左 天 才

(貴州烏江水電開發(fā)有限責任公司，貴州 貴陽 550002)

0 前 言

當前，針對電力系統(tǒng)的網(wǎng)絡攻擊事件頻發(fā)，先后出現(xiàn)烏克蘭大停電、委內(nèi)瑞拉大停電等事件，網(wǎng)絡安全在國家安全中的地位和作用逐步凸顯。

網(wǎng)絡安全法從關鍵信息基礎設施、網(wǎng)絡信息安全、監(jiān)測預警與應急處置等方面明確了企業(yè)網(wǎng)絡安全的法律要求和法律責任。隨著國家和行業(yè)主管部門對網(wǎng)絡安全的監(jiān)管日趨深入，檢查和處罰力度不斷加大，企業(yè)違法違規(guī)成本昂貴[1]。

1 區(qū)域發(fā)電公司網(wǎng)絡安全管控機制

隨著烏江公司信息化、數(shù)字化工作的持續(xù)推進，信息化、數(shù)字化、智能化等技術應用對企業(yè)的價值將進一步凸顯，隨之而來的是安全風險日益增高[2-3]，公司信息資產(chǎn)面臨的威脅將急劇加大?；诰W(wǎng)絡安全長期性和復雜性等特點，整合人才和技術資源，創(chuàng)建一體化的集中管控模式，理順管理體制機制，以提升網(wǎng)絡安全保障能力和規(guī)避法律法規(guī)風險，成為烏江公司當前的必然選擇。

區(qū)域發(fā)電公司網(wǎng)絡安全管控機制建設，包括體制機制、制度流程、應急管理等內(nèi)容。提出了“三統(tǒng)四共”的工作思路，明確了“五位一體”組織保障體系、集分結(jié)合的運維機制等建設路徑，構(gòu)建覆蓋全員的網(wǎng)絡安全管控機制。

2 建設路徑

2.1 明確網(wǎng)絡安全“三統(tǒng)四共”的工作思路

研究網(wǎng)絡安全法、等級保護、電力監(jiān)控系統(tǒng)安全防護總體方案等法律法規(guī)和技術標準，梳理出對發(fā)電企業(yè)網(wǎng)絡安全管理、安全管理能力等方面要求。通過廣泛開展調(diào)查研究，多層次、多渠道開展問題分析，從管理、技術、人員方面找出制約網(wǎng)絡安全工作的深層次原因。在問題、需求調(diào)查與分析的基礎上，確立了“三統(tǒng)四共”的基本工作思路(見圖1)。

全面落實“統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一建設”工作思路，同步推進下屬單位的網(wǎng)絡安全建設工作，建設全方位、全覆蓋的網(wǎng)絡安全格局，全面筑牢網(wǎng)絡安全防線，提升公司整體防御能力。

按照“共商、共建、共治、共享”的原則整合資源，構(gòu)建公司一體化的網(wǎng)絡安全管理體系、技術支撐體系和監(jiān)督體系，構(gòu)建集中管控與分級負責相結(jié)合的運行機制，統(tǒng)籌安排和同步推進公司網(wǎng)絡安全工作，落實網(wǎng)絡安全責任機制。

2.2 構(gòu)建網(wǎng)絡安全一體化保障體系

建立“五位一體”組織保障體系。一是在領導層面，公司成立了以黨委書記和總經(jīng)理為組長的網(wǎng)絡安全領導小組，總體負責企業(yè)網(wǎng)絡安全工作，重點在“把握方向、推動變革、健全制度、資源保障”等方面發(fā)揮決策、促進和支持作用。二是管理層面，進一步明確了職能管理、技術支持、監(jiān)督職責，形成集職能管理、技術支撐、監(jiān)督三維一體的網(wǎng)絡安全體系。三是技術層面。把公司集控中心作為網(wǎng)絡安全的技術管理與支持部門，負責向公司各電廠提供網(wǎng)絡與信息安全技術支持。同時公司還整合內(nèi)部人員和技術資源，成立公司網(wǎng)絡安全聯(lián)合工作組，定期對各單位工作任務與計劃執(zhí)行、安全自查與整改、安全管理等方面的工作進行檢查，幫助各電廠提升網(wǎng)絡安全管理和防護水平。目前烏江公司已基本建立“領導決策、職能管理、技術管理、應急保障、安全監(jiān)督”五位一體的公司網(wǎng)絡安全工作組織保障體系(見圖2)。

圖1 三統(tǒng)四共工作思路

圖2 “五位一體”組織保障體系

建立以責任制為核心的網(wǎng)絡安全管理制度體系。烏江公司從“網(wǎng)信安全管理、電力監(jiān)控網(wǎng)絡安全管理、網(wǎng)信安全技術支持管理、網(wǎng)信安全監(jiān)督管理、網(wǎng)信安全實施保障管理”五個方面著手，從保護對象、保護層級、保護措施等方面細化了管理要素，實施了制度體系化建設工作，制定印發(fā)了《網(wǎng)絡與信息安全責任制》《電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理辦法》《網(wǎng)絡安全應急預案》《電力監(jiān)控系統(tǒng)安全防護應急預案》等管理制度和應急預案。烏江公司以安全責任制為核心的制度體系為公司網(wǎng)絡與信息化工作的開展提供了制度保障。

