漏洞是信息化時代不可避免的問題,必須正視問題所在并做好管理。戰(zhàn)國時期的經(jīng)典故事《扁鵲見蔡桓公》告訴人們,要正視自身的隱患,不可諱疾忌醫(yī)。如果在初期就將隱患及時根除,所付出的工作就是“湯熨之所及也”,以較小的付出來清除隱患,繼而避免風險的進一步發(fā)展。
對于如何化解風險,習近平總書記在《關于〈中共中央關于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議〉的說明》中指出,“我們必須堅持統(tǒng)籌發(fā)展和安全,增強機遇意識和風險意識,樹立底線思維,把困難估計得更充分一些,把風險思考得更深入一些,注重堵漏洞、強弱項,下好先手棋、打好主動仗,有效防范化解各類風險挑戰(zhàn),確保社會主義現(xiàn)代化事業(yè)順利推進?!?/p>
對漏洞而言,有效的漏洞管理可以及早地發(fā)現(xiàn)漏洞并遏制漏洞利用事件的發(fā)生,能顯著降低企業(yè)面臨的風險。近年來,國家網(wǎng)絡空間法律法規(guī)密集出臺,2021 年,《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》《網(wǎng)絡產(chǎn)品安全漏洞收集平臺備案管理辦法(征求意見稿)》相繼發(fā)布,對漏洞管理工作進行了明確的規(guī)范。
南方電網(wǎng)公司(以下簡稱公司)作為關系國計民生的電力關鍵信息基礎設施運營者,隨著公司數(shù)字化轉(zhuǎn)型建設的不斷推進,數(shù)字化業(yè)務與網(wǎng)絡安全逐漸高度融合,要求公司必須增強機遇意識和風險意識,牢固樹立底線思維,加強網(wǎng)絡安全體系和能力建設,全面提升網(wǎng)絡安全本質(zhì)安全水平,實現(xiàn)人、物、管理、環(huán)境等各要素安全可靠、和諧統(tǒng)一,逐步趨近和實現(xiàn)預防型、恒久型、本質(zhì)型的安全目標,夯實公司高質(zhì)量發(fā)展安全基礎,構(gòu)建本質(zhì)安全型數(shù)字化轉(zhuǎn)型,為國家關鍵信息基礎設施安全保障工作積極奉獻力量。
一、探索與實踐
公司嚴格貫徹落實國家各項法律法規(guī),依照網(wǎng)絡安全法、網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定等相關要求,定期召開會議,專題研究,認真部署,深入開展網(wǎng)絡安全合規(guī)管控,加強網(wǎng)絡安全漏洞管理深度和技術強度。
(一)壓實安全責任鏈條,夯實人員安全底座
公司以結(jié)果為導向,貫徹落實國家法律法規(guī)和上級領導要求。以壓實安全責任鏈條、提升六項管理能力、落實人員管控機制為手段,全面提升公司網(wǎng)絡安全管理與監(jiān)督能力,使網(wǎng)絡安全風險可控在控。
根據(jù)國家要求,優(yōu)化完善公司網(wǎng)絡安全組織架構(gòu),設置首席網(wǎng)絡安全官,以首席網(wǎng)絡安全官為督導主體,深化安全責任落實,強化責任制檢查考核獎懲力度,做到“職責實、機構(gòu)全、崗位明、手段齊、底數(shù)清、考核嚴”。
明確各級網(wǎng)絡安全責任人。按照“誰主管誰負責、誰建設誰負責、誰運行誰負責、誰使用誰負責、管業(yè)務必須管安全”的原則,設置專門安全管理機構(gòu)和安全管理人,明確各級單位的網(wǎng)絡安全主要負責人和直接責任人,對網(wǎng)絡安全關鍵崗位建立人員清單,定期對專門安全管理機構(gòu)負責人和關鍵崗位人員進行安全背景審查。
(二)建設漏洞“中樞”平臺,實現(xiàn)全網(wǎng)統(tǒng)一的安全漏洞持續(xù)發(fā)現(xiàn)、通報、驗證、處置閉環(huán)管理
