蔣城穎 金瀟 蔣錦霞

[摘要]國網(wǎng)浙江省電力有限公司信息通信分公司從順查網(wǎng)絡安全宣貫學習、抽查網(wǎng)絡安全專業(yè)技術隊伍、逆查信息系統(tǒng)及終端管控和分析網(wǎng)絡安全態(tài)勢感知及創(chuàng)新技術防范水平四方面入手，突出制度、技術隊伍和管控體系三個亮點建設，全面評估公司網(wǎng)絡安全總體態(tài)勢和風險狀況，防范管理過程中的廉政風險，提高網(wǎng)絡安全管理水平。

[關鍵詞]電網(wǎng)企業(yè) 網(wǎng)絡安全 內(nèi)部審計 創(chuàng)新

目前，電網(wǎng)企業(yè)正經(jīng)受前所未有的網(wǎng)絡安全考

驗。為此，國網(wǎng)浙江省電力有限公司信息通信分公司（以下簡稱公司）通過內(nèi)部審計開展網(wǎng)絡安全管控提升的創(chuàng)新嘗試，實現(xiàn)管理模式精細化轉(zhuǎn)變，深化公司網(wǎng)絡與信息安全隊伍建設，持續(xù)強化信息安全藍隊技術防范水平，滿足重大保電要求，真正從實效上促進和改善企業(yè)的管理效能。

一、四個方面措施

內(nèi)部審計緊緊圍繞預期目標開展工作，做到全員推廣與技術創(chuàng)新齊頭并進，安全技術措施與管理規(guī)劃相互同步，人員建設及技術裝備雙向落實，具體包括四個方面的措施。

（一）順查網(wǎng)絡安全宣貫學習

以責任人為對象開展內(nèi)部審計，確保全體員工認真學習《中華人民共和國網(wǎng)絡安全法》，核實是否開展網(wǎng)絡安全宣傳周活動，是否發(fā)放前沿安全技術宣傳資料、播放安全防護宣傳片、開展病毒防護案例警示教育展、開展攻防演練、應急處置等技能演示，是否解答員工關心的安全防護問題，切實提高全員的網(wǎng)絡安全意識。

（二）抽查網(wǎng)絡安全專業(yè)技術隊伍

以規(guī)則為對象，對制度、計劃、任務、標準、流程等的執(zhí)行過程及結(jié)果進行審計。核實網(wǎng)絡安全藍隊工作制度、藍隊階梯培養(yǎng)計劃和藍隊信息安全技術培訓，是否針對漏洞掃描器及十五大管理型漏洞的檢測及加固方案進行專業(yè)技術培訓及實操練習，是否積極提供網(wǎng)絡安全防護典型經(jīng)驗。

（三）逆查信息系統(tǒng)及終端管控

以信息系統(tǒng)為對象，對存貨、固定資產(chǎn)和系統(tǒng)運營維護情況進行審計。全面梳理公司內(nèi)外網(wǎng)信息系統(tǒng)和終端接入的整體情況，了解核實網(wǎng)絡與信息系統(tǒng)防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，按照“誰主管誰負責，誰運行誰負責，誰使用誰負責，管業(yè)務必須管安全”的原則，開展內(nèi)外網(wǎng)信息系統(tǒng)和終端的專項檢查工作。核實是否全面完成內(nèi)外網(wǎng)系統(tǒng)的風險評估和安全測評，核實提升信息系統(tǒng)賬號權(quán)限認證和弱口令整改能力，核實是否加快終端準入控制及身份認證系統(tǒng)建設，是否實現(xiàn)終端管理的可控、能控、在控，杜絕非法接入。

（四）分析網(wǎng)絡安全態(tài)勢感知及創(chuàng)新技術防范水平

借助網(wǎng)絡安全分析室，核實網(wǎng)絡安全分析室的人員、場地、技術裝備和配套保障，通過采用業(yè)界先進的各類系統(tǒng)工具、平臺，核實是否有效拓展信息安全防護范圍，實現(xiàn)全方位、無死角的信息安全監(jiān)控和防御；利用工具、平臺使信息安全防護工作由“隱形化”向“可視化”轉(zhuǎn)變，實現(xiàn)信息安全防護策略的動態(tài)下發(fā)，助力內(nèi)部審計分析。

二、三個亮點建設

隨著企業(yè)管理體制改革、轉(zhuǎn)換經(jīng)營機制和完善法人治理結(jié)構(gòu)的推進，內(nèi)部審計不斷融入電網(wǎng)企業(yè)安全生產(chǎn)和經(jīng)營管理等活動中，推動公司黨風廉政建設和反腐敗工作的開展。在深入開展公司網(wǎng)絡安全審計過程中，突出以下三個亮點建設，確保內(nèi)部審計取得實效。

