即將于6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》),是我國(guó)第一部關(guān)于網(wǎng)絡(luò)安全工作的專用法律。該法律首次將能源、金融、交通、通信等關(guān)鍵領(lǐng)域的信息基礎(chǔ)設(shè)施,納入國(guó)家重點(diǎn)保護(hù)范圍,明確了相關(guān)方責(zé)任義務(wù),將對(duì)我國(guó)網(wǎng)絡(luò)空間治理和網(wǎng)絡(luò)安全工作產(chǎn)生重大影響。
國(guó)家電網(wǎng)公司信息通信分公司負(fù)責(zé)國(guó)家電網(wǎng)公司主要關(guān)鍵信息系統(tǒng)的建設(shè)運(yùn)維工作,承擔(dān)著十分重大的網(wǎng)絡(luò)安全保障任務(wù),學(xué)習(xí)好、理解好、貫徹好《網(wǎng)絡(luò)安全法》,將是當(dāng)前和今后一個(gè)時(shí)期的重要工作。國(guó)網(wǎng)信通公司將切實(shí)引導(dǎo)全體干部員工深刻認(rèn)識(shí)網(wǎng)絡(luò)安全定位,樹立網(wǎng)絡(luò)安全理念和法律紅線意識(shí),加快提升網(wǎng)絡(luò)安全保障能力建設(shè)。
增強(qiáng)做好網(wǎng)絡(luò)安全工作的責(zé)任感緊迫感
認(rèn)清復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。以勒索病毒等為代表的新型安全案例說(shuō)明,來(lái)自于敵對(duì)勢(shì)力的網(wǎng)絡(luò)戰(zhàn)部隊(duì)、由黑色產(chǎn)業(yè)鏈驅(qū)動(dòng)的黑客組織正在成為網(wǎng)絡(luò)安全主要威脅。公司信息系統(tǒng)作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施,是網(wǎng)絡(luò)安全的重中之重,也是網(wǎng)絡(luò)戰(zhàn)首當(dāng)其沖的攻擊目標(biāo)。同時(shí),隨著“互聯(lián)網(wǎng)+”業(yè)務(wù)蓬勃發(fā)展,各類作業(yè)終端廣泛接入內(nèi)網(wǎng),公司網(wǎng)絡(luò)邊界持續(xù)延伸,網(wǎng)絡(luò)安全防線持續(xù)擴(kuò)大,網(wǎng)絡(luò)安全保障壓力與日俱增。
認(rèn)清極端重要的網(wǎng)絡(luò)安全定位。網(wǎng)絡(luò)空間已經(jīng)成為主權(quán)國(guó)家繼陸、海、空、天四個(gè)疆域之后的第五疆域,競(jìng)爭(zhēng)異常激烈。黨和國(guó)家對(duì)網(wǎng)絡(luò)安全問(wèn)題高度重視,《網(wǎng)絡(luò)安全法》出臺(tái)后網(wǎng)絡(luò)安全工作將有法可依、有法必依、執(zhí)法必嚴(yán)、違法必究。
認(rèn)清艱巨繁重的網(wǎng)絡(luò)安全保障職責(zé)。《網(wǎng)絡(luò)安全法》對(duì)關(guān)鍵基礎(chǔ)信息設(shè)施范圍、運(yùn)行安全具體保護(hù)要求、運(yùn)營(yíng)者的保護(hù)義務(wù)和法律責(zé)任均進(jìn)行了明確的定義和規(guī)定,同時(shí)還界定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者違反相關(guān)條款應(yīng)承擔(dān)的法律責(zé)任。
抓好網(wǎng)絡(luò)安全法學(xué)習(xí)貫徹
做好網(wǎng)絡(luò)安全法宣貫。國(guó)網(wǎng)信通公司以網(wǎng)絡(luò)安全宣傳學(xué)習(xí)年活動(dòng)為載體,全面深入開展普法活動(dòng),通過(guò)舉辦全員專題講座報(bào)告、組織業(yè)務(wù)中心班組座談辯論等多種形式,抓好《網(wǎng)絡(luò)安全法》“入腦入心入行”學(xué)習(xí)宣貫,引導(dǎo)員工正確樹立網(wǎng)絡(luò)安全觀,強(qiáng)化員工網(wǎng)絡(luò)安全自覺(jué)自律意識(shí)。
落實(shí)網(wǎng)絡(luò)安全責(zé)任。認(rèn)真梳理國(guó)網(wǎng)信通公司全業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全責(zé)任矩陣,加快建立健全管理統(tǒng)一、職責(zé)明確、界面清晰的網(wǎng)絡(luò)安全責(zé)任體系。突出核心人員和關(guān)鍵崗位安全責(zé)任審核和管控,組織開展網(wǎng)絡(luò)安全責(zé)任“三書”簽訂和第三方服務(wù)人員網(wǎng)絡(luò)安全責(zé)任“兩書”簽訂工作,一級(jí)指導(dǎo)一級(jí)把責(zé)任壓緊、一環(huán)緊扣一環(huán)把責(zé)任落實(shí)。
采取有力有效措施。主動(dòng)創(chuàng)新開展《網(wǎng)絡(luò)安全法》風(fēng)險(xiǎn)管控體系梳理構(gòu)建工作,以總體風(fēng)控清單、分級(jí)分類預(yù)案、重點(diǎn)專項(xiàng)行動(dòng)和閉環(huán)監(jiān)督體系建設(shè)為抓手,建立健全統(tǒng)一《網(wǎng)絡(luò)安全法》風(fēng)險(xiǎn)管控體系。截至5月20日,國(guó)網(wǎng)信通公司對(duì)照《網(wǎng)絡(luò)安全法》,梳理出業(yè)務(wù)相關(guān)條款3個(gè)方面38項(xiàng),逐條款辨識(shí)風(fēng)險(xiǎn)點(diǎn)64個(gè),提出針對(duì)性防控措施76項(xiàng),修編完善專項(xiàng)應(yīng)急預(yù)案及現(xiàn)場(chǎng)處置預(yù)案7項(xiàng)。
