“三位一體”監(jiān)督：堵塞網(wǎng)絡(luò)安全管理漏洞

蔣城穎 吳惠芬 鐘瀟

網(wǎng)絡(luò)安全管理實(shí)踐

全球網(wǎng)絡(luò)安全威脅不斷擴(kuò)大，網(wǎng)絡(luò)安全態(tài)勢(shì)日益復(fù)雜，國(guó)家越來(lái)越重視網(wǎng)絡(luò)安全工作，并把網(wǎng)絡(luò)安全提升到了前所未有的高度，2017年6月實(shí)行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》成為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、維護(hù)網(wǎng)絡(luò)空間主權(quán)的制度保障。但是，目前企業(yè)網(wǎng)絡(luò)安全防護(hù)水平與嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)還不適應(yīng)，依法治網(wǎng)的安全意識(shí)有待提高，網(wǎng)絡(luò)安全管理措施、技術(shù)手段等方面還存在薄弱環(huán)節(jié)，并且網(wǎng)絡(luò)核心技術(shù)設(shè)備受制于人的局面沒(méi)有從根本上改善，安全防護(hù)投入少、安全防護(hù)方式單一、整體防護(hù)能力薄弱、網(wǎng)絡(luò)信任體系不健全等問(wèn)題依然存在。

目前，電網(wǎng)企業(yè)也正在經(jīng)受前所未有的網(wǎng)絡(luò)安全考驗(yàn)。國(guó)家電網(wǎng)公司要求加強(qiáng)依法治企，逐步將網(wǎng)絡(luò)安全納入審計(jì)范圍。為此，國(guó)網(wǎng)浙江省電力有限公司信息通信分公司（下稱“公司”）充分開展內(nèi)部審計(jì)、巡視巡察和協(xié)同監(jiān)督“三位一體”的網(wǎng)絡(luò)安全監(jiān)督工作，通過(guò)對(duì)網(wǎng)絡(luò)安全管控提升的研究與探索，實(shí)現(xiàn)管理模式精細(xì)化的轉(zhuǎn)變，深化公司網(wǎng)絡(luò)與信息安全隊(duì)伍建設(shè)，持續(xù)強(qiáng)化信息安全“藍(lán)隊(duì)”技防水平，滿足重大保電要求，真正從實(shí)效上促進(jìn)和改善企業(yè)的管理效能。

全面開展網(wǎng)絡(luò)安全監(jiān)督

隨著企業(yè)管理體制改革、轉(zhuǎn)換經(jīng)營(yíng)機(jī)制和完善法人治理結(jié)構(gòu)，內(nèi)部審計(jì)、巡視巡察和協(xié)同監(jiān)督項(xiàng)目正不斷融入電網(wǎng)企業(yè)安全生產(chǎn)和經(jīng)營(yíng)管理等活動(dòng)中，成為企業(yè)加強(qiáng)內(nèi)部管理的重要工作方式和手段，同時(shí)推動(dòng)了公司黨風(fēng)廉政建設(shè)和反腐敗工作的開展。開展網(wǎng)絡(luò)安全“三位一體”監(jiān)督工作是有效整合監(jiān)督資源的創(chuàng)新、揭示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要手段、改進(jìn)信息安全現(xiàn)狀的有效途徑、滿足網(wǎng)絡(luò)安全合規(guī)要求的有力武器。在深入開展網(wǎng)絡(luò)安全監(jiān)督工作的實(shí)施過(guò)程中，公司從以下四個(gè)研究重點(diǎn)出發(fā)，確保監(jiān)督項(xiàng)目取得實(shí)效。

構(gòu)建點(diǎn)、線、面有機(jī)結(jié)合的監(jiān)督模式

“三位一體”整合監(jiān)督模式就是構(gòu)建一種立體式、全方位的內(nèi)部監(jiān)督體系，由公司黨委負(fù)責(zé)、紀(jì)委組織協(xié)調(diào)、各有關(guān)部門分工配合、員工積極參與的工作機(jī)制和方法。具體指在開展巡視巡察、協(xié)同監(jiān)督及內(nèi)部審計(jì)項(xiàng)目時(shí)，將巡察、監(jiān)察和審計(jì)的各自職能實(shí)現(xiàn)有效對(duì)接，在同一時(shí)段聯(lián)合開展工作，使“獨(dú)唱”變?yōu)椤叭爻保行Ы鉀Q監(jiān)督資源無(wú)法形成合力、重復(fù)監(jiān)督和監(jiān)督真空問(wèn)題并存、監(jiān)督缺乏獨(dú)立性等問(wèn)題。

