蒋城颖 吴惠芬 钟潇
网络安全管理实践
全球网络安全威胁不断扩大,网络安全态势日益复杂,国家越来越重视网络安全工作,并把网络安全提升到了前所未有的高度,2017年6月实行的《中华人民共和国网络安全法》成为建设网络强国、维护网络空间主权的制度保障。但是,目前企业网络安全防护水平与严峻的网络安全形势还不适应,依法治网的安全意识有待提高,网络安全管理措施、技术手段等方面还存在薄弱环节,并且网络核心技术设备受制于人的局面没有从根本上改善,安全防护投入少、安全防护方式单一、整体防护能力薄弱、网络信任体系不健全等问题依然存在。
目前,电网企业也正在经受前所未有的网络安全考验。国家电网公司要求加强依法治企,逐步将网络安全纳入审计范围。为此,国网浙江省电力有限公司信息通信分公司(下称“公司”)充分开展内部审计、巡视巡察和协同监督“三位一体”的网络安全监督工作,通过对网络安全管控提升的研究与探索,实现管理模式精细化的转变,深化公司网络与信息安全队伍建设,持续强化信息安全“蓝队”技防水平,满足重大保电要求,真正从实效上促进和改善企业的管理效能。
全面开展网络安全监督
随着企业管理体制改革、转换经营机制和完善法人治理结构,内部审计、巡视巡察和协同监督项目正不断融入电网企业安全生产和经营管理等活动中,成为企业加强内部管理的重要工作方式和手段,同时推动了公司党风廉政建设和反腐败工作的开展。开展网络安全“三位一体”监督工作是有效整合监督资源的创新、揭示网络安全风险的重要手段、改进信息安全现状的有效途径、满足网络安全合规要求的有力武器。在深入开展网络安全监督工作的实施过程中,公司从以下四个研究重点出发,确保监督项目取得实效。
构建点、线、面有机结合的监督模式
“三位一体”整合监督模式就是构建一种立体式、全方位的内部监督体系,由公司党委负责、纪委组织协调、各有关部门分工配合、员工积极参与的工作机制和方法。具体指在开展巡视巡察、协同监督及内部审计项目时,将巡察、监察和审计的各自职能实现有效对接,在同一时段联合开展工作,使“独唱”变为“三重唱”,有效解决监督资源无法形成合力、重复监督和监督真空问题并存、监督缺乏独立性等问题。
(1)组织体制一体化。网络安全“三位一体”监督项目由公司党委书记负责,纪委书记分管,项目组具体实施,监督角色定位十分清晰。监督项目组成员全程参加公司关于网络安全的办公会议、协调会议,对网络安全重大决策全面了解并独立发表意见,因地制宜筹划监督工作和制订监督计划,监督的责任感和独立性明显增强。
(2)工作协调一体化。在开展网络安全“三位一体”监督工作的过程中,巡察、监察和审计统筹调配,资源共享,职能互补,实现了事前堵住、事中卡住、事后查处的全方位、全过程监督。同时,横向、纵向的信息共享,使得监督视野更开阔,风险点研究更深入,警示教育更到位,有效解决了以往监督项目渠道不畅和工作缺位的问题。
(3)成果运用一体化。建立监督成果与考核挂钩机制,通过问责、约谈等手段促进整改落到实处,使监督的影响力和震慑力明显增强。对于监察和审计发现的问题,由巡察跟进整改落实,推进了企业党内监督和依法治企的有机结合,形成事前、事中、事后监督与动态、过程、结果监督及责任追究相融合的科学监督体系。
加强“全面、实用、细致”的制度建设
网络安全管控逐渐呈现点多面广、技术复杂、不确定性因素多等趋势,因此让制度顺应变动的趋势,固化管控工作流程,能够真正落地执行是“三位一体”监督项目要重点解决的问题。这个监督项目要确保独立性、客观性,能有效促进制度的完善,主要体现在以下几个方面。
(1)促进制度建设“全面”。监督项目形成的制度贯串网络安全管控提升的各个方面,涵盖信息安全“蓝队”技术队伍建设、网络安全技防措施、网络安全技术装备、管控提升费用支出情况、网络安全教育培训情况以及考核情况。
(2)助推制度内容“实用”。为了通过监督,确保制度的内容真正有利于提升网络安全管控,业务部门在修订过程中多次组织运维机构和地区信通公司等专家进行讨论,吸取各部门、各单位在项目管理中的优秀经验及有效做法,使得制定的制度更具有实用性、可操作性和针对性,不为制度的形式而为。
(3)达成制度落实“细致”。公司开展监督项目时,要求各项网络安全的规章制度均经公司领导、各部门、各单位专家评审讨论后确定,具有一定的约束力和执行力。形成的文本发到员工手里,根据工作开展情况,要求员工时常在例会上学习,对照评点,做到温故知新,并通过流程绩效评价定期监督制度的执行情况。
打造“有组织、有纪律、懂专业”的队伍
近年来,更多的网络黑客转向利用人的弱点,通过社会工程学方法来实施网络攻击,利用社会工程学手段(包括物理攻击)、突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。“三位一体”监督项目参与价值创造,助力打造一支“有组织、有纪律、懂专业”的网络安全技术队伍。
(1)推进信息安全“蓝队”体制提升,助力组建网络安全分析室。通过完善“制防、物防、人防、技防”四个层面,公司建立“四维”防御体系(见图1);修编并完善一系列“蓝队”队伍管理规章制度;建立健全工作机制,常态化开展网络安全监测、分析、预警工作。以网络安全分析室为抓手,公司统一调度信息安全“蓝队”,开展信息安全内控相关工作,实现“统一监测、统一预警、统一指挥”。
