一、數(shù)字化轉(zhuǎn)型背景下的網(wǎng)絡(luò)安全形勢

隨著“數(shù)字中國”“網(wǎng)絡(luò)強國”和“新基建”等國家重大戰(zhàn)略部署加快推進，國有企業(yè)數(shù)字化轉(zhuǎn)型成為大勢所趨，伴隨著新一代信息技術(shù)的創(chuàng)新應(yīng)用，業(yè)務(wù)運營模式的變化更迭，網(wǎng)絡(luò)安全工作面臨新的挑戰(zhàn)。

一是國家法律法規(guī)對加強網(wǎng)絡(luò)安全工作提出更高要求。近兩年，《密碼法》《數(shù)據(jù)安全法（草案）》、網(wǎng)絡(luò)安全等級保護2.0和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護相關(guān)制度等法律法規(guī)陸續(xù)頒布施行，對數(shù)字化轉(zhuǎn)型背景下的云安全、數(shù)據(jù)安全、工控安全和密碼應(yīng)用等工作和能力提出新要求新挑戰(zhàn)。國務(wù)院國資委發(fā)布新版《中央企業(yè)負責人經(jīng)營業(yè)績考核辦法》，增加了對網(wǎng)絡(luò)安全事件的考核要求，對國有企業(yè)的網(wǎng)絡(luò)安全工作提出了更高要求。

二是網(wǎng)絡(luò)安全保障成為數(shù)字化轉(zhuǎn)型的重要挑戰(zhàn)。國有企業(yè)數(shù)字化轉(zhuǎn)型將會極大地改進原有生產(chǎn)和經(jīng)營方式，信息技術(shù)與業(yè)務(wù)發(fā)展的深度融合將凸顯網(wǎng)絡(luò)安全風險的實質(zhì)性影響，網(wǎng)絡(luò)安全風險已延伸至生產(chǎn)和經(jīng)營的方方面面，將會直接影響業(yè)務(wù)運營，進而影響生產(chǎn)安全、社會安全、甚至國家安全。

三是新一代信息技術(shù)創(chuàng)新應(yīng)用帶來新的網(wǎng)絡(luò)安全風險。5G、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新一代信息技術(shù)的創(chuàng)新應(yīng)用給國有企業(yè)帶來巨大的創(chuàng)新紅利，同時引起企業(yè)IT環(huán)境的變化發(fā)展，云安全、數(shù)據(jù)安全、工控安全等諸多新的安全風險隨之而來。此外，大數(shù)據(jù)、人工智能等新一代信息技術(shù)也被廣泛用于網(wǎng)絡(luò)攻擊中，大大增加了網(wǎng)絡(luò)安全防護難度。

二、數(shù)字化轉(zhuǎn)型過程中的網(wǎng)絡(luò)安全問題

在數(shù)字化轉(zhuǎn)型過程中，新技術(shù)、新應(yīng)用、新模式層出不窮，新問題、新風險、新挑戰(zhàn)不斷出現(xiàn)，傳統(tǒng)安全防護手段面對更加開放多元的應(yīng)用場景，難以保障數(shù)字化業(yè)務(wù)的平穩(wěn)、可靠、有序和高效運營。

一是網(wǎng)絡(luò)安全缺乏頂層設(shè)計，防護體系化缺失，安全能力難于協(xié)同。網(wǎng)絡(luò)安全采用“局部整改” “查漏補缺” “輔助配套”建設(shè)模式，IT和網(wǎng)絡(luò)安全治理層面缺乏頂層設(shè)計，安全系統(tǒng)之間安全能力分散，缺乏聯(lián)動與協(xié)同，無法發(fā)揮整體防護效能，網(wǎng)絡(luò)安全防御能力與保障數(shù)字化業(yè)務(wù)運營的高標準要求尚有差距。

二是工業(yè)控制系統(tǒng)安全問題日趨凸顯。隨著IT與OT的深度融合，工業(yè)控制系統(tǒng)與信息化結(jié)合日益緊密，生產(chǎn)安全更加依賴網(wǎng)絡(luò)安全。工控系統(tǒng)大多采用國外產(chǎn)品，老舊設(shè)備占比較大，對業(yè)務(wù)連續(xù)性要求較高，難以承擔漏洞修復后產(chǎn)生的影響，導致系統(tǒng)“帶病運行”。部分工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部未進行分區(qū)分域隔離，缺乏有效的安全防護手段，工控系統(tǒng)缺乏針對性安全管理和策略。

三是新技術(shù)的發(fā)展和廣泛應(yīng)用帶來網(wǎng)絡(luò)安全新挑戰(zhàn)。近年來，云計算、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用大規(guī)模發(fā)展，業(yè)務(wù)應(yīng)用模式不斷創(chuàng)新，國有企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)復雜化、邊界模糊化、數(shù)據(jù)集中化，網(wǎng)絡(luò)安全風險融合疊加并快速演變趨向多樣化，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)無法應(yīng)對新技術(shù)帶來的虛擬化、數(shù)據(jù)集中、平臺可用性等安全風險，網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

