蔣城穎 金瀟 蔣錦霞

[摘要]國(guó)網(wǎng)浙江省電力有限公司信息通信分公司從順查網(wǎng)絡(luò)安全宣貫學(xué)習(xí)、抽查網(wǎng)絡(luò)安全專業(yè)技術(shù)隊(duì)伍、逆查信息系統(tǒng)及終端管控和分析網(wǎng)絡(luò)安全態(tài)勢(shì)感知及創(chuàng)新技術(shù)防范水平四方面入手，突出制度、技術(shù)隊(duì)伍和管控體系三個(gè)亮點(diǎn)建設(shè)，全面評(píng)估公司網(wǎng)絡(luò)安全總體態(tài)勢(shì)和風(fēng)險(xiǎn)狀況，防范管理過程中的廉政風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全管理水平。

[關(guān)鍵詞]電網(wǎng)企業(yè) 網(wǎng)絡(luò)安全 內(nèi)部審計(jì) 創(chuàng)新

目前，電網(wǎng)企業(yè)正經(jīng)受前所未有的網(wǎng)絡(luò)安全考

驗(yàn)。為此，國(guó)網(wǎng)浙江省電力有限公司信息通信分公司（以下簡(jiǎn)稱公司）通過內(nèi)部審計(jì)開展網(wǎng)絡(luò)安全管控提升的創(chuàng)新嘗試，實(shí)現(xiàn)管理模式精細(xì)化轉(zhuǎn)變，深化公司網(wǎng)絡(luò)與信息安全隊(duì)伍建設(shè)，持續(xù)強(qiáng)化信息安全藍(lán)隊(duì)技術(shù)防范水平，滿足重大保電要求，真正從實(shí)效上促進(jìn)和改善企業(yè)的管理效能。

一、四個(gè)方面措施

內(nèi)部審計(jì)緊緊圍繞預(yù)期目標(biāo)開展工作，做到全員推廣與技術(shù)創(chuàng)新齊頭并進(jìn)，安全技術(shù)措施與管理規(guī)劃相互同步，人員建設(shè)及技術(shù)裝備雙向落實(shí)，具體包括四個(gè)方面的措施。

（一）順查網(wǎng)絡(luò)安全宣貫學(xué)習(xí)

以責(zé)任人為對(duì)象開展內(nèi)部審計(jì)，確保全體員工認(rèn)真學(xué)習(xí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，核實(shí)是否開展網(wǎng)絡(luò)安全宣傳周活動(dòng)，是否發(fā)放前沿安全技術(shù)宣傳資料、播放安全防護(hù)宣傳片、開展病毒防護(hù)案例警示教育展、開展攻防演練、應(yīng)急處置等技能演示，是否解答員工關(guān)心的安全防護(hù)問題，切實(shí)提高全員的網(wǎng)絡(luò)安全意識(shí)。

（二）抽查網(wǎng)絡(luò)安全專業(yè)技術(shù)隊(duì)伍

以規(guī)則為對(duì)象，對(duì)制度、計(jì)劃、任務(wù)、標(biāo)準(zhǔn)、流程等的執(zhí)行過程及結(jié)果進(jìn)行審計(jì)。核實(shí)網(wǎng)絡(luò)安全藍(lán)隊(duì)工作制度、藍(lán)隊(duì)階梯培養(yǎng)計(jì)劃和藍(lán)隊(duì)信息安全技術(shù)培訓(xùn)，是否針對(duì)漏洞掃描器及十五大管理型漏洞的檢測(cè)及加固方案進(jìn)行專業(yè)技術(shù)培訓(xùn)及實(shí)操練習(xí)，是否積極提供網(wǎng)絡(luò)安全防護(hù)典型經(jīng)驗(yàn)。

