黨和(hé)國家(jiā)高(gāo)度重視(shì)網絡安全和(hé)信息化工作(zuò),密集出台網絡安全法律法規和(hé)标準規範, 并将每年 9 月第三周定為(wèi)“國家(jiā)網絡安全宣傳周”。作(zuò)為(wèi)國家(jiā)網絡空(kōng)間(jiān)安全防線的重要組成部分,大(dà)型國有(yǒu)企業應堅持“網絡安全為(wèi)人(rén)民,網絡安全靠人(rén)民”的理(lǐ)念,提升整體(tǐ)網絡安全意識和(hé)技(jì)能,共同保障我國的網絡空(kōng)間(jiān)安全。
(一)防範網絡攻擊需提高(gāo)全網網絡安全意識近年來(lái),世界範圍內(nèi)惡意網絡攻擊強度、頻率、規模和(hé)影(yǐng)響不斷升級,網絡攻擊破壞性愈發嚴重,複雜的國際形勢導緻針對我國各行(xíng)業發起的網絡攻擊愈演愈烈,網絡戰風險不斷累積,網絡安全防護難度不斷增大(dà)。網絡安全不同于傳統生(shēng)産安全,網絡安全的本質是對抗,是攻防兩端“人(rén)與人(rén)”能力的較量。員工恰恰是各大(dà)型國有(yǒu)企業網絡安全最薄弱的環節,很(hěn)多(duō)企業最大(dà)的安全漏洞是在管理(lǐ)和(hé)文化方面,這已經成為(wèi)業界普遍的共識。(二)國家(jiā)法律法規對網絡安全宣傳教育工作(zuò)提出更高(gāo)要求2017 年 6 月 1 日,我國施行(xíng)了《網絡安全法》,其中第十九條明(míng)确規定:“各級人(rén)民政府及其有(yǒu)關部門(mén)應當組織開(kāi)展經常性的網絡安全宣傳教育,并指導、督促有(yǒu)關單位做(zuò)好網絡安全宣傳教育工作(zuò)”。該法還(hái)對公共通(tōng)信和(hé)信息服務、能源、交通(tōng)、水(shuǐ)利、金融、公共服務、電(diàn)子政務等重要行(xíng)業和(hé)領域提出信息安全意識教育相關要求。《關鍵信息基礎設施保護條例》第十五條要求,關鍵信息基礎設施運營單位要履行(xíng)網絡安全教育、培訓等義務。(三)國資委要求央企常态化開(kāi)展網絡安全宣傳教育工作(zuò)國資委每年舉辦中央企業網絡安全工作(zuò)培訓班,組織央企網絡安全工作(zuò)人(rén)員學習網絡安全政策理(lǐ)論知識。2017 年 5 月,國資委下發《關于進一步加強中央企業網絡安全工作(zuò)的通(tōng)知》,要求央企将經常性網絡安全宣傳教育納入議事日程,開(kāi)展專題宣傳和(hé)教育培訓,動員全員共同參與,普及網絡安全常識、增進網絡安全知識、提高(gāo)網絡安全意識。提高(gāo)全員網絡安全意識任重而道(dào)遠,如何開(kāi)展有(yǒu)效的網絡安全宣傳工作(zuò),提升全員網絡安全意識,是網絡安全保障工作(zuò)迫切需要解決的問題。
二、大(dà)型國有(yǒu)企業網絡安全宣貫教育工作(zuò)面臨的挑戰
國有(yǒu)企業員工年齡和(hé)受教育程度差異大(dà),大(dà)多(duō)數(shù)員工對網絡安全“知其然不知其所以然”,認為(wèi)網絡攻擊都在互聯網上(shàng),網絡攻擊隻是小(xiǎo)概率事件,網絡安全跟自己的工作(zuò)不會(huì)有(yǒu)交集,對可(kě)能受到的網絡攻擊的危害性缺乏認知。部分領導幹部對網絡安全重視(shì)不足,或者隻是口頭上(shàng)重視(shì),“說起來(lái)重要,幹起來(lái)次要,忙起來(lái)不要”。企業為(wèi)了生(shēng)存和(hé)發展加速推進數(shù)字化轉型,各種新技(jì)術(shù)快速滲透各行(xíng)各業、融入企業運營各環節。新技(jì)術(shù)同時(shí)帶來(lái)新風險,數(shù)字化“重建設、輕安全,重使用、輕防護”的情況屢見不鮮。