一、數(shù)字化轉(zhuǎn)型背景下的網(wǎng)絡(luò)安全形勢(shì)

隨著“數(shù)字中國(guó)”“網(wǎng)絡(luò)強(qiáng)國(guó)”和“新基建”等國(guó)家重大戰(zhàn)略部署加快推進(jìn)，國(guó)有企業(yè)數(shù)字化轉(zhuǎn)型成為大勢(shì)所趨，伴隨著新一代信息技術(shù)的創(chuàng)新應(yīng)用，業(yè)務(wù)運(yùn)營(yíng)模式的變化更迭，網(wǎng)絡(luò)安全工作面臨新的挑戰(zhàn)。

一是國(guó)家法律法規(guī)對(duì)加強(qiáng)網(wǎng)絡(luò)安全工作提出更高要求。近兩年，《密碼法》《數(shù)據(jù)安全法（草案）》、網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)制度等法律法規(guī)陸續(xù)頒布施行，對(duì)數(shù)字化轉(zhuǎn)型背景下的云安全、數(shù)據(jù)安全、工控安全和密碼應(yīng)用等工作和能力提出新要求新挑戰(zhàn)。國(guó)務(wù)院國(guó)資委發(fā)布新版《中央企業(yè)負(fù)責(zé)人經(jīng)營(yíng)業(yè)績(jī)考核辦法》，增加了對(duì)網(wǎng)絡(luò)安全事件的考核要求，對(duì)國(guó)有企業(yè)的網(wǎng)絡(luò)安全工作提出了更高要求。

二是網(wǎng)絡(luò)安全保障成為數(shù)字化轉(zhuǎn)型的重要挑戰(zhàn)。國(guó)有企業(yè)數(shù)字化轉(zhuǎn)型將會(huì)極大地改進(jìn)原有生產(chǎn)和經(jīng)營(yíng)方式，信息技術(shù)與業(yè)務(wù)發(fā)展的深度融合將凸顯網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)質(zhì)性影響，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已延伸至生產(chǎn)和經(jīng)營(yíng)的方方面面，將會(huì)直接影響業(yè)務(wù)運(yùn)營(yíng)，進(jìn)而影響生產(chǎn)安全、社會(huì)安全、甚至國(guó)家安全。

三是新一代信息技術(shù)創(chuàng)新應(yīng)用帶來(lái)新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。5G、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新一代信息技術(shù)的創(chuàng)新應(yīng)用給國(guó)有企業(yè)帶來(lái)巨大的創(chuàng)新紅利，同時(shí)引起企業(yè)IT環(huán)境的變化發(fā)展，云安全、數(shù)據(jù)安全、工控安全等諸多新的安全風(fēng)險(xiǎn)隨之而來(lái)。此外，大數(shù)據(jù)、人工智能等新一代信息技術(shù)也被廣泛用于網(wǎng)絡(luò)攻擊中，大大增加了網(wǎng)絡(luò)安全防護(hù)難度。

二、數(shù)字化轉(zhuǎn)型過(guò)程中的網(wǎng)絡(luò)安全問(wèn)題

在數(shù)字化轉(zhuǎn)型過(guò)程中，新技術(shù)、新應(yīng)用、新模式層出不窮，新問(wèn)題、新風(fēng)險(xiǎn)、新挑戰(zhàn)不斷出現(xiàn)，傳統(tǒng)安全防護(hù)手段面對(duì)更加開(kāi)放多元的應(yīng)用場(chǎng)景，難以保障數(shù)字化業(yè)務(wù)的平穩(wěn)、可靠、有序和高效運(yùn)營(yíng)。

一是網(wǎng)絡(luò)安全缺乏頂層設(shè)計(jì)，防護(hù)體系化缺失，安全能力難于協(xié)同。網(wǎng)絡(luò)安全采用“局部整改” “查漏補(bǔ)缺” “輔助配套”建設(shè)模式，IT和網(wǎng)絡(luò)安全治理層面缺乏頂層設(shè)計(jì)，安全系統(tǒng)之間安全能力分散，缺乏聯(lián)動(dòng)與協(xié)同，無(wú)法發(fā)揮整體防護(hù)效能，網(wǎng)絡(luò)安全防御能力與保障數(shù)字化業(yè)務(wù)運(yùn)營(yíng)的高標(biāo)準(zhǔn)要求尚有差距。