（1）組織體制一體化。網(wǎng)絡(luò)安全“三位一體”監(jiān)督項(xiàng)目由公司黨委書記負(fù)責(zé)，紀(jì)委書記分管，項(xiàng)目組具體實(shí)施，監(jiān)督角色定位十分清晰。監(jiān)督項(xiàng)目組成員全程參加公司關(guān)于網(wǎng)絡(luò)安全的辦公會(huì)議、協(xié)調(diào)會(huì)議，對(duì)網(wǎng)絡(luò)安全重大決策全面了解并獨(dú)立發(fā)表意見，因地制宜籌劃監(jiān)督工作和制訂監(jiān)督計(jì)劃，監(jiān)督的責(zé)任感和獨(dú)立性明顯增強(qiáng)。

（2）工作協(xié)調(diào)一體化。在開展網(wǎng)絡(luò)安全“三位一體”監(jiān)督工作的過(guò)程中，巡察、監(jiān)察和審計(jì)統(tǒng)籌調(diào)配，資源共享，職能互補(bǔ)，實(shí)現(xiàn)了事前堵住、事中卡住、事后查處的全方位、全過(guò)程監(jiān)督。同時(shí)，橫向、縱向的信息共享，使得監(jiān)督視野更開闊，風(fēng)險(xiǎn)點(diǎn)研究更深入，警示教育更到位，有效解決了以往監(jiān)督項(xiàng)目渠道不暢和工作缺位的問(wèn)題。

（3）成果運(yùn)用一體化。建立監(jiān)督成果與考核掛鉤機(jī)制，通過(guò)問(wèn)責(zé)、約談等手段促進(jìn)整改落到實(shí)處，使監(jiān)督的影響力和震懾力明顯增強(qiáng)。對(duì)于監(jiān)察和審計(jì)發(fā)現(xiàn)的問(wèn)題，由巡察跟進(jìn)整改落實(shí)，推進(jìn)了企業(yè)黨內(nèi)監(jiān)督和依法治企的有機(jī)結(jié)合，形成事前、事中、事后監(jiān)督與動(dòng)態(tài)、過(guò)程、結(jié)果監(jiān)督及責(zé)任追究相融合的科學(xué)監(jiān)督體系。

加強(qiáng)“全面、實(shí)用、細(xì)致”的制度建設(shè)

網(wǎng)絡(luò)安全管控逐漸呈現(xiàn)點(diǎn)多面廣、技術(shù)復(fù)雜、不確定性因素多等趨勢(shì)，因此讓制度順應(yīng)變動(dòng)的趨勢(shì)，固化管控工作流程，能夠真正落地執(zhí)行是“三位一體”監(jiān)督項(xiàng)目要重點(diǎn)解決的問(wèn)題。這個(gè)監(jiān)督項(xiàng)目要確保獨(dú)立性、客觀性，能有效促進(jìn)制度的完善，主要體現(xiàn)在以下幾個(gè)方面。

（1）促進(jìn)制度建設(shè)“全面”。監(jiān)督項(xiàng)目形成的制度貫串網(wǎng)絡(luò)安全管控提升的各個(gè)方面，涵蓋信息安全“藍(lán)隊(duì)”技術(shù)隊(duì)伍建設(shè)、網(wǎng)絡(luò)安全技防措施、網(wǎng)絡(luò)安全技術(shù)裝備、管控提升費(fèi)用支出情況、網(wǎng)絡(luò)安全教育培訓(xùn)情況以及考核情況。

（2）助推制度內(nèi)容“實(shí)用”。為了通過(guò)監(jiān)督，確保制度的內(nèi)容真正有利于提升網(wǎng)絡(luò)安全管控，業(yè)務(wù)部門在修訂過(guò)程中多次組織運(yùn)維機(jī)構(gòu)和地區(qū)信通公司等專家進(jìn)行討論，吸取各部門、各單位在項(xiàng)目管理中的優(yōu)秀經(jīng)驗(yàn)及有效做法，使得制定的制度更具有實(shí)用性、可操作性和針對(duì)性，不為制度的形式而為。

