黨和(hé)國家高(gāo)度重視(shì)網絡安全和(hé)信息化工作,密集出台網絡安全法律法規和(hé)标準規範, 并将每年(nián) 9 月第三周定為(wèi)“國家網絡安全宣傳周”。作為(wèi)國家網絡空間安全防線的(de)重要組成部分,大型國有企業應堅持“網絡安全為(wèi)人民,網絡安全靠人民”的(de)理(lǐ)念,提升整體網絡安全意識和(hé)技能,共同保障我國的(de)網絡空間安全。
(一(yī))防範網絡攻擊需提高(gāo)全網網絡安全意識近年(nián)來,世界範圍內(nèi)惡意網絡攻擊強度、頻率、規模和(hé)影響不斷升級,網絡攻擊破壞性愈發嚴重,複雜的(de)國際形勢導緻針對我國各行業發起的(de)網絡攻擊愈演愈烈,網絡戰風險不斷累積,網絡安全防護難度不斷增大。網絡安全不同于傳統生産安全,網絡安全的(de)本質是對抗,是攻防兩端“人與人”能力的(de)較量。員工恰恰是各大型國有企業網絡安全最薄弱的(de)環節,很多企業最大的(de)安全漏洞是在管理(lǐ)和(hé)文化方面,這已經成為(wèi)業界普遍的(de)共識。(二)國家法律法規對網絡安全宣傳教育工作提出更高(gāo)要求2017 年(nián) 6 月 1 日,我國施行了《網絡安全法》,其中第十九條明确規定:“各級人民政府及其有關部門應當組織開展經常性的(de)網絡安全宣傳教育,并指導、督促有關單位做(zuò)好網絡安全宣傳教育工作”。該法還對公共通信和(hé)信息服務、能源、交通、水利、金融、公共服務、電子(zǐ)政務等重要行業和(hé)領域提出信息安全意識教育相關要求。《關鍵信息基礎設施保護條例》第十五條要求,關鍵信息基礎設施運營單位要履行網絡安全教育、培訓等義務。(三)國資委要求央企常态化開展網絡安全宣傳教育工作國資委每年(nián)舉辦中央企業網絡安全工作培訓班,組織央企網絡安全工作人員學(xué)習網絡安全政策理(lǐ)論知識。2017 年(nián) 5 月,國資委下發《關于進一(yī)步加強中央企業網絡安全工作的(de)通知》,要求央企将經常性網絡安全宣傳教育納入議事日程,開展專題宣傳和(hé)教育培訓,動員全員共同參與,普及網絡安全常識、增進網絡安全知識、提高(gāo)網絡安全意識。提高(gāo)全員網絡安全意識任重而道(dào)遠,如(rú)何開展有效的(de)網絡安全宣傳工作,提升全員網絡安全意識,是網絡安全保障工作迫切需要解決的(de)問題。
二、大型國有企業網絡安全宣貫教育工作面臨的(de)挑戰
國有企業員工年(nián)齡和(hé)受教育程度差異大,大多數員工對網絡安全“知其然不知其所以然”,認為(wèi)網絡攻擊都在互聯網上,網絡攻擊隻是小概率事件,網絡安全跟自(zì)己的(de)工作不會有交集,對可(kě)能受到的(de)網絡攻擊的(de)危害性缺乏認知。部分領導幹部對網絡安全重視(shì)不足,或者隻是口頭上重視(shì),“說起來重要,幹起來次要,忙起來不要”。企業為(wèi)了生存和(hé)發展加速推進數字化轉型,各種新技術快速滲透各行各業、融入企業運營各環節。新技術同時帶來新風險,數字化“重建設、輕安全,重使用、輕防護”的(de)情況屢見不鮮。信息系統先上線、網絡安全再補位,當可(kě)用性和(hé)安全性沖突時,往往會降低(dī)安全性要求。大型國有企業層級多,安全管理(lǐ)和(hé)宣貫教育普遍是自(zì)上而下層級式推進,廣大基層員工處于層級末梢,宣貫教育效能在層層傳遞中不可(kě)避免産生損耗,逐漸弱化。網絡安全宣貫教育也缺乏系統性,宣貫的(de)素材針對性不強,難以引發基層人員共鳴,宣貫教育效果不理(lǐ)想。
三、國網山東電力網絡安全宣貫教育主要做(zuò)法
