即将于6月1日实施的《中华人民共和国网络安全法》(以下简称《网络安全法》),是我国第一部关于网络安全工作的专用法律。该法律首次将能源、金融、交通、通信等关键领域的信息基础设施,纳入国家重点保护范围,明确了相关方责任义务,将对我国网络空间治理和网络安全工作产生重大影响。
国家电网公司信息通信分公司负责国家电网公司主要关键信息系统的建设运维工作,承担着十分重大的网络安全保障任务,学习好、理解好、贯彻好《网络安全法》,将是当前和今后一个时期的重要工作。国网信通公司将切实引导全体干部员工深刻认识网络安全定位,树立网络安全理念和法律红线意识,加快提升网络安全保障能力建设。
增强做好网络安全工作的责任感紧迫感
认清复杂严峻的网络安全形势。以勒索病毒等为代表的新型安全案例说明,来自于敌对势力的网络战部队、由黑色产业链驱动的黑客组织正在成为网络安全主要威胁。公司信息系统作为国家关键信息基础设施,是网络安全的重中之重,也是网络战首当其冲的攻击目标。同时,随着“互联网+”业务蓬勃发展,各类作业终端广泛接入内网,公司网络边界持续延伸,网络安全防线持续扩大,网络安全保障压力与日俱增。
认清极端重要的网络安全定位。网络空间已经成为主权国家继陆、海、空、天四个疆域之后的第五疆域,竞争异常激烈。党和国家对网络安全问题高度重视,《网络安全法》出台后网络安全工作将有法可依、有法必依、执法必严、违法必究。
认清艰巨繁重的网络安全保障职责。《网络安全法》对关键基础信息设施范围、运行安全具体保护要求、运营者的保护义务和法律责任均进行了明确的定义和规定,同时还界定了关键信息基础设施运营者违反相关条款应承担的法律责任。
抓好网络安全法学习贯彻
做好网络安全法宣贯。国网信通公司以网络安全宣传学习年活动为载体,全面深入开展普法活动,通过举办全员专题讲座报告、组织业务中心班组座谈辩论等多种形式,抓好《网络安全法》“入脑入心入行”学习宣贯,引导员工正确树立网络安全观,强化员工网络安全自觉自律意识。
落实网络安全责任。认真梳理国网信通公司全业务领域网络安全责任矩阵,加快建立健全管理统一、职责明确、界面清晰的网络安全责任体系。突出核心人员和关键岗位安全责任审核和管控,组织开展网络安全责任“三书”签订和第三方服务人员网络安全责任“两书”签订工作,一级指导一级把责任压紧、一环紧扣一环把责任落实。
采取有力有效措施。主动创新开展《网络安全法》风险管控体系梳理构建工作,以总体风控清单、分级分类预案、重点专项行动和闭环监督体系建设为抓手,建立健全统一《网络安全法》风险管控体系。截至5月20日,国网信通公司对照《网络安全法》,梳理出业务相关条款3个方面38项,逐条款辨识风险点64个,提出针对性防控措施76项,修编完善专项应急预案及现场处置预案7项。
做好网络安全能力专项提升工作
全面落实关键信息基础设施防护要求。国网信通公司深入开展等级保护“回头看”。对等级保护系统开展再测评定级,重点监督检查等级保护制度落实、责任书签署、关键信息基础设施防护情况等,着重开展关键信息基础设施的审查评估。严格落实网络安全“三同步”。严把信息系统上线关,严禁违反“三同步”要求的信息系统上线,杜绝“带病”系统通过“绿色通道”入网。强化网络安全防御体系整体规划,落实运维合规管控与监测审计,确保运维责任范围网络安全可控、能控、在控。
扎实做好网络安全运维工作。认真开展账号权限治理工作,全面梳理责任、岗位及人员三个清单,实现全部账号实名制和权限合规。严禁弱口令,加快自研弱口令检测工具开发,从运维侧和用户侧全面强化弱口令治理。全面开展漏洞拉网式排查,采取包干到户形式,拉网式排查管辖范围内服务器,确保排查漏洞有效整改。
大力强化网络安全实时监控。积极推进网络安全暨保密监控平台建设,提升全天候全方位网络安全态势感知能力。依托S6000(网络与信息安全风险监控预警)系统,加强深度监测、威胁分析、预警处置等设备部署及技术应用,加快提升风险感知与分析能力、风险溯源和风险定位能力。牵头全网蓝队联盟建设,统筹开展网络安全情报收集、风险预警、防御处置、攻防对抗工作,集中力量开展应急响应和协同处置,有效防范和抵御有组织、针对性强的网络攻击和威胁。
突出做好网络关键风险防控。强化敏感数据安全管控,确保重要数据备份安全,开展用户信息和业务数据泄漏隐患检查,强化信息系统生产环境数据导出业务申请流程制度执行;加强业务逻辑缺陷排查整改,确保用户信息和业务数据安全,严防网络失泄密事件。积极应对新技术、新业态发展所带来的网络安全威胁,加快制定针对无线网络应用、海量异构终端接入等网络安全运维防护策略。
多措并举夯实网络本质安全。持续优化信息通信系统架构,提升信息系统研发质量和设备运行质量,完善网络安全自动化技术支撑手段建设;以业务全生命周期安全保障为目标,健全覆盖规划、设计、开发等各个阶段的网络安全管控工作机制;强化网络安全专业队伍建设,健全网络安全人才培养体系建设,探索开展网络安全人才资格认证,加强实战能力锻炼培养。(国家电网公司信息通信分公司总经理 吕建平)