(2)将视野扩展到组织外部,制订“蓝队”阶梯培养计划,完备“蓝队”成员信息。为加强信息安全“蓝队”成员的选拔工作,公司向基层单位、直属单位覆盖延伸,努力推进人才梯队建设,在“蓝队”选拔技术能力強、工作能力突出的成员作为核心骨干人员。地市、县公司通过选拔或推荐的方式组建“蓝队”第二梯队,作为预备队员,正常参与“蓝队”常态化工作和培训交流,成熟一个发展一个。同时,有效推动建立“蓝队”成员基础信息台账,对“蓝队”成员的技术能力和工作能力进行全面评估并记录,完善“蓝队”成员团队贡献度、培训证书、获得荣誉等信息。
(3)助力打造“浙电蓝”品牌,持续扩大“浙电蓝”在国网公司的辐射力。公司在监督项目开展期间共申报26篇典型经验文章,其中《防火墙无法显示视频的问题分析及处理典型经验》《北信源桌面管控系统与Win7兼容性问题分析及处理典型经验》《反向隔离装置高速模式性能问题分析及处理》这3篇典型经验文章被国家电网公司肯定并推广。
采用“完备、实用、高效”的管控技术
为响应《中华人民共和国网络安全法》的颁布和实施,进一步落实公司推进网络安全有关要求,持续提升信息安全“蓝队”网络安全监控分析、隐患发现、加固修复等能力,通过开展监督项目,助推启动公司网络安全分析室建设。在充分依托公司现有技术手段的基础上,从技术装备和分析平台两个方面对技术支撑部分进行加固补强,完成了渗透测评平台、白盒代码检测系统、内控检查工具及脆弱性分析平台的建设,并整合内外网安全可视化平台进行多信息源整合展现,有利于监督人员掌握情况。
(1)打造全天候、全方位感知网络安全态势。感知网络安全态势是开展此次监督项目必须掌握的最基本、最基础的工作,要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,结合大数据挖掘分析,准确把握网络安全风险发生的规律、动向和趋势。
(2)增强网络空间未知威胁防御能力。强化基于行为识别攻击检测技术,形成一种不依赖签名特征的威胁分析防护体系,对潜在的未知攻击行为能够准确识别,并进行有效分析和验证。
(3)实现漏洞库、特征库、知识库全面覆盖。通过主动探索网络安全工作薄弱点,在安全加固的过程中强化隐患发现能力。
建立长效的保障管理体系
公司根据预先确定的监督依据,在规定的监督范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得监督证据,并对其进行客观的评价,做到全员推广与技术创新齐头并进,安全技术措施与管理规划相同步,人员建设及技术装备双向落实,全力探索和研究出一套适合电网公司的网络安全监督新思路,促进安全防护工作的规范化、程序化、制度化发展,构建长效的保障管理体系。
顺查网络安全宣贯学习
以责任人为对象,公司开展监督,确保全体员工认真学习《中华人民共和国网络安全法》,核对是否开展网络安全宣传周活动;是否发放前沿安全技术宣传资料,播放网络安全防护宣传片,开展病毒防护案例警示教育展,开展攻防演练、应急处置等技能演示;是否解答员工关心的安全防护问题,切实提高全员的网络安全意识。
抽查网络安全专业技术队伍
以规则为对象,对制度、计划、任务、标准、流程等的执行过程及结果进行监督。核对网络安全“蓝队”工作制度、“蓝队”阶梯培养计划和“蓝队”信息安全技术培训,是否针对漏洞扫描器及十五大管理型漏洞的检测及加固方案进行专业技术培训及实操练习,是否积极提供网络安全防护典型经验。
逆查信息系统及终端管控
以信息系统为对象,对存货、固定资产和系统运维状况进行监督。公司全面梳理内外网络信息系统和终端接入的整体情况,了解和核对网络与信息系统防攻击、防篡改、防病毒、防瘫痪、防窃密能力,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责,管业务必须管安全”的原则,开展内外网络信息系统和终端的专项检查工作;核对是否全面完成浙江省内外网系统的风险评估和安全测评,核实提升信息系统账号权限认证和弱口令整改能力,加强网络边界的安全防护措施;核实是否加快终端准入控制及身份认证系统建设,是否实现终端管理的能控在控,杜绝非法接入。
分析网络安全态势感知及创新技防水平
借助网络安全分析室,核对网络安全分析室的人员、场地、技术装备和配套保障,通过采用业界先进的各类系统工具、平台,核实是否有效拓展信息安全防护范围,实现全方位、无死角的信息安全监控和防御;利用工具、平台使信息安全防护工作由“隐形化”向“可视化”转变,实现信息安全防护策略的动态下发,助力监督分析。
结语
开展网络安全“三位一体”监督项目不仅有利于企业掌握网络安全是否满足安全合规性要求,而且能帮助企业全面了解和掌握网络安全工作的有效性、充分性和适宜性。通过本次监督项目的研究和探索,促进了公司网络安全管理水平的提高,大大增强了公司相关制度执行的严肃性和刚性,有效堵塞各种管理漏洞,降低腐败风险,促进公司健康、持续、稳定、和谐发展。同时,通过“三位一体”监督,突出源头、强调重点、抓好整改、注重效果,全面评估研究了公司目前的网络安全总体态势和风险状况,营造了和谐发展的企业氛围,进一步促进了网络安全管理工作的规范化、程序化、制度化,使管理效益、经济效益、廉政效益和社会效益明显提升。
蒋城颖,高级经濟师,就职于国网浙江省电力有限公司信息通信分公司,从事项目管理工作。
吴惠芬,高级工程师,就职于国网浙江省电力有限公司信息通信分公司,从事综合管理工作。
钟潇,工程师,就职于国网浙江省电力有限公司信息通信分公司,从事信通管理工作。