二是工業(yè)控制系統(tǒng)安全問(wèn)題日趨凸顯。隨著IT與OT的深度融合，工業(yè)控制系統(tǒng)與信息化結(jié)合日益緊密，生產(chǎn)安全更加依賴網(wǎng)絡(luò)安全。工控系統(tǒng)大多采用國(guó)外產(chǎn)品，老舊設(shè)備占比較大，對(duì)業(yè)務(wù)連續(xù)性要求較高，難以承擔(dān)漏洞修復(fù)后產(chǎn)生的影響，導(dǎo)致系統(tǒng)“帶病運(yùn)行”。部分工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部未進(jìn)行分區(qū)分域隔離，缺乏有效的安全防護(hù)手段，工控系統(tǒng)缺乏針對(duì)性安全管理和策略。

三是新技術(shù)的發(fā)展和廣泛應(yīng)用帶來(lái)網(wǎng)絡(luò)安全新挑戰(zhàn)。近年來(lái)，云計(jì)算、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用大規(guī)模發(fā)展，業(yè)務(wù)應(yīng)用模式不斷創(chuàng)新，國(guó)有企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化、邊界模糊化、數(shù)據(jù)集中化，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)融合疊加并快速演變趨向多樣化，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)無(wú)法應(yīng)對(duì)新技術(shù)帶來(lái)的虛擬化、數(shù)據(jù)集中、平臺(tái)可用性等安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

四是網(wǎng)絡(luò)安全專(zhuān)業(yè)隊(duì)伍儲(chǔ)備不足。高端人才匱乏導(dǎo)致企業(yè)網(wǎng)絡(luò)安全能力上限不高，過(guò)于依賴安全廠商，無(wú)法形成穩(wěn)定可持續(xù)的安全能力輸出；基層單位網(wǎng)絡(luò)安全人員不足，缺乏專(zhuān)人專(zhuān)崗，導(dǎo)致網(wǎng)絡(luò)安全制度和要求無(wú)法得到全面落實(shí)。

三、數(shù)字化轉(zhuǎn)型工作中網(wǎng)絡(luò)安全保障的思考和建議

國(guó)有企業(yè)要堅(jiān)決貫徹落實(shí)習(xí)近平總書(shū)記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想，落實(shí)黨中央國(guó)務(wù)院有關(guān)決策部署，切實(shí)增強(qiáng)責(zé)任感使命感，進(jìn)一步認(rèn)清新形勢(shì)下網(wǎng)絡(luò)安全工作的重要性緊迫性，準(zhǔn)確把握數(shù)字化轉(zhuǎn)型形勢(shì)背景下網(wǎng)絡(luò)安全工作面臨的新問(wèn)題新挑戰(zhàn)，把網(wǎng)絡(luò)安全防護(hù)工作作為數(shù)字化轉(zhuǎn)型的前提基礎(chǔ)和堅(jiān)實(shí)保障，堅(jiān)決落實(shí)主體責(zé)任，不斷強(qiáng)化頂層設(shè)計(jì)，健全組織管理體系，加強(qiáng)防護(hù)能力建設(shè)，加快人才隊(duì)伍培養(yǎng)，全面提升安全保障能力，切實(shí)為企業(yè)數(shù)字化轉(zhuǎn)型保駕護(hù)航，推動(dòng)高質(zhì)量發(fā)展。

（一）加強(qiáng)頂層設(shè)計(jì)，強(qiáng)化體系建設(shè)

國(guó)有企業(yè)網(wǎng)絡(luò)安全體系建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)性工程，尤其對(duì)于數(shù)字化轉(zhuǎn)型深入階段的安全防護(hù)，必須深入保障數(shù)字化業(yè)務(wù)的各個(gè)方面，加強(qiáng)網(wǎng)絡(luò)安全頂層設(shè)計(jì)規(guī)劃，以體系化、工程化的模式建立新型網(wǎng)絡(luò)安全防御體系，增強(qiáng)應(yīng)對(duì)各類(lèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。中國(guó)華電完成互聯(lián)網(wǎng)統(tǒng)一出口安全防護(hù)，通過(guò)網(wǎng)絡(luò)安全架構(gòu)實(shí)現(xiàn)整體網(wǎng)絡(luò)安全能力的大幅提升，并在此基礎(chǔ)上進(jìn)行體系化的網(wǎng)絡(luò)安全能力建設(shè)，逐步構(gòu)建網(wǎng)絡(luò)安全縱深防御體系，夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)。

