　　抓好網(wǎng)絡(luò)安全法學(xué)習貫徹

　　做好網(wǎng)絡(luò)安全法宣貫。國網(wǎng)信通公司以網(wǎng)絡(luò)安全宣傳學(xué)習年活動為載體，全面深入開展普法活動，通過舉辦全員專題講座報告、組織業(yè)務(wù)中心班組座談辯論等多種形式，抓好《網(wǎng)絡(luò)安全法》“入腦入心入行”學(xué)習宣貫，引導(dǎo)員工正確樹立網(wǎng)絡(luò)安全觀，強化員工網(wǎng)絡(luò)安全自覺自律意識。

　　落實網(wǎng)絡(luò)安全責任。認真梳理國網(wǎng)信通公司全業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全責任矩陣，加快建立健全管理統(tǒng)一、職責明確、界面清晰的網(wǎng)絡(luò)安全責任體系。突出核心人員和關(guān)鍵崗位安全責任審核和管控，組織開展網(wǎng)絡(luò)安全責任“三書”簽訂和第三方服務(wù)人員網(wǎng)絡(luò)安全責任“兩書”簽訂工作，一級指導(dǎo)一級把責任壓緊、一環(huán)緊扣一環(huán)把責任落實。

　　采取有力有效措施。主動創(chuàng)新開展《網(wǎng)絡(luò)安全法》風險管控體系梳理構(gòu)建工作，以總體風控清單、分級分類預(yù)案、重點專項行動和閉環(huán)監(jiān)督體系建設(shè)為抓手，建立健全統(tǒng)一《網(wǎng)絡(luò)安全法》風險管控體系。截至5月20日，國網(wǎng)信通公司對照《網(wǎng)絡(luò)安全法》，梳理出業(yè)務(wù)相關(guān)條款3個方面38項，逐條款辨識風險點64個，提出針對性防控措施76項，修編完善專項應(yīng)急預(yù)案及現(xiàn)場處置預(yù)案7項。

　　做好網(wǎng)絡(luò)安全能力專項提升工作

　　全面落實關(guān)鍵信息基礎(chǔ)設(shè)施防護要求。國網(wǎng)信通公司深入開展等級保護“回頭看”。對等級保護系統(tǒng)開展再測評定級，重點監(jiān)督檢查等級保護制度落實、責任書簽署、關(guān)鍵信息基礎(chǔ)設(shè)施防護情況等，著重開展關(guān)鍵信息基礎(chǔ)設(shè)施的審查評估。嚴格落實網(wǎng)絡(luò)安全“三同步”。嚴把信息系統(tǒng)上線關(guān)，嚴禁違反“三同步”要求的信息系統(tǒng)上線，杜絕“帶病”系統(tǒng)通過“綠色通道”入網(wǎng)。強化網(wǎng)絡(luò)安全防御體系整體規(guī)劃，落實運維合規(guī)管控與監(jiān)測審計，確保運維責任范圍網(wǎng)絡(luò)安全可控、能控、在控。

　　扎實做好網(wǎng)絡(luò)安全運維工作。認真開展賬號權(quán)限治理工作，全面梳理責任、崗位及人員三個清單，實現(xiàn)全部賬號實名制和權(quán)限合規(guī)。嚴禁弱口令，加快自研弱口令檢測工具開發(fā)，從運維側(cè)和用戶側(cè)全面強化弱口令治理。全面開展漏洞拉網(wǎng)式排查，采取包干到戶形式，拉網(wǎng)式排查管轄范圍內(nèi)服務(wù)器，確保排查漏洞有效整改。

　　大力強化網(wǎng)絡(luò)安全實時監(jiān)控。積極推進網(wǎng)絡(luò)安全暨保密監(jiān)控平臺建設(shè)，提升全天候全方位網(wǎng)絡(luò)安全態(tài)勢感知能力。依托S6000（網(wǎng)絡(luò)與信息安全風險監(jiān)控預(yù)警）系統(tǒng)，加強深度監(jiān)測、威脅分析、預(yù)警處置等設(shè)備部署及技術(shù)應(yīng)用，加快提升風險感知與分析能力、風險溯源和風險定位能力。牽頭全網(wǎng)藍隊聯(lián)盟建設(shè)，統(tǒng)籌開展網(wǎng)絡(luò)安全情報收集、風險預(yù)警、防御處置、攻防對抗工作，集中力量開展應(yīng)急響應(yīng)和協(xié)同處置，有效防范和抵御有組織、針對性強的網(wǎng)絡(luò)攻擊和威脅。

　　突出做好網(wǎng)絡(luò)關(guān)鍵風險防控。強化敏感數(shù)據(jù)安全管控，確保重要數(shù)據(jù)備份安全，開展用戶信息和業(yè)務(wù)數(shù)據(jù)泄漏隱患檢查，強化信息系統(tǒng)生產(chǎn)環(huán)境數(shù)據(jù)導(dǎo)出業(yè)務(wù)申請流程制度執(zhí)行；加強業(yè)務(wù)邏輯缺陷排查整改，確保用戶信息和業(yè)務(wù)數(shù)據(jù)安全，嚴防網(wǎng)絡(luò)失泄密事件。積極應(yīng)對新技術(shù)、新業(yè)態(tài)發(fā)展所帶來的網(wǎng)絡(luò)安全威脅，加快制定針對無線網(wǎng)絡(luò)應(yīng)用、海量異構(gòu)終端接入等網(wǎng)絡(luò)安全運維防護策略。

　　多措并舉夯實網(wǎng)絡(luò)本質(zhì)安全。持續(xù)優(yōu)化信息通信系統(tǒng)架構(gòu)，提升信息系統(tǒng)研發(fā)質(zhì)量和設(shè)備運行質(zhì)量，完善網(wǎng)絡(luò)安全自動化技術(shù)支撐手段建設(shè)；以業(yè)務(wù)全生命周期安全保障為目標，健全覆蓋規(guī)劃、設(shè)計、開發(fā)等各個階段的網(wǎng)絡(luò)安全管控工作機制；強化網(wǎng)絡(luò)安全專業(yè)隊伍建設(shè)，健全網(wǎng)絡(luò)安全人才培養(yǎng)體系建設(shè)，探索開展網(wǎng)絡(luò)安全人才資格認證，加強實戰(zhàn)能力鍛煉培養(yǎng)。（國家電網(wǎng)公司信息通信分公司總經(jīng)理呂建平）