做好網(wǎng)絡(luò)安全能力專項(xiàng)提升工作
全面落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)要求。國(guó)網(wǎng)信通公司深入開展等級(jí)保護(hù)“回頭看”。對(duì)等級(jí)保護(hù)系統(tǒng)開展再測(cè)評(píng)定級(jí),重點(diǎn)監(jiān)督檢查等級(jí)保護(hù)制度落實(shí)、責(zé)任書簽署、關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)情況等,著重開展關(guān)鍵信息基礎(chǔ)設(shè)施的審查評(píng)估。嚴(yán)格落實(shí)網(wǎng)絡(luò)安全“三同步”。嚴(yán)把信息系統(tǒng)上線關(guān),嚴(yán)禁違反“三同步”要求的信息系統(tǒng)上線,杜絕“帶病”系統(tǒng)通過(guò)“綠色通道”入網(wǎng)。強(qiáng)化網(wǎng)絡(luò)安全防御體系整體規(guī)劃,落實(shí)運(yùn)維合規(guī)管控與監(jiān)測(cè)審計(jì),確保運(yùn)維責(zé)任范圍網(wǎng)絡(luò)安全可控、能控、在控。
扎實(shí)做好網(wǎng)絡(luò)安全運(yùn)維工作。認(rèn)真開展賬號(hào)權(quán)限治理工作,全面梳理責(zé)任、崗位及人員三個(gè)清單,實(shí)現(xiàn)全部賬號(hào)實(shí)名制和權(quán)限合規(guī)。嚴(yán)禁弱口令,加快自研弱口令檢測(cè)工具開發(fā),從運(yùn)維側(cè)和用戶側(cè)全面強(qiáng)化弱口令治理。全面開展漏洞拉網(wǎng)式排查,采取包干到戶形式,拉網(wǎng)式排查管轄范圍內(nèi)服務(wù)器,確保排查漏洞有效整改。
大力強(qiáng)化網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)控。積極推進(jìn)網(wǎng)絡(luò)安全暨保密監(jiān)控平臺(tái)建設(shè),提升全天候全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力。依托S6000(網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)監(jiān)控預(yù)警)系統(tǒng),加強(qiáng)深度監(jiān)測(cè)、威脅分析、預(yù)警處置等設(shè)備部署及技術(shù)應(yīng)用,加快提升風(fēng)險(xiǎn)感知與分析能力、風(fēng)險(xiǎn)溯源和風(fēng)險(xiǎn)定位能力。牽頭全網(wǎng)藍(lán)隊(duì)聯(lián)盟建設(shè),統(tǒng)籌開展網(wǎng)絡(luò)安全情報(bào)收集、風(fēng)險(xiǎn)預(yù)警、防御處置、攻防對(duì)抗工作,集中力量開展應(yīng)急響應(yīng)和協(xié)同處置,有效防范和抵御有組織、針對(duì)性強(qiáng)的網(wǎng)絡(luò)攻擊和威脅。
突出做好網(wǎng)絡(luò)關(guān)鍵風(fēng)險(xiǎn)防控。強(qiáng)化敏感數(shù)據(jù)安全管控,確保重要數(shù)據(jù)備份安全,開展用戶信息和業(yè)務(wù)數(shù)據(jù)泄漏隱患檢查,強(qiáng)化信息系統(tǒng)生產(chǎn)環(huán)境數(shù)據(jù)導(dǎo)出業(yè)務(wù)申請(qǐng)流程制度執(zhí)行;加強(qiáng)業(yè)務(wù)邏輯缺陷排查整改,確保用戶信息和業(yè)務(wù)數(shù)據(jù)安全,嚴(yán)防網(wǎng)絡(luò)失泄密事件。積極應(yīng)對(duì)新技術(shù)、新業(yè)態(tài)發(fā)展所帶來(lái)的網(wǎng)絡(luò)安全威脅,加快制定針對(duì)無(wú)線網(wǎng)絡(luò)應(yīng)用、海量異構(gòu)終端接入等網(wǎng)絡(luò)安全運(yùn)維防護(hù)策略。
多措并舉夯實(shí)網(wǎng)絡(luò)本質(zhì)安全。持續(xù)優(yōu)化信息通信系統(tǒng)架構(gòu),提升信息系統(tǒng)研發(fā)質(zhì)量和設(shè)備運(yùn)行質(zhì)量,完善網(wǎng)絡(luò)安全自動(dòng)化技術(shù)支撐手段建設(shè);以業(yè)務(wù)全生命周期安全保障為目標(biāo),健全覆蓋規(guī)劃、設(shè)計(jì)、開發(fā)等各個(gè)階段的網(wǎng)絡(luò)安全管控工作機(jī)制;強(qiáng)化網(wǎng)絡(luò)安全專業(yè)隊(duì)伍建設(shè),健全網(wǎng)絡(luò)安全人才培養(yǎng)體系建設(shè),探索開展網(wǎng)絡(luò)安全人才資格認(rèn)證,加強(qiáng)實(shí)戰(zhàn)能力鍛煉培養(yǎng)。(國(guó)家電網(wǎng)公司信息通信分公司總經(jīng)理 呂建平)