經(jīng)過多年網(wǎng)絡安全建設,公司已建成信息安全運行監(jiān)控預警系統(tǒng)、資產(chǎn)庫、網(wǎng)絡安全漏洞庫、網(wǎng)絡安全靶場,集立體監(jiān)測、威脅研判、態(tài)勢感知、仿真驗證、安全運營支撐、自動化處置等應用能力于一體。對接 CNNVD 國家信息安全漏洞庫,基于預警平臺實現(xiàn)了統(tǒng)一漏洞管理機制,降低因漏洞修補不及時、不全面而導致的風險。
對信息安全運行監(jiān)控預警系統(tǒng)進行技術架構(gòu)重構(gòu)。充分利用云原生技術,推進以微服務模式提供各類安全能力組件接口,推進數(shù)字電網(wǎng)安全“中樞”所有專業(yè)功能組件分層解耦和接口標準化,建立開放生態(tài),支持后續(xù)功能疊加演進。建設標準、統(tǒng)一的網(wǎng)絡安全數(shù)據(jù)采集、處理、存儲、分析與服務底座,進一步把安全大數(shù)據(jù)服務與安全分析、態(tài)勢感知等專業(yè)應用進行解耦,將安全大數(shù)據(jù)模塊拆分為獨立的安全大數(shù)據(jù)服務設施。完善網(wǎng)絡安全漏洞庫和威脅情報庫,建立惡意代碼庫和處置知識庫。建立常態(tài)化網(wǎng)絡安全攻防機制,按照“紅隊攻點,藍隊防控,督查監(jiān)督”的定位,切實防范信息安全漏洞隱患。
(三)緊抓供應鏈管控措施,“不能粗、不能放、不能松”
供應鏈是近年來漏洞事件高發(fā)之地。公司持續(xù)更新細化供應鏈圖譜,針對公司核心網(wǎng)絡設備、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務以及其他對公司有重要影響的網(wǎng)絡產(chǎn)品和服務,根據(jù)國家相關規(guī)定,結(jié)合安全威脅情報,制定網(wǎng)絡產(chǎn)品和服務供應鏈產(chǎn)品、企業(yè)、安全隱患與整改清單,對清單進行審核、發(fā)布、持續(xù)更新,確保安全隱患漏洞為零時才允許入網(wǎng)。
增強產(chǎn)品服務供應鏈入網(wǎng)安全。公司組織專業(yè)評估測試團隊,加強網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品檢測認證,制定軟硬件產(chǎn)品入網(wǎng)要求,審核產(chǎn)品入網(wǎng)資格,嚴格落實網(wǎng)絡安全審查要求。常態(tài)化加強設備入網(wǎng)測試、到貨抽檢等網(wǎng)絡安全測試。加強 IT 資產(chǎn)及其組件的版本管理,對軟件所使用的開源組件進行識別,檢測開源組件漏洞,分析組件安全風險,避免開源組件帶來的安全風險。對硬件的固件進行統(tǒng)一源代碼缺陷分析、源代碼后門審計和源代碼缺陷修復跟蹤,避免固件缺陷導致的安全風險。
提升已入網(wǎng)產(chǎn)品、服務供應鏈應急能力。公司制訂服務、產(chǎn)品替代要求,當識別已入網(wǎng)軟硬件產(chǎn)品發(fā)生高威脅漏洞或者已知重大隱患情況時,及時進行版本更替或者產(chǎn)品替換,實現(xiàn)業(yè)務連續(xù)及可靠。
(四)實戰(zhàn)化網(wǎng)絡安全運行保障,建設網(wǎng)絡安全“快反”機制
完善“全網(wǎng)一盤棋”下的安全指揮和運營能力。建成公司一體化網(wǎng)絡安全運營中心和網(wǎng)絡安全信息通報中心。創(chuàng)立網(wǎng)省兩級網(wǎng)絡安全指揮機制,組建網(wǎng)省級運營中心、地市級運營班組,統(tǒng)籌公司各級安全監(jiān)控分析、網(wǎng)絡攻防對抗、事件應急響應、信息通報共享、指揮協(xié)調(diào)、聯(lián)防聯(lián)保。實現(xiàn)對網(wǎng)絡威脅的“一處發(fā)現(xiàn)、處處攔截”,針對全域防護提供運行保障支撐,提升聯(lián)合防御、協(xié)同應對能力。
