王继业:全面提升国家电网公司网络安全
立法立规 《网络安全法》促网络强国战略意义深远
国家历来高度重视网络与信息安全。自上世纪90年代以来,国家相继颁布《中华人民共和国计算机信息系统安全保护条例》等相关条例和标准规范,明确安全等级保护等网络与信息系统保护要求。
2014年中央网络安全和信息化领导小组成立,统筹规划和推进我国网络强国战略。电力行业主管部门相继发布《电力监控系统安全防护规定》等法令与标准,指导电力企业建立“安全分区、网络专用、横向隔离、纵向认证”的安全防护体系,强化网络安全技术措施与信息化建设“同步规划、同步建设、同步使用”。
《中华人民共和国网络安全法》(以下简称 《网络安全法》)自今年6月1日起施行。《网络安全法》规范了国家重点行业、网络运营商、互联网服务提供商网络安全相关职责和义务,赋予公民在使用网络过程中的隐私权、知情权和举报权等权利,将维护网络安全扩大到全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线,符合我国的网络空间安全需求。《网络安全法》的出台,是国家主权在网络空间治理法制化上的具体表征,为维护国家网络主权、开展网络空间治理、加强网络安全监管、建立健全网络安全保障体系提供了坚实的法律基础,为电网企业深入推进网络安全建设与治理,提供了坚实的制度保障和法律保障。
《网络安全法》为践行正确的网络安全观、实现网络强国战略目标提供坚实基础。习近平总书记提出建设网络强国的宏伟战略,为实现这一目标,需要做好网络安全和信息化工作,处理好安全和发展的关系,做到协调一致、齐头并进。《网络安全法》的出台为践行网络安全与信息化两翼齐飞提供了坚实有效的制度保障,统领网络安全各项法规制度,标志着国家在建设网络强国法治保障道路上迈出坚实的一步,是我国网络安全保障体系建设的重要里程碑。
学法贯法为国家电网公司提供法律支撑和重要保障
“十一五”以来,国家电网公司高度重视网络安全工作,持续多年推进网络安全管理和技术体系建设。在管理方面,坚持“三个纳入”和“四全管理”,即将网络安全工作纳入电力安全生产管理体系,纳入信息化建设和运维全过程,将等级保护工作纳入网络安全工作全过程,实现全面、全员、全过程、全方位的网络安全管理。同时,进一步建立了网络安全监督机制、应急机制、事故调查机制、通报机制、事件责任追究机制和风险管理机制。按照“红队攻点、蓝队防面、督查监督”的工作要求,建立了网络安全攻防红蓝对抗机制。在技术方面,在已建成等级保护纵深防御体系的基础上,进一步建设了主动防御体系,目前正在建设“可管可控、精准防护、可视可信、智能防御”的网络安全智能防御体系。
习近平总书记提出,“物理隔离防线可被跨网入侵,电力调配指令可被恶意篡改”。由近年来爆发的“震网”事件、“火焰”事件、乌克兰大规模停电事件以及近期爆发的比特币勒索病毒等事件可见,能源、电力行业已成为网络攻击重要对象和网络战的重点关注目标。而国际上高度组织化、定制化、破坏性的攻击层出不穷,各方势力和威胁暗流涌动,能源、电力行业关键信息基础设施急需国家法律政策保障。
同时,国家电网公司信息化发展迅速,促使网络安全管理需求不断加强。公司安装的智能电表超过4亿只,用电信息自动采集超过4亿户,公司电商、各类营销App注册用户超过1.8亿。各类系统中存储的电网网架、地理信息坐标、用户信息等重要敏感数据,使公司在电子商务金融交易、个人隐私信息保护、跨境数据安全防护等方面,迫切需要国家法规与政策保护。
《网络安全法》的出台为网络安全和信息化发展提供了法律依据,针对关键信息基础设施的网络安全责任和措施进行立法,规范了网络安全“三同步”、安全审查、跨境数据安全评估、风险评估以及应急机制等法定流程和要求,对危害网络安全的违法犯罪行为明确惩处措施,有效威慑和打击了针对关键信息基础设施的网络攻击,有效保障关键信息基础设施安全。此外,《网络安全法》给予了企业在网络安全方面全方位的政策支撑。因此,《网络安全法》的出台对于促进国家电网公司网络安全组织、人才、管理和技术发展具有明确的指导意义。
以法为据在全面落实责任基础上做好专项提升工作
国家电网公司始终高度重视网络与信息安全工作,在中央网信办等国家有关主管部门的指导下,公司以《网络安全法》和公司有关规章制度为依据,全面落实关键信息基础设施防护等各项部署要求。
在网络安全宣贯学习方面,公司以《网络安全法》颁布为契机,组织各单位自上而下开展了权威专题报告、网络安全普法宣传、培训等多种形式的学法贯法活动,印发网络安全宣传手册、视频,开展网络安全知识竞赛,形成全公司上下学法、知法、懂法、守法的良好氛围。
在网络安全责任落实方面,公司在总部、各单位成立了各层级网络安全和信息化领导小组,强化统一领导,并将网络安全纳入公司生产安全监督管理体系,总部层面分别增设网络安全管理处室,省、地市公司及部分直属单位增设网络安全专职管理岗位,共计新增1504个网络安全管理专岗。组织全员签订网络安全责任书,强化网络安全事件追责与问责。
进一步明确2017年十项重点工作。公司召开网络安全与信息化领导小组会议,明确落实网络安全责任、贯彻落实 《网络安全法》、强化电力监控系统安全管理、深化等级保护“回头看”、加强内外网移动作业网络安全、加强数据安全保护、加强研发安全管控、健全网络安全标准制度体系、加快网络安全履职能力建设、做好十九大等国家重大活动网络安全保障等10方面重点工作,对于做好本质安全工作,夯实网络安全基础具有重要意义。
实施网络安全专项行动计划。按照中央网信办试点工作要求,公司启动电力关键信息基础设施网络安全专项提升行动。利用三年时间,实现全方位网络安全态势预警感知,全面加强电力监控系统防护建设,强化主要网站和互联网系统防护,完善数据通信网安全防护措施,推进核心技术国产自主可控,实施电力监控系统网络安全仿真实验能力建设,构建坚强电力关键信息基础设施安全防护体系。
国家电网公司将认真贯彻党中央和国家的各项部署,勇于担当,主动作为,以习近平总书记总体国家安全观为指引,在各方的领导下,谱写电网网络安全新篇章,保障电网安全,努力为经济社会发展作出新的更大贡献。
