文│国网山东省电力公司 陈剑飞 国网潍坊供电公司 王小亮 国网诸城市供电公司 徐明伟
党和国家高度重视网络安全和信息化工作,密集出台网络安全法律法规和标准规范, 并将每年 9 月第三周定为“国家网络安全宣传周”。作为国家网络空间安全防线的重要组成部分,大型国有企业应坚持“网络安全为人民,网络安全靠人民”的理念,提升整体网络安全意识和技能,共同保障我国的网络空间安全。
一、树立全员网络安全意识迫在眉睫
(一)防范网络攻击需提高全网网络安全意识
近年来,世界范围内恶意网络攻击强度、频率、规模和影响不断升级,网络攻击破坏性愈发严重,复杂的国际形势导致针对我国各行业发起的网络攻击愈演愈烈,网络战风险不断累积,网络安全防护难度不断增大。网络安全不同于传统生产安全,网络安全的本质是对抗,是攻防两端“人与人”能力的较量。员工恰恰是各大型国有企业网络安全最薄弱的环节,很多企业最大的安全漏洞是在管理和文化方面,这已经成为业界普遍的共识。
(二)国家法律法规对网络安全宣传教育工作提出更高要求
2017 年 6 月 1 日,我国施行了《网络安全法》,其中第十九条明确规定:“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作”。该法还对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域提出信息安全意识教育相关要求。《关键信息基础设施保护条例》第十五条要求,关键信息基础设施运营单位要履行网络安全教育、培训等义务。
(三)国资委要求央企常态化开展网络安全宣传教育工作
国资委每年举办中央企业网络安全工作培训班,组织央企网络安全工作人员学习网络安全政策理论知识。2017 年 5 月,国资委下发《关于进一步加强中央企业网络安全工作的通知》,要求央企将经常性网络安全宣传教育纳入议事日程,开展专题宣传和教育培训,动员全员共同参与,普及网络安全常识、增进网络安全知识、提高网络安全意识。提高全员网络安全意识任重而道远,如何开展有效的网络安全宣传工作,提升全员网络安全意识,是网络安全保障工作迫切需要解决的问题。
二、大型国有企业网络安全宣贯教育工作面临的挑战
(一)员工网络安全意识参差不齐
国有企业员工年龄和受教育程度差异大,大多数员工对网络安全“知其然不知其所以然”,认为网络攻击都在互联网上,网络攻击只是小概率事件,网络安全跟自己的工作不会有交集,对可能受到的网络攻击的危害性缺乏认知。部分领导干部对网络安全重视不足,或者只是口头上重视,“说起来重要,干起来次要,忙起来不要”。
(二)网络安全与数字化发展难以平衡
企业为了生存和发展加速推进数字化转型,各种新技术快速渗透各行各业、融入企业运营各环节。新技术同时带来新风险,数字化“重建设、轻安全,重使用、轻防护”的情况屡见不鲜。信息系统先上线、网络安全再补位,当可用性和安全性冲突时,往往会降低安全性要求。
(三)网络安全宣贯教育难以深入基层
大型国有企业层级多,安全管理和宣贯教育普遍是自上而下层级式推进,广大基层员工处于层级末梢,宣贯教育效能在层层传递中不可避免产生损耗,逐渐弱化。网络安全宣贯教育也缺乏系统性,宣贯的素材针对性不强,难以引发基层人员共鸣,宣贯教育效果不理想。
三、国网山东电力网络安全宣贯教育主要做法
(一)与日常工作相融合,润物无声
国网山东电力将网络安全融入日常工作的各个环节,在潜移默化中提升全员网络安全意识,让网络安全“随处看得见、时时听得到、伸手摸得着”。
