黨和(hé)國家高(gāo)度重視(shì)網絡安全和(hé)信息化工(gōng)作(zuò),密集出台網絡安全法律法規和(hé)标準規範, 并将每年 9 月第三周定爲“國家網絡安全宣傳周”。作(zuò)爲國家網絡空(kōng)間安全防線的重要組成部分,大(dà)型國有企業應堅持“網絡安全爲人民,網絡安全靠人民”的理(lǐ)念,提升整體網絡安全意識和(hé)技能(néng),共同保障我國的網絡空(kōng)間安全。
(一)防範網絡攻擊需提高(gāo)全網網絡安全意識近年來(lái),世界範圍内惡意網絡攻擊強度、頻率、規模和(hé)影響不斷升級,網絡攻擊破壞性愈發嚴重,複雜(zá)的國際形勢導緻針對(duì)我國各行業發起的網絡攻擊愈演愈烈,網絡戰風(fēng)險不斷累積,網絡安全防護難度不斷增大(dà)。網絡安全不同于傳統生産安全,網絡安全的本質是對(duì)抗,是攻防兩端“人與人”能(néng)力的較量。員工(gōng)恰恰是各大(dà)型國有企業網絡安全最薄弱的環節,很(hěn)多企業最大(dà)的安全漏洞是在管理(lǐ)和(hé)文(wén)化方面,這(zhè)已經成爲業界普遍的共識。(二)國家法律法規對(duì)網絡安全宣傳教育工(gōng)作(zuò)提出更高(gāo)要求2017 年 6 月 1 日,我國施行了(le)《網絡安全法》,其中第十九條明(míng)确規定:“各級人民政府及其有關部門(mén)應當組織開(kāi)展經常性的網絡安全宣傳教育,并指導、督促有關單位做好(hǎo)網絡安全宣傳教育工(gōng)作(zuò)”。該法還對(duì)公共通信和(hé)信息服務、能(néng)源、交通、水(shuǐ)利、金(jīn)融、公共服務、電子政務等重要行業和(hé)領域提出信息安全意識教育相關要求。《關鍵信息基礎設施保護條例》第十五條要求,關鍵信息基礎設施運營單位要履行網絡安全教育、培訓等義務。(三)國資委要求央企常态化開(kāi)展網絡安全宣傳教育工(gōng)作(zuò)國資委每年舉辦中央企業網絡安全工(gōng)作(zuò)培訓班,組織央企網絡安全工(gōng)作(zuò)人員學習網絡安全政策理(lǐ)論知(zhī)識。2017 年 5 月,國資委下(xià)發《關于進一步加強中央企業網絡安全工(gōng)作(zuò)的通知(zhī)》,要求央企将經常性網絡安全宣傳教育納入議(yì)事(shì)日程,開(kāi)展專題宣傳和(hé)教育培訓,動員全員共同參與,普及網絡安全常識、增進網絡安全知(zhī)識、提高(gāo)網絡安全意識。提高(gāo)全員網絡安全意識任重而道(dào)遠,如何開(kāi)展有效的網絡安全宣傳工(gōng)作(zuò),提升全員網絡安全意識,是網絡安全保障工(gōng)作(zuò)迫切需要解決的問題。
二、大(dà)型國有企業網絡安全宣貫教育工(gōng)作(zuò)面臨的挑戰
國有企業員工(gōng)年齡和(hé)受教育程度差異大(dà),大(dà)多數員工(gōng)對(duì)網絡安全“知(zhī)其然不知(zhī)其所以然”,認爲網絡攻擊都在互聯網上(shàng),網絡攻擊隻是小(xiǎo)概率事(shì)件,網絡安全跟自(zì)己的工(gōng)作(zuò)不會(huì)有交集,對(duì)可能(néng)受到(dào)的網絡攻擊的危害性缺乏認知(zhī)。部分領導幹部對(duì)網絡安全重視(shì)不足,或者隻是口頭上(shàng)重視(shì),“說起來(lái)重要,幹起來(lái)次要,忙起來(lái)不要”。企業爲了(le)生存和(hé)發展加速推進數字化轉型,各種新技術快(kuài)速滲透各行各業、融入企業運營各環節。新技術同時(shí)帶來(lái)新風(fēng)險,數字化“重建設、輕安全,重使用(yòng)、輕防護”的情況屢見不鮮。