近日,國(guó)務(wù)院國(guó)資委印發(fā)《關(guān)于加快推進(jìn)國(guó)有企業(yè)數(shù)字化轉(zhuǎn)型工作的通知》(以下簡(jiǎn)稱“《通知》”),為國(guó)有企業(yè)下一步數(shù)字化轉(zhuǎn)型提供了基本遵循和工作指導(dǎo)。近年來(lái),中國(guó)華電集團(tuán)有限公司(以下簡(jiǎn)稱“中國(guó)華電”)堅(jiān)決貫徹落實(shí)習(xí)近平總書記關(guān)于推動(dòng)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)融合發(fā)展、新一代信息技術(shù)創(chuàng)新發(fā)展的系列重要指示精神,落實(shí)黨中央、國(guó)務(wù)院決策部署,加快推進(jìn)企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)。同時(shí),不斷完善網(wǎng)絡(luò)安全防護(hù)體系,提升技術(shù)防護(hù)水平,增強(qiáng)安全保障能力,護(hù)航企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)和高質(zhì)量發(fā)展。
數(shù)字化轉(zhuǎn)型背景下的網(wǎng)絡(luò)安全形勢(shì)
隨著“數(shù)字中國(guó)”“網(wǎng)絡(luò)強(qiáng)國(guó)”和“新基建”等國(guó)家重大戰(zhàn)略部署加快推進(jìn),國(guó)有企業(yè)數(shù)字化轉(zhuǎn)型已成為大勢(shì)所趨,伴隨著新一代信息技術(shù)的創(chuàng)新應(yīng)用,業(yè)務(wù)運(yùn)營(yíng)模式的變化更迭,網(wǎng)絡(luò)安全工作面臨新的挑戰(zhàn)。
國(guó)家法律法規(guī)對(duì)加強(qiáng)網(wǎng)絡(luò)安全工作提出更高要求。近兩年,《中華人民共和國(guó)密碼法》《中華人民共和國(guó)數(shù)據(jù)安全法(草案)》“網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系”和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)制度等法律法規(guī)陸續(xù)頒布施行,對(duì)數(shù)字化轉(zhuǎn)型背景下的云安全、數(shù)據(jù)安全、工控安全和密碼應(yīng)用等工作和能力提出新要求新挑戰(zhàn)。國(guó)務(wù)院國(guó)資委發(fā)布新版《中央企業(yè)負(fù)責(zé)人經(jīng)營(yíng)業(yè)績(jī)考核辦法》,增加了對(duì)網(wǎng)絡(luò)安全事件的考核要求,對(duì)國(guó)有企業(yè)的網(wǎng)絡(luò)安全工作提出了更高要求。
網(wǎng)絡(luò)安全保障成為數(shù)字化轉(zhuǎn)型的重要挑戰(zhàn)。國(guó)有企業(yè)數(shù)字化轉(zhuǎn)型將會(huì)極大地改進(jìn)原有生產(chǎn)和經(jīng)營(yíng)方式,信息技術(shù)與業(yè)務(wù)發(fā)展的深度融合將凸顯網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)質(zhì)性影響,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已延伸至生產(chǎn)和經(jīng)營(yíng)的方方面面,將會(huì)直接影響業(yè)務(wù)運(yùn)營(yíng),進(jìn)而影響生產(chǎn)安全、社會(huì)安全、甚至國(guó)家安全。