信息系統先上(shàng)線、網絡安全再補位,當可(kě)用性和(hé)安全性沖突時(shí),往往會(huì)降低(dī)安全性要求。大(dà)型國有(yǒu)企業層級多(duō),安全管理(lǐ)和(hé)宣貫教育普遍是自上(shàng)而下層級式推進,廣大(dà)基層員工處于層級末梢,宣貫教育效能在層層傳遞中不可(kě)避免産生(shēng)損耗,逐漸弱化。網絡安全宣貫教育也缺乏系統性,宣貫的素材針對性不強,難以引發基層人(rén)員共鳴,宣貫教育效果不理(lǐ)想。
三、國網山(shān)東電(diàn)力網絡安全宣貫教育主要做(zuò)法
國網山(shān)東電(diàn)力将網絡安全融入日常工作(zuò)的各個(gè)環節,在潛移默化中提升全員網絡安全意識,讓網絡安全“随處看得(de)見、時(shí)時(shí)聽(tīng)得(de)到、伸手摸得(de)着”。讓網絡安全随處看得(de)見。按照國家(jiā)、企業、個(gè)人(rén)分類梳理(lǐ)網絡安全要求和(hé)防護要點,制(zhì)作(zuò)圖文并茂的展闆、上(shàng)牆畫(huà)報,讓員工在工作(zuò)間(jiān)隙随處都能看到網絡安全知識;統一制(zhì)作(zuò)《漫看網絡安全》《網絡安全法解讀》等系列宣傳視(shì)頻,在樓宇電(diàn)視(shì)、宣傳大(dà)屏等視(shì)頻終端循環播放,讓員工在乘坐(zuò)電(diàn)梯片刻能夠看到網絡安全知識;總結網絡安全警示語“五禁止”“八不準”“十嚴禁”,強調弱口令防範、敏感文件保護等基本安全要求,制(zhì)作(zuò)成辦公電(diàn)腦(nǎo)桌面、屏幕保護程序,在門(mén)戶網站(zhàn)置頂宣傳飄窗,讓員工每次用電(diàn)腦(nǎo)辦公的時(shí)候能夠看到網絡安全知識。讓網絡安全時(shí)時(shí)聽(tīng)得(de)到。舉辦形式多(duō)樣的網絡安全培訓,組織對新員工和(hé)關鍵崗位人(rén)員開(kāi)展專題網絡安全培訓,邀請(qǐng)業內(nèi)知名網絡安全專家(jiā)和(hé)企業網絡安全職能部門(mén)管理(lǐ)人(rén)員,普及網絡安全法律法規和(hé)管理(lǐ)要求;組織各單位定期舉辦網絡安全大(dà)講堂,邀請(qǐng)主管領導和(hé)分管領導參加,通(tōng)過攻防案例解讀、漏洞危害分析等方式,提高(gāo)各級領導幹部的網絡安全風險意識。以全員安全日活動為(wèi)載體(tǐ),在固定時(shí)間(jiān)學習生(shēng)産安全和(hé)網絡安全要求、案例解讀,讓員工像重視(shì)生(shēng)産安全一樣重視(shì)網絡安全。讓網絡安全伸手摸得(de)着。印制(zhì)網絡安全宣傳手冊、宣傳折頁,将其放在門(mén)廳、走廊、電(diàn)梯口等位置,普及網絡安全法、數(shù)據安全法、個(gè)人(rén)信息保護法等法律法規,讓網絡安全知識觸手可(kě)及;制(zhì)作(zuò)下發印有(yǒu)網絡安全警示語、小(xiǎo)常識的鼠标墊,內(nèi)外網文件交互隻能使用安全 U 盤;在辦公電(diàn)腦(nǎo)顯示器(qì)、主機上(shàng)粘貼安全标簽,使辦公電(diàn)腦(nǎo)的安全使用方法一目了然。讓網絡安全知識随手可(kě)得(de),在潛移默化中提高(gāo)全員網絡安全意識。日常宣貫如細雨,關鍵節點教育若驚雷。國網山(shān)東電(diàn)力設立“護網先鋒”公衆号,立足新媒體(tǐ)宣傳高(gāo)地,緊扣安全生(shēng)産活動月、網絡安全宣傳周、國家(jiā)專項網絡攻防演習等時(shí)間(jiān)節點,積極開(kāi)展各類宣傳活動,形式新穎,內(nèi)容鮮活,效果良好。