1、网络与信息安全培训 公司网络安全管理及红蓝督研工作机制,李楠芳 二一七年七月五日,目录,网络安全管理职责,一,通报检查整改机制,二,企业负责人指标考核体系,三,红蓝督研工作机制,四,一、网络安全管理职责,网络安全管理职责,一,为适应网络安全法正式施行等国内外网络安全新形势,公司总部组织梳理了公司前期印发的文件和规章制度,依据相关国家法律法规、行业规章以及公司制度,结合2016年底公司网络安全组织机构调整情况,编制本文件,进一步明确公司网络安全管理职责和责任。,(一)目的意义,一、网络安全管理职责,2017年2月,由国网信通部牵头启动本文件编制。4月初,完成初稿,征求国网办公厅、安质部、运检部、
2、营销部、基建部、物资部、国调中心等部门意见。4月中旬,征求国网河北电力等7家省公司以及国网信通公司等单位意见。4月中下旬征求部分地市公司意见。5月初,征求总部各部门、各分部和各直属单位意见,并根据反馈意见进行了修订完善。,(二)编制过程,1、国网信通部承担公司网络安全归口管理职能,负责公司管理信息系统的安全管理。负责组织公司网络安全方案审查、网络安全稽查、通报和攻防演练,负责管理信息系统网络安全监测预警、态势跟踪、应急管理和安全保障。负责组织开展公司管理信息系统等级保护、风险评估、隐患排查治理。 2、国调中心承担公司电力监控系统安全防护管理职能,负责公司电力监控系统和调度管理信息类系统的安全管
3、理。负责并网发电厂涉网部分的电力监控系统安全防护的技术监督,负责配电自动化、负荷控制等其它电力监控系统安全防护的技术管理。 3、国网安质部承担公司网络安全监督职能,负责公司网络安全工作监督、检查与评价,负责组织公司网络安全事件调查。,(三)总部职责,一、网络安全管理职责,4、国网运检部负责配电自动化系统及终端安全防护的建设实施和安全运维管理,负责配电自动化安全防护建设实施方案的编制和相关技术管理工作。负责本专业自行承担建设的管理信息系统安全防护的建设实施管理,以及未纳入信通专业统一运维管理的管理信息系统的安全运维管理。 5、国网营销部负责营销专业采集控制类系统、本专业自行承担建设的管理信息系统
4、及其终端安全防护的建设实施管理,以及未纳入信通专业统一运维管理的管理信息系统的安全运维管理。 6、其他部门(1)国网办公厅(保密办)承担公司保密和密码管理职能,负责公司重要数据的密级审核工作,开展商密数据保密工作指导和监督检查。(2)国网物资部负责组织采购通过安全审查的网络产品和服务。 (3)国网外联部负责管理公司网站新闻宣传, 审核重要信息;负责公司官方微博、 微信、 新闻客户端等新媒体的管理工作。,(三)总部职责,一、网络安全管理职责,7、业务部门通用职责负责本专业业务、数据及其终端的安全管理。落实本专业网络安全工作职责;参与本专业网络与信息系统等级保护工作;负责本专业自行承担建设信息系统
5、安全防护的建设实施和运维管理;负责明确本专业数据密级,落实业务和数据使用安全责任。,(三)总部职责,一、网络安全管理职责,各直属单位负责落实国家和公司有关网络安全法律法规、方针政策、标准规范;落实本单位建设和运行系统的安全防护、等级保护、风险评估、隐患排查治理、应急管理和重大活动安全保障工作;落实相关信息系统及业务数据安全保护管理,落实数据使用安全责任;研发产业单位负责本单位提供的网络产品、信息系统和服务的研发安全。,(四)直属单位职责,1、省科信部承担省公司网络安全归口管理职能,负责省公司管理信息系统的安全管理。负责制定本单位管理信息系统的安全防护细则;负责督促、指导业务部门按照公司要求落实
6、业务系统的安全防护措施;负责组织制定省公司网络安全总体方案和网络安全规划;负责组织省公司自行承担建设的管理信息系统安全方案审查;负责组织省公司网络安全稽查、网络安全通报和攻防演练。 2、省调控中心承担省(区、市)公司调管范围内电力监控系统和调度管理信息类系统的网络安全管理职能。负责调管范围内电力监控系统网络安全规划设计和总体防护方案制定;负责调管范围内调度控制系统、变电站监控系统安全防护管理;负责并网发电厂(站)涉网部分的电力监控系统安全防护的技术监督管理;负责配电自动化、负荷控制等其它电力监控系统安全防护的技术管理和建设实施方案的审查;负责调管范围内电力监控系统安全防护的运行管理和网络安全监
