文│國網(wǎng)山東省電力公司 陳劍飛 國網(wǎng)濰坊供電公司 王小亮 國網(wǎng)諸城市供電公司 徐明偉
黨和國家高度重視網(wǎng)絡(luò)安全和信息化工作,密集出臺網(wǎng)絡(luò)安全法律法規(guī)和標(biāo)準(zhǔn)規(guī)范, 并將每年 9 月第三周定為“國家網(wǎng)絡(luò)安全宣傳周”。作為國家網(wǎng)絡(luò)空間安全防線的重要組成部分,大型國有企業(yè)應(yīng)堅持“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民”的理念,提升整體網(wǎng)絡(luò)安全意識和技能,共同保障我國的網(wǎng)絡(luò)空間安全。
一、樹立全員網(wǎng)絡(luò)安全意識迫在眉睫
(一)防范網(wǎng)絡(luò)攻擊需提高全網(wǎng)網(wǎng)絡(luò)安全意識
近年來,世界范圍內(nèi)惡意網(wǎng)絡(luò)攻擊強度、頻率、規(guī)模和影響不斷升級,網(wǎng)絡(luò)攻擊破壞性愈發(fā)嚴(yán)重,復(fù)雜的國際形勢導(dǎo)致針對我國各行業(yè)發(fā)起的網(wǎng)絡(luò)攻擊愈演愈烈,網(wǎng)絡(luò)戰(zhàn)風(fēng)險不斷累積,網(wǎng)絡(luò)安全防護難度不斷增大。網(wǎng)絡(luò)安全不同于傳統(tǒng)生產(chǎn)安全,網(wǎng)絡(luò)安全的本質(zhì)是對抗,是攻防兩端“人與人”能力的較量。員工恰恰是各大型國有企業(yè)網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié),很多企業(yè)最大的安全漏洞是在管理和文化方面,這已經(jīng)成為業(yè)界普遍的共識。
(二)國家法律法規(guī)對網(wǎng)絡(luò)安全宣傳教育工作提出更高要求
2017 年 6 月 1 日,我國施行了《網(wǎng)絡(luò)安全法》,其中第十九條明確規(guī)定:“各級人民政府及其有關(guān)部門應(yīng)當(dāng)組織開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育,并指導(dǎo)、督促有關(guān)單位做好網(wǎng)絡(luò)安全宣傳教育工作”。該法還對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域提出信息安全意識教育相關(guān)要求?!蛾P(guān)鍵信息基礎(chǔ)設(shè)施保護條例》第十五條要求,關(guān)鍵信息基礎(chǔ)設(shè)施運營單位要履行網(wǎng)絡(luò)安全教育、培訓(xùn)等義務(wù)。
(三)國資委要求央企常態(tài)化開展網(wǎng)絡(luò)安全宣傳教育工作
國資委每年舉辦中央企業(yè)網(wǎng)絡(luò)安全工作培訓(xùn)班,組織央企網(wǎng)絡(luò)安全工作人員學(xué)習(xí)網(wǎng)絡(luò)安全政策理論知識。2017 年 5 月,國資委下發(fā)《關(guān)于進一步加強中央企業(yè)網(wǎng)絡(luò)安全工作的通知》,要求央企將經(jīng)常性網(wǎng)絡(luò)安全宣傳教育納入議事日程,開展專題宣傳和教育培訓(xùn),動員全員共同參與,普及網(wǎng)絡(luò)安全常識、增進網(wǎng)絡(luò)安全知識、提高網(wǎng)絡(luò)安全意識。提高全員網(wǎng)絡(luò)安全意識任重而道遠(yuǎn),如何開展有效的網(wǎng)絡(luò)安全宣傳工作,提升全員網(wǎng)絡(luò)安全意識,是網(wǎng)絡(luò)安全保障工作迫切需要解決的問題。
二、大型國有企業(yè)網(wǎng)絡(luò)安全宣貫教育工作面臨的挑戰(zhàn)
(一)員工網(wǎng)絡(luò)安全意識參差不齊