（3）達(dá)成制度落實(shí)“細(xì)致”。公司開展監(jiān)督項(xiàng)目時(shí)，要求各項(xiàng)網(wǎng)絡(luò)安全的規(guī)章制度均經(jīng)公司領(lǐng)導(dǎo)、各部門、各單位專家評(píng)審討論后確定，具有一定的約束力和執(zhí)行力。形成的文本發(fā)到員工手里，根據(jù)工作開展情況，要求員工時(shí)常在例會(huì)上學(xué)習(xí)，對(duì)照評(píng)點(diǎn)，做到溫故知新，并通過(guò)流程績(jī)效評(píng)價(jià)定期監(jiān)督制度的執(zhí)行情況。

打造“有組織、有紀(jì)律、懂專業(yè)”的隊(duì)伍

近年來(lái)，更多的網(wǎng)絡(luò)黑客轉(zhuǎn)向利用人的弱點(diǎn)，通過(guò)社會(huì)工程學(xué)方法來(lái)實(shí)施網(wǎng)絡(luò)攻擊，利用社會(huì)工程學(xué)手段（包括物理攻擊）、突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì)。“三位一體”監(jiān)督項(xiàng)目參與價(jià)值創(chuàng)造，助力打造一支“有組織、有紀(jì)律、懂專業(yè)”的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍。

（1）推進(jìn)信息安全“藍(lán)隊(duì)”體制提升，助力組建網(wǎng)絡(luò)安全分析室。通過(guò)完善“制防、物防、人防、技防”四個(gè)層面，公司建立“四維”防御體系（見圖1）;修編并完善一系列“藍(lán)隊(duì)”隊(duì)伍管理規(guī)章制度;建立健全工作機(jī)制，常態(tài)化開展網(wǎng)絡(luò)安全監(jiān)測(cè)、分析、預(yù)警工作。以網(wǎng)絡(luò)安全分析室為抓手，公司統(tǒng)一調(diào)度信息安全“藍(lán)隊(duì)”，開展信息安全內(nèi)控相關(guān)工作，實(shí)現(xiàn)“統(tǒng)一監(jiān)測(cè)、統(tǒng)一預(yù)警、統(tǒng)一指揮”。

（2）將視野擴(kuò)展到組織外部，制訂“藍(lán)隊(duì)”階梯培養(yǎng)計(jì)劃，完備“藍(lán)隊(duì)”成員信息。為加強(qiáng)信息安全“藍(lán)隊(duì)”成員的選拔工作，公司向基層單位、直屬單位覆蓋延伸，努力推進(jìn)人才梯隊(duì)建設(shè)，在“藍(lán)隊(duì)”選拔技術(shù)能力強(qiáng)、工作能力突出的成員作為核心骨干人員。地市、縣公司通過(guò)選拔或推薦的方式組建“藍(lán)隊(duì)”第二梯隊(duì)，作為預(yù)備隊(duì)員，正常參與“藍(lán)隊(duì)”常態(tài)化工作和培訓(xùn)交流，成熟一個(gè)發(fā)展一個(gè)。同時(shí)，有效推動(dòng)建立“藍(lán)隊(duì)”成員基礎(chǔ)信息臺(tái)賬，對(duì)“藍(lán)隊(duì)”成員的技術(shù)能力和工作能力進(jìn)行全面評(píng)估并記錄，完善“藍(lán)隊(duì)”成員團(tuán)隊(duì)貢獻(xiàn)度、培訓(xùn)證書、獲得榮譽(yù)等信息。

（3）助力打造“浙電藍(lán)”品牌，持續(xù)擴(kuò)大“浙電藍(lán)”在國(guó)網(wǎng)公司的輻射力。公司在監(jiān)督項(xiàng)目開展期間共申報(bào)26篇典型經(jīng)驗(yàn)文章，其中《防火墻無(wú)法顯示視頻的問(wèn)題分析及處理典型經(jīng)驗(yàn)》《北信源桌面管控系統(tǒng)與Win7兼容性問(wèn)題分析及處理典型經(jīng)驗(yàn)》《反向隔離裝置高速模式性能問(wèn)題分析及處理》這3篇典型經(jīng)驗(yàn)文章被國(guó)家電網(wǎng)公司肯定并推廣。

采用“完備、實(shí)用、高效”的管控技術(shù)