7、测;负责调管范围内电力监控系统网络安全稽查、网络安全通报、攻防演练和应急处置。,(五)省(区、市)公司职责,一、网络安全管理职责,3、其他部门参照总部各业务部门的分工进行细化。 4、直属单位(1)省信通公司负责运维范围内信息通信系统及其终端的安全防护措施实施、安全监控和应急管理;负责省公司蓝队的建设;落实省科信部网络安全管理要求,配合业务部门开展网络安全专业技术支撑工作。(2)省检修公司负责业务管辖范围内变电站、开关站、换流站的系统、设备及其终端的安全防护;负责组织落实变电站内网络与信息系统及其终端的网络安全责任。(3)省电科院负责省公司电力监控系统和管理信息系统网络安全技术研究和试验;负责省
8、公司电力监控系统和管理信息系统的安全隐患分析、安全性审查;负责省公司红队的建设,协助相关业务部门开展网络安全专项检查与事件核查;负责开展管理信息系统安全监测支撑工作;负责开展电力监控系统和管理信息系统的安全防护技术支撑工作;负责开展网络安全技术监督和技术督查的具体实施工作。,(六)省(区、市)公司职责,一、网络安全管理职责,通报检查整改机制,二,二、通报检查整改机制,二、通报检查整改机制,公司网络安全预警单分为紧急漏洞预警、一般漏洞预警和攻击预警,处置的时间要求如下:,安全预警处置,二、通报检查整改机制,公司安全事件分为严重违章事件、较大违章事件、管理违章事件和技术类事件。 1)严重违章事件:
9、包括被国家有关部门通报或社会网站公布,对公司形象造成严重不良影响的事件;造成大范围网络舆情的事件;符合信息系统五、六级事件的事件。 2)较大违章事件:包括被国家有关部门通报或社会网站公布,对公司形象造成不良影响的事件;弱口令、空口令事件;未备案、未开展第三方安全测评事件;测试系统违规接入公司网络事件;符合信息系统七、八级事件的事件。,各类安全事件的处置,二、通报检查整改机制,3)管理违章事件:公司、各单位在检查、检测、督查等工作中发现的问题和隐患(如公司红队、各单位红蓝队发现的)确定为管理原因的事件,包括常见漏洞、已知漏洞未整改、不符合准入要求、设备上线安全检查不到位、系统安全策略配置不当、病
10、毒在一定范围内传播未能有效控制等管理违规情况。 4)技术类事件:非管理原因产生且未被国家或公司通报过的技术问题和隐患,同时相关单位能够及时处理、控制和消除影响的事件。,各类安全事件的处置,二、通报检查整改机制,各类安全事件整改报告应包括:通报及整改情况,分析原因,对责任单位(部门)和责任人进行责任追究情况,管理措施完善情况等。严重违章事件相关材料需由本单位(省级)盖章后上报信通部,其他安全事件需由本单位信息通信管理部门盖章后上报信通部。,各类安全事件的处置,二、通报检查整改机制,公司安全漏洞分为高危漏洞、中危漏洞及低危漏洞。 高危漏洞要求3个工作日内完成整改并反馈; 中危漏洞要求7个工作日完成
11、整改并反馈; 低危漏洞要求一个月内完成整改并反馈。 外网高危漏洞要在发现后的2小时内下线,待完成整改后上线。 公司将加强闭环整改工作情况的通报,并在公司门户网站挂网通报中,通报相关闭环整改工作情况。,安全漏洞的处置,三、2017考核指标体系,2017考核指标体系,三,网络安全类指标共包括三类:一是 2017年度各单位企业负责人业绩考核指标体系二是国家电网公司对标管理方案(2017版)三是2017年公司网络安全评价指标细则,三、2017考核指标体系,网络安全类指标,业绩考核分两项:企业负责人年度关键业绩指标和企业负责人年度业绩考核减项指标。其中企业负责人年度关键业绩指标中网络安全类指标权重占整个