國有企業(yè)員工年齡和受教育程度差異大,大多數(shù)員工對網(wǎng)絡(luò)安全“知其然不知其所以然”,認(rèn)為網(wǎng)絡(luò)攻擊都在互聯(lián)網(wǎng)上,網(wǎng)絡(luò)攻擊只是小概率事件,網(wǎng)絡(luò)安全跟自己的工作不會有交集,對可能受到的網(wǎng)絡(luò)攻擊的危害性缺乏認(rèn)知。部分領(lǐng)導(dǎo)干部對網(wǎng)絡(luò)安全重視不足,或者只是口頭上重視,“說起來重要,干起來次要,忙起來不要”。
(二)網(wǎng)絡(luò)安全與數(shù)字化發(fā)展難以平衡
企業(yè)為了生存和發(fā)展加速推進數(shù)字化轉(zhuǎn)型,各種新技術(shù)快速滲透各行各業(yè)、融入企業(yè)運營各環(huán)節(jié)。新技術(shù)同時帶來新風(fēng)險,數(shù)字化“重建設(shè)、輕安全,重使用、輕防護”的情況屢見不鮮。信息系統(tǒng)先上線、網(wǎng)絡(luò)安全再補位,當(dāng)可用性和安全性沖突時,往往會降低安全性要求。
(三)網(wǎng)絡(luò)安全宣貫教育難以深入基層
大型國有企業(yè)層級多,安全管理和宣貫教育普遍是自上而下層級式推進,廣大基層員工處于層級末梢,宣貫教育效能在層層傳遞中不可避免產(chǎn)生損耗,逐漸弱化。網(wǎng)絡(luò)安全宣貫教育也缺乏系統(tǒng)性,宣貫的素材針對性不強,難以引發(fā)基層人員共鳴,宣貫教育效果不理想。
三、國網(wǎng)山東電力網(wǎng)絡(luò)安全宣貫教育主要做法
(一)與日常工作相融合,潤物無聲
國網(wǎng)山東電力將網(wǎng)絡(luò)安全融入日常工作的各個環(huán)節(jié),在潛移默化中提升全員網(wǎng)絡(luò)安全意識,讓網(wǎng)絡(luò)安全“隨處看得見、時時聽得到、伸手摸得著”。
讓網(wǎng)絡(luò)安全隨處看得見。按照國家、企業(yè)、個人分類梳理網(wǎng)絡(luò)安全要求和防護要點,制作圖文并茂的展板、上墻畫報,讓員工在工作間隙隨處都能看到網(wǎng)絡(luò)安全知識;統(tǒng)一制作《漫看網(wǎng)絡(luò)安全》《網(wǎng)絡(luò)安全法解讀》等系列宣傳視頻,在樓宇電視、宣傳大屏等視頻終端循環(huán)播放,讓員工在乘坐電梯片刻能夠看到網(wǎng)絡(luò)安全知識;總結(jié)網(wǎng)絡(luò)安全警示語“五禁止”“八不準(zhǔn)”“十嚴(yán)禁”,強調(diào)弱口令防范、敏感文件保護等基本安全要求,制作成辦公電腦桌面、屏幕保護程序,在門戶網(wǎng)站置頂宣傳飄窗,讓員工每次用電腦辦公的時候能夠看到網(wǎng)絡(luò)安全知識。
讓網(wǎng)絡(luò)安全時時聽得到。舉辦形式多樣的網(wǎng)絡(luò)安全培訓(xùn),組織對新員工和關(guān)鍵崗位人員開展專題網(wǎng)絡(luò)安全培訓(xùn),邀請業(yè)內(nèi)知名網(wǎng)絡(luò)安全專家和企業(yè)網(wǎng)絡(luò)安全職能部門管理人員,普及網(wǎng)絡(luò)安全法律法規(guī)和管理要求;組織各單位定期舉辦網(wǎng)絡(luò)安全大講堂,邀請主管領(lǐng)導(dǎo)和分管領(lǐng)導(dǎo)參加,通過攻防案例解讀、漏洞危害分析等方式,提高各級領(lǐng)導(dǎo)干部的網(wǎng)絡(luò)安全風(fēng)險意識。以全員安全日活動為載體,在固定時間學(xué)習(xí)生產(chǎn)安全和網(wǎng)絡(luò)安全要求、案例解讀,讓員工像重視生產(chǎn)安全一樣重視網(wǎng)絡(luò)安全。
讓網(wǎng)絡(luò)安全伸手摸得著。印制網(wǎng)絡(luò)安全宣傳手冊、宣傳折頁,將其放在門廳、走廊、電梯口等位置,普及網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法等法律法規(guī),讓網(wǎng)絡(luò)安全知識觸手可及;制作下發(fā)印有網(wǎng)絡(luò)安全警示語、小常識的鼠標(biāo)墊,內(nèi)外網(wǎng)文件交互只能使用安全 U 盤;在辦公電腦顯示器、主機上粘貼安全標(biāo)簽,使辦公電腦的安全使用方法一目了然。讓網(wǎng)絡(luò)安全知識隨手可得,在潛移默化中提高全員網(wǎng)絡(luò)安全意識。
(二)在關(guān)鍵節(jié)點處展開,聲如驚雷