四是網(wǎng)絡(luò)安全專業(yè)隊伍儲備不足。高端人才匱乏導致企業(yè)網(wǎng)絡(luò)安全能力上限不高，過于依賴安全廠商，無法形成穩(wěn)定可持續(xù)的安全能力輸出；基層單位網(wǎng)絡(luò)安全人員不足，缺乏專人專崗，導致網(wǎng)絡(luò)安全制度和要求無法得到全面落實。

三、數(shù)字化轉(zhuǎn)型工作中網(wǎng)絡(luò)安全保障的思考和建議

國有企業(yè)要堅決貫徹落實習近平總書記關(guān)于網(wǎng)絡(luò)強國的重要思想，落實黨中央國務(wù)院有關(guān)決策部署，切實增強責任感使命感，進一步認清新形勢下網(wǎng)絡(luò)安全工作的重要性緊迫性，準確把握數(shù)字化轉(zhuǎn)型形勢背景下網(wǎng)絡(luò)安全工作面臨的新問題新挑戰(zhàn)，把網(wǎng)絡(luò)安全防護工作作為數(shù)字化轉(zhuǎn)型的前提基礎(chǔ)和堅實保障，堅決落實主體責任，不斷強化頂層設(shè)計，健全組織管理體系，加強防護能力建設(shè)，加快人才隊伍培養(yǎng)，全面提升安全保障能力，切實為企業(yè)數(shù)字化轉(zhuǎn)型保駕護航，推動高質(zhì)量發(fā)展。

（一）加強頂層設(shè)計，強化體系建設(shè)

國有企業(yè)網(wǎng)絡(luò)安全體系建設(shè)是一項復雜的系統(tǒng)性工程，尤其對于數(shù)字化轉(zhuǎn)型深入階段的安全防護，必須深入保障數(shù)字化業(yè)務(wù)的各個方面，加強網(wǎng)絡(luò)安全頂層設(shè)計規(guī)劃，以體系化、工程化的模式建立新型網(wǎng)絡(luò)安全防御體系，增強應(yīng)對各類網(wǎng)絡(luò)安全風險的能力。中國華電完成互聯(lián)網(wǎng)統(tǒng)一出口安全防護，通過網(wǎng)絡(luò)安全架構(gòu)實現(xiàn)整體網(wǎng)絡(luò)安全能力的大幅提升，并在此基礎(chǔ)上進行體系化的網(wǎng)絡(luò)安全能力建設(shè)，逐步構(gòu)建網(wǎng)絡(luò)安全縱深防御體系，夯實網(wǎng)絡(luò)安全基礎(chǔ)。

（二）健全管理體系，實現(xiàn)全方位管理

落實網(wǎng)絡(luò)安全主體責任，厘清界面職責，健全組織架構(gòu)，編制和修訂管理制度，強化考核督導，不斷完善網(wǎng)絡(luò)安全保障、信息通報和應(yīng)急體系。中國華電通過建立健全網(wǎng)絡(luò)安全管理體系，落實主體責任，強化考核監(jiān)督，明確分工界面、理順工作流程，實現(xiàn)全產(chǎn)業(yè)、全業(yè)務(wù)、全過程、全要素的網(wǎng)絡(luò)安全管理。

（三）加強產(chǎn)品服務(wù)管控，增強本質(zhì)安全

一是使用安全可靠的產(chǎn)品和服務(wù)，建立安全審查機制。貫徹落實《網(wǎng)絡(luò)安全審查辦法》要求，建立健全網(wǎng)絡(luò)安全審查機制，依法依規(guī)對供應(yīng)商、安全方案、產(chǎn)品和服務(wù)等進行嚴格審查，提高產(chǎn)品和服務(wù)的安全性可控性。

二是堅持安全創(chuàng)新，加快信創(chuàng)產(chǎn)品和服務(wù)的使用。逐步加快安全可靠的信創(chuàng)產(chǎn)品和服務(wù)在設(shè)備設(shè)施、工具軟件、信息系統(tǒng)和服務(wù)平臺等方面的使用，提升本質(zhì)安全，實現(xiàn)國有企業(yè)網(wǎng)絡(luò)安全體系的可信、可控、可持續(xù)。中國華電加強信創(chuàng)產(chǎn)品與系統(tǒng)的研制與應(yīng)用，在火力發(fā)電DCS和水力發(fā)電監(jiān)控系統(tǒng)領(lǐng)域?qū)崿F(xiàn)了自主可控，打破了技術(shù)壟斷，能夠有效防止“卡脖子”事件發(fā)生，提高電力控制系統(tǒng)的運行效率和安全可靠性，保障能源電力等重要基礎(chǔ)設(shè)施安全運行。

