國網信通:加快提升網絡安全保障能力建設
作者:呂建平 發(fā)布時間:2017-05-25 來源:電力網
即將于6月1日實施的《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)���,是我國第一部關于網絡安全工作的專用法律。該法律首次將能源���、金融�����、交通、通信等關鍵領域的信息基礎設施�,納入國家重點保護范圍,明確了相關方責任義務�����,將對我國網絡空間治理和網絡安全工作產生重大影響�。
國家電網公司信息通信分公司負責國家電網公司主要關鍵信息系統(tǒng)的建設運維工作,承擔著十分重大的網絡安全保障任務�����,學習好、理解好�、貫徹好《網絡安全法》,將是當前和今后一個時期的重要工作���。國網信通公司將切實引導全體干部員工深刻認識網絡安全定位�,樹立網絡安全理念和法律紅線意識���,加快提升網絡安全保障能力建設�����。
增強做好網絡安全工作的責任感緊迫感
認清復雜嚴峻的網絡安全形勢���。以勒索病毒等為代表的新型安全案例說明,來自于敵對勢力的網絡戰(zhàn)部隊�、由黑色產業(yè)鏈驅動的黑客組織正在成為網絡安全主要威脅。公司信息系統(tǒng)作為國家關鍵信息基礎設施�,是網絡安全的重中之重,也是網絡戰(zhàn)首當其沖的攻擊目標�����。同時,隨著“互聯(lián)網+”業(yè)務蓬勃發(fā)展�����,各類作業(yè)終端廣泛接入內網�,公司網絡邊界持續(xù)延伸,網絡安全防線持續(xù)擴大�,網絡安全保障壓力與日俱增。
認清極端重要的網絡安全定位���。網絡空間已經成為主權國家繼陸�、海���、空���、天四個疆域之后的第五疆域,競爭異常激烈���。黨和國家對網絡安全問題高度重視,《網絡安全法》出臺后網絡安全工作將有法可依�、有法必依、執(zhí)法必嚴���、違法必究�。
認清艱巨繁重的網絡安全保障職責?����!毒W絡安全法》對關鍵基礎信息設施范圍�����、運行安全具體保護要求�����、運營者的保護義務和法律責任均進行了明確的定義和規(guī)定�,同時還界定了關鍵信息基礎設施運營者違反相關條款應承擔的法律責任。
抓好網絡安全法學習貫徹
做好網絡安全法宣貫�。國網信通公司以網絡安全宣傳學習年活動為載體,全面深入開展普法活動�,通過舉辦全員專題講座報告、組織業(yè)務中心班組座談辯論等多種形式�����,抓好《網絡安全法》“入腦入心入行”學習宣貫���,引導員工正確樹立網絡安全觀�,強化員工網絡安全自覺自律意識。
落實網絡安全責任�����。認真梳理國網信通公司全業(yè)務領域網絡安全責任矩陣�,加快建立健全管理統(tǒng)一、職責明確�����、界面清晰的網絡安全責任體系�。突出核心人員和關鍵崗位安全責任審核和管控,組織開展網絡安全責任“三書”簽訂和第三方服務人員網絡安全責任“兩書”簽訂工作�,一級指導一級把責任壓緊、一環(huán)緊扣一環(huán)把責任落實���。
采取有力有效措施���。主動創(chuàng)新開展《網絡安全法》風險管控體系梳理構建工作,以總體風控清單�����、分級分類預案�����、重點專項行動和閉環(huán)監(jiān)督體系建設為抓手���,建立健全統(tǒng)一《網絡安全法》風險管控體系���。截至5月20日,國網信通公司對照《網絡安全法》�����,梳理出業(yè)務相關條款3個方面38項�,逐條款辨識風險點64個,提出針對性防控措施76項���,修編完善專項應急預案及現場處置預案7項�。
做好網絡安全能力專項提升工作
全面落實關鍵信息基礎設施防護要求���。國網信通公司深入開展等級保護“回頭看”�。對等級保護系統(tǒng)開展再測評定級���,重點監(jiān)督檢查等級保護制度落實�����、責任書簽署�����、關鍵信息基礎設施防護情況等���,著重開展關鍵信息基礎設施的審查評估�����。嚴格落實網絡安全“三同步”�。嚴把信息系統(tǒng)上線關�,嚴禁違反“三同步”要求的信息系統(tǒng)上線,杜絕“帶病”系統(tǒng)通過“綠色通道”入網�����。強化網絡安全防御體系整體規(guī)劃���,落實運維合規(guī)管控與監(jiān)測審計���,確保運維責任范圍網絡安全可控、能控���、在控���。
扎實做好網絡安全運維工作。認真開展賬號權限治理工作�����,全面梳理責任���、崗位及人員三個清單�����,實現全部賬號實名制和權限合規(guī)�。嚴禁弱口令�����,加快自研弱口令檢測工具開發(fā)�,從運維側和用戶側全面強化弱口令治理�����。全面開展漏洞拉網式排查���,采取包干到戶形式,拉網式排查管轄范圍內服務器���,確保排查漏洞有效整改�。
大力強化網絡安全實時監(jiān)控�����。積極推進網絡安全暨保密監(jiān)控平臺建設���,提升全天候全方位網絡安全態(tài)勢感知能力�。依托S6000(網絡與信息安全風險監(jiān)控預警)系統(tǒng)�,加強深度監(jiān)測、威脅分析�、預警處置等設備部署及技術應用,加快提升風險感知與分析能力���、風險溯源和風險定位能力���。牽頭全網藍隊聯(lián)盟建設�����,統(tǒng)籌開展網絡安全情報收集、風險預警�、防御處置、攻防對抗工作�����,集中力量開展應急響應和協(xié)同處置�����,有效防范和抵御有組織���、針對性強的網絡攻擊和威脅�。
突出做好網絡關鍵風險防控�����。強化敏感數據安全管控,確保重要數據備份安全�����,開展用戶信息和業(yè)務數據泄漏隱患檢查�,強化信息系統(tǒng)生產環(huán)境數據導出業(yè)務申請流程制度執(zhí)行;加強業(yè)務邏輯缺陷排查整改�����,確保用戶信息和業(yè)務數據安全�,嚴防網絡失泄密事件。積極應對新技術�����、新業(yè)態(tài)發(fā)展所帶來的網絡安全威脅�,加快制定針對無線網絡應用、海量異構終端接入等網絡安全運維防護策略�。
多措并舉夯實網絡本質安全。持續(xù)優(yōu)化信息通信系統(tǒng)架構�,提升信息系統(tǒng)研發(fā)質量和設備運行質量,完善網絡安全自動化技術支撐手段建設���;以業(yè)務全生命周期安全保障為目標���,健全覆蓋規(guī)劃�����、設計�、開發(fā)等各個階段的網絡安全管控工作機制�;強化網絡安全專業(yè)隊伍建設,健全網絡安全人才培養(yǎng)體系建設���,探索開展網絡安全人才資格認證,加強實戰(zhàn)能力鍛煉培養(yǎng)�。(國家電網公司信息通信分公司總經理 呂建平)
趙建國會見哈...
華電集團召開...