新一代信息技術(shù)創(chuàng)新應(yīng)用帶來(lái)新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。5G、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新一代信息技術(shù)的創(chuàng)新應(yīng)用給國(guó)有企業(yè)帶來(lái)巨大的創(chuàng)新紅利,同時(shí)引起企業(yè)IT環(huán)境的變化發(fā)展,云安全、數(shù)據(jù)安全、工控安全等諸多新的安全風(fēng)險(xiǎn)隨之而來(lái)。此外,大數(shù)據(jù)、人工智能等新一代信息技術(shù)也被廣泛用于網(wǎng)絡(luò)攻擊中,大大增加了網(wǎng)絡(luò)安全防護(hù)難度。
數(shù)字化轉(zhuǎn)型過(guò)程中的網(wǎng)絡(luò)安全問(wèn)題
在數(shù)字化轉(zhuǎn)型過(guò)程中,新技術(shù)、新應(yīng)用、新模式層出不窮,新問(wèn)題、新風(fēng)險(xiǎn)、新挑戰(zhàn)不斷出現(xiàn),傳統(tǒng)安全防護(hù)手段面對(duì)更加開放多元的應(yīng)用場(chǎng)景,難以保障數(shù)字化業(yè)務(wù)的平穩(wěn)、可靠、有序和高效運(yùn)營(yíng)。
網(wǎng)絡(luò)安全缺乏頂層設(shè)計(jì),防護(hù)體系化缺失,安全能力難于協(xié)同。網(wǎng)絡(luò)安全采用“局部整改” “查漏補(bǔ)缺” “輔助配套”建設(shè)模式,IT和網(wǎng)絡(luò)安全治理層面缺乏頂層設(shè)計(jì),安全系統(tǒng)之間安全能力分散,缺乏聯(lián)動(dòng)與協(xié)同,無(wú)法發(fā)揮整體防護(hù)效能,網(wǎng)絡(luò)安全防御能力與保障數(shù)字化業(yè)務(wù)運(yùn)營(yíng)的高標(biāo)準(zhǔn)要求尚有差距。
工業(yè)控制系統(tǒng)安全問(wèn)題日趨凸顯。由于該系統(tǒng)大多采用國(guó)外產(chǎn)品,老舊設(shè)備占比較大,對(duì)業(yè)務(wù)連續(xù)性要求較高,難以承擔(dān)漏洞修復(fù)后產(chǎn)生的后果,導(dǎo)致系統(tǒng)“帶病運(yùn)行”。部分工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部未進(jìn)行分區(qū)分域隔離,缺乏有效的安全防護(hù)手段和針對(duì)性安全管理與策略。
新技術(shù)的發(fā)展和廣泛應(yīng)用帶來(lái)網(wǎng)絡(luò)安全新挑戰(zhàn)。近年來(lái),國(guó)有企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化、邊界模糊化、數(shù)據(jù)集中化,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)融合疊加并快速演變趨向多樣化,傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)無(wú)法應(yīng)對(duì)新技術(shù)帶來(lái)的虛擬化、數(shù)據(jù)集中、平臺(tái)可用性等安全風(fēng)險(xiǎn),網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。
網(wǎng)絡(luò)安全專業(yè)隊(duì)伍儲(chǔ)備不足。高端人才匱乏導(dǎo)致企業(yè)網(wǎng)絡(luò)安全能力上限不高,過(guò)于依賴安全廠商,無(wú)法形成穩(wěn)定可持續(xù)的安全能力輸出。基層單位網(wǎng)絡(luò)安全人員不足,缺乏專人專崗,導(dǎo)致網(wǎng)絡(luò)安全制度和要求無(wú)法得到全面落實(shí)。
數(shù)字化轉(zhuǎn)型工作中網(wǎng)絡(luò)安全保障的思考和建議