12、信通部指标的三分之一;企业负责人年度业绩考核减项指标直接对应业绩考核的100分减分,出现问题直接扣分,减分项无下限。详见国家电网公司关于下达2017年度各单位企业负责人业绩考核指标体系的通知(国家电网人资2017198号),业绩考核,三、2017考核指标体系,三、2017考核指标体系,同业对标考核周期为一季度一次, 其中:1.网络安全违规事件指数包含信息系统事件、国家级和公司级通报、红蓝督研工作不合规性、闭环整改及时率等有关网络安全类的违章事件;2.安全监测及技措实用化不合格指数是对内外网桌面终端安全规范不合格、非法互联网出口等实时监测和技防措施实用化的不合格指数的全年累计值;3.网络安全工作
13、成效从重大隐患发现数、队伍建设成效、网络安全工作完成率、国家和公司表彰数等网络安全贡献度方面进行评价;4.人员评价从基础达标通过数、网络与信息安全人员到岗率和培训合格率、红蓝队员表彰数等人才选培方面进行评价。,同业对标,三、2017考核指标体系,依据2017年网络安全重点工作安排,按照“可量化、全覆盖、精简易循”原则,国网信通部制定2017年公司网络安全评价指标细则,指标细则共设置安全监测、风险管控、人员评价、网络安全管理、附加项5个评价主题。 评价指标细则为业绩考核、同业对标和流动红旗的主要评价来源,其中有月度指标和季度指标之分。参与评价的各单位按具体评价标准累计得分,国网信通部按月收集、汇
14、总数据并公布关键指标值,按双月编制分析报告并公布评价结果。具体详见2017公司网络安全评价指标细则。,网络安全评价指标细则,三、2017考核指标体系,为激励各单位争先创优,提升公司网络安全管理水平,督促公司内部各项目承建单位提高研发质量和服务质量,组织开展信息通信专业流动红旗评选活动。 一、评选内容 网络安全类相关的流动红旗共38面,其中网络安全流动红旗10面,信息通信优秀基层单位(班组)流动红旗 20面,信息通信优秀项目组3面,信息通信优秀项目组5面,详见信息通信专业流动红旗评选细则(2017版)。 二、评选范围及周期 流动红旗评选范围分为两部分,一是各单位信息通信职能管理部门及下属信息通信
15、专业单位,二是公司内部信息通信各项目研发单位。评选周期为每六个月评选一次,一年两次。 三、公布形式 流动红旗评选结果将在信息化网站上公布。,。,网络安全流动红旗,三、2017考核指标体系,红蓝督研工作机制,四,四、红蓝督研工作机制,四、红蓝督工作机制,在公司统一领导下,各专业、各单位密切协同、形成合力,建立统一高效的网络与信息安全对抗机制,实现网络与信息安全攻防对抗的“统一指挥、统一协调、统一预警、统一通报”。 公司网络与信息安全对抗机制主要对现有的网络与信息安全漏洞和隐患发现(红队)机制、信息安全内控(蓝队)机制、网络安全技术督查(督查)机制、研发安全全过程管控(研发)机制及重大活动网络安全
16、保障机制进行优化和深度融合,进一步明确“红队攻点,蓝队防控,督查监督,研发控源”的定位,强化网络对抗协同,共筑网络安全防线,顺利完成公司2017各项重大活动网络安全保障工作。,工作目标,四、红蓝督工作机制,在公司统一领导下,各专业、各单位密切协同、形成合力,建立统一高效的网络与信息安全对抗机制,实现网络与信息安全攻防对抗的“统一指挥、统一协调、统一预警、统一通报”。 公司网络与信息安全对抗机制主要对现有的网络与信息安全漏洞和隐患发现(红队)机制、信息安全内控(蓝队)机制、网络安全技术督查(督查)机制、研发安全全过程管控(研发)机制及重大活动网络安全保障机制进行优化和深度融合,进一步明确“红队攻
17、点,蓝队防控,督查监督,研发控源”的定位,强化网络对抗协同,共筑网络安全防线,顺利完成公司2017各项重大活动网络安全保障工作。,工作目标,工作机制:公司网络与信息安全检查与内控机制充分发挥红队、蓝队、督查、研发等专业队伍作用,开展风险研判、情报共享、态势分析、漏洞消缺、监督核查、通报考核等工作。建立网络与信息安全稽查机制,在公司网络安全和信息化领导小组办公室领导下,负责公司各专业、各单位的网络与信息安全稽查。各队伍密切协同,实现一处预警、协同响应,将网络安全攻防战时常态化。,四、红蓝督工作机制,四、红蓝督工作机制,红队主要负责常态开展网络与信息安全漏洞和隐患发现工作,互联网重大网络安全事件分