让网络安全随处看得见。按照国家、企业、个人分类梳理网络安全要求和防护要点,制作图文并茂的展板、上墙画报,让员工在工作间隙随处都能看到网络安全知识;统一制作《漫看网络安全》《网络安全法解读》等系列宣传视频,在楼宇电视、宣传大屏等视频终端循环播放,让员工在乘坐电梯片刻能够看到网络安全知识;总结网络安全警示语“五禁止”“八不准”“十严禁”,强调弱口令防范、敏感文件保护等基本安全要求,制作成办公电脑桌面、屏幕保护程序,在门户网站置顶宣传飘窗,让员工每次用电脑办公的时候能够看到网络安全知识。
让网络安全时时听得到。举办形式多样的网络安全培训,组织对新员工和关键岗位人员开展专题网络安全培训,邀请业内知名网络安全专家和企业网络安全职能部门管理人员,普及网络安全法律法规和管理要求;组织各单位定期举办网络安全大讲堂,邀请主管领导和分管领导参加,通过攻防案例解读、漏洞危害分析等方式,提高各级领导干部的网络安全风险意识。以全员安全日活动为载体,在固定时间学习生产安全和网络安全要求、案例解读,让员工像重视生产安全一样重视网络安全。
让网络安全伸手摸得着。印制网络安全宣传手册、宣传折页,将其放在门厅、走廊、电梯口等位置,普及网络安全法、数据安全法、个人信息保护法等法律法规,让网络安全知识触手可及;制作下发印有网络安全警示语、小常识的鼠标垫,内外网文件交互只能使用安全 u 盘;在办公电脑显示器、主机上粘贴安全标签,使办公电脑的安全使用方法一目了然。让网络安全知识随手可得,在潜移默化中提高全员网络安全意识。
(二)在关键节点处展开,声如惊雷
日常宣贯如细雨,关键节点教育若惊雷。国网山东电力设立“护网先锋”公众号,立足新媒体宣传高地,紧扣安全生产活动月、网络安全宣传周、国家专项网络攻防演习等时间节点,积极开展各类宣传活动,形式新颖,内容鲜活,效果良好。
充分利用网络安全新媒体宣传阵地。为了充分掌握员工获取网络安全知识的渠道和兴趣点,公司通过座谈、调查问卷等方式深入调研,93.8% 的受访者倾向于通过微信、微博等互联网渠道学习了解安全知识,97.2% 的受访者对网络安全小知识、小常识有主动学习兴趣。基于这种情况,公司创建了“护网先锋”微信公众号,打造网络安全新媒体宣传阵地。公众号通过幽默风趣的语言和寓教于乐的故事,科普网络安全知识,展现队伍队员风采,开展网络安全趣味问答,引发了强烈反响和关注,受到一致好评。截至目前,公众号已经拥有粉丝近万人,成为电力行业知名的专业公众号,是山东电力网络安全的一张对外名片。
抓住网络安全宣传有利时机。在每年 6 月的安全生产活动月、9 月的国家网络安全宣传周期间,组织开展“网络安全到基层”系列宣传活动,以“一宣传、两提升、三整治”为主线,宣传网络安全法律法规制度标准,提升基层员工网络安全基础防护意识、提升网络安全监测处置与溯源能力,整治敏感信息泄露与仿冒网站、整治移动应用建设与运行不合规、整治基层员工基础安全问题。设置网络安全宣传展厅、展台,将网络安全知识融于实际场景中,设置钓鱼邮件、手机木马、钓鱼 wifi 等场景,让员工切实感受网络安全的重要性和不注重网络安全带来的危害。利用《国家电网报》、门户网站、“i 国网”app 等多种媒体发布信息安全宣传稿件,分享公司信息安全工作动态和成绩,加强信息安全舆论覆盖。
全力加强重要时间节点的宣传力度。在党和国家重大活动、国家网络安全演习等期间,结合网络安全保障任务强化宣传引导。举办防社工、防泄密等专题讲座,邀请公安、网信等网络安全专家,普及网络安全法律法规,讲授网络安全防护知识。开展“一把手讲网络安全”,组织各级领导在早例会、周例会上通报公司网络安全态势,强调网络安全要求。开展分层次多轮次网络安全抽考,举办网络答题活动,督促领导干部、基层员工、关键岗位人员主动学习网络安全知识,切实做到应知必知、应会必会。