信息系統先上(shàng)線、網絡安全再補位,當可用(yòng)性和(hé)安全性沖突時(shí),往往會(huì)降低(dī)安全性要求。大(dà)型國有企業層級多,安全管理(lǐ)和(hé)宣貫教育普遍是自(zì)上(shàng)而下(xià)層級式推進,廣大(dà)基層員工(gōng)處于層級末梢,宣貫教育效能(néng)在層層傳遞中不可避免産生損耗,逐漸弱化。網絡安全宣貫教育也(yě)缺乏系統性,宣貫的素材針對(duì)性不強,難以引發基層人員共鳴,宣貫教育效果不理(lǐ)想。
(一)與日常工(gōng)作(zuò)相融合,潤物無聲國網山東電力将網絡安全融入日常工(gōng)作(zuò)的各個環節,在潛移默化中提升全員網絡安全意識,讓網絡安全“随處看(kàn)得見、時(shí)時(shí)聽得到(dào)、伸手摸得着”。讓網絡安全随處看(kàn)得見。按照國家、企業、個人分類梳理(lǐ)網絡安全要求和(hé)防護要點,制作(zuò)圖文(wén)并茂的展闆、上(shàng)牆畫(huà)報(bào),讓員工(gōng)在工(gōng)作(zuò)間隙随處都能(néng)看(kàn)到(dào)網絡安全知(zhī)識;統一制作(zuò)《漫看(kàn)網絡安全》《網絡安全法解讀》等系列宣傳視(shì)頻,在樓宇電視(shì)、宣傳大(dà)屏等視(shì)頻終端循環播放(fàng),讓員工(gōng)在乘坐(zuò)電梯片刻能(néng)夠看(kàn)到(dào)網絡安全知(zhī)識;總結網絡安全警示語“五禁止”“八不準”“十嚴禁”,強調弱口令防範、敏感文(wén)件保護等基本安全要求,制作(zuò)成辦公電腦(nǎo)桌面、屏幕保護程序,在門(mén)戶網站(zhàn)置頂宣傳飄窗,讓員工(gōng)每次用(yòng)電腦(nǎo)辦公的時(shí)候能(néng)夠看(kàn)到(dào)網絡安全知(zhī)識。讓網絡安全時(shí)時(shí)聽得到(dào)。舉辦形式多樣的網絡安全培訓,組織對(duì)新員工(gōng)和(hé)關鍵崗位人員開(kāi)展專題網絡安全培訓,邀請(qǐng)業内知(zhī)名網絡安全專家和(hé)企業網絡安全職能(néng)部門(mén)管理(lǐ)人員,普及網絡安全法律法規和(hé)管理(lǐ)要求;組織各單位定期舉辦網絡安全大(dà)講堂,邀請(qǐng)主管領導和(hé)分管領導參加,通過攻防案例解讀、漏洞危害分析等方式,提高(gāo)各級領導幹部的網絡安全風(fēng)險意識。以全員安全日活動爲載體,在固定時(shí)間學習生産安全和(hé)網絡安全要求、案例解讀,讓員工(gōng)像重視(shì)生産安全一樣重視(shì)網絡安全。讓網絡安全伸手摸得着。印制網絡安全宣傳手冊、宣傳折頁,将其放(fàng)在門(mén)廳、走廊、電梯口等位置,普及網絡安全法、數據安全法、個人信息保護法等法律法規,讓網絡安全知(zhī)識觸手可及;制作(zuò)下(xià)發印有網絡安全警示語、小(xiǎo)常識的鼠标墊,内外(wài)網文(wén)件交互隻能(néng)使用(yòng)安全 U 盤;在辦公電腦(nǎo)顯示器、主機上(shàng)粘貼安全标簽,使辦公電腦(nǎo)的安全使用(yòng)方法一目了(le)然。讓網絡安全知(zhī)識随手可得,在潛移默化中提高(gāo)全員網絡安全意識。日常宣貫如細雨,關鍵節點教育若驚雷。國網山東電力設立“護網先鋒”公衆号,立足新媒體宣傳高(gāo)地,緊扣安全生産活動月、網絡安全宣傳周、國家專項網絡攻防演習等時(shí)間節點,積極開(kāi)展各類宣傳活動,形式新穎,内容鮮活,效果良好(hǎo)。充分利用(yòng)網絡安全新媒體宣傳陣地。