18、析、重大网络安全事件调查核查、威胁预警。强化与蓝队、督查队伍、研发队伍的联动,指导开展隐患排查、监督检查和安全加固。,工作机制,四、红蓝督工作机制,蓝队主要负责公司网络与系统的监测和日志分析,实现事件的及时发现、阻断、溯源和消缺。同时协同红队、督查、研发队伍,常态化发现、修复网络安全隐患,补足信息安全短板。主动开展隐患发现及修复工作,及时上报信息系统隐患、重大安全事件。分析红队提报的漏洞隐患,细化修复方案,对漏洞进行修复加固。针对发现的研发问题,及时提报公司总部或省级主管部门,并按计划更新研发队伍发布的漏洞补丁。,工作机制,四、红蓝督工作机制,督查队伍是第三方监督和检查队伍,一是按照公司要求对
19、所属省级单位各下属单位部门开展技术督查工作。二是结合红蓝队日常发现的安全隐患,对本单位进行全面检查,督促有关单位消除此类隐患对本单位的影响。三是检查蓝队工作的合规性以及漏洞整改情况,检查研发工作的安全措施落实情况以及漏洞隐患整改情况,检查红队工作的开展成效以及红队人员行为规范执行情况。,工作机制,四、红蓝督工作机制,各研发单位一是建立本单位研发系统的代码安全、物理安全、数据安全、权限安全和安全测评机制,确保发布、在用的研发软硬件没有恶意程序、漏洞及法律、行政法规禁止发布或者传输的信息。二是及时跟踪隐患发布情况,及时响应涉及信息系统研发层面安全隐患的整改与处理,及时向公司主管部门或单位反馈隐患整
20、改过程和结果,并分析由于研发阶段而产生隐患产生原因,采取整改措施。三是协助系统使用、运维单位进行整改加固。,工作机制,四、红蓝督工作机制,公司网络安全红队应引领公司网络安全发展,常态跟踪国内外网络安全攻防热点,分析网络安全态势,发现网络与信息安全漏洞和隐患,开展网络与信息安全事件与隐患调查核查,提升重大事件分析预警能力,给出整改处置方案。,工作内容-红队,四、红蓝督工作机制,1.深度态势分析常态跟踪国内外重大网络安全事件,及时进行舆情处置,分析最新网络安全动向,针对公司关键基础设施网络安全防护现状,研究事件危害程度及影响范围,开展脆弱性排查,给出前瞻性防护建议。 2.常态开展工作将网络安全漏洞
21、和隐患机制向基层单位、直属单位延伸,提高防护短板。常态开展公司信息外网、边界、系统、设备的隐患发现工作,重点进行公司信息内网安全巡检,提升公司基础安全防护能力。全面分析网络新技术、新应用、新产品带来的风险,开展专题研究,主动防御潜在威胁,提升公司威胁感知能力。,工作内容-红队,四、红蓝督工作机制,3.重大事件调查核查强化对各单位发生的疑似重大违章事件的取证、调查及整改督办力度,持续提升各单位网络安全管理水平。强化疑似网络攻击或漏洞隐患被利用事件的预警、调查、核查力度,消除公司网络安全潜在威胁。 4.红队能力提升各单位完善红队评价机制,强化调考、竞赛在红队队员培养中的激励作用,开通红队评优通道,
22、提升优秀红队队员能力水平。各单位结合公司2017年培训计划,明确相应培训内容,开展逆向、移动APP等专项网络安全培训,确保具有网络安全实战能力。鼓励各单位开展人才梯队建设,保障本单位红队工作的同时,选派优秀队员参与公司总部红队工作。,工作内容-红队,四、红蓝督工作机制,5.红队行为管理各单位要加强国家电网公司网络与信息安全漏洞和隐患发现人员(红队人员)安全管理要求(以下简称红队人员管理要求)的贯彻落实,明确备案制度,确保红队工作合法合规。一是及时签订红队个人承诺书,遵守红队队员行为操守,确保红队队员行为合规。二是开展漏洞和隐患发现工作时,应按照红队人员管理要求进行备案,备案后方可进行相关工作。