完善預測、防護、檢測與響應專業(yè)能力,覆蓋風險識別、威脅檢測、預警響應、場景化安全防護需求。
充分利用公司統(tǒng)一安全漏洞庫、威脅情報庫以及安全態(tài)勢感知信息,整合外部安全漏洞挖掘與情報研究資源,加強網(wǎng)絡安全積極防御與攻擊反制,提升網(wǎng)絡安全對抗實戰(zhàn)化水平,減少高級持續(xù)性安全威脅所可能造成的風險或危害。
實戰(zhàn)化錘煉網(wǎng)絡安全隊伍,加強應急指揮與處置能力。公司組建網(wǎng)省兩級網(wǎng)絡安全技術隊伍,建設網(wǎng)級電力專用網(wǎng)絡安全靶場及電力監(jiān)控系統(tǒng)仿真演練環(huán)境,組織系統(tǒng)化練兵。定期組織實戰(zhàn)型網(wǎng)絡攻防演習,檢驗網(wǎng)絡安全防御、監(jiān)測預警和應急處置能力,提升網(wǎng)絡安全應急處置能力,有效支撐重保、護網(wǎng)等網(wǎng)絡安全工作,達成“以我為主”建設隊伍和實戰(zhàn)檢驗應急預案雙重效能。
(五)深化安全漏洞風險管理體系,形成漏洞安全風險管控長效機制
健全網(wǎng)絡安全漏洞管控機制。公司深化安全漏洞風險管理體系在網(wǎng)絡安全的應用,組建數(shù)字化業(yè)務風險管控專家隊伍,深度梳理數(shù)字化業(yè)務,研判數(shù)字化業(yè)務風險,建立數(shù)字化業(yè)務風險分級清單,制定并定期更新數(shù)字化業(yè)務風險基準控制措施。
公司擴大安全內(nèi)控及督查范圍,常態(tài)化開展網(wǎng)絡安全漏洞排查治理,形成從漏洞發(fā)現(xiàn)、漏洞驗證、漏洞分析、漏洞預警排查、資產(chǎn)脆弱性分析、補丁驗證、漏洞修復、漏洞消控審核的跟蹤閉環(huán)機制。確保安全風險可控在控、隱患漏洞應消盡消。
(六)深入推進加強多方合作,打造網(wǎng)絡安全合作生態(tài)圈
公司與國家級網(wǎng)絡安全專業(yè)機構(gòu)達成戰(zhàn)略合作,例如與中國信息安全測評中心簽訂戰(zhàn)略合作協(xié)議,借助國家級高水平力量共保網(wǎng)絡安全。
參加粵港澳電力企業(yè)網(wǎng)絡安全交流會議,建立網(wǎng)絡安全情報共享機制,與粵港澳三地共享安全漏洞、威脅情報、惡意 IP 等信息。
打造能源行業(yè)產(chǎn)、學、研、用相結(jié)合的網(wǎng)絡安全協(xié)作生態(tài)。公司與業(yè)內(nèi)頂級安全公司、知名高校、高水平研究機構(gòu)建立良性互動的緊密合作關系,提高公司網(wǎng)絡安全服務對外輻射能力,構(gòu)建跨界融合的安全生態(tài),提升公司和網(wǎng)絡安全行業(yè)的協(xié)作廣度。
二、總結(jié)與思考
公司在漏洞管理方面的探索和實踐已取得顯著成效,相關流程機制常態(tài)化運轉(zhuǎn),歷經(jīng)多次網(wǎng)絡安全重大活動保障考驗。例如,在 2021 年重大漏洞Log4j 事件中,公司獲悉 Apache Log4j2 高危漏洞線索后,連夜組織緊急研判和果斷處置,實時阻斷網(wǎng)絡攻擊,完成受影響系統(tǒng)的全面消缺,切實防范化解了重大隱患,充分檢驗了公司網(wǎng)絡安全全天候?qū)崙?zhàn)化能力。
在已初見成效的安全防護體系的建設成果之上,公司堅持頂層視角、全面統(tǒng)籌、整體規(guī)劃,以“三同步”原則,推進安全和信息化的“全面覆蓋、深度融合”,在滿足監(jiān)管要求的基礎上,進一步錘煉“實戰(zhàn)化、體系化、常態(tài)化”的安全能力,逐步建成“協(xié)同一體、雙向支撐、全面延伸、服務共享”的具有南網(wǎng)特色的網(wǎng)絡安全綜合保護體系 2.0。
(本文刊登于《中國信息安全》雜志2022年第6期)
來源:中國信息安全