“三位一體”監督：堵塞網絡安全管理漏洞

蔣城穎 吳惠芬 鐘瀟

網絡安全管理實踐

全球網絡安全威脅不斷擴大，網絡安全態勢日益復雜，國家越來越重視網絡安全工作，并把網絡安全提升到了前所未有的高度，2017年6月實行的《中華人民共和國網絡安全法》成為建設網絡強國、維護網絡空間主權的制度保障。但是，目前企業網絡安全防護水平與嚴峻的網絡安全形勢還不適應，依法治網的安全意識有待提高，網絡安全管理措施、技術手段等方面還存在薄弱環節，并且網絡核心技術設備受制于人的局面沒有從根本上改善，安全防護投入少、安全防護方式單一、整體防護能力薄弱、網絡信任體系不健全等問題依然存在。

目前，電網企業也正在經受前所未有的網絡安全考驗。國家電網公司要求加強依法治企，逐步將網絡安全納入審計范圍。為此，國網浙江省電力有限公司信息通信分公司（下稱“公司”）充分開展內部審計、巡視巡察和協同監督“三位一體”的網絡安全監督工作，通過對網絡安全管控提升的研究與探索，實現管理模式精細化的轉變，深化公司網絡與信息安全隊伍建設，持續強化信息安全“藍隊”技防水平，滿足重大保電要求，真正從實效上促進和改善企業的管理效能。

全面開展網絡安全監督

隨著企業管理體制改革、轉換經營機制和完善法人治理結構，內部審計、巡視巡察和協同監督項目正不斷融入電網企業安全生產和經營管理等活動中，成為企業加強內部管理的重要工作方式和手段，同時推動了公司黨風廉政建設和反腐敗工作的開展。開展網絡安全“三位一體”監督工作是有效整合監督資源的創新、揭示網絡安全風險的重要手段、改進信息安全現狀的有效途徑、滿足網絡安全合規要求的有力武器。在深入開展網絡安全監督工作的實施過程中，公司從以下四個研究重點出發，確保監督項目取得實效。

構建點、線、面有機結合的監督模式

“三位一體”整合監督模式就是構建一種立體式、全方位的內部監督體系，由公司黨委負責、紀委組織協調、各有關部門分工配合、員工積極參與的工作機制和方法。具體指在開展巡視巡察、協同監督及內部審計項目時，將巡察、監察和審計的各自職能實現有效對接，在同一時段聯合開展工作，使“獨唱”變為“三重唱”，有效解決監督資源無法形成合力、重復監督和監督真空問題并存、監督缺乏獨立性等問題。

（1）組織體制一體化。網絡安全“三位一體”監督項目由公司黨委書記負責，紀委書記分管，項目組具體實施，監督角色定位十分清晰。監督項目組成員全程參加公司關于網絡安全的辦公會議、協調會議，對網絡安全重大決策全面了解并獨立發表意見，因地制宜籌劃監督工作和制訂監督計劃，監督的責任感和獨立性明顯增強。

（2）工作協調一體化。在開展網絡安全“三位一體”監督工作的過程中，巡察、監察和審計統籌調配，資源共享，職能互補，實現了事前堵住、事中卡住、事后查處的全方位、全過程監督。同時，橫向、縱向的信息共享，使得監督視野更開闊，風險點研究更深入，警示教育更到位，有效解決了以往監督項目渠道不暢和工作缺位的問題。

（3）成果運用一體化。建立監督成果與考核掛鉤機制，通過問責、約談等手段促進整改落到實處，使監督的影響力和震懾力明顯增強。對于監察和審計發現的問題，由巡察跟進整改落實，推進了企業黨內監督和依法治企的有機結合，形成事前、事中、事后監督與動態、過程、結果監督及責任追究相融合的科學監督體系。

加強“全面、實用、細致”的制度建設

網絡安全管控逐漸呈現點多面廣、技術復雜、不確定性因素多等趨勢，因此讓制度順應變動的趨勢，固化管控工作流程，能夠真正落地執行是“三位一體”監督項目要重點解決的問題。這個監督項目要確保獨立性、客觀性，能有效促進制度的完善，主要體現在以下幾個方面。