23、,工作内容-红队,四、红蓝督工作机制,6.重点专项工作一是建立红队技能传递机制,提升公司整体红队技能水平。二是开展公司各类终端的准入与身份认证研究,实现对终端的网络访问行为进行有效的控制。三是加大新技术新业务安全研究,如互联网+、国际业务、充电桩、智能电表等,分析是否存在权限不当以及产生信息泄露的风险。四是加大对工控安全的研究力度,强化非传统安全的研究,提升工控系统整体安全防护能力。,工作内容-红队,四、红蓝督工作机制,组织试点单位建立网络安全分析室,持续提升蓝队网络安全监控分析、隐患发现、加固修复等能力,实现信息安全内控的“统一监控、统一预警、统一调度”,深化开展蓝队专项工作,提升公司信息安
24、全内控能力。,工作内容-蓝队,四、红蓝督工作机制,1.建立蓝队网络安全分析室组织试点单位建立网络安全分析室,开展网络安全监测、分析、预警工作。一是组织开展网络安全风险监测、分析与预警,实现统一监控、统一预警。二是以网络安全分析室为抓手,统一调度本单位蓝队开展信息安全内控相关工作。 三是深度发现挖掘本单位网络安全隐患、风险,并组织蓝队进行加固修复。四是逐步实现信息安全内控全覆盖。充分发挥网络安全专职岗位作用,推进信息安全内控向基层单位延伸,逐步实现安全内控省市单位全覆盖。,工作内容-蓝队,四、红蓝督工作机制,2.落实信息网络基础安全各单位应按照“清家底、明风险、实台账、控边界”的思路,全面开展安
25、全隐患排查,管控安全风险薄弱环节。一是理清网络设备、安全设备的防护情况,摸清家底,辨识安全风险。二是开展等级保护“回头看”,解决等保责任主体不明确,新增、自建系统未备案等问题。三是全面梳理网络安全架构,做好网络改造后的安全架构加固与优化。四是积极创新工作方式,总结凝练信息安全内控典型经验。,工作内容-蓝队,四、红蓝督工作机制,3.蓝队基础能力建设各单位组织开展信息安全内控专项技能提升工作。一是实现蓝队“知攻知防”,通过各单位组织培训,提高蓝队人员网络入侵和防护加固基础理论。二是提高蓝队实战能力,通过实战对抗演练,提升蓝队网络安全事件分析、取证溯源能力。三是定期开展专业队伍选拔,通过区域网络对抗
26、竞赛、线上网络竞赛等形式,选拔具备实战能力的人员入选国网蓝队。,工作内容-蓝队,四、红蓝督工作机制,4.重点专项工作一是开展教材编制工作,由牵头单位总结蓝队工作关键点,编制蓝队理论教材。二是基础安全方面,巩固2016年专项工作成果,深入排查落实漏洞修复情况,并实时更新漏洞修复手册。三是安全防护架构梳理,全面梳理安全设备策略,并对现有网安全架构进行评估优化。四是开展蓝队自动化研究,逐步实现蓝队防护批量化、自动化。,工作内容-蓝队,四、红蓝督工作机制,充分发挥信息安全督查第三方监督的作用,严格核查国网公司关于印发信息通信安全性评价(试行)及信息通信安全性评价查评依据和信息系统等级保护要点的落实情况
27、,核查漏洞隐患整改情况,督促安全隐患消缺。严格检查国家电网公司安全事故调查规程的执行情况,杜绝信息安全事件失察、瞒报、误报等情况发生。增强安全隐患发现与督查面,做到检查单位的全覆盖。强化研发安全落实情况的监督及检查。进一步夯实区域协作。深化督查工具集的应用,查漏补缺,提前控制,防患于未然,做到问题消灭在本单位内部,提升公司网络与信息安全基础防护水平。,工作内容-督查,四、红蓝督工作机制,1.日常督查一是加强督查检查的力度和深度,各单位要成立相应的信息安全督查检查组。督查检查组须建立对单位内部常态的督查检查机制,开展对信息内外网信息系统及设备的漏洞与弱口令、桌面终端违规接入和违规外联、病毒木马感
28、染、信息外网互联网出口攻击与非正常访问、对外网站和服务系统安全、邮件系统敏感信息审计拦截、已知的漏洞隐患整改落实情况、安全与应急管理落实情况、运维信息安全防护情况、信息基础设施安全情况、网络及边界安全情况、终端安全情况等常态排查。各单位每月上报工作开展情况。,工作内容-督查,四、红蓝督工作机制,1.日常督查二是常态开展国家电网公司安全事故调查规程执行情况检查工作,检查单位内部信息安全事件发生的处置情况,是否按照调规要求开展事件调查,是否存在调查过程失察情况发生,是否存在瞒报、误报情况。各单位每月上报检查情况。三是建立对红蓝队以及研发安全工作的监督检查机制,信息安全督查检查组要常态检查红队工作开
