【编者按】近日,国务院国资委印发《关于加快推进国有企业数字化转型工作的通知》(以下简称《通知》),为国有企业下一步数字化转型提供了基本遵循和工作指导。近年来,中国华电坚决贯彻落实习近平总书记关于推动数字经济和实体经济融合发展、新一代信息技术创新发展的系列重要指示精神,落实党中央国务院决策部署,加快推进企业数字化转型升级,同时不断完善网络安全防护体系,提升技术防护水平,增强安全保障能力,护航企业数字化转型升级和高质量发展。结合对《通知》有关要求的学习领会和自身工作的实践体会,对《通知》有关内容进行解读分享。
一、数字化转型背景下的网络安全形势
随着“数字中国”“网络强国”和“新基建”等国家重大战略部署加快推进,国有企业数字化转型成为大势所趋,伴随着新一代信息技术的创新应用,业务运营模式的变化更迭,网络安全工作面临新的挑战。
一是国家法律法规对加强网络安全工作提出更高要求。近两年,《密码法》《数据安全法(草案)》、网络安全等级保护2.0和关键信息基础设施安全保护相关制度等法律法规陆续颁布施行,对数字化转型背景下的云安全、数据安全、工控安全和密码应用等工作和能力提出新要求新挑战。国务院国资委发布新版《中央企业负责人经营业绩考核办法》,增加了对网络安全事件的考核要求,对国有企业的网络安全工作提出了更高要求。
二是网络安全保障成为数字化转型的重要挑战。国有企业数字化转型将会极大地改进原有生产和经营方式,信息技术与业务发展的深度融合将凸显网络安全风险的实质性影响,网络安全风险已延伸至生产和经营的方方面面,将会直接影响业务运营,进而影响生产安全、社会安全、甚至国家安全。
三是新一代信息技术创新应用带来新的网络安全风险。5G、云计算、大数据、物联网、人工智能等新一代信息技术的创新应用给国有企业带来巨大的创新红利,同时引起企业IT环境的变化发展,云安全、数据安全、工控安全等诸多新的安全风险随之而来。此外,大数据、人工智能等新一代信息技术也被广泛用于网络攻击中,大大增加了网络安全防护难度。
二、数字化转型过程中的网络安全问题
在数字化转型过程中,新技术、新应用、新模式层出不穷,新问题、新风险、新挑战不断出现,传统安全防护手段面对更加开放多元的应用场景,难以保障数字化业务的平稳、可靠、有序和高效运营。
一是网络安全缺乏顶层设计,防护体系化缺失,安全能力难于协同。网络安全采用“局部整改” “查漏补缺” “辅助配套”建设模式,IT和网络安全治理层面缺乏顶层设计,安全系统之间安全能力分散,缺乏联动与协同,无法发挥整体防护效能,网络安全防御能力与保障数字化业务运营的高标准要求尚有差距。
二是工业控制系统安全问题日趋凸显。随着IT与OT的深度融合,工业控制系统与信息化结合日益紧密,生产安全更加依赖网络安全。工控系统大多采用国外产品,老旧设备占比较大,对业务连续性要求较高,难以承担漏洞修复后产生的影响,导致系统“带病运行”。部分工业控制系统网络内部未进行分区分域隔离,缺乏有效的安全防护手段,工控系统缺乏针对性安全管理和策略。
三是新技术的发展和广泛应用带来网络安全新挑战。近年来,云计算、大数据、工业互联网、人工智能等新技术新应用大规模发展,业务应用模式不断创新,国有企业网络结构复杂化、边界模糊化、数据集中化,网络安全风险融合叠加并快速演变趋向多样化,传统的网络安全架构无法应对新技术带来的虚拟化、数据集中、平台可用性等安全风险,网络安全面临新的挑战。
四是网络安全专业队伍储备不足。高端人才匮乏导致企业网络安全能力上限不高,过于依赖安全厂商,无法形成稳定可持续的安全能力输出;基层单位网络安全人员不足,缺乏专人专岗,导致网络安全制度和要求无法得到全面落实。
三、数字化转型工作中网络安全保障的思考和建议
国有企业要坚决贯彻落实习近平总书记关于网络强国的重要思想,落实党中央国务院有关决策部署,切实增强责任感使命感,进一步认清新形势下网络安全工作的重要性紧迫性,准确把握数字化转型形势背景下网络安全工作面临的新问题新挑战,把网络安全防护工作作为数字化转型的前提基础和坚实保障,坚决落实主体责任,不断强化顶层设计,健全组织管理体系,加强防护能力建设,加快人才队伍培养,全面提升安全保障能力,切实为企业数字化转型保驾护航,推动高质量发展。
(一)加强顶层设计,强化体系建设
