即將于6月1日實施的《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》),是我國第一部關(guān)于網(wǎng)絡安全工作的專用法律。該法律首次將能源、金融、交通、通信等關(guān)鍵領域的信息基礎設施,納入國家重點保護范圍,明確了相關(guān)方責任義務,將對我國網(wǎng)絡空間治理和網(wǎng)絡安全工作產(chǎn)生重大影響。
國家電網(wǎng)公司信息通信分公司負責國家電網(wǎng)公司主要關(guān)鍵信息系統(tǒng)的建設運維工作,承擔著十分重大的網(wǎng)絡安全保障任務,學習好、理解好、貫徹好《網(wǎng)絡安全法》,將是當前和今后一個時期的重要工作。國網(wǎng)信通公司將切實引導全體干部員工深刻認識網(wǎng)絡安全定位,樹立網(wǎng)絡安全理念和法律紅線意識,加快提升網(wǎng)絡安全保障能力建設。
增強做好網(wǎng)絡安全工作的責任感緊迫感
認清復雜嚴峻的網(wǎng)絡安全形勢。以勒索病毒等為代表的新型安全案例說明,來自于敵對勢力的網(wǎng)絡戰(zhàn)部隊、由黑色產(chǎn)業(yè)鏈驅(qū)動的黑客組織正在成為網(wǎng)絡安全主要威脅。公司信息系統(tǒng)作為國家關(guān)鍵信息基礎設施,是網(wǎng)絡安全的重中之重,也是網(wǎng)絡戰(zhàn)首當其沖的攻擊目標。同時,隨著“互聯(lián)網(wǎng)+”業(yè)務蓬勃發(fā)展,各類作業(yè)終端廣泛接入內(nèi)網(wǎng),公司網(wǎng)絡邊界持續(xù)延伸,網(wǎng)絡安全防線持續(xù)擴大,網(wǎng)絡安全保障壓力與日俱增。
認清極端重要的網(wǎng)絡安全定位。網(wǎng)絡空間已經(jīng)成為主權(quán)國家繼陸、海、空、天四個疆域之后的第五疆域,競爭異常激烈。黨和國家對網(wǎng)絡安全問題高度重視,《網(wǎng)絡安全法》出臺后網(wǎng)絡安全工作將有法可依、有法必依、執(zhí)法必嚴、違法必究。
認清艱巨繁重的網(wǎng)絡安全保障職責?!毒W(wǎng)絡安全法》對關(guān)鍵基礎信息設施范圍、運行安全具體保護要求、運營者的保護義務和法律責任均進行了明確的定義和規(guī)定,同時還界定了關(guān)鍵信息基礎設施運營者違反相關(guān)條款應承擔的法律責任。
抓好網(wǎng)絡安全法學習貫徹
做好網(wǎng)絡安全法宣貫。國網(wǎng)信通公司以網(wǎng)絡安全宣傳學習年活動為載體,全面深入開展普法活動,通過舉辦全員專題講座報告、組織業(yè)務中心班組座談辯論等多種形式,抓好《網(wǎng)絡安全法》“入腦入心入行”學習宣貫,引導員工正確樹立網(wǎng)絡安全觀,強化員工網(wǎng)絡安全自覺自律意識。
落實網(wǎng)絡安全責任。認真梳理國網(wǎng)信通公司全業(yè)務領域網(wǎng)絡安全責任矩陣,加快建立健全管理統(tǒng)一、職責明確、界面清晰的網(wǎng)絡安全責任體系。突出核心人員和關(guān)鍵崗位安全責任審核和管控,組織開展網(wǎng)絡安全責任“三書”簽訂和第三方服務人員網(wǎng)絡安全責任“兩書”簽訂工作,一級指導一級把責任壓緊、一環(huán)緊扣一環(huán)把責任落實。
采取有力有效措施。主動創(chuàng)新開展《網(wǎng)絡安全法》風險管控體系梳理構(gòu)建工作,以總體風控清單、分級分類預案、重點專項行動和閉環(huán)監(jiān)督體系建設為抓手,建立健全統(tǒng)一《網(wǎng)絡安全法》風險管控體系。截至5月20日,國網(wǎng)信通公司對照《網(wǎng)絡安全法》,梳理出業(yè)務相關(guān)條款3個方面38項,逐條款辨識風險點64個,提出針對性防控措施76項,修編完善專項應急預案及現(xiàn)場處置預案7項。
