區域發電公司網絡安全管控機制建設

左 天 才

(貴州烏江水電開發有限責任公司，貴州 貴陽 550002)

0 前 言

當前，針對電力系統的網絡攻擊事件頻發，先后出現烏克蘭大停電、委內瑞拉大停電等事件，網絡安全在國家安全中的地位和作用逐步凸顯。

網絡安全法從關鍵信息基礎設施、網絡信息安全、監測預警與應急處置等方面明確了企業網絡安全的法律要求和法律責任。隨著國家和行業主管部門對網絡安全的監管日趨深入，檢查和處罰力度不斷加大，企業違法違規成本昂貴[1]。

1 區域發電公司網絡安全管控機制

隨著烏江公司信息化、數字化工作的持續推進，信息化、數字化、智能化等技術應用對企業的價值將進一步凸顯，隨之而來的是安全風險日益增高[2-3]，公司信息資產面臨的威脅將急劇加大。基于網絡安全長期性和復雜性等特點，整合人才和技術資源，創建一體化的集中管控模式，理順管理體制機制，以提升網絡安全保障能力和規避法律法規風險，成為烏江公司當前的必然選擇。

區域發電公司網絡安全管控機制建設，包括體制機制、制度流程、應急管理等內容。提出了“三統四共”的工作思路，明確了“五位一體”組織保障體系、集分結合的運維機制等建設路徑，構建覆蓋全員的網絡安全管控機制。

2 建設路徑

2.1 明確網絡安全“三統四共”的工作思路

研究網絡安全法、等級保護、電力監控系統安全防護總體方案等法律法規和技術標準，梳理出對發電企業網絡安全管理、安全管理能力等方面要求。通過廣泛開展調查研究，多層次、多渠道開展問題分析，從管理、技術、人員方面找出制約網絡安全工作的深層次原因。在問題、需求調查與分析的基礎上，確立了“三統四共”的基本工作思路(見圖1)。

全面落實“統一規劃、統一設計、統一建設”工作思路，同步推進下屬單位的網絡安全建設工作，建設全方位、全覆蓋的網絡安全格局，全面筑牢網絡安全防線，提升公司整體防御能力。

按照“共商、共建、共治、共享”的原則整合資源，構建公司一體化的網絡安全管理體系、技術支撐體系和監督體系，構建集中管控與分級負責相結合的運行機制，統籌安排和同步推進公司網絡安全工作，落實網絡安全責任機制。

2.2 構建網絡安全一體化保障體系

建立“五位一體”組織保障體系。一是在領導層面，公司成立了以黨委書記和總經理為組長的網絡安全領導小組，總體負責企業網絡安全工作，重點在“把握方向、推動變革、健全制度、資源保障”等方面發揮決策、促進和支持作用。二是管理層面，進一步明確了職能管理、技術支持、監督職責，形成集職能管理、技術支撐、監督三維一體的網絡安全體系。三是技術層面。把公司集控中心作為網絡安全的技術管理與支持部門，負責向公司各電廠提供網絡與信息安全技術支持。同時公司還整合內部人員和技術資源，成立公司網絡安全聯合工作組，定期對各單位工作任務與計劃執行、安全自查與整改、安全管理等方面的工作進行檢查，幫助各電廠提升網絡安全管理和防護水平。目前烏江公司已基本建立“領導決策、職能管理、技術管理、應急保障、安全監督”五位一體的公司網絡安全工作組織保障體系(見圖2)。

圖1 三統四共工作思路

圖2 “五位一體”組織保障體系

建立以責任制為核心的網絡安全管理制度體系。烏江公司從“網信安全管理、電力監控網絡安全管理、網信安全技術支持管理、網信安全監督管理、網信安全實施保障管理”五個方面著手，從保護對象、保護層級、保護措施等方面細化了管理要素，實施了制度體系化建設工作，制定印發了《網絡與信息安全責任制》《電力監控系統網絡安全管理辦法》《網絡安全應急預案》《電力監控系統安全防護應急預案》等管理制度和應急預案。烏江公司以安全責任制為核心的制度體系為公司網絡與信息化工作的開展提供了制度保障。