建立網(wǎng)絡安全技術標準體系。一是研究制定企業(yè)網(wǎng)絡安全技術規(guī)劃。從機構(gòu)設置、人員配備、安全管理、安全技術、安全運維等方面編制了《烏江公司及下屬單位網(wǎng)絡安全規(guī)劃(2020—2022)》，明確烏江公司網(wǎng)絡安全三年建設目標及建設路徑。二是研究制定企業(yè)《網(wǎng)絡安全基線維護與檢查技術要求》，該技術標準是作為網(wǎng)絡安全檢查和風險管理的基礎要求，就環(huán)境、人員、設備、操作等制定了基線技術要求和基線標準點，為網(wǎng)絡安全構(gòu)筑了本體安全和邊界安全兩道防線。

2.3 建立網(wǎng)絡安全常態(tài)化工作機制

建立集分結(jié)合的運維機制。由集控中心負責組織開展網(wǎng)絡及自動化系統(tǒng)核心設備定期預防性維護和重大故障處理工作，電廠負責日常檢查維護與消缺工作。每年定期開展4次預防性維護工作，深度檢查和分析設備運行狀況，提前處理設備隱患，確保設備的安全穩(wěn)定運行。

建立基于專家團隊的檢查督導機制。公司整合電廠專業(yè)人員成立公司網(wǎng)絡安全專家組，定期對各單位工作任務與計劃執(zhí)行、安全自查與整改、安全管理、技防設施等進行檢查與督導，開展?jié)B透測試，幫助各電廠提升網(wǎng)絡安全管理水平和防護能力。成功應對了網(wǎng)絡安全攻防演練工作，圓滿完成新中國成立70周年等重大活動網(wǎng)絡安全保障工作。

建立網(wǎng)絡安全預警與處置機制。公司建立了通報工作流程，以內(nèi)部藍信群、OA系統(tǒng)為載體，及時發(fā)布網(wǎng)絡安全預警與處置方案、安全動態(tài)、安全事件、安全公告等信息。組織各單位進行處置，成功消除了網(wǎng)絡安全威脅。

建立定期網(wǎng)絡安全培訓機制。一是注重提升全員安全意識。各單位通過內(nèi)部網(wǎng)站、展板、宣傳冊、融媒體等多種形式和載體，扎實開展了網(wǎng)絡安全法律法規(guī)、形勢教育、網(wǎng)絡完全基本知識等宣傳教育，有效提升了全員網(wǎng)絡安全認知水平。二是聚焦法規(guī)制度提升管理人員責任意識。公司把網(wǎng)絡安全法、等級保護制度、南網(wǎng)“兩個細則”、網(wǎng)絡安全典型案例等作為培訓重點，進一步提升了領導干部、管理人員對網(wǎng)絡安全責任意識和主體意識。三是著力提升專業(yè)人員技能。著眼于互聯(lián)網(wǎng)業(yè)務數(shù)據(jù)應用、網(wǎng)絡安全架構(gòu)典型設計、數(shù)據(jù)安全技防措施等開展技術交流和探討，組織專題講座和集中培訓，并選派管理與技術人員參與CISP取證培訓。

建立網(wǎng)絡安全考核機制。在《基層年度績效考核辦法》《電力生產(chǎn)管理獎懲辦法》中明確了網(wǎng)絡安全管理相應對單位及人員的考核條款。公司層面以企業(yè)主要負責人、分管領導和企業(yè)年度績效考核為抓手，嚴格網(wǎng)絡安全管理檢查考核。

2.4 統(tǒng)建統(tǒng)管推進網(wǎng)絡安全項目建設

公司依照“統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一建設”的原則，組成網(wǎng)絡安全聯(lián)合工作組，積極踐行“共商、共建、共治、共享”的理念，以安全、規(guī)范、優(yōu)質(zhì)、高效為目標，對需建設的網(wǎng)絡安全技術保障項目從方案設計、項目招標、項目實施安排等進行了統(tǒng)一安排。

3 建設效果及建議

建立網(wǎng)絡安全全員責任制實現(xiàn)了網(wǎng)絡安全責任到崗，全面梳理了公司網(wǎng)絡安全工作內(nèi)容、管理范圍與管理層級，制定責任清單構(gòu)建了層級分明、責權(quán)明確、流程通暢的全業(yè)務和全要素網(wǎng)絡安全管理模式，實現(xiàn)了領導決策到職能管理、技術管理和應急保障的縱向貫通，為實現(xiàn)網(wǎng)絡安全有效管控奠定基礎。

整合內(nèi)外部資源，借助專業(yè)團隊、外部專家團隊實現(xiàn)資源整合，充分發(fā)揮骨干人員在項目建設、安全檢查、整改落實等方面的督導作用，發(fā)揮強制性標準在網(wǎng)絡安全核心領域的重要作用，不僅為網(wǎng)絡安全構(gòu)筑了本體安全和邊界安全兩道防線，而且為各基層單位設備安全配置和日常檢查提供了技術依據(jù)，有效解決了各單位力量不足的問題。實現(xiàn)領導決策到職能管理、技術管理和應急保障的縱向貫通，為有效開展網(wǎng)絡安全監(jiān)督奠定了基礎。