（四）強化技術(shù)防護，提升綜合防護水平

一是增強面向安全運營的態(tài)勢感知能力，完善網(wǎng)絡(luò)安全監(jiān)測預警與應(yīng)急處置體系。建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺，匯聚來自網(wǎng)絡(luò)流量、人員行為、安全系統(tǒng)、主機應(yīng)用以及業(yè)務(wù)系統(tǒng)的各種安全數(shù)據(jù)，從資產(chǎn)、漏洞、攻擊、威脅、風險、行為等維度全面感知安全態(tài)勢。中國華電以態(tài)勢感知平臺為依托，實現(xiàn)覆蓋平臺、系統(tǒng)、數(shù)據(jù)等所有信息資產(chǎn)的實時安全監(jiān)測和預警，并與網(wǎng)絡(luò)安全信息通報平臺集成，實現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)之間的協(xié)作聯(lián)動，完善網(wǎng)絡(luò)安全態(tài)勢感知、監(jiān)測預警和應(yīng)急處置體系，提升網(wǎng)絡(luò)安全綜合防護能力。

二是建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)資源庫，持續(xù)輸出安全能力。以整體化、集中化、規(guī)模化的方式規(guī)劃建設(shè)漏洞庫、病毒庫、威脅情報庫等網(wǎng)絡(luò)安全基礎(chǔ)資源庫，加強安全資源儲備。中國華電以平臺化方式建設(shè)和豐富基礎(chǔ)資源庫，以安全服務(wù)持續(xù)輸出安全能力，并據(jù)此開展日常化、規(guī)程化和可持續(xù)的網(wǎng)絡(luò)安全運營。

三是加強工業(yè)控制系統(tǒng)的安全防護。以工控系統(tǒng)監(jiān)督檢查、等級測評、風險評估、漏洞修復、數(shù)據(jù)保護、信息通報和共享、應(yīng)急處置等為抓手，進一步健全管理制度和工作機制，強化工控系統(tǒng)安全管理與防護，在國有企業(yè)數(shù)字化轉(zhuǎn)型中落實安全閉環(huán)管控。中國華電制定《電力企業(yè)網(wǎng)絡(luò)安全監(jiān)督實施細則》，加強工控系統(tǒng)全生命周期安全監(jiān)督，不斷夯實工控安全基礎(chǔ)。同時積極參與國資委能源工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺建設(shè)工作，增強集團級工控安全態(tài)勢感知、應(yīng)急處置、風險管控等安全能力，有效應(yīng)對和防范電力網(wǎng)絡(luò)安全風險。

四是加強數(shù)據(jù)全生命周期的安全防護。建設(shè)數(shù)據(jù)安全管理平臺，梳理數(shù)據(jù)資產(chǎn)，進行分類分級，加強數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀等各個環(huán)節(jié)的保護措施，加強數(shù)據(jù)防攻擊、防竊取、防泄露及訪問控制能力建設(shè)，實現(xiàn)數(shù)據(jù)全生命周期的安全防護。

五是加強云平臺的安全防護。構(gòu)建云安全防護體系，全面覆蓋云邊界、應(yīng)用系統(tǒng)區(qū)域、主機、容器等層次，實現(xiàn)公有云、私有云、混合云多云架構(gòu)環(huán)境下網(wǎng)絡(luò)安全的深度融合，形成IaaS、PaaS、SaaS層級的云安全防護能力。

（五）加強攻防演練，提升應(yīng)急處置水平

網(wǎng)絡(luò)安全攻防演練是檢驗網(wǎng)絡(luò)安全防護水平最直接、最有效的方式。國有企業(yè)應(yīng)持續(xù)開展攻防演習，一方面能夠真實掌握自身網(wǎng)絡(luò)安全防護水平，發(fā)現(xiàn)網(wǎng)絡(luò)安全防御體系中的短板和薄弱環(huán)節(jié)，及時優(yōu)化整改，提升整體防御能力，另一方面能夠檢驗和完善網(wǎng)絡(luò)安全應(yīng)急預案，提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急處置和協(xié)同聯(lián)動能力。

（六）加強人才隊伍培養(yǎng)，強化智力支撐

網(wǎng)絡(luò)安全的本質(zhì)在對抗，人始終是對抗中最關(guān)鍵的要素。中國華電每年在集團內(nèi)部開展網(wǎng)絡(luò)安全宣傳教育月活動，通過各種形式培養(yǎng)和提升員工的網(wǎng)絡(luò)安全意識和基本技能。同時，加快網(wǎng)絡(luò)安全專業(yè)人才隊伍培養(yǎng)，逐步建立網(wǎng)絡(luò)安全專業(yè)人才的選拔、培養(yǎng)、任用機制，通過安排技術(shù)技能培訓與考核、參與技能大賽和攻防演練等方式實現(xiàn)人才隊伍從等保合規(guī)測評能力向網(wǎng)絡(luò)攻防專業(yè)技術(shù)能力及實戰(zhàn)能力的提升。