漏洞是信息化时代不可避免的问题,必须正视问题所在并做好管理。战国时期的经典故事《扁鹊见蔡桓公》告诉人们,要正视自身的隐患,不可讳疾忌医。如果在初期就将隐患及时根除,所付出的工作就是“汤熨之所及也”,以较小的付出来清除隐患,继而避免风险的进一步发展。
对于如何化解风险,习近平总书记在《关于〈中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议〉的说明》中指出,“我们必须坚持统筹发展和安全,增强机遇意识和风险意识,树立底线思维,把困难估计得更充分一些,把风险思考得更深入一些,注重堵漏洞、强弱项,下好先手棋、打好主动仗,有效防范化解各类风险挑战,确保社会主义现代化事业顺利推进。”
对漏洞而言,有效的漏洞管理可以及早地发现漏洞并遏制漏洞利用事件的发生,能显著降低企业面临的风险。近年来,国家网络空间法律法规密集出台,2021 年,《网络产品安全漏洞管理规定》《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》相继发布,对漏洞管理工作进行了明确的规范。
南方电网公司(以下简称公司)作为关系国计民生的电力关键信息基础设施运营者,随着公司数字化转型建设的不断推进,数字化业务与网络安全逐渐高度融合,要求公司必须增强机遇意识和风险意识,牢固树立底线思维,加强网络安全体系和能力建设,全面提升网络安全本质安全水平,实现人、物、管理、环境等各要素安全可靠、和谐统一,逐步趋近和实现预防型、恒久型、本质型的安全目标,夯实公司高质量发展安全基础,构建本质安全型数字化转型,为国家关键信息基础设施安全保障工作积极奉献力量。
一、探索与实践
公司严格贯彻落实国家各项法律法规,依照网络安全法、网络产品安全漏洞管理规定等相关要求,定期召开会议,专题研究,认真部署,深入开展网络安全合规管控,加强网络安全漏洞管理深度和技术强度。
(一)压实安全责任链条,夯实人员安全底座
公司以结果为导向,贯彻落实国家法律法规和上级领导要求。以压实安全责任链条、提升六项管理能力、落实人员管控机制为手段,全面提升公司网络安全管理与监督能力,使网络安全风险可控在控。
根据国家要求,优化完善公司网络安全组织架构,设置首席网络安全官,以首席网络安全官为督导主体,深化安全责任落实,强化责任制检查考核奖惩力度,做到“职责实、机构全、岗位明、手段齐、底数清、考核严”。
明确各级网络安全责任人。按照“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责、管业务必须管安全”的原则,设置专门安全管理机构和安全管理人,明确各级单位的网络安全主要负责人和直接责任人,对网络安全关键岗位建立人员清单,定期对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
(二)建设漏洞“中枢”平台,实现全网统一的安全漏洞持续发现、通报、验证、处置闭环管理
经过多年网络安全建设,公司已建成信息安全运行监控预警系统、资产库、网络安全漏洞库、网络安全靶场,集立体监测、威胁研判、态势感知、仿真验证、安全运营支撑、自动化处置等应用能力于一体。对接 CNNVD 国家信息安全漏洞库,基于预警平台实现了统一漏洞管理机制,降低因漏洞修补不及时、不全面而导致的风险。
对信息安全运行监控预警系统进行技术架构重构。充分利用云原生技术,推进以微服务模式提供各类安全能力组件接口,推进数字电网安全“中枢”所有专业功能组件分层解耦和接口标准化,建立开放生态,支持后续功能叠加演进。建设标准、统一的网络安全数据采集、处理、存储、分析与服务底座,进一步把安全大数据服务与安全分析、态势感知等专业应用进行解耦,将安全大数据模块拆分为独立的安全大数据服务设施。完善网络安全漏洞库和威胁情报库,建立恶意代码库和处置知识库。建立常态化网络安全攻防机制,按照“红队攻点,蓝队防控,督查监督”的定位,切实防范信息安全漏洞隐患。
(三)紧抓供应链管控措施,“不能粗、不能放、不能松”
供应链是近年来漏洞事件高发之地。公司持续更新细化供应链图谱,针对公司核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对公司有重要影响的网络产品和服务,根据国家相关规定,结合安全威胁情报,制定网络产品和服务供应链产品、企业、安全隐患与整改清单,对清单进行审核、发布、持续更新,确保安全隐患漏洞为零时才允许入网。