做好網(wǎng)絡安全能力專項提升工作
全面落實關(guān)鍵信息基礎設施防護要求。國網(wǎng)信通公司深入開展等級保護“回頭看”。對等級保護系統(tǒng)開展再測評定級,重點監(jiān)督檢查等級保護制度落實、責任書簽署、關(guān)鍵信息基礎設施防護情況等,著重開展關(guān)鍵信息基礎設施的審查評估。嚴格落實網(wǎng)絡安全“三同步”。嚴把信息系統(tǒng)上線關(guān),嚴禁違反“三同步”要求的信息系統(tǒng)上線,杜絕“帶病”系統(tǒng)通過“綠色通道”入網(wǎng)。強化網(wǎng)絡安全防御體系整體規(guī)劃,落實運維合規(guī)管控與監(jiān)測審計,確保運維責任范圍網(wǎng)絡安全可控、能控、在控。
扎實做好網(wǎng)絡安全運維工作。認真開展賬號權(quán)限治理工作,全面梳理責任、崗位及人員三個清單,實現(xiàn)全部賬號實名制和權(quán)限合規(guī)。嚴禁弱口令,加快自研弱口令檢測工具開發(fā),從運維側(cè)和用戶側(cè)全面強化弱口令治理。全面開展漏洞拉網(wǎng)式排查,采取包干到戶形式,拉網(wǎng)式排查管轄范圍內(nèi)服務器,確保排查漏洞有效整改。
大力強化網(wǎng)絡安全實時監(jiān)控。積極推進網(wǎng)絡安全暨保密監(jiān)控平臺建設,提升全天候全方位網(wǎng)絡安全態(tài)勢感知能力。依托S6000(網(wǎng)絡與信息安全風險監(jiān)控預警)系統(tǒng),加強深度監(jiān)測、威脅分析、預警處置等設備部署及技術(shù)應用,加快提升風險感知與分析能力、風險溯源和風險定位能力。牽頭全網(wǎng)藍隊聯(lián)盟建設,統(tǒng)籌開展網(wǎng)絡安全情報收集、風險預警、防御處置、攻防對抗工作,集中力量開展應急響應和協(xié)同處置,有效防范和抵御有組織、針對性強的網(wǎng)絡攻擊和威脅。
突出做好網(wǎng)絡關(guān)鍵風險防控。強化敏感數(shù)據(jù)安全管控,確保重要數(shù)據(jù)備份安全,開展用戶信息和業(yè)務數(shù)據(jù)泄漏隱患檢查,強化信息系統(tǒng)生產(chǎn)環(huán)境數(shù)據(jù)導出業(yè)務申請流程制度執(zhí)行;加強業(yè)務邏輯缺陷排查整改,確保用戶信息和業(yè)務數(shù)據(jù)安全,嚴防網(wǎng)絡失泄密事件。積極應對新技術(shù)、新業(yè)態(tài)發(fā)展所帶來的網(wǎng)絡安全威脅,加快制定針對無線網(wǎng)絡應用、海量異構(gòu)終端接入等網(wǎng)絡安全運維防護策略。
多措并舉夯實網(wǎng)絡本質(zhì)安全。持續(xù)優(yōu)化信息通信系統(tǒng)架構(gòu),提升信息系統(tǒng)研發(fā)質(zhì)量和設備運行質(zhì)量,完善網(wǎng)絡安全自動化技術(shù)支撐手段建設;以業(yè)務全生命周期安全保障為目標,健全覆蓋規(guī)劃、設計、開發(fā)等各個階段的網(wǎng)絡安全管控工作機制;強化網(wǎng)絡安全專業(yè)隊伍建設,健全網(wǎng)絡安全人才培養(yǎng)體系建設,探索開展網(wǎng)絡安全人才資格認證,加強實戰(zhàn)能力鍛煉培養(yǎng)。(國家電網(wǎng)公司信息通信分公司總經(jīng)理 呂建平)