(三)在安全红线上坚守,泰山压顶
宣贯教育“不放松”,出了问题“不手软”。统一建章立制,构筑网络安全红线,打造“红蓝”护网先锋,以攻促防、以攻促查,强化网络安全刚性执行,让“用的人知道安全,管的人重视安全,查的人管得了安全”。
强化网络安全刚性执行。紧扣公司网络安全发展要求,编制下发 21 项管理办法和工作细则,构建网络安全“六项机制”,即监督机制、应急机制、事故调查机制、通报机制、事件责任追究机制和风险管理机制,为网络安全保障“立规”,对安全风险“筑笼”。将网络安全事件纳入各单位企业负责人业绩考核,严格行使网络安全的“一票否决权”,严肃对待发现的问题,坚持“一个都不放过”,定期开展分析通报,狠抓问题整改到位,坚决做到不闯红灯,不越红线。对网络安全事件的处理,按照安全生产事故处理的要求,实行“说清楚”制度。2021 年,公司通报重大隐患 11 个,漏洞 283 个,用鲜活的事件和案例,让各层级领导重视网络安全管理、让基层员工警醒,减少同类事件的发生,逐步提高全网网络安全意识。
打造网络安全先锋队。为了解决网络安全“专职人员少、攻防基础弱”等问题,公司跨专业多层级选拔培养网络安全人才,组建山东电力红蓝队。公司每年举办 4 至 6 期初、中级培训,有针对性地举办高级班培训,选择表现特别突出的队员进行脱产培训。红蓝队建设尤其注重理论与实践相结合,践行“走出去”培育模式,组织优秀队员赴安全公司、互联网企业、知名院校开展实地调研和考察学习,通过“揭榜挂帅”“青年托举”“工匠塑造”等多种方式,提升队员综合素质。经过多年持续的培养和发展,山东电力目前拥有红蓝队员294 人,包括红队 104 人,蓝队队员 190 人,参加国家、国际网络安全赛事 50 余项,获得包括 35 个冠军在内的 110 多个奖项,获得齐鲁工匠、富民兴鲁劳动奖章、全国技术能手等系列奖项。多名红蓝队员入选公司专家人才和劳模工匠,在省、市、县各级单位的荣誉榜和表彰会上都有他们的身影和事迹,他们既是保障网络安全的先锋队,也是网络安全宣贯教育的“明星”。
实战攻防绷紧网络安全弦。“警钟长鸣”才能居安思危,红蓝队就是敲钟人,必须让队伍在急难险重的工作任务中经风雨、见世面、壮筋骨。山东电力红蓝队主要通过“平时”“战时”两种工作模式锤炼队伍。“平时”模式下,主动选派队员参加重大活动保障、现场检查、事件调查等工作,提升队伍攻防能力。“战时”模式下,参照网络战的方式,组织红蓝队充分利用漏洞攻击、社工攻击和供应链攻击等手段,以不打招呼、背靠背的方式开展定点和定向攻击。为了提高攻防作战能力,红蓝队自主设计研发了 4 款自主可控安全设备和 4 款攻防对抗工具,初步实现了“情报主动探察、威胁一键处置,攻击智能溯源,漏洞自动识别”。其中,“大黄蜂”人工智能渗透机器人,能够模仿完整的渗透测试过程,参加百度人工智能攻防对抗比赛连续两年获得冠军。2021 年,山东电力红蓝队先后开展 2 期代号“红箭行动”的攻防演习,累积发现并修复网络安全漏洞 283 个,预警网络安全威胁 110 个,发布网络安全态势通报 12 期,让公司上下持续绷紧网络安全这根弦,居安思危,时刻牢记“网络安全靠人民、网络安全为人民”,共同维护公司网络安全稳定局面。
(本文刊登于《中国信息安全》杂志2022年第1期)