國(guó)有企業(yè)要堅(jiān)決貫徹落實(shí)習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想,落實(shí)黨中央、國(guó)務(wù)院有關(guān)決策部署,切實(shí)增強(qiáng)責(zé)任感使命感,進(jìn)一步認(rèn)清新形勢(shì)下網(wǎng)絡(luò)安全工作的重要性緊迫性,準(zhǔn)確把握數(shù)字化轉(zhuǎn)型背景下網(wǎng)絡(luò)安全工作面臨的新問(wèn)題新挑戰(zhàn),把網(wǎng)絡(luò)安全防護(hù)工作作為數(shù)字化轉(zhuǎn)型的前提基礎(chǔ)和堅(jiān)實(shí)保障,堅(jiān)決落實(shí)主體責(zé)任,不斷強(qiáng)化頂層設(shè)計(jì),健全組織管理體系,加強(qiáng)防護(hù)能力建設(shè),加快人才隊(duì)伍培養(yǎng),全面提升安全保障能力,切實(shí)為企業(yè)數(shù)字化轉(zhuǎn)型保駕護(hù)航,推動(dòng)高質(zhì)量發(fā)展。
加強(qiáng)頂層設(shè)計(jì),強(qiáng)化體系建設(shè)
國(guó)有企業(yè)網(wǎng)絡(luò)安全體系建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)性工程,尤其對(duì)于數(shù)字化轉(zhuǎn)型深入階段的安全防護(hù),必須深入保障數(shù)字化業(yè)務(wù)的各個(gè)方面,加強(qiáng)網(wǎng)絡(luò)安全頂層設(shè)計(jì)規(guī)劃,以體系化、工程化的模式建立新型網(wǎng)絡(luò)安全防御體系,增強(qiáng)應(yīng)對(duì)各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。中國(guó)華電完成互聯(lián)網(wǎng)統(tǒng)一出口安全防護(hù),通過(guò)網(wǎng)絡(luò)安全架構(gòu)實(shí)現(xiàn)整體網(wǎng)絡(luò)安全能力的大幅提升,并在此基礎(chǔ)上進(jìn)行體系化的網(wǎng)絡(luò)安全能力建設(shè),逐步構(gòu)建網(wǎng)絡(luò)安全縱深防御體系,夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)。
健全管理體系,實(shí)現(xiàn)全方位管理
落實(shí)網(wǎng)絡(luò)安全主體責(zé)任,厘清界面職責(zé),健全組織架構(gòu),編制和修訂管理制度,強(qiáng)化考核督導(dǎo),不斷完善網(wǎng)絡(luò)安全保障、信息通報(bào)和應(yīng)急體系。中國(guó)華電通過(guò)建立健全網(wǎng)絡(luò)安全管理體系,落實(shí)主體責(zé)任,強(qiáng)化考核監(jiān)督,明確分工界面,理順工作流程,實(shí)現(xiàn)全產(chǎn)業(yè)、全業(yè)務(wù)、全過(guò)程、全要素的網(wǎng)絡(luò)安全管理。
加強(qiáng)產(chǎn)品服務(wù)管控,增強(qiáng)本質(zhì)安全
一是使用安全可靠的產(chǎn)品和服務(wù),建立安全審查機(jī)制。貫徹落實(shí)《網(wǎng)絡(luò)安全審查辦法》要求,建立健全網(wǎng)絡(luò)安全審查機(jī)制,依法依規(guī)對(duì)供應(yīng)商、安全方案、產(chǎn)品和服務(wù)等進(jìn)行嚴(yán)格審查,提高產(chǎn)品和服務(wù)的安全性可控性。
二是堅(jiān)持安全創(chuàng)新,加快信創(chuàng)產(chǎn)品和服務(wù)的使用。逐步加快安全可靠的信創(chuàng)產(chǎn)品和服務(wù)在設(shè)備設(shè)施、工具軟件、信息系統(tǒng)和服務(wù)平臺(tái)等方面的使用,提升本質(zhì)安全,實(shí)現(xiàn)國(guó)有企業(yè)網(wǎng)絡(luò)安全體系的可信、可控、可持續(xù)。中國(guó)華電加強(qiáng)信創(chuàng)產(chǎn)品與系統(tǒng)的研制與應(yīng)用,在火力發(fā)電DCS(分散控制系統(tǒng))和水力發(fā)電監(jiān)控系統(tǒng)領(lǐng)域?qū)崿F(xiàn)了自主可控,打破了技術(shù)壟斷,能夠有效防止“卡脖子”事件發(fā)生,提高電力控制系統(tǒng)的運(yùn)行效率和安全可靠性,保障能源電力等重要基礎(chǔ)設(shè)施安全運(yùn)行。