為響應(yīng)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布和實(shí)施，進(jìn)一步落實(shí)公司推進(jìn)網(wǎng)絡(luò)安全有關(guān)要求，持續(xù)提升信息安全“藍(lán)隊(duì)”網(wǎng)絡(luò)安全監(jiān)控分析、隱患發(fā)現(xiàn)、加固修復(fù)等能力，通過(guò)開展監(jiān)督項(xiàng)目，助推啟動(dòng)公司網(wǎng)絡(luò)安全分析室建設(shè)。在充分依托公司現(xiàn)有技術(shù)手段的基礎(chǔ)上，從技術(shù)裝備和分析平臺(tái)兩個(gè)方面對(duì)技術(shù)支撐部分進(jìn)行加固補(bǔ)強(qiáng)，完成了滲透測(cè)評(píng)平臺(tái)、白盒代碼檢測(cè)系統(tǒng)、內(nèi)控檢查工具及脆弱性分析平臺(tái)的建設(shè)，并整合內(nèi)外網(wǎng)安全可視化平臺(tái)進(jìn)行多信息源整合展現(xiàn)，有利于監(jiān)督人員掌握情況。

（1）打造全天候、全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是開展此次監(jiān)督項(xiàng)目必須掌握的最基本、最基礎(chǔ)的工作，要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制，結(jié)合大數(shù)據(jù)挖掘分析，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向和趨勢(shì)。

（2）增強(qiáng)網(wǎng)絡(luò)空間未知威脅防御能力。強(qiáng)化基于行為識(shí)別攻擊檢測(cè)技術(shù)，形成一種不依賴簽名特征的威脅分析防護(hù)體系，對(duì)潛在的未知攻擊行為能夠準(zhǔn)確識(shí)別，并進(jìn)行有效分析和驗(yàn)證。

（3）實(shí)現(xiàn)漏洞庫(kù)、特征庫(kù)、知識(shí)庫(kù)全面覆蓋。通過(guò)主動(dòng)探索網(wǎng)絡(luò)安全工作薄弱點(diǎn)，在安全加固的過(guò)程中強(qiáng)化隱患發(fā)現(xiàn)能力。

建立長(zhǎng)效的保障管理體系

公司根據(jù)預(yù)先確定的監(jiān)督依據(jù)，在規(guī)定的監(jiān)督范圍內(nèi)，通過(guò)文件審核、記錄檢查、技術(shù)測(cè)試、現(xiàn)場(chǎng)訪談等活動(dòng)，獲得監(jiān)督證據(jù)，并對(duì)其進(jìn)行客觀的評(píng)價(jià)，做到全員推廣與技術(shù)創(chuàng)新齊頭并進(jìn)，安全技術(shù)措施與管理規(guī)劃相同步，人員建設(shè)及技術(shù)裝備雙向落實(shí)，全力探索和研究出一套適合電網(wǎng)公司的網(wǎng)絡(luò)安全監(jiān)督新思路，促進(jìn)安全防護(hù)工作的規(guī)范化、程序化、制度化發(fā)展，構(gòu)建長(zhǎng)效的保障管理體系。

順查網(wǎng)絡(luò)安全宣貫學(xué)習(xí)

以責(zé)任人為對(duì)象，公司開展監(jiān)督，確保全體員工認(rèn)真學(xué)習(xí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，核對(duì)是否開展網(wǎng)絡(luò)安全宣傳周活動(dòng);是否發(fā)放前沿安全技術(shù)宣傳資料，播放網(wǎng)絡(luò)安全防護(hù)宣傳片，開展病毒防護(hù)案例警示教育展，開展攻防演練、應(yīng)急處置等技能演示;是否解答員工關(guān)心的安全防護(hù)問(wèn)題，切實(shí)提高全員的網(wǎng)絡(luò)安全意識(shí)。

抽查網(wǎng)絡(luò)安全專業(yè)技術(shù)隊(duì)伍

以規(guī)則為對(duì)象，對(duì)制度、計(jì)劃、任務(wù)、標(biāo)準(zhǔn)、流程等的執(zhí)行過(guò)程及結(jié)果進(jìn)行監(jiān)督。核對(duì)網(wǎng)絡(luò)安全“藍(lán)隊(duì)”工作制度、“藍(lán)隊(duì)”階梯培養(yǎng)計(jì)劃和“藍(lán)隊(duì)”信息安全技術(shù)培訓(xùn)，是否針對(duì)漏洞掃描器及十五大管理型漏洞的檢測(cè)及加固方案進(jìn)行專業(yè)技術(shù)培訓(xùn)及實(shí)操練習(xí)，是否積極提供網(wǎng)絡(luò)安全防護(hù)典型經(jīng)驗(yàn)。