（1）促進制度建設“全面”。監督項目形成的制度貫串網絡安全管控提升的各個方面，涵蓋信息安全“藍隊”技術隊伍建設、網絡安全技防措施、網絡安全技術裝備、管控提升費用支出情況、網絡安全教育培訓情況以及考核情況。

（2）助推制度內容“實用”。為了通過監督，確保制度的內容真正有利于提升網絡安全管控，業務部門在修訂過程中多次組織運維機構和地區信通公司等專家進行討論，吸取各部門、各單位在項目管理中的優秀經驗及有效做法，使得制定的制度更具有實用性、可操作性和針對性，不為制度的形式而為。

（3）達成制度落實“細致”。公司開展監督項目時，要求各項網絡安全的規章制度均經公司領導、各部門、各單位專家評審討論后確定，具有一定的約束力和執行力。形成的文本發到員工手里，根據工作開展情況，要求員工時常在例會上學習，對照評點，做到溫故知新，并通過流程績效評價定期監督制度的執行情況。

打造“有組織、有紀律、懂專業”的隊伍

近年來，更多的網絡黑客轉向利用人的弱點，通過社會工程學方法來實施網絡攻擊，利用社會工程學手段（包括物理攻擊）、突破信息安全防御措施的事件，已經呈現出上升甚至泛濫的趨勢。“三位一體”監督項目參與價值創造，助力打造一支“有組織、有紀律、懂專業”的網絡安全技術隊伍。

（1）推進信息安全“藍隊”體制提升，助力組建網絡安全分析室。通過完善“制防、物防、人防、技防”四個層面，公司建立“四維”防御體系（見圖1）;修編并完善一系列“藍隊”隊伍管理規章制度;建立健全工作機制，常態化開展網絡安全監測、分析、預警工作。以網絡安全分析室為抓手，公司統一調度信息安全“藍隊”，開展信息安全內控相關工作，實現“統一監測、統一預警、統一指揮”。

（2）將視野擴展到組織外部，制訂“藍隊”階梯培養計劃，完備“藍隊”成員信息。為加強信息安全“藍隊”成員的選拔工作，公司向基層單位、直屬單位覆蓋延伸，努力推進人才梯隊建設，在“藍隊”選拔技術能力強、工作能力突出的成員作為核心骨干人員。地市、縣公司通過選拔或推薦的方式組建“藍隊”第二梯隊，作為預備隊員，正常參與“藍隊”常態化工作和培訓交流，成熟一個發展一個。同時，有效推動建立“藍隊”成員基礎信息臺賬，對“藍隊”成員的技術能力和工作能力進行全面評估并記錄，完善“藍隊”成員團隊貢獻度、培訓證書、獲得榮譽等信息。

（3）助力打造“浙電藍”品牌，持續擴大“浙電藍”在國網公司的輻射力。公司在監督項目開展期間共申報26篇典型經驗文章，其中《防火墻無法顯示視頻的問題分析及處理典型經驗》《北信源桌面管控系統與Win7兼容性問題分析及處理典型經驗》《反向隔離裝置高速模式性能問題分析及處理》這3篇典型經驗文章被國家電網公司肯定并推廣。

采用“完備、實用、高效”的管控技術

為響應《中華人民共和國網絡安全法》的頒布和實施，進一步落實公司推進網絡安全有關要求，持續提升信息安全“藍隊”網絡安全監控分析、隱患發現、加固修復等能力，通過開展監督項目，助推啟動公司網絡安全分析室建設。在充分依托公司現有技術手段的基礎上，從技術裝備和分析平臺兩個方面對技術支撐部分進行加固補強，完成了滲透測評平臺、白盒代碼檢測系統、內控檢查工具及脆弱性分析平臺的建設，并整合內外網安全可視化平臺進行多信息源整合展現，有利于監督人員掌握情況。

（1）打造全天候、全方位感知網絡安全態勢。感知網絡安全態勢是開展此次監督項目必須掌握的最基本、最基礎的工作，要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制，結合大數據挖掘分析，準確把握網絡安全風險發生的規律、動向和趨勢。

