对漏洞而言,有效的漏洞管理可以及早地发现漏洞并遏制漏洞利用事件的发生,能显著降低企业面临的风险。近年来,国家网络空间法律法规密集出台,2021 年,《网络产品安全漏洞管理规定》《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》相继发布,对漏洞管理工作进行了明确的规范。
南方电网公司(以下简称公司)作为关系国计民生的电力关键信息基础设施运营者,随着公司数字化转型建设的不断推进,数字化业务与网络安全逐渐高度融合,要求公司必须增强机遇意识和风险意识,牢固树立底线思维,加强网络安全体系和能力建设,全面提升网络安全本质安全水平,实现人、物、管理、环境等各要素安全可靠、和谐统一,逐步趋近和实现预防型、恒久型、本质型的安全目标,夯实公司高质量发展安全基础,构建本质安全型数字化转型,为国家关键信息基础设施安全保障工作积极奉献力量。
一、探索与实践
公司严格贯彻落实国家各项法律法规,依照网络安全法、网络产品安全漏洞管理规定等相关要求,定期召开会议,专题研究,认真部署,深入开展网络安全合规管控,加强网络安全漏洞管理深度和技术强度。
(一)压实安全责任链条,夯实人员安全底座
公司以结果为导向,贯彻落实国家法律法规和上级领导要求。以压实安全责任链条、提升六项管理能力、落实人员管控机制为手段,全面提升公司网络安全管理与监督能力,使网络安全风险可控在控。
根据国家要求,优化完善公司网络安全组织架构,设置首席网络安全官,以首席网络安全官为督导主体,深化安全责任落实,强化责任制检查考核奖惩力度,做到“职责实、机构全、岗位明、手段齐、底数清、考核严”。
明确各级网络安全责任人。按照“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责、管业务必须管安全”的原则,设置专门安全管理机构和安全管理人,明确各级单位的网络安全主要负责人和直接责任人,对网络安全关键岗位建立人员清单,定期对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
(二)建设漏洞“中枢”平台,实现全网统一的安全漏洞持续发现、通报、验证、处置闭环管理
经过多年网络安全建设,公司已建成信息安全运行监控预警系统、资产库、网络安全漏洞库、网络安全靶场,集立体监测、威胁研判、态势感知、仿真验证、安全运营支撑、自动化处置等应用能力于一体。对接 CNNVD 国家信息安全漏洞库,基于预警平台实现了统一漏洞管理机制,降低因漏洞修补不及时、不全面而导致的风险。
对信息安全运行监控预警系统进行技术架构重构。充分利用云原生技术,推进以微服务模式提供各类安全能力组件接口,推进数字电网安全“中枢”所有专业功能组件分层解耦和接口标准化,建立开放生态,支持后续功能叠加演进。建设标准、统一的网络安全数据采集、处理、存储、分析与服务底座,进一步把安全大数据服务与安全分析、态势感知等专业应用进行解耦,将安全大数据模块拆分为独立的安全大数据服务设施。完善网络安全漏洞库和威胁情报库,建立恶意代码库和处置知识库。建立常态化网络安全攻防机制,按照“红队攻点,蓝队防控,督查监督”的定位,切实防范信息安全漏洞隐患。
(三)紧抓供应链管控措施,“不能粗、不能放、不能松”
供应链是近年来漏洞事件高发之地。公司持续更新细化供应链图谱,针对公司核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对公司有重要影响的网络产品和服务,根据国家相关规定,结合安全威胁情报,制定网络产品和服务供应链产品、企业、安全隐患与整改清单,对清单进行审核、发布、持续更新,确保安全隐患漏洞为零时才允许入网。