（三）逆查信息系統(tǒng)及終端管控

以信息系統(tǒng)為對(duì)象，對(duì)存貨、固定資產(chǎn)和系統(tǒng)運(yùn)營(yíng)維護(hù)情況進(jìn)行審計(jì)。全面梳理公司內(nèi)外網(wǎng)信息系統(tǒng)和終端接入的整體情況，了解核實(shí)網(wǎng)絡(luò)與信息系統(tǒng)防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)，管業(yè)務(wù)必須管安全”的原則，開展內(nèi)外網(wǎng)信息系統(tǒng)和終端的專項(xiàng)檢查工作。核實(shí)是否全面完成內(nèi)外網(wǎng)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)，核實(shí)提升信息系統(tǒng)賬號(hào)權(quán)限認(rèn)證和弱口令整改能力，核實(shí)是否加快終端準(zhǔn)入控制及身份認(rèn)證系統(tǒng)建設(shè)，是否實(shí)現(xiàn)終端管理的可控、能控、在控，杜絕非法接入。

（四）分析網(wǎng)絡(luò)安全態(tài)勢(shì)感知及創(chuàng)新技術(shù)防范水平

借助網(wǎng)絡(luò)安全分析室，核實(shí)網(wǎng)絡(luò)安全分析室的人員、場(chǎng)地、技術(shù)裝備和配套保障，通過采用業(yè)界先進(jìn)的各類系統(tǒng)工具、平臺(tái)，核實(shí)是否有效拓展信息安全防護(hù)范圍，實(shí)現(xiàn)全方位、無死角的信息安全監(jiān)控和防御；利用工具、平臺(tái)使信息安全防護(hù)工作由“隱形化”向“可視化”轉(zhuǎn)變，實(shí)現(xiàn)信息安全防護(hù)策略的動(dòng)態(tài)下發(fā)，助力內(nèi)部審計(jì)分析。

二、三個(gè)亮點(diǎn)建設(shè)

隨著企業(yè)管理體制改革、轉(zhuǎn)換經(jīng)營(yíng)機(jī)制和完善法人治理結(jié)構(gòu)的推進(jìn)，內(nèi)部審計(jì)不斷融入電網(wǎng)企業(yè)安全生產(chǎn)和經(jīng)營(yíng)管理等活動(dòng)中，推動(dòng)公司黨風(fēng)廉政建設(shè)和反腐敗工作的開展。在深入開展公司網(wǎng)絡(luò)安全審計(jì)過程中，突出以下三個(gè)亮點(diǎn)建設(shè)，確保內(nèi)部審計(jì)取得實(shí)效。

（一）推動(dòng)全面、實(shí)用、細(xì)致的制度建設(shè)

一是促進(jìn)制度建設(shè)全面。制度貫穿網(wǎng)絡(luò)安全管控提升各方面，涵蓋信息安全藍(lán)隊(duì)技術(shù)隊(duì)伍建設(shè)、網(wǎng)絡(luò)安全技術(shù)防范措施、網(wǎng)絡(luò)安全技術(shù)裝備、管控提升費(fèi)用支出情況、網(wǎng)絡(luò)安全教育培訓(xùn)情況以及考核情況。

二是助推制度內(nèi)容實(shí)用。為確保制度的內(nèi)容真正有利于提升網(wǎng)絡(luò)安全管控，業(yè)務(wù)部門在修訂過程中多次組織運(yùn)維機(jī)構(gòu)和地區(qū)信通公司等專家進(jìn)行討論，吸取各部門、各單位在項(xiàng)目管理中的優(yōu)秀經(jīng)驗(yàn)及有效做法，使制度更具實(shí)用性、可操作性和針對(duì)性。

三是保障制度落實(shí)精細(xì)。各項(xiàng)網(wǎng)絡(luò)安全的規(guī)章制度均經(jīng)公司領(lǐng)導(dǎo)、各部門、各單位專家評(píng)審討論后確定，具有約束力和執(zhí)行力。根據(jù)個(gè)人工作開展情況，時(shí)常在例會(huì)上學(xué)習(xí)重溫，對(duì)照評(píng)點(diǎn)，做到溫故知新，并通過流程績(jī)效評(píng)價(jià)定期監(jiān)督制度執(zhí)行情況。

（二）推動(dòng)有組織、有紀(jì)律、懂專業(yè)的技術(shù)隊(duì)伍建設(shè)