（二）健全管理體系，實(shí)現(xiàn)全方位管理

落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，厘清界面職責(zé)，健全組織架構(gòu)，編制和修訂管理制度，強(qiáng)化考核督導(dǎo)，不斷完善網(wǎng)絡(luò)安全保障、信息通報(bào)和應(yīng)急體系。中國(guó)華電通過(guò)建立健全網(wǎng)絡(luò)安全管理體系，落實(shí)主體責(zé)任，強(qiáng)化考核監(jiān)督，明確分工界面、理順工作流程，實(shí)現(xiàn)全產(chǎn)業(yè)、全業(yè)務(wù)、全過(guò)程、全要素的網(wǎng)絡(luò)安全管理。

（三）加強(qiáng)產(chǎn)品服務(wù)管控，增強(qiáng)本質(zhì)安全

一是使用安全可靠的產(chǎn)品和服務(wù)，建立安全審查機(jī)制。貫徹落實(shí)《網(wǎng)絡(luò)安全審查辦法》要求，建立健全網(wǎng)絡(luò)安全審查機(jī)制，依法依規(guī)對(duì)供應(yīng)商、安全方案、產(chǎn)品和服務(wù)等進(jìn)行嚴(yán)格審查，提高產(chǎn)品和服務(wù)的安全性可控性。

二是堅(jiān)持安全創(chuàng)新，加快信創(chuàng)產(chǎn)品和服務(wù)的使用。逐步加快安全可靠的信創(chuàng)產(chǎn)品和服務(wù)在設(shè)備設(shè)施、工具軟件、信息系統(tǒng)和服務(wù)平臺(tái)等方面的使用，提升本質(zhì)安全，實(shí)現(xiàn)國(guó)有企業(yè)網(wǎng)絡(luò)安全體系的可信、可控、可持續(xù)。中國(guó)華電加強(qiáng)信創(chuàng)產(chǎn)品與系統(tǒng)的研制與應(yīng)用，在火力發(fā)電DCS和水力發(fā)電監(jiān)控系統(tǒng)領(lǐng)域?qū)崿F(xiàn)了自主可控，打破了技術(shù)壟斷，能夠有效防止“卡脖子”事件發(fā)生，提高電力控制系統(tǒng)的運(yùn)行效率和安全可靠性，保障能源電力等重要基礎(chǔ)設(shè)施安全運(yùn)行。

（四）強(qiáng)化技術(shù)防護(hù)，提升綜合防護(hù)水平

一是增強(qiáng)面向安全運(yùn)營(yíng)的態(tài)勢(shì)感知能力，完善網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與應(yīng)急處置體系。建設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，匯聚來(lái)自網(wǎng)絡(luò)流量、人員行為、安全系統(tǒng)、主機(jī)應(yīng)用以及業(yè)務(wù)系統(tǒng)的各種安全數(shù)據(jù)，從資產(chǎn)、漏洞、攻擊、威脅、風(fēng)險(xiǎn)、行為等維度全面感知安全態(tài)勢(shì)。中國(guó)華電以態(tài)勢(shì)感知平臺(tái)為依托，實(shí)現(xiàn)覆蓋平臺(tái)、系統(tǒng)、數(shù)據(jù)等所有信息資產(chǎn)的實(shí)時(shí)安全監(jiān)測(cè)和預(yù)警，并與網(wǎng)絡(luò)安全信息通報(bào)平臺(tái)集成，實(shí)現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)之間的協(xié)作聯(lián)動(dòng)，完善網(wǎng)絡(luò)安全態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警和應(yīng)急處置體系，提升網(wǎng)絡(luò)安全綜合防護(hù)能力。

二是建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)資源庫(kù)，持續(xù)輸出安全能力。以整體化、集中化、規(guī)模化的方式規(guī)劃建設(shè)漏洞庫(kù)、病毒庫(kù)、威脅情報(bào)庫(kù)等網(wǎng)絡(luò)安全基礎(chǔ)資源庫(kù)，加強(qiáng)安全資源儲(chǔ)備。中國(guó)華電以平臺(tái)化方式建設(shè)和豐富基礎(chǔ)資源庫(kù)，以安全服務(wù)持續(xù)輸出安全能力，并據(jù)此開(kāi)展日常化、規(guī)程化和可持續(xù)的網(wǎng)絡(luò)安全運(yùn)營(yíng)。