29、展情况、红队人员操守、蓝队工作合规性、研发安全落实情况,各单位每月上报检查情况。,工作内容-督查,四、红蓝督工作机制,2.专项督查2017年由牵头单位重点开展本单位内等级保护执行情况专项督查、常见漏洞回头看、网络安全法落实情况、安全防护方案落实、省级直属单位安全落实情况、移动APP安全、网络边界安全、智能巡检机器人安全、无人机应用新业务安全等9个督查专项工作。,工作内容-督查,四、红蓝督工作机制,3.协作组督查各单位要积极落实督查区域协作组专项督查、安全预警发布等工作机制,充分发挥区域协作组作用。各协作组编制2017年协作组工作方案,召开区域工作启动会,落实区域内专项检查、技术交流、区域安全预
30、警等工作机制,编制并上报协作组工作月报,季度开展区域内的流动红旗评比工作。(分组情况详见下表),工作内容-督查,四、红蓝督工作机制,四、红蓝督工作机制,4.督查工具集应用深化完善督查工具集应用深化工作的反馈、沟通机制,及时解决工具集应用中存在的问题,整体提升督查工具集应用的规范性及使用人员的技术水平和熟练程度。各单位按月上报督查工具集在常态督查工作应用中存在的问题,管控组将对问题进行汇总、分析,由项目组按月针对问题提供相应的解决措施。 5.红黄牌机制强化强化红黄牌的预警作用,国家通报的漏洞隐患发红牌,公司查出未整改漏洞发红牌,公司发现的管理漏洞及重大技术漏洞发黄牌,各单位接到漏洞整改单未按时整
31、改反馈的发黄牌,红黄牌发放情况每月进行通报。,工作内容-督查,四、红蓝督工作机制,严格落实网络安全法关于产品安全质量的要求,进一步夯实本质安全,树立“质量即生命”的观念,落实产品质量责任连带制,对被通报的问题要追溯考核项目单位、项目组、项目人员,加强产品负责人和研发人员的考核和管理。 严肃产品质量考核与追责各研发单位要全员学习网络安全法,贯彻执行国家法律法规要求,明确各级人员研发的网络安全责任,签署网络安全责任书。强化企业负责人产品安全意识,明确机构和岗位职责,实现专岗专责。加强研发安全产品质量的考核和责任追查,从源头将安全隐患降至最低。强化系统隐患或漏洞整改考核与自身安全管理考核。,工作内容
32、-研发,四、红蓝督工作机制,严肃产品质量考核与追责各研发单位要全员学习网络安全法,贯彻执行国家法律法规要求,明确各级人员研发的网络安全责任,签署网络安全责任书。强化企业负责人产品安全意识,明确机构和岗位职责,实现专岗专责。加强研发安全产品质量的考核和责任追查,从源头将安全隐患降至最低。强化系统隐患或漏洞整改考核与自身安全管理考核。,工作内容-研发,四、红蓝督工作机制,加强产品安全质量管理各研发单位要建立信息系统研发安全质量管理体系,从需求设计、方案设计至系统下线进行全过程安全质量把控。按照公司国家电网公司网络和信息安全反违章措施-安全编码二十条(试行)详细制定本单位安全编码规范,加强代码编写质
33、量。加强信息系统安全自测试管理,建立测试流程规范。针对安全自测过程中发现的问题,加强分析、跟踪、整改和消除的闭环管理。要建立信息系统漏洞修复及补丁制作的管理流程,明确责任,对发现的漏洞进行收集和分析,确保漏洞按时按质被修复。,工作内容-研发,四、红蓝督工作机制,提升研发人员安全意识及数据安全防护加强人员的保密意识,确保与每位研发人员、测试人员、管理人员签订保密协议,杜绝涉及公司的数据、方案等资料上传至互联网(如百度文库、云盘)的现象发生。详细制定并严格执行外包人员管理办法,设置各类人员对系统代码的访问权限,防止系统代码及数据泄漏。各研发单位应制定年度培训计划,定期对各类人员开展研发安全基础类、