充分利用網絡安全新媒體(tǐ)宣傳陣地。為(wèi)了充分掌握員工獲取網絡安全知識的渠道(dào)和(hé)興趣點,公司通(tōng)過座談、調查問卷等方式深入調研,93.8% 的受訪者傾向于通(tōng)過微信、微博等互聯網渠道(dào)學習了解安全知識,97.2% 的受訪者對網絡安全小(xiǎo)知識、小(xiǎo)常識有(yǒu)主動學習興趣。基于這種情況,公司創建了“護網先鋒”微信公衆号,打造網絡安全新媒體(tǐ)宣傳陣地。公衆号通(tōng)過幽默風趣的語言和(hé)寓教于樂的故事,科普網絡安全知識,展現隊伍隊員風采,開(kāi)展網絡安全趣味問答(dá),引發了強烈反響和(hé)關注,受到一緻好評。截至目前,公衆号已經擁有(yǒu)粉絲近萬人(rén),成為(wèi)電(diàn)力行(xíng)業知名的專業公衆号,是山(shān)東電(diàn)力網絡安全的一張對外名片。抓住網絡安全宣傳有(yǒu)利時(shí)機。在每年 6 月的安全生(shēng)産活動月、9 月的國家(jiā)網絡安全宣傳周期間(jiān),組織開(kāi)展“網絡安全到基層”系列宣傳活動,以“一宣傳、兩提升、三整治”為(wèi)主線,宣傳網絡安全法律法規制(zhì)度标準,提升基層員工網絡安全基礎防護意識、提升網絡安全監測處置與溯源能力,整治敏感信息洩露與仿冒網站(zhàn)、整治移動應用建設與運行(xíng)不合規、整治基層員工基礎安全問題。設置網絡安全宣傳展廳、展台,将網絡安全知識融于實際場(chǎng)景中,設置釣魚郵件、手機木馬、釣魚 WiFi 等場(chǎng)景,讓員工切實感受網絡安全的重要性和(hé)不注重網絡安全帶來(lái)的危害。利用《國家(jiā)電(diàn)網報》、門(mén)戶網站(zhàn)、“i 國網”App 等多(duō)種媒體(tǐ)發布信息安全宣傳稿件,分享公司信息安全工作(zuò)動态和(hé)成績,加強信息安全輿論覆蓋。全力加強重要時(shí)間(jiān)節點的宣傳力度。在黨和(hé)國家(jiā)重大(dà)活動、國家(jiā)網絡安全演習等期間(jiān),結合網絡安全保障任務強化宣傳引導。舉辦防社工、防洩密等專題講座,邀請(qǐng)公安、網信等網絡安全專家(jiā),普及網絡安全法律法規,講授網絡安全防護知識。開(kāi)展“一把手講網絡安全”,組織各級領導在早例會(huì)、周例會(huì)上(shàng)通(tōng)報公司網絡安全态勢,強調網絡安全要求。開(kāi)展分層次多(duō)輪次網絡安全抽考,舉辦網絡答(dá)題活動,督促領導幹部、基層員工、關鍵崗位人(rén)員主動學習網絡安全知識,切實做(zuò)到應知必知、應會(huì)必會(huì)。(三)在安全紅線上(shàng)堅守,泰山(shān)壓頂宣貫教育“不放松”,出了問題“不手軟”。統一建章立制(zhì),構築網絡安全紅線,打造“紅藍(lán)”護網先鋒,以攻促防、以攻促查,強化網絡安全剛性執行(xíng),讓“用的人(rén)知道(dào)安全,管的人(rén)重視(shì)安全,查的人(rén)管得(de)了安全”。強化網絡安全剛性執行(xíng)。緊扣公司網絡安全發展要求,編制(zhì)下發 21 項管理(lǐ)辦法和(hé)工作(zuò)細則,構建網絡安全“六項機制(zhì)”,即監督機制(zhì)、應急機制(zhì)、事故調查機制(zhì)、通(tōng)報機制(zhì)、事件責任追究機制(zhì)和(hé)風險管理(lǐ)機制(zhì),為(wèi)網絡安全保障“立規”,對安全風險“築籠”。将網絡安全事件納入各單位企業負責人(rén)業績考核,嚴格行(xíng)使網絡安全的“一票(piào)否決權”,嚴肅對待發現的問題,堅持“一個(gè)都不放過”,定期開(kāi)展分析通(tōng)報,狠抓問題整改到位,堅決做(zuò)到不闖紅燈,不越紅線。