增强产品服务供应链入网安全。公司组织专业评估测试团队,加强网络关键设备和网络安全专用产品检测认证,制定软硬件产品入网要求,审核产品入网资格,严格落实网络安全审查要求。常态化加强设备入网测试、到货抽检等网络安全测试。加强 IT 资产及其组件的版本管理,对软件所使用的开源组件进行识别,检测开源组件漏洞,分析组件安全风险,避免开源组件带来的安全风险。对硬件的固件进行统一源代码缺陷分析、源代码后门审计和源代码缺陷修复跟踪,避免固件缺陷导致的安全风险。
提升已入网产品、服务供应链应急能力。公司制订服务、产品替代要求,当识别已入网软硬件产品发生高威胁漏洞或者已知重大隐患情况时,及时进行版本更替或者产品替换,实现业务连续及可靠。
(四)实战化网络安全运行保障,建设网络安全“快反”机制
完善“全网一盘棋”下的安全指挥和运营能力。建成公司一体化网络安全运营中心和网络安全信息通报中心。创立网省两级网络安全指挥机制,组建网省级运营中心、地市级运营班组,统筹公司各级安全监控分析、网络攻防对抗、事件应急响应、信息通报共享、指挥协调、联防联保。实现对网络威胁的“一处发现、处处拦截”,针对全域防护提供运行保障支撑,提升联合防御、协同应对能力。
完善预测、防护、检测与响应专业能力,覆盖风险识别、威胁检测、预警响应、场景化安全防护需求。
充分利用公司统一安全漏洞库、威胁情报库以及安全态势感知信息,整合外部安全漏洞挖掘与情报研究资源,加强网络安全积极防御与攻击反制,提升网络安全对抗实战化水平,减少高级持续性安全威胁所可能造成的风险或危害。
实战化锤炼网络安全队伍,加强应急指挥与处置能力。公司组建网省两级网络安全技术队伍,建设网级电力专用网络安全靶场及电力监控系统仿真演练环境,组织系统化练兵。定期组织实战型网络攻防演习,检验网络安全防御、监测预警和应急处置能力,提升网络安全应急处置能力,有效支撑重保、护网等网络安全工作,达成“以我为主”建设队伍和实战检验应急预案双重效能。
(五)深化安全漏洞风险管理体系,形成漏洞安全风险管控长效机制
健全网络安全漏洞管控机制。公司深化安全漏洞风险管理体系在网络安全的应用,组建数字化业务风险管控专家队伍,深度梳理数字化业务,研判数字化业务风险,建立数字化业务风险分级清单,制定并定期更新数字化业务风险基准控制措施。
公司扩大安全内控及督查范围,常态化开展网络安全漏洞排查治理,形成从漏洞发现、漏洞验证、漏洞分析、漏洞预警排查、资产脆弱性分析、补丁验证、漏洞修复、漏洞消控审核的跟踪闭环机制。确保安全风险可控在控、隐患漏洞应消尽消。
(六)深入推进加强多方合作,打造网络安全合作生态圈
公司与国家级网络安全专业机构达成战略合作,例如与中国信息安全测评中心签订战略合作协议,借助国家级高水平力量共保网络安全。
参加粤港澳电力企业网络安全交流会议,建立网络安全情报共享机制,与粤港澳三地共享安全漏洞、威胁情报、恶意 IP 等信息。
打造能源行业产、学、研、用相结合的网络安全协作生态。公司与业内顶级安全公司、知名高校、高水平研究机构建立良性互动的紧密合作关系,提高公司网络安全服务对外辐射能力,构建跨界融合的安全生态,提升公司和网络安全行业的协作广度。
二、总结与思考
公司在漏洞管理方面的探索和实践已取得显著成效,相关流程机制常态化运转,历经多次网络安全重大活动保障考验。例如,在 2021 年重大漏洞Log4j 事件中,公司获悉 Apache Log4j2 高危漏洞线索后,连夜组织紧急研判和果断处置,实时阻断网络攻击,完成受影响系统的全面消缺,切实防范化解了重大隐患,充分检验了公司网络安全全天候实战化能力。
在已初见成效的安全防护体系的建设成果之上,公司坚持顶层视角、全面统筹、整体规划,以“三同步”原则,推进安全和信息化的“全面覆盖、深度融合”,在满足监管要求的基础上,进一步锤炼“实战化、体系化、常态化”的安全能力,逐步建成“协同一体、双向支撑、全面延伸、服务共享”的具有南网特色的网络安全综合保护体系 2.0。
(本文刊登于《中国信息安全》杂志2022年第6期)
来源:中国信息安全