国有企业网络安全体系建设是一项复杂的系统性工程,尤其对于数字化转型深入阶段的安全防护,必须深入保障数字化业务的各个方面,加强网络安全顶层设计规划,以体系化、工程化的模式建立新型网络安全防御体系,增强应对各类网络安全风险的能力。中国华电完成互联网统一出口安全防护,通过网络安全架构实现整体网络安全能力的大幅提升,并在此基础上进行体系化的网络安全能力建设,逐步构建网络安全纵深防御体系,夯实网络安全基础。
(二)健全管理体系,实现全方位管理
落实网络安全主体责任,厘清界面职责,健全组织架构,编制和修订管理制度,强化考核督导,不断完善网络安全保障、信息通报和应急体系。中国华电通过建立健全网络安全管理体系,落实主体责任,强化考核监督,明确分工界面、理顺工作流程,实现全产业、全业务、全过程、全要素的网络安全管理。
(三)加强产品服务管控,增强本质安全
一是使用安全可靠的产品和服务,建立安全审查机制。贯彻落实《网络安全审查办法》要求,建立健全网络安全审查机制,依法依规对供应商、安全方案、产品和服务等进行严格审查,提高产品和服务的安全性可控性。
二是坚持安全创新,加快信创产品和服务的使用。逐步加快安全可靠的信创产品和服务在设备设施、工具软件、信息系统和服务平台等方面的使用,提升本质安全,实现国有企业网络安全体系的可信、可控、可持续。中国华电加强信创产品与系统的研制与应用,在火力发电DCS和水力发电监控系统领域实现了自主可控,打破了技术垄断,能够有效防止“卡脖子”事件发生,提高电力控制系统的运行效率和安全可靠性,保障能源电力等重要基础设施安全运行。
(四)强化技术防护,提升综合防护水平
一是增强面向安全运营的态势感知能力,完善网络安全监测预警与应急处置体系。建设网络安全态势感知平台,汇聚来自网络流量、人员行为、安全系统、主机应用以及业务系统的各种安全数据,从资产、漏洞、攻击、威胁、风险、行为等维度全面感知安全态势。中国华电以态势感知平台为依托,实现覆盖平台、系统、数据等所有信息资产的实时安全监测和预警,并与网络安全信息通报平台集成,实现网络安全系统之间的协作联动,完善网络安全态势感知、监测预警和应急处置体系,提升网络安全综合防护能力。
二是建设网络安全基础资源库,持续输出安全能力。以整体化、集中化、规模化的方式规划建设漏洞库、病毒库、威胁情报库等网络安全基础资源库,加强安全资源储备。中国华电以平台化方式建设和丰富基础资源库,以安全服务持续输出安全能力,并据此开展日常化、规程化和可持续的网络安全运营。
三是加强工业控制系统的安全防护。以工控系统监督检查、等级测评、风险评估、漏洞修复、数据保护、信息通报和共享、应急处置等为抓手,进一步健全管理制度和工作机制,强化工控系统安全管理与防护,在国有企业数字化转型中落实安全闭环管控。中国华电制定《电力企业网络安全监督实施细则》,加强工控系统全生命周期安全监督,不断夯实工控安全基础。同时积极参与国资委能源工业互联网安全态势感知平台建设工作,增强集团级工控安全态势感知、应急处置、风险管控等安全能力,有效应对和防范电力网络安全风险。
四是加强数据全生命周期的安全防护。建设数据安全管理平台,梳理数据资产,进行分类分级,加强数据采集、传输、存储、使用、共享、销毁等各个环节的保护措施,加强数据防攻击、防窃取、防泄露及访问控制能力建设,实现数据全生命周期的安全防护。
五是加强云平台的安全防护。构建云安全防护体系,全面覆盖云边界、应用系统区域、主机、容器等层次,实现公有云、私有云、混合云多云架构环境下网络安全的深度融合,形成IaaS、PaaS、SaaS层级的云安全防护能力。
(五)加强攻防演练,提升应急处置水平
网络安全攻防演练是检验网络安全防护水平最直接、最有效的方式。国有企业应持续开展攻防演习,一方面能够真实掌握自身网络安全防护水平,发现网络安全防御体系中的短板和薄弱环节,及时优化整改,提升整体防御能力,另一方面能够检验和完善网络安全应急预案,提升突发网络安全事件应急处置和协同联动能力。
(六)加强人才队伍培养,强化智力支撑
网络安全的本质在对抗,人始终是对抗中最关键的要素。中国华电每年在集团内部开展网络安全宣传教育月活动,通过各种形式培养和提升员工的网络安全意识和基本技能。同时,加快网络安全专业人才队伍培养,逐步建立网络安全专业人才的选拔、培养、任用机制,通过安排技术技能培训与考核、参与技能大赛和攻防演练等方式实现人才队伍从等保合规测评能力向网络攻防专业技术能力及实战能力的提升。