建立網絡安全技術標準體系。一是研究制定企業網絡安全技術規劃。從機構設置、人員配備、安全管理、安全技術、安全運維等方面編制了《烏江公司及下屬單位網絡安全規劃(2020—2022)》，明確烏江公司網絡安全三年建設目標及建設路徑。二是研究制定企業《網絡安全基線維護與檢查技術要求》，該技術標準是作為網絡安全檢查和風險管理的基礎要求，就環境、人員、設備、操作等制定了基線技術要求和基線標準點，為網絡安全構筑了本體安全和邊界安全兩道防線。

2.3 建立網絡安全常態化工作機制

建立集分結合的運維機制。由集控中心負責組織開展網絡及自動化系統核心設備定期預防性維護和重大故障處理工作，電廠負責日常檢查維護與消缺工作。每年定期開展4次預防性維護工作，深度檢查和分析設備運行狀況，提前處理設備隱患，確保設備的安全穩定運行。

建立基于專家團隊的檢查督導機制。公司整合電廠專業人員成立公司網絡安全專家組，定期對各單位工作任務與計劃執行、安全自查與整改、安全管理、技防設施等進行檢查與督導，開展滲透測試，幫助各電廠提升網絡安全管理水平和防護能力。成功應對了網絡安全攻防演練工作，圓滿完成新中國成立70周年等重大活動網絡安全保障工作。

建立網絡安全預警與處置機制。公司建立了通報工作流程，以內部藍信群、OA系統為載體，及時發布網絡安全預警與處置方案、安全動態、安全事件、安全公告等信息。組織各單位進行處置，成功消除了網絡安全威脅。

建立定期網絡安全培訓機制。一是注重提升全員安全意識。各單位通過內部網站、展板、宣傳冊、融媒體等多種形式和載體，扎實開展了網絡安全法律法規、形勢教育、網絡完全基本知識等宣傳教育，有效提升了全員網絡安全認知水平。二是聚焦法規制度提升管理人員責任意識。公司把網絡安全法、等級保護制度、南網“兩個細則”、網絡安全典型案例等作為培訓重點，進一步提升了領導干部、管理人員對網絡安全責任意識和主體意識。三是著力提升專業人員技能。著眼于互聯網業務數據應用、網絡安全架構典型設計、數據安全技防措施等開展技術交流和探討，組織專題講座和集中培訓，并選派管理與技術人員參與CISP取證培訓。

建立網絡安全考核機制。在《基層年度績效考核辦法》《電力生產管理獎懲辦法》中明確了網絡安全管理相應對單位及人員的考核條款。公司層面以企業主要負責人、分管領導和企業年度績效考核為抓手，嚴格網絡安全管理檢查考核。

2.4 統建統管推進網絡安全項目建設

公司依照“統一規劃、統一設計、統一建設”的原則，組成網絡安全聯合工作組，積極踐行“共商、共建、共治、共享”的理念，以安全、規范、優質、高效為目標，對需建設的網絡安全技術保障項目從方案設計、項目招標、項目實施安排等進行了統一安排。

3 建設效果及建議

建立網絡安全全員責任制實現了網絡安全責任到崗，全面梳理了公司網絡安全工作內容、管理范圍與管理層級，制定責任清單構建了層級分明、責權明確、流程通暢的全業務和全要素網絡安全管理模式，實現了領導決策到職能管理、技術管理和應急保障的縱向貫通，為實現網絡安全有效管控奠定基礎。

整合內外部資源，借助專業團隊、外部專家團隊實現資源整合，充分發揮骨干人員在項目建設、安全檢查、整改落實等方面的督導作用，發揮強制性標準在網絡安全核心領域的重要作用，不僅為網絡安全構筑了本體安全和邊界安全兩道防線，而且為各基層單位設備安全配置和日常檢查提供了技術依據，有效解決了各單位力量不足的問題。實現領導決策到職能管理、技術管理和應急保障的縱向貫通，為有效開展網絡安全監督奠定了基礎。