逆查信息系統(tǒng)及終端管控

以信息系統(tǒng)為對(duì)象，對(duì)存貨、固定資產(chǎn)和系統(tǒng)運(yùn)維狀況進(jìn)行監(jiān)督。公司全面梳理內(nèi)外網(wǎng)絡(luò)信息系統(tǒng)和終端接入的整體情況，了解和核對(duì)網(wǎng)絡(luò)與信息系統(tǒng)防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)，管業(yè)務(wù)必須管安全”的原則，開展內(nèi)外網(wǎng)絡(luò)信息系統(tǒng)和終端的專項(xiàng)檢查工作;核對(duì)是否全面完成浙江省內(nèi)外網(wǎng)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)，核實(shí)提升信息系統(tǒng)賬號(hào)權(quán)限認(rèn)證和弱口令整改能力，加強(qiáng)網(wǎng)絡(luò)邊界的安全防護(hù)措施;核實(shí)是否加快終端準(zhǔn)入控制及身份認(rèn)證系統(tǒng)建設(shè)，是否實(shí)現(xiàn)終端管理的能控在控，杜絕非法接入。

分析網(wǎng)絡(luò)安全態(tài)勢(shì)感知及創(chuàng)新技防水平

借助網(wǎng)絡(luò)安全分析室，核對(duì)網(wǎng)絡(luò)安全分析室的人員、場(chǎng)地、技術(shù)裝備和配套保障，通過(guò)采用業(yè)界先進(jìn)的各類系統(tǒng)工具、平臺(tái)，核實(shí)是否有效拓展信息安全防護(hù)范圍，實(shí)現(xiàn)全方位、無(wú)死角的信息安全監(jiān)控和防御;利用工具、平臺(tái)使信息安全防護(hù)工作由“隱形化”向“可視化”轉(zhuǎn)變，實(shí)現(xiàn)信息安全防護(hù)策略的動(dòng)態(tài)下發(fā)，助力監(jiān)督分析。

結(jié)語(yǔ)

開展網(wǎng)絡(luò)安全“三位一體”監(jiān)督項(xiàng)目不僅有利于企業(yè)掌握網(wǎng)絡(luò)安全是否滿足安全合規(guī)性要求，而且能幫助企業(yè)全面了解和掌握網(wǎng)絡(luò)安全工作的有效性、充分性和適宜性。通過(guò)本次監(jiān)督項(xiàng)目的研究和探索，促進(jìn)了公司網(wǎng)絡(luò)安全管理水平的提高，大大增強(qiáng)了公司相關(guān)制度執(zhí)行的嚴(yán)肅性和剛性，有效堵塞各種管理漏洞，降低腐敗風(fēng)險(xiǎn)，促進(jìn)公司健康、持續(xù)、穩(wěn)定、和諧發(fā)展。同時(shí)，通過(guò)“三位一體”監(jiān)督，突出源頭、強(qiáng)調(diào)重點(diǎn)、抓好整改、注重效果，全面評(píng)估研究了公司目前的網(wǎng)絡(luò)安全總體態(tài)勢(shì)和風(fēng)險(xiǎn)狀況，營(yíng)造了和諧發(fā)展的企業(yè)氛圍，進(jìn)一步促進(jìn)了網(wǎng)絡(luò)安全管理工作的規(guī)范化、程序化、制度化，使管理效益、經(jīng)濟(jì)效益、廉政效益和社會(huì)效益明顯提升。

蔣城穎，高級(jí)經(jīng)濟(jì)師，就職于國(guó)網(wǎng)浙江省電力有限公司信息通信分公司，從事項(xiàng)目管理工作。

吳惠芬，高級(jí)工程師，就職于國(guó)網(wǎng)浙江省電力有限公司信息通信分公司，從事綜合管理工作。

鐘瀟，工程師，就職于國(guó)網(wǎng)浙江省電力有限公司信息通信分公司，從事信通管理工作。