左 天 才
(贵州乌江水电开发有限责任公司,贵州 贵阳 550002)
当前,针对电力系统的网络攻击事件频发,先后出现乌克兰大停电、委内瑞拉大停电等事件,网络安全在国家安全中的地位和作用逐步凸显。
网络安全法从关键信息基础设施、网络信息安全、监测预警与应急处置等方面明确了企业网络安全的法律要求和法律责任。随着国家和行业主管部门对网络安全的监管日趋深入,检查和处罚力度不断加大,企业违法违规成本昂贵[1]。
随着乌江公司信息化、数字化工作的持续推进,信息化、数字化、智能化等技术应用对企业的价值将进一步凸显,随之而来的是安全风险日益增高[2-3],公司信息资产面临的威胁将急剧加大。基于网络安全长期性和复杂性等特点,整合人才和技术资源,创建一体化的集中管控模式,理顺管理体制机制,以提升网络安全保障能力和规避法律法规风险,成为乌江公司当前的必然选择。
区域发电公司网络安全管控机制建设,包括体制机制、制度流程、应急管理等内容。提出了“三统四共”的工作思路,明确了“五位一体”组织保障体系、集分结合的运维机制等建设路径,构建覆盖全员的网络安全管控机制。
研究网络安全法、等级保护、电力监控系统安全防护总体方案等法律法规和技术标准,梳理出对发电企业网络安全管理、安全管理能力等方面要求。通过广泛开展调查研究,多层次、多渠道开展问题分析,从管理、技术、人员方面找出制约网络安全工作的深层次原因。在问题、需求调查与分析的基础上,确立了“三统四共”的基本工作思路(见图1)。
全面落实“统一规划、统一设计、统一建设”工作思路,同步推进下属单位的网络安全建设工作,建设全方位、全覆盖的网络安全格局,全面筑牢网络安全防线,提升公司整体防御能力。
按照“共商、共建、共治、共享”的原则整合资源,构建公司一体化的网络安全管理体系、技术支撑体系和监督体系,构建集中管控与分级负责相结合的运行机制,统筹安排和同步推进公司网络安全工作,落实网络安全责任机制。
建立“五位一体”组织保障体系。一是在领导层面,公司成立了以党委书记和总经理为组长的网络安全领导小组,总体负责企业网络安全工作,重点在“把握方向、推动变革、健全制度、资源保障”等方面发挥决策、促进和支持作用。二是管理层面,进一步明确了职能管理、技术支持、监督职责,形成集职能管理、技术支撑、监督三维一体的网络安全体系。三是技术层面。把公司集控中心作为网络安全的技术管理与支持部门,负责向公司各电厂提供网络与信息安全技术支持。同时公司还整合内部人员和技术资源,成立公司网络安全联合工作组,定期对各单位工作任务与计划执行、安全自查与整改、安全管理等方面的工作进行检查,帮助各电厂提升网络安全管理和防护水平。目前乌江公司已基本建立“领导决策、职能管理、技术管理、应急保障、安全监督”五位一体的公司网络安全工作组织保障体系(见图2)。
图1 三统四共工作思路
图2 “五位一体”组织保障体系
建立以责任制为核心的网络安全管理制度体系。乌江公司从“网信安全管理、电力监控网络安全管理、网信安全技术支持管理、网信安全监督管理、网信安全实施保障管理”五个方面着手,从保护对象、保护层级、保护措施等方面细化了管理要素,实施了制度体系化建设工作,制定印发了《网络与信息安全责任制》《电力监控系统网络安全管理办法》《网络安全应急预案》《电力监控系统安全防护应急预案》等管理制度和应急预案。乌江公司以安全责任制为核心的制度体系为公司网络与信息化工作的开展提供了制度保障。
建立网络安全技术标准体系。一是研究制定企业网络安全技术规划。从机构设置、人员配备、安全管理、安全技术、安全运维等方面编制了《乌江公司及下属单位网络安全规划(2020—2022)》,明确乌江公司网络安全三年建设目标及建设路径。二是研究制定企业《网络安全基线维护与检查技术要求》,该技术标准是作为网络安全检查和风险管理的基础要求,就环境、人员、设备、操作等制定了基线技术要求和基线标准点,为网络安全构筑了本体安全和边界安全两道防线。
建立集分结合的运维机制。由集控中心负责组织开展网络及自动化系统核心设备定期预防性维护和重大故障处理工作,电厂负责日常检查维护与消缺工作。每年定期开展4次预防性维护工作,深度检查和分析设备运行状况,提前处理设备隐患,确保设备的安全稳定运行。
建立基于专家团队的检查督导机制。公司整合电厂专业人员成立公司网络安全专家组,定期对各单位工作任务与计划执行、安全自查与整改、安全管理、技防设施等进行检查与督导,开展渗透测试,帮助各电厂提升网络安全管理水平和防护能力。成功应对了网络安全攻防演练工作,圆满完成新中国成立70周年等重大活动网络安全保障工作。
建立网络安全预警与处置机制。公司建立了通报工作流程,以内部蓝信群、OA系统为载体,及时发布网络安全预警与处置方案、安全动态、安全事件、安全公告等信息。组织各单位进行处置,成功消除了网络安全威胁。
建立定期网络安全培训机制。一是注重提升全员安全意识。各单位通过内部网站、展板、宣传册、融媒体等多种形式和载体,扎实开展了网络安全法律法规、形势教育、网络完全基本知识等宣传教育,有效提升了全员网络安全认知水平。二是聚焦法规制度提升管理人员责任意识。公司把网络安全法、等级保护制度、南网“两个细则”、网络安全典型案例等作为培训重点,进一步提升了领导干部、管理人员对网络安全责任意识和主体意识。三是着力提升专业人员技能。着眼于互联网业务数据应用、网络安全架构典型设计、数据安全技防措施等开展技术交流和探讨,组织专题讲座和集中培训,并选派管理与技术人员参与CISP取证培训。
建立网络安全考核机制。在《基层年度绩效考核办法》《电力生产管理奖惩办法》中明确了网络安全管理相应对单位及人员的考核条款。公司层面以企业主要负责人、分管领导和企业年度绩效考核为抓手,严格网络安全管理检查考核。
公司依照“统一规划、统一设计、统一建设”的原则,组成网络安全联合工作组,积极践行“共商、共建、共治、共享”的理念,以安全、规范、优质、高效为目标,对需建设的网络安全技术保障项目从方案设计、项目招标、项目实施安排等进行了统一安排。
建立网络安全全员责任制实现了网络安全责任到岗,全面梳理了公司网络安全工作内容、管理范围与管理层级,制定责任清单构建了层级分明、责权明确、流程通畅的全业务和全要素网络安全管理模式,实现了领导决策到职能管理、技术管理和应急保障的纵向贯通,为实现网络安全有效管控奠定基础。
整合内外部资源,借助专业团队、外部专家团队实现资源整合,充分发挥骨干人员在项目建设、安全检查、整改落实等方面的督导作用,发挥强制性标准在网络安全核心领域的重要作用,不仅为网络安全构筑了本体安全和边界安全两道防线,而且为各基层单位设备安全配置和日常检查提供了技术依据,有效解决了各单位力量不足的问题。实现领导决策到职能管理、技术管理和应急保障的纵向贯通,为有效开展网络安全监督奠定了基础。