对于如何化解风险,习近平总书记在《关于〈中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议〉的说明》中指出,“要坚持发展与安全统筹,增强机遇风险意识,树立底气思路清晰,预判难点更透彻、更深入地思考风险,注意堵住漏洞、长处短板,先发制人、主动出击,有效防范化解各类风险挑战,确保顺利推进社会主义现代化建设。也就是说,有效的漏洞管理可以及早发现漏洞,遏制漏洞利用的发生,可以大大降低企业面临的风险。近年来,国家网络空间法律法规密集出台。2021年,《网络产品安全漏洞管理规定》《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》陆续发布,明确规范漏洞治理工作。中国南方电网公司(以下简称公司)作为关系国计民生的电力关键信息基础设施运营商,随着公司数字化转型建设的不断推进,数字化业务和网络安全逐渐受到高度重视。综合,要求公司增强机遇意识和风险意识,牢固树立底线思维,加强网络安全体系和能力建设,全面提升网络安全本质安全水平,实现网络安全、可靠、和谐、安全。人、事、管、环等要素统一,逐步接近和实现预防型、永久型、本质型,实现公司安全目标,夯实公司高质量发展的安全基础,构建本质安全的数字化转型,并积极为国家关键信息基础设施安全作出贡献。1、探索与实践公司严格执行国家各项法律法规,按照《网络安全法》、《网络产品安全漏洞管理条例》等相关要求,召开例会,专题研究,周密部署,深入开展网络安全合规管控,强化网络安全。安全漏洞治理深度和技术强度。(一)夯实安全责任链,夯实人员安全基础公司以结果为导向,贯彻执行国家法律法规和上级领导要求。通过夯实安全责任链,提升六项管理能力,落实人员管控机制,全面提升公司网络安全管理和监管能力,网络安全风险可控。根据国家要求,优化完善公司网络安全组织架构,设立首席网络安全官,以首席网络安全官为监督主体,深化安全责任落实,强化责任制、检查、考核、奖惩,做到“责任明确、机构齐全、岗位明确、手段完备、基础明确、考核严格”。明确各级网络安全责任人。按照按照“谁主管谁负责,谁建设谁负责,谁运行谁负责,谁使用谁负责,管理业务必须负责安全”的原则,设立专门的安全管理机构和安全管理人员,明确各级网络安全主体责任建立关键岗位人员名单在网络安全方面,定期对专业安全管理机构负责人和关键岗位人员进行安全背景调查。(2)搭建漏洞“中台”平台,实现全网安全漏洞的持续发现、通报、验证、处置闭环管理经过多年的网络安全建设,公司构建了信息安全运行监控和预警系统、资产库、网络安全漏洞库、网络安全靶场,集三维监控、威胁研判、态势感知、模拟验证、安全运营支撑、自动化处置等应用能力于一体。与CNNVD国家信息安全漏洞库对接,基于预警平台实现统一的漏洞管理机制,降低漏洞修复不及时、不完善带来的风险。重构信息安全运行监控预警系统技术架构。充分利用云原生技术,推动以微服务方式提供各类安全能力组件接口,推动数字网格安全“中枢”各专业功能组件分层解耦和接口标准化,建立开放生态,并支持后续的功能叠加演化。建设标准统一的网络安全数据采集、处理、存储、分析和服务基地,进一步将安全大数据服务与安全分析、态势感知等专业应用解耦,将安全大数据模块拆分为独立的安全大数据数据服务设施。完善网络安全漏洞库和威胁情报库,建立恶意代码库和处置知识库。按照“红队攻点、蓝队防控、监督督查”的定位,建立常态化的网络安全攻防机制,有效防范信息安全漏洞隐患。(三)狠抓供应链管控措施,“不能粗、不能松、不能松”的供应链一直是漏洞高发地近年来发生的事件。公司不断更新和完善供应链地图,针对公司的核心网络设备、高性能计算机和服务器、海量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等网络产品和服务对公司服务有重要影响的,根据国家有关规定,结合安全威胁情报,制定网络产品和服务供应链产品、企业、安全风险及整改清单,审核??