對網絡安全事件的處理(lǐ),按照安全生(shēng)産事故處理(lǐ)的要求,實行(xíng)“說清楚”制(zhì)度。2021 年,公司通(tōng)報重大(dà)隐患 11 個(gè),漏洞 283 個(gè),用鮮活的事件和(hé)案例,讓各層級領導重視(shì)網絡安全管理(lǐ)、讓基層員工警醒,減少(shǎo)同類事件的發生(shēng),逐步提高(gāo)全網網絡安全意識。打造網絡安全先鋒隊。為(wèi)了解決網絡安全“專職人(rén)員少(shǎo)、攻防基礎弱”等問題,公司跨專業多(duō)層級選拔培養網絡安全人(rén)才,組建山(shān)東電(diàn)力紅藍(lán)隊。公司每年舉辦 4 至 6 期初、中級培訓,有(yǒu)針對性地舉辦高(gāo)級班培訓,選擇表現特别突出的隊員進行(xíng)脫産培訓。紅藍(lán)隊建設尤其注重理(lǐ)論與實踐相結合,踐行(xíng)“走出去”培育模式,組織優秀隊員赴安全公司、互聯網企業、知名院校(xiào)開(kāi)展實地調研和(hé)考察學習,通(tōng)過“揭榜挂帥”“青年托舉”“工匠塑造”等多(duō)種方式,提升隊員綜合素質。經過多(duō)年持續的培養和(hé)發展,山(shān)東電(diàn)力目前擁有(yǒu)紅藍(lán)隊員294 人(rén),包括紅隊 104 人(rén),藍(lán)隊隊員 190 人(rén),參加國家(jiā)、國際網絡安全賽事 50 餘項,獲得(de)包括 35 個(gè)冠軍在內(nèi)的 110 多(duō)個(gè)獎項,獲得(de)齊魯工匠、富民興魯勞動獎章、全國技(jì)術(shù)能手等系列獎項。多(duō)名紅藍(lán)隊員入選公司專家(jiā)人(rén)才和(hé)勞模工匠,在省、市、縣各級單位的榮譽榜和(hé)表彰會(huì)上(shàng)都有(yǒu)他們的身影(yǐng)和(hé)事迹,他們既是保障網絡安全的先鋒隊,也是網絡安全宣貫教育的“明(míng)星”。實戰攻防繃緊網絡安全弦。“警鍾長鳴”才能居安思危,紅藍(lán)隊就是敲鍾人(rén),必須讓隊伍在急難險重的工作(zuò)任務中經風雨、見世面、壯筋骨。山(shān)東電(diàn)力紅藍(lán)隊主要通(tōng)過“平時(shí)”“戰時(shí)”兩種工作(zuò)模式錘煉隊伍。“平時(shí)”模式下,主動選派隊員參加重大(dà)活動保障、現場(chǎng)檢查、事件調查等工作(zuò),提升隊伍攻防能力。“戰時(shí)”模式下,參照網絡戰的方式,組織紅藍(lán)隊充分利用漏洞攻擊、社工攻擊和(hé)供應鏈攻擊等手段,以不打招呼、背靠背的方式開(kāi)展定點和(hé)定向攻擊。為(wèi)了提高(gāo)攻防作(zuò)戰能力,紅藍(lán)隊自主設計(jì)研發了 4 款自主可(kě)控安全設備和(hé) 4 款攻防對抗工具,初步實現了“情報主動探察、威脅一鍵處置,攻擊智能溯源,漏洞自動識别”。其中,“大(dà)黃蜂”人(rén)工智能滲透機器(qì)人(rén),能夠模仿完整的滲透測試過程,參加百度人(rén)工智能攻防對抗比賽連續兩年獲得(de)冠軍。2021 年,山(shān)東電(diàn)力紅藍(lán)隊先後開(kāi)展 2 期代号“紅箭行(xíng)動”的攻防演習,累積發現并修複網絡安全漏洞 283 個(gè),預警網絡安全威脅 110 個(gè),發布網絡安全态勢通(tōng)報 12 期,讓公司上(shàng)下持續繃緊網絡安全這根弦,居安思危,時(shí)刻牢記“網絡安全靠人(rén)民、網絡安全為(wèi)人(rén)民”,共同維護公司網絡安全穩定局面。