（一）推動全面、實用、細致的制度建設

一是促進制度建設全面。制度貫穿網(wǎng)絡安全管控提升各方面，涵蓋信息安全藍隊技術隊伍建設、網(wǎng)絡安全技術防范措施、網(wǎng)絡安全技術裝備、管控提升費用支出情況、網(wǎng)絡安全教育培訓情況以及考核情況。

二是助推制度內(nèi)容實用。為確保制度的內(nèi)容真正有利于提升網(wǎng)絡安全管控，業(yè)務部門在修訂過程中多次組織運維機構(gòu)和地區(qū)信通公司等專家進行討論，吸取各部門、各單位在項目管理中的優(yōu)秀經(jīng)驗及有效做法，使制度更具實用性、可操作性和針對性。

三是保障制度落實精細。各項網(wǎng)絡安全的規(guī)章制度均經(jīng)公司領導、各部門、各單位專家評審討論后確定，具有約束力和執(zhí)行力。根據(jù)個人工作開展情況，時常在例會上學習重溫，對照評點，做到溫故知新，并通過流程績效評價定期監(jiān)督制度執(zhí)行情況。

（二）推動有組織、有紀律、懂專業(yè)的技術隊伍建設

一是推進信息安全藍隊體制提升，組建網(wǎng)絡安全分析室。完善“制防、物防、人防、技防”四個層面，建立“四維”防御體系（如圖1所示），修編并完善一系列藍隊隊伍管理規(guī)章制度，建立健全工作機制，常態(tài)化開展網(wǎng)絡安全監(jiān)測、分析、預警工作。以網(wǎng)絡安全分析室為抓手，統(tǒng)一調(diào)度本單位藍隊開展信息安全內(nèi)控相關工作，實現(xiàn)“統(tǒng)一監(jiān)測、統(tǒng)一預警、統(tǒng)一指揮”。

二是將視野擴展到組織外部，制定藍隊階梯培養(yǎng)計劃，完善藍隊成員信息。加強信息安全藍隊成員的選拔工作，向基層單位、直屬單位覆蓋延伸，努力推進人才梯隊建設，在藍隊選拔技術能力強，工作能力突出的成員作為核心骨干人員。地市、縣公司通過選拔或推薦的方式組建藍隊第二梯隊，作為預備隊員，正常參與藍隊常態(tài)化工作和培訓交流，成熟一個發(fā)展一個。同時，有效推動建立藍隊成員基礎信息臺賬，對藍隊成員的技術能力和工作能力進行全面評估和記錄，完善藍隊成員團隊貢獻度、培訓證書、獲得榮譽等信息。

三是助力打造“浙電藍”品牌，持續(xù)擴大“浙電藍”的影響力。內(nèi)部審計期間共申報26個典型經(jīng)驗，其中《防火墻無法顯示視頻的問題分析及處理典型經(jīng)驗》《北信源桌面管控系統(tǒng)與Win7兼容性問題分析及處理典型經(jīng)驗》《反向隔離裝置高速模式性能問題分析及處理》等3個典型經(jīng)驗被國網(wǎng)肯定并推廣。

（三）推動完備、實用、高效的管控技術體系建設

在充分依托公司現(xiàn)有技術手段的基礎上，從技術裝備和分析平臺兩方面對技術支撐部分進行加固補強，完成滲透測評平臺、白盒代碼檢測系統(tǒng)、內(nèi)控檢查工具及脆弱性分析平臺的建設，并整合內(nèi)外網(wǎng)安全可視化平臺進行多信息源整合展現(xiàn)，有利于內(nèi)部審計掌握情況。

一是打造全天候全方位網(wǎng)絡安全態(tài)勢感知。感知網(wǎng)絡安全態(tài)勢是內(nèi)部審計必須掌握的最基礎的工作，要建立統(tǒng)一高效的網(wǎng)絡安全風險報告機制、情報共享機制、研判處置機制，結(jié)合大數(shù)據(jù)挖掘分析，準確把握網(wǎng)絡安全風險發(fā)生的規(guī)律、動向和趨勢。

二是增強網(wǎng)絡空間未知威脅防御能力。強化基于行為識別攻擊檢測技術，構(gòu)建不依賴簽名特征的威脅分析防護體系，對潛在的未知攻擊行為能夠準確識別，并進行有效分析和驗證。

三是實現(xiàn)漏洞庫、特征庫、知識庫全面化。通過主動探索網(wǎng)絡安全工作薄弱點，在安全加固的過程中提升隱患發(fā)現(xiàn)能力。

（作者單位：國網(wǎng)浙江省電力有限公司信息通信分公司，郵政編碼： 310007，電子郵箱：6608764@qq.com）