、发布,并持续更新列表以确保仅在安全风险和漏洞为零时才允许网络。加强产品和服务供应链的网络安全。公司组建专业的评估测试团队,加强网络关键设备和网络安全专用产品的测试认证,制定软硬件产品入网要求,审查产品入网资质,严格执行网络安全审查要求。定期加强设备入网检测、到货抽检等网络安全检测。加强IT资产及其组件的版本管理,识别软件使用的开源组件,检测开源组件漏洞,分析组件安全风险,规避开源组件带来的安全风险。对硬件固件进行统一的源代码缺陷分析、源代码后门审计、源代码缺陷修复跟踪,避免固件缺陷带来的安全风险。提高网络化产品和服务供应链的应急能力。公司制定服务和产品更换要求。当发现联网软硬件产品存在高危漏洞或已知重大隐患时,及时进行版本更换或产品更换,实现业务连续性和可靠性。(四)切实做好网络安全运行保障,构建网络安全“快速反应”机制,提升“全网一盘棋”下的安全指挥运行能力。建设公司综合网络安全运营中心和网络安全信息通报中心。建立省级两级网络安全指挥机制,成立省级网络运营中心、市级运营小组,统筹公司各级安全监控分析、网络攻防对抗、事件应急响应、信息共享、指挥协同、联防联保。实现网络威胁“一处发现,处处拦截”,为全域防护提供作战保障支撑,提升联防联控、协同应对能力。提升预测、防护、检测和响应的专业能力,涵盖风险识别、威胁检测、预警响应、场景化安全防护需求。充分利用公司统一的安全漏洞库、威胁情报库和安全态势感知信息,整合外部安全漏洞挖掘和情报研究资源,加强网络安全主动防御和攻击对策,提高网络安全对抗的实际水平,减少高级持续性安全威胁。威胁造成的风险或伤害。网络安全队伍在实战中得到锻炼,应急指挥处置能力得到加强。公司组建了网络级和省级两级网络安全技术团队,建设了网络级电力专用网络安全靶场和电力监控系统模拟演练环境,并组织了系统培训。定期组织实战化网络攻防演练,检验网络安全防御、监测预警和应急处置能力,提升网络安全应急处置能力,有效支撑再防护、入网保护等网络安全工作,实现“自强”。面向”的队伍建设和实战检验应急预案的双重有效性。(五)深化安全漏洞风险管理体系建设,形成漏洞安全风险管控长效机制,完善网络安全漏洞管控机制。公司深化安全漏洞风险管理体系在网络安全领域的应用,组建数字业务风险管控专家团队,深入梳理数字业务,研判数字业务风险,建立数字业务风险分类清单,制定并定期更新数字业务风险基准控制措施。公司扩大安全内控监督范围,定期开展网络安全漏洞排查治理,形成了从漏洞发现、漏洞验证、漏洞分析、漏洞预警排查、资产漏洞分析的跟踪体系、补丁验证、漏洞修复、漏洞消除管控审核闭环机制。确保安全风险可控,消除隐患和漏洞。(六)进一步推动和加强多方合作,打造网络安全合作生态。公司与国家级网络安全专业机构达成战略合作,如与中国信息安全测评中心签署战略合作协议,借助国家级高层力量共同维护网络安全。参加粤港澳电力企业网络安全交流会,建立网络安全情报共享机制,与粤港澳共享安全漏洞、威胁情报、恶意IP等信息。打造能源行业产、学、研、用相结合的网络安全协作生态系统。公司与业内顶尖安全企业、知名高校、高水平研究机构建立了积极互动的紧密合作关系,提升公司网络安全服务对外辐射能力,构建跨界融合安全生态,加强公司与网络安全行业的合作。2、总结与思考公司在漏洞治理方面的探索与实践取得了显著成效,相关流程机制运行正常,经历了多次重大网络安全活动。例如2021年重大漏洞Log4j事件,公司获悉高危ApacheLog4j2漏洞蛛丝马迹后,连夜组织应急研判果断处置,实时阻断网络攻击,完成全面排查对受影响系统进行整改,有效预防和化解了重大隐患。充分检验了公司网络安全全天候实战能力。公司在已初见成效的安全防护体系建设成果基础上,坚持顶层视角、统筹兼顾、统筹兼顾,推进安防与信息化“全覆盖、深度融合”“三同步”原则。在满足要求的基础上,进一步锤炼“实化化、制度化、常态化”的安全能力,逐步构建“协同融合、双向支撑、全面延伸、服务共享”的网络安全综合防护体系2.0具有南方网的特点。