34、专业类培训,并对培训结果进行考核。,工作内容-研发,四、红蓝督工作机制,提升研发环境安全防护实现办公信息内网、研发测试网和互联网的三网隔离。对开发、测试网络环境、代码服务器必须设置防火墙等网络安全设备,安装并定期更新服务器和各类终端的病毒库。使用第三方开发平台必须经过安全评估,使用正版并更新至最新的补丁,防止信息系统带病开发。,工作内容-研发,四、红蓝督工作机制,加强研发安全审查各研发单位出厂信息系统必须经过中国电科院第三方安全测试、公司红蓝队安全隐患排查等安全审查。根据审查结果将对各研发单位进行相应的考核。安全审查中,如发现信息系统安全隐患较多、整改次数较多、整改不及时,都将纳入厂商不良行为
35、考核。限制其在国网公司的投标资格。研发单位将信息系统软件著作权资料移交至中国电科院。保证提交资料的真实性、完整性和可用性,确保提交与安全测试版本、现场版本保持一致。,工作内容-研发,四、红蓝督工作机制,为做好2017年十九大、“一带一路”国际合作高峰论坛、“金砖国家峰会”等重要活动保障任务,统筹全网资源,强化协调指挥,协同各专业、保障单位,提前排查消除安全隐患,实现网络攻击实时监测、精准研判、及时预警和有效处置,确保圆满完成两会期间网络安全保障工作。,工作内容-重大保障,四、红蓝督工作机制,1.保障工作筹备 (1)漏洞自查与加固机制保障单位对本单位等级保护及备案、安全管理制度落实、安全防护方案
36、进行资料检查,对本单位各系统、网络边界进行地毯式排查,并进行复核销号,以最小化原则减少风险暴露面。 (2)应急预案机制。保障单位针对电力监控系统入侵、大规模数据泄露、拒绝服务(DDoS)攻击、域名解析劫持、网站内容篡改、后门植入、物理入侵、大规模病毒爆发、社会工程学攻击、邮件钓鱼等典型攻击制定应急预案。,工作内容-重大保障,四、红蓝督工作机制,1.保障工作筹备 (3)保障活动动员机制。公司和保障单位开展安全保障工作动员会,针对保障工作做出具体部署和要求,全员宣贯学习员工网络安全行为准则、员工行为“十不准”,落实网络安全准则和保障工作保密要求。 (4)保障指挥机制。依据“一体化、扁平化、实战化”
37、的指挥体系要求,建立两级网络安全保障的指挥部、两级网络攻击分析室,建立网络安全保障监控大厅。,工作内容-重大保障,四、红蓝督工作机制,1.保障工作筹备 (5)保障筹备工作闭环。保障筹备过程中,由公司领导检查、保障单位自查、专家组抽查等多种形式,以现场和远程的方式,对保障单位特别是重点保障单位筹备工作情况进行督查和检查。,工作内容-重大保障,四、红蓝督工作机制,2.保障值守与监控贯彻落实各项机制,落实“零汇报”制度,及时发现攻击并有效处置,加强与国家有关部门联动,确保顺利完成保障工作。(1)执行特保措施。保障单位根据前期制定的系统临时关停/隔离计划,结合特保时段,对内、外网系统及生产控制大区相关
38、系统进行关停/隔离处置。(2)落实各项保障机制。重点保障单位依照指挥体系,组织保障单位协调配合,开展保障监测、分析、处置工作,并可参照重大活动期间网络安全保障特殊防护措施,开展特殊时期的安全防护措施。,工作内容-重大保障,四、红蓝督工作机制,2.保障值守与监控 (3)全天候值守保障。保障单位落实监控方案和7*24小时值班计划,执行“零汇报”制度,加强与总指挥部沟通联络,及时上报各类入侵事件情报。全力做好保障工作中的安全防护工作,确保及时发现攻击并做出合理处置。,工作内容-重大保障,四、红蓝督工作机制,2.保障值守与监控(4)保障监控、分析与处置机制。网络安全分析室中,事件监测组,利用入侵检测、日志审计、应用级防火墙等各类设备,对攻击事件进行实时监测。分析研判组,对专业监测组提供情报进行分析、还原,并向应急处置组提供处置分析结论。应急处置组对专家技术组提供的处置意见进行合理处置,重大问题汇报指挥领导组。保障指挥部领导小组负责对重要事项进行决策,并组织网络分析室对高危入侵事件进行全网通报,重大信息安全入侵事件及时上报国家有关部门。,工作内容-重大保障,