一是推進(jìn)信息安全藍(lán)隊(duì)體制提升，組建網(wǎng)絡(luò)安全分析室。完善“制防、物防、人防、技防”四個(gè)層面，建立“四維”防御體系（如圖1所示），修編并完善一系列藍(lán)隊(duì)隊(duì)伍管理規(guī)章制度，建立健全工作機(jī)制，常態(tài)化開展網(wǎng)絡(luò)安全監(jiān)測(cè)、分析、預(yù)警工作。以網(wǎng)絡(luò)安全分析室為抓手，統(tǒng)一調(diào)度本單位藍(lán)隊(duì)開展信息安全內(nèi)控相關(guān)工作，實(shí)現(xiàn)“統(tǒng)一監(jiān)測(cè)、統(tǒng)一預(yù)警、統(tǒng)一指揮”。

二是將視野擴(kuò)展到組織外部，制定藍(lán)隊(duì)階梯培養(yǎng)計(jì)劃，完善藍(lán)隊(duì)成員信息。加強(qiáng)信息安全藍(lán)隊(duì)成員的選拔工作，向基層單位、直屬單位覆蓋延伸，努力推進(jìn)人才梯隊(duì)建設(shè)，在藍(lán)隊(duì)選拔技術(shù)能力強(qiáng)，工作能力突出的成員作為核心骨干人員。地市、縣公司通過選拔或推薦的方式組建藍(lán)隊(duì)第二梯隊(duì)，作為預(yù)備隊(duì)員，正常參與藍(lán)隊(duì)常態(tài)化工作和培訓(xùn)交流，成熟一個(gè)發(fā)展一個(gè)。同時(shí)，有效推動(dòng)建立藍(lán)隊(duì)成員基礎(chǔ)信息臺(tái)賬，對(duì)藍(lán)隊(duì)成員的技術(shù)能力和工作能力進(jìn)行全面評(píng)估和記錄，完善藍(lán)隊(duì)成員團(tuán)隊(duì)貢獻(xiàn)度、培訓(xùn)證書、獲得榮譽(yù)等信息。

三是助力打造“浙電藍(lán)”品牌，持續(xù)擴(kuò)大“浙電藍(lán)”的影響力。內(nèi)部審計(jì)期間共申報(bào)26個(gè)典型經(jīng)驗(yàn)，其中《防火墻無法顯示視頻的問題分析及處理典型經(jīng)驗(yàn)》《北信源桌面管控系統(tǒng)與Win7兼容性問題分析及處理典型經(jīng)驗(yàn)》《反向隔離裝置高速模式性能問題分析及處理》等3個(gè)典型經(jīng)驗(yàn)被國(guó)網(wǎng)肯定并推廣。

（三）推動(dòng)完備、實(shí)用、高效的管控技術(shù)體系建設(shè)

在充分依托公司現(xiàn)有技術(shù)手段的基礎(chǔ)上，從技術(shù)裝備和分析平臺(tái)兩方面對(duì)技術(shù)支撐部分進(jìn)行加固補(bǔ)強(qiáng)，完成滲透測(cè)評(píng)平臺(tái)、白盒代碼檢測(cè)系統(tǒng)、內(nèi)控檢查工具及脆弱性分析平臺(tái)的建設(shè)，并整合內(nèi)外網(wǎng)安全可視化平臺(tái)進(jìn)行多信息源整合展現(xiàn)，有利于內(nèi)部審計(jì)掌握情況。

一是打造全天候全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是內(nèi)部審計(jì)必須掌握的最基礎(chǔ)的工作，要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制，結(jié)合大數(shù)據(jù)挖掘分析，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向和趨勢(shì)。

二是增強(qiáng)網(wǎng)絡(luò)空間未知威脅防御能力。強(qiáng)化基于行為識(shí)別攻擊檢測(cè)技術(shù)，構(gòu)建不依賴簽名特征的威脅分析防護(hù)體系，對(duì)潛在的未知攻擊行為能夠準(zhǔn)確識(shí)別，并進(jìn)行有效分析和驗(yàn)證。

三是實(shí)現(xiàn)漏洞庫(kù)、特征庫(kù)、知識(shí)庫(kù)全面化。通過主動(dòng)探索網(wǎng)絡(luò)安全工作薄弱點(diǎn)，在安全加固的過程中提升隱患發(fā)現(xiàn)能力。

（作者單位：國(guó)網(wǎng)浙江省電力有限公司信息通信分公司，郵政編碼： 310007，電子郵箱：6608764@qq.com）