國網山東電力将網絡安全融入日常工作的(de)各個環節,在潛移默化中提升全員網絡安全意識,讓網絡安全“随處看得見、時時聽得到、伸手摸得着”。讓網絡安全随處看得見。按照國家、企業、個人分類梳理(lǐ)網絡安全要求和(hé)防護要點,制作圖文并茂的(de)展闆、上牆畫報,讓員工在工作間隙随處都能看到網絡安全知識;統一(yī)制作《漫看網絡安全》《網絡安全法解讀》等系列宣傳視(shì)頻,在樓宇電視(shì)、宣傳大屏等視(shì)頻終端循環播放,讓員工在乘坐電梯片刻能夠看到網絡安全知識;總結網絡安全警示語“五禁止”“八不準”“十嚴禁”,強調弱口令防範、敏感文件保護等基本安全要求,制作成辦公電腦桌面、屏幕保護程序,在門戶網站置頂宣傳飄窗,讓員工每次用電腦辦公的(de)時候能夠看到網絡安全知識。讓網絡安全時時聽得到。舉辦形式多樣的(de)網絡安全培訓,組織對新員工和(hé)關鍵崗位人員開展專題網絡安全培訓,邀請業內(nèi)知名網絡安全專家和(hé)企業網絡安全職能部門管理(lǐ)人員,普及網絡安全法律法規和(hé)管理(lǐ)要求;組織各單位定期舉辦網絡安全大講堂,邀請主管領導和(hé)分管領導參加,通過攻防案例解讀、漏洞危害分析等方式,提高(gāo)各級領導幹部的(de)網絡安全風險意識。以全員安全日活動為(wèi)載體,在固定時間學(xué)習生産安全和(hé)網絡安全要求、案例解讀,讓員工像重視(shì)生産安全一(yī)樣重視(shì)網絡安全。讓網絡安全伸手摸得着。印制網絡安全宣傳手冊、宣傳折頁,将其放在門廳、走廊、電梯口等位置,普及網絡安全法、數據安全法、個人信息保護法等法律法規,讓網絡安全知識觸手可(kě)及;制作下發印有網絡安全警示語、小常識的(de)鼠标墊,內(nèi)外網文件交互隻能使用安全 U 盤;在辦公電腦顯示器、主機上粘貼安全标簽,使辦公電腦的(de)安全使用方法一(yī)目了然。讓網絡安全知識随手可(kě)得,在潛移默化中提高(gāo)全員網絡安全意識。日常宣貫如(rú)細雨,關鍵節點教育若驚雷。國網山東電力設立“護網先鋒”公衆号,立足新媒體宣傳高(gāo)地(dì),緊扣安全生産活動月、網絡安全宣傳周、國家專項網絡攻防演習等時間節點,積極開展各類宣傳活動,形式新穎,內(nèi)容鮮活,效果良好。充分利用網絡安全新媒體宣傳陣地(dì)。為(wèi)了充分掌握員工獲取網絡安全知識的(de)渠道(dào)和(hé)興趣點,公司通過座談、調查問卷等方式深入調研,93.8% 的(de)受訪者傾向于通過微信、微博等互聯網渠道(dào)學(xué)習了解安全知識,97.2% 的(de)受訪者對網絡安全小知識、小常識有主動學(xué)習興趣。基于這種情況,公司創建了“護網先鋒”微信公衆号,打造網絡安全新媒體宣傳陣地(dì)。公衆号通過幽默風趣的(de)語言和(hé)寓教于樂(yuè)的(de)故事,科普網絡安全知識,展現隊伍隊員風采,開展網絡安全趣味問答,引發了強烈反響和(hé)關注,受到一(yī)緻好評。截至目前,公衆号已經擁有粉絲近萬人,成為(wèi)電力行業知名的(de)專業公衆号,是山東電力網絡安全的(de)一(yī)張對外名片。抓住網絡安全宣傳有利時機。在每年(nián) 6 月的(de)安全生産活動月、9 月的(de)國家網絡安全宣傳周期間,組織開展“網絡安全到基層”系列宣傳活動,以“一(yī)宣傳、兩提升、三整治”為(wèi)主線,宣傳網絡安全法律法規制度标準,提升基層員工網絡安全基礎防護意識、提升網絡安全監測處置與溯源能力,整治敏感信息洩露與仿冒網站、整治移動應用建設與運行不合規、整治基層員工基礎安全問題。設置網絡安全宣傳展廳、展台,将網絡安全知識融于實際場景中,設置釣魚郵件、手機木馬、釣魚 WiFi 等場景,讓員工切實感受網絡安全的(de)重要性和(hé)不注重網絡安全帶來的(de)危害。利用《國家電網報》、門戶網站、“i 國網”App 等多種媒體發布信息安全宣傳稿件,分享公司信息安全工作動态和(hé)成績,加強信息安全輿論覆蓋。全力加強重要時間節點的(de)宣傳力度。在黨和(hé)國家重大活動、國家網絡安全演習等期間,結合網絡安全保障任務強化宣傳引導。舉辦防社工、防洩密等專題講座,邀請公安、網信等網絡安全專家,普及網絡安全法律法規,講授網絡安全防護知識。開展“一(yī)把手講網絡安全”,組織各級領導在早例會、周例會上通報公司網絡安全态勢,強調網絡安全要求。開展分層次多輪次網絡安全抽考,舉辦網絡答題活動,督促領導幹部、基層員工、關鍵崗位人員主動學(xué)習網絡安全知識,切實做(zuò)到應知必知、應會必會。