增强产品服务供应链入网安全。公司组织专业评估测试团队,加强网络关键设备和网络安全专用产品检测认证,制定软硬件产品入网要求,审核产品入网资格,严格落实网络安全审查要求。常态化加强设备入网测试、到货抽检等网络安全测试。加强 IT 资产及其组件的版本管理,对软件所使用的开源组件进行识别,检测开源组件漏洞,分析组件安全风险,避免开源组件带来的安全风险。对硬件的固件进行统一源代码缺陷分析、源代码后门审计和源代码缺陷修复跟踪,避免固件缺陷导致的安全风险。
提升已入网产品、服务供应链应急能力。公司制订服务、产品替代要求,当识别已入网软硬件产品发生高威胁漏洞或者已知重大隐患情况时,及时进行版本更替或者产品替换,实现业务连续及可靠。
(四)实战化网络安全运行保障,建设网络安全“快反”机制
完善“全网一盘棋”下的安全指挥和运营能力。建成公司一体化网络安全运营中心和网络安全信息通报中心。创立网省两级网络安全指挥机制,组建网省级运营中心、地市级运营班组,统筹公司各级安全监控分析、网络攻防对抗、事件应急响应、信息通报共享、指挥协调、联防联保。实现对网络威胁的“一处发现、处处拦截”,针对全域防护提供运行保障支撑,提升联合防御、协同应对能力。
完善预测、防护、检测与响应专业能力,覆盖风险识别、威胁检测、预警响应、场景化安全防护需求。
充分利用公司统一安全漏洞库、威胁情报库以及安全态势感知信息,整合外部安全漏洞挖掘与情报研究资源,加强网络安全积极防御与攻击反制,提升网络安全对抗实战化水平,减少高级持续性安全威胁所可能造成的风险或危害。
实战化锤炼网络安全队伍,加强应急指挥与处置能力。公司组建网省两级网络安全技术队伍,建设网级电力专用网络安全靶场及电力监控系统仿真演练环境,组织系统化练兵。定期组织实战型网络攻防演习,检验网络安全防御、监测预警和应急处置能力,提升网络安全应急处置能力,有效支撑重保、护网等网络安全工作,达成“以我为主”建设队伍和实战检验应急预案双重效能。
(五)深化安全漏洞风险管理体系,形成漏洞安全风险管控长效机制
健全网络安全漏洞管控机制。公司深化安全漏洞风险管理体系在网络安全的应用,组建数字化业务风险管控专家队伍,深度梳理数字化业务,研判数字化业务风险,建立数字化业务风险分级清单,制定并定期更新数字化业务风险基准控制措施。
公司扩大安全内控及督查范围,常态化开展网络安全漏洞排查治理,形成从漏洞发现、漏洞验证、漏洞分析、漏洞预警排查、资产脆弱性分析、补丁验证、漏洞修复、漏洞消控审核的跟踪闭环机制。确保安全风险可控在控、隐患漏洞应消尽消。
(六)深入推进加强多方合作,打造网络安全合作生态圈
公司与国家级网络安全专业机构达成战略合作,例如与中国信息安全测评中心签订战略合作协议,借助国家级高水平力量共保网络安全。
参加粤港澳电力企业网络安全交流会议,建立网络安全情报共享机制,与粤港澳三地共享安全漏洞、威胁情报、恶意 IP 等信息。
打造能源行业产、学、研、用相结合的网络安全协作生态。公司与业内顶级安全公司、知名高校、高水平研究机构建立良性互动的紧密合作关系,提高公司网络安全服务对外辐射能力,构建跨界融合的安全生态,提升公司和网络安全行业的协作广度。
二、总结与思考
公司在漏洞管理方面的探索和实践已取得显著成效,相关流程机制常态化运转,历经多次网络安全重大活动保障考验。例如,在 2021 年重大漏洞Log4j 事件中,公司获悉 Apache Log4j2 高危漏洞线索后,连夜组织紧急研判和果断处置,实时阻断网络攻击,完成受影响系统的全面消缺,切实防范化解了重大隐患,充分检验了公司网络安全全天候实战化能力。
在已初见成效的安全防护体系的建设成果之上,公司坚持顶层视角、全面统筹、整体规划,以“三同步”原则,推进安全和信息化的“全面覆盖、深度融合”,在满足监管要求的基础上,进一步锤炼“实战化、体系化、常态化”的安全能力,逐步建成“协同一体、双向支撑、全面延伸、服务共享”的具有南网特色的网络安全综合保护体系 2.0。