日常宣貫如細(xì)雨,關(guān)鍵節(jié)點教育若驚雷。國網(wǎng)山東電力設(shè)立“護網(wǎng)先鋒”公眾號,立足新媒體宣傳高地,緊扣安全生產(chǎn)活動月、網(wǎng)絡(luò)安全宣傳周、國家專項網(wǎng)絡(luò)攻防演習(xí)等時間節(jié)點,積極開展各類宣傳活動,形式新穎,內(nèi)容鮮活,效果良好。
充分利用網(wǎng)絡(luò)安全新媒體宣傳陣地。為了充分掌握員工獲取網(wǎng)絡(luò)安全知識的渠道和興趣點,公司通過座談、調(diào)查問卷等方式深入調(diào)研,93.8% 的受訪者傾向于通過微信、微博等互聯(lián)網(wǎng)渠道學(xué)習(xí)了解安全知識,97.2% 的受訪者對網(wǎng)絡(luò)安全小知識、小常識有主動學(xué)習(xí)興趣?;谶@種情況,公司創(chuàng)建了“護網(wǎng)先鋒”微信公眾號,打造網(wǎng)絡(luò)安全新媒體宣傳陣地。公眾號通過幽默風(fēng)趣的語言和寓教于樂的故事,科普網(wǎng)絡(luò)安全知識,展現(xiàn)隊伍隊員風(fēng)采,開展網(wǎng)絡(luò)安全趣味問答,引發(fā)了強烈反響和關(guān)注,受到一致好評。截至目前,公眾號已經(jīng)擁有粉絲近萬人,成為電力行業(yè)知名的專業(yè)公眾號,是山東電力網(wǎng)絡(luò)安全的一張對外名片。
抓住網(wǎng)絡(luò)安全宣傳有利時機。在每年 6 月的安全生產(chǎn)活動月、9 月的國家網(wǎng)絡(luò)安全宣傳周期間,組織開展“網(wǎng)絡(luò)安全到基層”系列宣傳活動,以“一宣傳、兩提升、三整治”為主線,宣傳網(wǎng)絡(luò)安全法律法規(guī)制度標(biāo)準(zhǔn),提升基層員工網(wǎng)絡(luò)安全基礎(chǔ)防護意識、提升網(wǎng)絡(luò)安全監(jiān)測處置與溯源能力,整治敏感信息泄露與仿冒網(wǎng)站、整治移動應(yīng)用建設(shè)與運行不合規(guī)、整治基層員工基礎(chǔ)安全問題。設(shè)置網(wǎng)絡(luò)安全宣傳展廳、展臺,將網(wǎng)絡(luò)安全知識融于實際場景中,設(shè)置釣魚郵件、手機木馬、釣魚 WiFi 等場景,讓員工切實感受網(wǎng)絡(luò)安全的重要性和不注重網(wǎng)絡(luò)安全帶來的危害。利用《國家電網(wǎng)報》、門戶網(wǎng)站、“i 國網(wǎng)”App 等多種媒體發(fā)布信息安全宣傳稿件,分享公司信息安全工作動態(tài)和成績,加強信息安全輿論覆蓋。
全力加強重要時間節(jié)點的宣傳力度。在黨和國家重大活動、國家網(wǎng)絡(luò)安全演習(xí)等期間,結(jié)合網(wǎng)絡(luò)安全保障任務(wù)強化宣傳引導(dǎo)。舉辦防社工、防泄密等專題講座,邀請公安、網(wǎng)信等網(wǎng)絡(luò)安全專家,普及網(wǎng)絡(luò)安全法律法規(guī),講授網(wǎng)絡(luò)安全防護知識。開展“一把手講網(wǎng)絡(luò)安全”,組織各級領(lǐng)導(dǎo)在早例會、周例會上通報公司網(wǎng)絡(luò)安全態(tài)勢,強調(diào)網(wǎng)絡(luò)安全要求。開展分層次多輪次網(wǎng)絡(luò)安全抽考,舉辦網(wǎng)絡(luò)答題活動,督促領(lǐng)導(dǎo)干部、基層員工、關(guān)鍵崗位人員主動學(xué)習(xí)網(wǎng)絡(luò)安全知識,切實做到應(yīng)知必知、應(yīng)會必會。
(三)在安全紅線上堅守,泰山壓頂
宣貫教育“不放松”,出了問題“不手軟”。統(tǒng)一建章立制,構(gòu)筑網(wǎng)絡(luò)安全紅線,打造“紅藍(lán)”護網(wǎng)先鋒,以攻促防、以攻促查,強化網(wǎng)絡(luò)安全剛性執(zhí)行,讓“用的人知道安全,管的人重視安全,查的人管得了安全”。