宣貫教育“不放松”,出了問題“不手軟”。統一(yī)建章(zhāng)立制,構築網絡安全紅(hóng)線,打造“紅(hóng)藍”護網先鋒,以攻促防、以攻促查,強化網絡安全剛性執行,讓“用的(de)人知道(dào)安全,管的(de)人重視(shì)安全,查的(de)人管得了安全”。強化網絡安全剛性執行。緊扣公司網絡安全發展要求,編制下發 21 項管理(lǐ)辦法和(hé)工作細則,構建網絡安全“六項機制”,即監督機制、應急機制、事故調查機制、通報機制、事件責任追究機制和(hé)風險管理(lǐ)機制,為(wèi)網絡安全保障“立規”,對安全風險“築籠”。将網絡安全事件納入各單位企業負責人業績考核,嚴格行使網絡安全的(de)“一(yī)票(piào)否決權”,嚴肅對待發現的(de)問題,堅持“一(yī)個都不放過”,定期開展分析通報,狠抓問題整改到位,堅決做(zuò)到不闖紅(hóng)燈,不越紅(hóng)線。對網絡安全事件的(de)處理(lǐ),按照安全生産事故處理(lǐ)的(de)要求,實行“說清楚”制度。2021 年(nián),公司通報重大隐患 11 個,漏洞 283 個,用鮮活的(de)事件和(hé)案例,讓各層級領導重視(shì)網絡安全管理(lǐ)、讓基層員工警醒,減少同類事件的(de)發生,逐步提高(gāo)全網網絡安全意識。打造網絡安全先鋒隊。為(wèi)了解決網絡安全“專職人員少、攻防基礎弱”等問題,公司跨專業多層級選拔培養網絡安全人才,組建山東電力紅(hóng)藍隊。公司每年(nián)舉辦 4 至 6 期初、中級培訓,有針對性地(dì)舉辦高(gāo)級班培訓,選擇表現特别突出的(de)隊員進行脫産培訓。紅(hóng)藍隊建設尤其注重理(lǐ)論與實踐相結合,踐行“走出去(qù)”培育模式,組織優秀隊員赴安全公司、互聯網企業、知名院校開展實地(dì)調研和(hé)考察學(xué)習,通過“揭榜挂帥”“青年(nián)托舉”“工匠塑造”等多種方式,提升隊員綜合素質。經過多年(nián)持續的(de)培養和(hé)發展,山東電力目前擁有紅(hóng)藍隊員294 人,包括紅(hóng)隊 104 人,藍隊隊員 190 人,參加國家、國際網絡安全賽事 50 餘項,獲得包括 35 個冠軍在內(nèi)的(de) 110 多個獎項,獲得齊魯工匠、富民興魯勞動獎章(zhāng)、全國技術能手等系列獎項。多名紅(hóng)藍隊員入選公司專家人才和(hé)勞模工匠,在省、市、縣各級單位的(de)榮譽榜和(hé)表彰會上都有他們的(de)身影和(hé)事迹,他們既是保障網絡安全的(de)先鋒隊,也是網絡安全宣貫教育的(de)“明星”。實戰攻防繃緊網絡安全弦。“警鍾長(cháng)鳴”才能居安思危,紅(hóng)藍隊就是敲鍾人,必須讓隊伍在急難險重的(de)工作任務中經風雨、見世面、壯筋骨。山東電力紅(hóng)藍隊主要通過“平時”“戰時”兩種工作模式錘煉隊伍。“平時”模式下,主動選派隊員參加重大活動保障、現場檢查、事件調查等工作,提升隊伍攻防能力。“戰時”模式下,參照網絡戰的(de)方式,組織紅(hóng)藍隊充分利用漏洞攻擊、社工攻擊和(hé)供應鏈攻擊等手段,以不打招呼、背靠背的(de)方式開展定點和(hé)定向攻擊。為(wèi)了提高(gāo)攻防作戰能力,紅(hóng)藍隊自(zì)主設計研發了 4 款自(zì)主可(kě)控安全設備和(hé) 4 款攻防對抗工具,初步實現了“情報主動探察、威脅一(yī)鍵處置,攻擊智能溯源,漏洞自(zì)動識别”。其中,“大黃蜂”人工智能滲透機器人,能夠模仿完整的(de)滲透測試過程,參加百度人工智能攻防對抗比賽連續兩年(nián)獲得冠軍。2021 年(nián),山東電力紅(hóng)藍隊先後開展 2 期代号“紅(hóng)箭行動”的(de)攻防演習,累積發現并修複網絡安全漏洞 283 個,預警網絡安全威脅 110 個,發布網絡安全态勢通報 12 期,讓公司上下持續繃緊網絡安全這根弦,居安思危,時刻牢記“網絡安全靠人民、網絡安全為(wèi)人民”,共同維護公司網絡安全穩定局面。