爲了(le)充分掌握員工(gōng)獲取網絡安全知(zhī)識的渠道(dào)和(hé)興趣點,公司通過座談、調查問卷等方式深入調研,93.8% 的受訪者傾向于通過微信、微博等互聯網渠道(dào)學習了(le)解安全知(zhī)識,97.2% 的受訪者對(duì)網絡安全小(xiǎo)知(zhī)識、小(xiǎo)常識有主動學習興趣。基于這(zhè)種情況,公司創建了(le)“護網先鋒”微信公衆号,打造網絡安全新媒體宣傳陣地。公衆号通過幽默風(fēng)趣的語言和(hé)寓教于樂的故事(shì),科普網絡安全知(zhī)識,展現(xiàn)隊伍隊員風(fēng)采,開(kāi)展網絡安全趣味問答(dá),引發了(le)強烈反響和(hé)關注,受到(dào)一緻好(hǎo)評。截至目前,公衆号已經擁有粉絲近萬人,成爲電力行業知(zhī)名的專業公衆号,是山東電力網絡安全的一張對(duì)外(wài)名片。抓住網絡安全宣傳有利時(shí)機。在每年 6 月的安全生産活動月、9 月的國家網絡安全宣傳周期間,組織開(kāi)展“網絡安全到(dào)基層”系列宣傳活動,以“一宣傳、兩提升、三整治”爲主線,宣傳網絡安全法律法規制度标準,提升基層員工(gōng)網絡安全基礎防護意識、提升網絡安全監測處置與溯源能(néng)力,整治敏感信息洩露與仿冒網站(zhàn)、整治移動應用(yòng)建設與運行不合規、整治基層員工(gōng)基礎安全問題。設置網絡安全宣傳展廳、展台,将網絡安全知(zhī)識融于實際場景中,設置釣魚郵件、手機木(mù)馬、釣魚 WiFi 等場景,讓員工(gōng)切實感受網絡安全的重要性和(hé)不注重網絡安全帶來(lái)的危害。利用(yòng)《國家電網報(bào)》、門(mén)戶網站(zhàn)、“i 國網”App 等多種媒體發布信息安全宣傳稿件,分享公司信息安全工(gōng)作(zuò)動态和(hé)成績,加強信息安全輿論覆蓋。全力加強重要時(shí)間節點的宣傳力度。在黨和(hé)國家重大(dà)活動、國家網絡安全演習等期間,結合網絡安全保障任務強化宣傳引導。舉辦防社工(gōng)、防洩密等專題講座,邀請(qǐng)公安、網信等網絡安全專家,普及網絡安全法律法規,講授網絡安全防護知(zhī)識。開(kāi)展“一把手講網絡安全”,組織各級領導在早例會(huì)、周例會(huì)上(shàng)通報(bào)公司網絡安全态勢,強調網絡安全要求。開(kāi)展分層次多輪次網絡安全抽考,舉辦網絡答(dá)題活動,督促領導幹部、基層員工(gōng)、關鍵崗位人員主動學習網絡安全知(zhī)識,切實做到(dào)應知(zhī)必知(zhī)、應會(huì)必會(huì)。(三)在安全紅(hóng)線上(shàng)堅守,泰山壓頂宣貫教育“不放(fàng)松”,出了(le)問題“不手軟”。統一建章立制,構築網絡安全紅(hóng)線,打造“紅(hóng)藍”護網先鋒,以攻促防、以攻促查,強化網絡安全剛性執行,讓“用(yòng)的人知(zhī)道(dào)安全,管的人重視(shì)安全,查的人管得了(le)安全”。強化網絡安全剛性執行。緊扣公司網絡安全發展要求,編制下(xià)發 21 項管理(lǐ)辦法和(hé)工(gōng)作(zuò)細則,構建網絡安全“六項機制”,即監督機制、應急機制、事(shì)故調查機制、通報(bào)機制、事(shì)件責任追究機制和(hé)風(fēng)險管理(lǐ)機制,爲網絡安全保障“立規”,對(duì)安全風(fēng)險“築籠”。将網絡安全事(shì)件納入各單位企業負責人業績考核,嚴格行使網絡安全的“一票否決權”,嚴肅對(duì)待發現(xiàn)的問題,堅持“一個都不放(fàng)過”,定期開(kāi)展分析通報(bào),狠抓問題整改到(dào)位,堅決做到(dào)不闖紅(hóng)燈,不越紅(hóng)線。