（2）增強網絡空間未知威脅防御能力。強化基于行為識別攻擊檢測技術，形成一種不依賴簽名特征的威脅分析防護體系，對潛在的未知攻擊行為能夠準確識別，并進行有效分析和驗證。

（3）實現漏洞庫、特征庫、知識庫全面覆蓋。通過主動探索網絡安全工作薄弱點，在安全加固的過程中強化隱患發現能力。

建立長效的保障管理體系

公司根據預先確定的監督依據，在規定的監督范圍內，通過文件審核、記錄檢查、技術測試、現場訪談等活動，獲得監督證據，并對其進行客觀的評價，做到全員推廣與技術創新齊頭并進，安全技術措施與管理規劃相同步，人員建設及技術裝備雙向落實，全力探索和研究出一套適合電網公司的網絡安全監督新思路，促進安全防護工作的規范化、程序化、制度化發展，構建長效的保障管理體系。

順查網絡安全宣貫學習

以責任人為對象，公司開展監督，確保全體員工認真學習《中華人民共和國網絡安全法》，核對是否開展網絡安全宣傳周活動;是否發放前沿安全技術宣傳資料，播放網絡安全防護宣傳片，開展病毒防護案例警示教育展，開展攻防演練、應急處置等技能演示;是否解答員工關心的安全防護問題，切實提高全員的網絡安全意識。

抽查網絡安全專業技術隊伍

以規則為對象，對制度、計劃、任務、標準、流程等的執行過程及結果進行監督。核對網絡安全“藍隊”工作制度、“藍隊”階梯培養計劃和“藍隊”信息安全技術培訓，是否針對漏洞掃描器及十五大管理型漏洞的檢測及加固方案進行專業技術培訓及實操練習，是否積極提供網絡安全防護典型經驗。

逆查信息系統及終端管控

以信息系統為對象，對存貨、固定資產和系統運維狀況進行監督。公司全面梳理內外網絡信息系統和終端接入的整體情況，了解和核對網絡與信息系統防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，按照“誰主管誰負責，誰運行誰負責，誰使用誰負責，管業務必須管安全”的原則，開展內外網絡信息系統和終端的專項檢查工作;核對是否全面完成浙江省內外網系統的風險評估和安全測評，核實提升信息系統賬號權限認證和弱口令整改能力，加強網絡邊界的安全防護措施;核實是否加快終端準入控制及身份認證系統建設，是否實現終端管理的能控在控，杜絕非法接入。

分析網絡安全態勢感知及創新技防水平

借助網絡安全分析室，核對網絡安全分析室的人員、場地、技術裝備和配套保障，通過采用業界先進的各類系統工具、平臺，核實是否有效拓展信息安全防護范圍，實現全方位、無死角的信息安全監控和防御;利用工具、平臺使信息安全防護工作由“隱形化”向“可視化”轉變，實現信息安全防護策略的動態下發，助力監督分析。

結語

開展網絡安全“三位一體”監督項目不僅有利于企業掌握網絡安全是否滿足安全合規性要求，而且能幫助企業全面了解和掌握網絡安全工作的有效性、充分性和適宜性。通過本次監督項目的研究和探索，促進了公司網絡安全管理水平的提高，大大增強了公司相關制度執行的嚴肅性和剛性，有效堵塞各種管理漏洞，降低腐敗風險，促進公司健康、持續、穩定、和諧發展。同時，通過“三位一體”監督，突出源頭、強調重點、抓好整改、注重效果，全面評估研究了公司目前的網絡安全總體態勢和風險狀況，營造了和諧發展的企業氛圍，進一步促進了網絡安全管理工作的規范化、程序化、制度化，使管理效益、經濟效益、廉政效益和社會效益明顯提升。

蔣城穎，高級經濟師，就職于國網浙江省電力有限公司信息通信分公司，從事項目管理工作。

吳惠芬，高級工程師，就職于國網浙江省電力有限公司信息通信分公司，從事綜合管理工作。

鐘瀟，工程師，就職于國網浙江省電力有限公司信息通信分公司，從事信通管理工作。