三是加強(qiáng)工業(yè)控制系統(tǒng)的安全防護(hù)。以工控系統(tǒng)監(jiān)督檢查、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、漏洞修復(fù)、數(shù)據(jù)保護(hù)、信息通報(bào)和共享、應(yīng)急處置等為抓手，進(jìn)一步健全管理制度和工作機(jī)制，強(qiáng)化工控系統(tǒng)安全管理與防護(hù)，在國(guó)有企業(yè)數(shù)字化轉(zhuǎn)型中落實(shí)安全閉環(huán)管控。中國(guó)華電制定《電力企業(yè)網(wǎng)絡(luò)安全監(jiān)督實(shí)施細(xì)則》，加強(qiáng)工控系統(tǒng)全生命周期安全監(jiān)督，不斷夯實(shí)工控安全基礎(chǔ)。同時(shí)積極參與國(guó)資委能源工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)建設(shè)工作，增強(qiáng)集團(tuán)級(jí)工控安全態(tài)勢(shì)感知、應(yīng)急處置、風(fēng)險(xiǎn)管控等安全能力，有效應(yīng)對(duì)和防范電力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

四是加強(qiáng)數(shù)據(jù)全生命周期的安全防護(hù)。建設(shè)數(shù)據(jù)安全管理平臺(tái)，梳理數(shù)據(jù)資產(chǎn)，進(jìn)行分類(lèi)分級(jí)，加強(qiáng)數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享、銷(xiāo)毀等各個(gè)環(huán)節(jié)的保護(hù)措施，加強(qiáng)數(shù)據(jù)防攻擊、防竊取、防泄露及訪問(wèn)控制能力建設(shè)，實(shí)現(xiàn)數(shù)據(jù)全生命周期的安全防護(hù)。

五是加強(qiáng)云平臺(tái)的安全防護(hù)。構(gòu)建云安全防護(hù)體系，全面覆蓋云邊界、應(yīng)用系統(tǒng)區(qū)域、主機(jī)、容器等層次，實(shí)現(xiàn)公有云、私有云、混合云多云架構(gòu)環(huán)境下網(wǎng)絡(luò)安全的深度融合，形成IaaS、PaaS、SaaS層級(jí)的云安全防護(hù)能力。

（五）加強(qiáng)攻防演練，提升應(yīng)急處置水平

網(wǎng)絡(luò)安全攻防演練是檢驗(yàn)網(wǎng)絡(luò)安全防護(hù)水平最直接、最有效的方式。國(guó)有企業(yè)應(yīng)持續(xù)開(kāi)展攻防演習(xí)，一方面能夠真實(shí)掌握自身網(wǎng)絡(luò)安全防護(hù)水平，發(fā)現(xiàn)網(wǎng)絡(luò)安全防御體系中的短板和薄弱環(huán)節(jié)，及時(shí)優(yōu)化整改，提升整體防御能力，另一方面能夠檢驗(yàn)和完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案，提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急處置和協(xié)同聯(lián)動(dòng)能力。

（六）加強(qiáng)人才隊(duì)伍培養(yǎng)，強(qiáng)化智力支撐

網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，人始終是對(duì)抗中最關(guān)鍵的要素。中國(guó)華電每年在集團(tuán)內(nèi)部開(kāi)展網(wǎng)絡(luò)安全宣傳教育月活動(dòng)，通過(guò)各種形式培養(yǎng)和提升員工的網(wǎng)絡(luò)安全意識(shí)和基本技能。同時(shí)，加快網(wǎng)絡(luò)安全專(zhuān)業(yè)人才隊(duì)伍培養(yǎng)，逐步建立網(wǎng)絡(luò)安全專(zhuān)業(yè)人才的選拔、培養(yǎng)、任用機(jī)制，通過(guò)安排技術(shù)技能培訓(xùn)與考核、參與技能大賽和攻防演練等方式實(shí)現(xiàn)人才隊(duì)伍從等保合規(guī)測(cè)評(píng)能力向網(wǎng)絡(luò)攻防專(zhuān)業(yè)技術(shù)能力及實(shí)戰(zhàn)能力的提升。