強化網(wǎng)絡(luò)安全剛性執(zhí)行。緊扣公司網(wǎng)絡(luò)安全發(fā)展要求,編制下發(fā) 21 項管理辦法和工作細(xì)則,構(gòu)建網(wǎng)絡(luò)安全“六項機制”,即監(jiān)督機制、應(yīng)急機制、事故調(diào)查機制、通報機制、事件責(zé)任追究機制和風(fēng)險管理機制,為網(wǎng)絡(luò)安全保障“立規(guī)”,對安全風(fēng)險“筑籠”。將網(wǎng)絡(luò)安全事件納入各單位企業(yè)負(fù)責(zé)人業(yè)績考核,嚴(yán)格行使網(wǎng)絡(luò)安全的“一票否決權(quán)”,嚴(yán)肅對待發(fā)現(xiàn)的問題,堅持“一個都不放過”,定期開展分析通報,狠抓問題整改到位,堅決做到不闖紅燈,不越紅線。對網(wǎng)絡(luò)安全事件的處理,按照安全生產(chǎn)事故處理的要求,實行“說清楚”制度。2021 年,公司通報重大隱患 11 個,漏洞 283 個,用鮮活的事件和案例,讓各層級領(lǐng)導(dǎo)重視網(wǎng)絡(luò)安全管理、讓基層員工警醒,減少同類事件的發(fā)生,逐步提高全網(wǎng)網(wǎng)絡(luò)安全意識。
打造網(wǎng)絡(luò)安全先鋒隊。為了解決網(wǎng)絡(luò)安全“專職人員少、攻防基礎(chǔ)弱”等問題,公司跨專業(yè)多層級選拔培養(yǎng)網(wǎng)絡(luò)安全人才,組建山東電力紅藍(lán)隊。公司每年舉辦 4 至 6 期初、中級培訓(xùn),有針對性地舉辦高級班培訓(xùn),選擇表現(xiàn)特別突出的隊員進行脫產(chǎn)培訓(xùn)。紅藍(lán)隊建設(shè)尤其注重理論與實踐相結(jié)合,踐行“走出去”培育模式,組織優(yōu)秀隊員赴安全公司、互聯(lián)網(wǎng)企業(yè)、知名院校開展實地調(diào)研和考察學(xué)習(xí),通過“揭榜掛帥”“青年托舉”“工匠塑造”等多種方式,提升隊員綜合素質(zhì)。經(jīng)過多年持續(xù)的培養(yǎng)和發(fā)展,山東電力目前擁有紅藍(lán)隊員294 人,包括紅隊 104 人,藍(lán)隊隊員 190 人,參加國家、國際網(wǎng)絡(luò)安全賽事 50 余項,獲得包括 35 個冠軍在內(nèi)的 110 多個獎項,獲得齊魯工匠、富民興魯勞動獎?wù)?、全國技術(shù)能手等系列獎項。多名紅藍(lán)隊員入選公司專家人才和勞模工匠,在省、市、縣各級單位的榮譽榜和表彰會上都有他們的身影和事跡,他們既是保障網(wǎng)絡(luò)安全的先鋒隊,也是網(wǎng)絡(luò)安全宣貫教育的“明星”。
實戰(zhàn)攻防繃緊網(wǎng)絡(luò)安全弦。“警鐘長鳴”才能居安思危,紅藍(lán)隊就是敲鐘人,必須讓隊伍在急難險重的工作任務(wù)中經(jīng)風(fēng)雨、見世面、壯筋骨。山東電力紅藍(lán)隊主要通過“平時”“戰(zhàn)時”兩種工作模式錘煉隊伍。“平時”模式下,主動選派隊員參加重大活動保障、現(xiàn)場檢查、事件調(diào)查等工作,提升隊伍攻防能力。“戰(zhàn)時”模式下,參照網(wǎng)絡(luò)戰(zhàn)的方式,組織紅藍(lán)隊充分利用漏洞攻擊、社工攻擊和供應(yīng)鏈攻擊等手段,以不打招呼、背靠背的方式開展定點和定向攻擊。為了提高攻防作戰(zhàn)能力,紅藍(lán)隊自主設(shè)計研發(fā)了 4 款自主可控安全設(shè)備和 4 款攻防對抗工具,初步實現(xiàn)了“情報主動探察、威脅一鍵處置,攻擊智能溯源,漏洞自動識別”。其中,“大黃蜂”人工智能滲透機器人,能夠模仿完整的滲透測試過程,參加百度人工智能攻防對抗比賽連續(xù)兩年獲得冠軍。2021 年,山東電力紅藍(lán)隊先后開展 2 期代號“紅箭行動”的攻防演習(xí),累積發(fā)現(xiàn)并修復(fù)網(wǎng)絡(luò)安全漏洞 283 個,預(yù)警網(wǎng)絡(luò)安全威脅 110 個,發(fā)布網(wǎng)絡(luò)安全態(tài)勢通報 12 期,讓公司上下持續(xù)繃緊網(wǎng)絡(luò)安全這根弦,居安思危,時刻牢記“網(wǎng)絡(luò)安全靠人民、網(wǎng)絡(luò)安全為人民”,共同維護公司網(wǎng)絡(luò)安全穩(wěn)定局面。
(本文刊登于《中國信息安全》雜志2022年第1期)