對(duì)網絡安全事(shì)件的處理(lǐ),按照安全生産事(shì)故處理(lǐ)的要求,實行“說清楚”制度。2021 年,公司通報(bào)重大(dà)隐患 11 個,漏洞 283 個,用(yòng)鮮活的事(shì)件和(hé)案例,讓各層級領導重視(shì)網絡安全管理(lǐ)、讓基層員工(gōng)警醒,減少同類事(shì)件的發生,逐步提高(gāo)全網網絡安全意識。打造網絡安全先鋒隊。爲了(le)解決網絡安全“專職人員少、攻防基礎弱”等問題,公司跨專業多層級選拔培養網絡安全人才,組建山東電力紅(hóng)藍隊。公司每年舉辦 4 至 6 期初、中級培訓,有針對(duì)性地舉辦高(gāo)級班培訓,選擇表現(xiàn)特别突出的隊員進行脫産培訓。紅(hóng)藍隊建設尤其注重理(lǐ)論與實踐相結合,踐行“走出去”培育模式,組織優秀隊員赴安全公司、互聯網企業、知(zhī)名院校開(kāi)展實地調研和(hé)考察學習,通過“揭榜挂帥”“青年托舉”“工(gōng)匠(jiàng)塑造”等多種方式,提升隊員綜合素質。經過多年持續的培養和(hé)發展,山東電力目前擁有紅(hóng)藍隊員294 人,包括紅(hóng)隊 104 人,藍隊隊員 190 人,參加國家、國際網絡安全賽事(shì) 50 餘項,獲得包括 35 個冠軍在内的 110 多個獎項,獲得齊魯工(gōng)匠(jiàng)、富民興魯勞動獎章、全國技術能(néng)手等系列獎項。多名紅(hóng)藍隊員入選公司專家人才和(hé)勞模工(gōng)匠(jiàng),在省、市、縣各級單位的榮譽榜和(hé)表彰會(huì)上(shàng)都有他(tā)們的身影和(hé)事(shì)迹,他(tā)們既是保障網絡安全的先鋒隊,也(yě)是網絡安全宣貫教育的“明(míng)星”。實戰攻防繃緊網絡安全弦。“警鐘(zhōng)長鳴”才能(néng)居安思危,紅(hóng)藍隊就是敲鐘(zhōng)人,必須讓隊伍在急難險重的工(gōng)作(zuò)任務中經風(fēng)雨、見世面、壯筋骨。山東電力紅(hóng)藍隊主要通過“平時(shí)”“戰時(shí)”兩種工(gōng)作(zuò)模式錘煉隊伍。“平時(shí)”模式下(xià),主動選派隊員參加重大(dà)活動保障、現(xiàn)場檢查、事(shì)件調查等工(gōng)作(zuò),提升隊伍攻防能(néng)力。“戰時(shí)”模式下(xià),參照網絡戰的方式,組織紅(hóng)藍隊充分利用(yòng)漏洞攻擊、社工(gōng)攻擊和(hé)供應鏈攻擊等手段,以不打招呼、背靠背的方式開(kāi)展定點和(hé)定向攻擊。爲了(le)提高(gāo)攻防作(zuò)戰能(néng)力,紅(hóng)藍隊自(zì)主設計(jì)研發了(le) 4 款自(zì)主可控安全設備和(hé) 4 款攻防對(duì)抗工(gōng)具,初步實現(xiàn)了(le)“情報(bào)主動探察、威脅一鍵處置,攻擊智能(néng)溯源,漏洞自(zì)動識别”。其中,“大(dà)黃蜂”人工(gōng)智能(néng)滲透機器人,能(néng)夠模仿完整的滲透測試過程,參加百度人工(gōng)智能(néng)攻防對(duì)抗比賽連續兩年獲得冠軍。2021 年,山東電力紅(hóng)藍隊先後開(kāi)展 2 期代号“紅(hóng)箭行動”的攻防演習,累積發現(xiàn)并修複網絡安全漏洞 283 個,預警網絡安全威脅 110 個,發布網絡安全态勢通報(bào) 12 期,讓公司上(shàng)下(xià)持續繃緊網絡安全這(zhè)根弦,居安思危,時(shí)刻牢記“網絡安全靠人民、網絡安全爲人民”,共同維護公司網絡安全穩定局面。