強(qiáng)化技術(shù)防護(hù),提升綜合防護(hù)水平
一是增強(qiáng)面向安全運(yùn)營(yíng)的態(tài)勢(shì)感知能力,完善網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與應(yīng)急處置體系。中國(guó)華電以態(tài)勢(shì)感知平臺(tái)為依托,實(shí)現(xiàn)覆蓋平臺(tái)、系統(tǒng)、數(shù)據(jù)等所有信息資產(chǎn)的實(shí)時(shí)安全監(jiān)測(cè)和預(yù)警,并與網(wǎng)絡(luò)安全信息通報(bào)平臺(tái)集成,實(shí)現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)之間的協(xié)作聯(lián)動(dòng),完善網(wǎng)絡(luò)安全態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警和應(yīng)急處置體系,提升網(wǎng)絡(luò)安全綜合防護(hù)能力。二是建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)資源庫(kù),持續(xù)輸出安全能力。中國(guó)華電以平臺(tái)化方式建設(shè)和豐富基礎(chǔ)資源庫(kù),以安全服務(wù)持續(xù)輸出安全能力,并據(jù)此開展日常化、規(guī)程化和可持續(xù)的網(wǎng)絡(luò)安全運(yùn)營(yíng)。三是加強(qiáng)工業(yè)控制系統(tǒng)的安全防護(hù)。中國(guó)華電制定《電力企業(yè)網(wǎng)絡(luò)安全監(jiān)督實(shí)施細(xì)則》,加強(qiáng)工控系統(tǒng)全生命周期安全監(jiān)督,不斷夯實(shí)工控安全基礎(chǔ)。四是加強(qiáng)數(shù)據(jù)全生命周期的安全防護(hù)。建設(shè)數(shù)據(jù)安全管理平臺(tái),梳理數(shù)據(jù)資產(chǎn),進(jìn)行分類分級(jí),加強(qiáng)數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享、銷毀等各個(gè)環(huán)節(jié)的保護(hù)措施,加強(qiáng)數(shù)據(jù)防攻擊、防竊取、防泄露及訪問(wèn)控制能力建設(shè),實(shí)現(xiàn)數(shù)據(jù)全生命周期的安全防護(hù)。五是加強(qiáng)云平臺(tái)的安全防護(hù)。
強(qiáng)化攻防演練,提升應(yīng)急處置水平
國(guó)有企業(yè)應(yīng)持續(xù)開展攻防演習(xí),一方面能夠發(fā)現(xiàn)網(wǎng)絡(luò)安全防御體系中的短板和薄弱環(huán)節(jié),及時(shí)優(yōu)化整改,提升整體防御能力,另一方面能夠檢驗(yàn)和完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案,提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急處置和協(xié)同聯(lián)動(dòng)能力。
加強(qiáng)人才隊(duì)伍培養(yǎng),強(qiáng)化智力支撐
中國(guó)華電每年通過(guò)各種形式培養(yǎng)和提升員工的網(wǎng)絡(luò)安全意識(shí)和基本技能。同時(shí),加快網(wǎng)絡(luò)安全專業(yè)人才隊(duì)伍培養(yǎng),逐步建立網(wǎng)絡(luò)安全專業(yè)人才的選拔、培養(yǎng)、任用機(jī)制,通過(guò)安排技術(shù)技能培訓(xùn)與考核、參與技能大賽和攻防演練等方式實(shí)現(xiàn)人才隊(duì)伍從信息安全等級(jí)保護(hù)合規(guī)測(cè)評(píng)能力向網(wǎng)絡(luò)攻防專業(yè)技術(shù)能力及實(shí)戰(zhàn)能力的提升。 (責(zé)任編輯:馬成維)