對(duì)于如何化解風(fēng)險(xiǎn)，習(xí)近平總書(shū)記在《關(guān)于〈中共中央關(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議〉的說(shuō)明》中指出，“我們必須堅(jiān)持統(tǒng)籌發(fā)展和安全，增強(qiáng)機(jī)遇意識(shí)和風(fēng)險(xiǎn)意識(shí)，樹(shù)立底線思維，把困難估計(jì)得更充分一些，把風(fēng)險(xiǎn)思考得更深入一些，注重堵漏洞、強(qiáng)弱項(xiàng)，下好先手棋、打好主動(dòng)仗，有效防范化解各類風(fēng)險(xiǎn)挑戰(zhàn)，確保社會(huì)主義現(xiàn)代化事業(yè)順利推進(jìn)?！?/p>

對(duì)漏洞而言，有效的漏洞管理可以及早地發(fā)現(xiàn)漏洞并遏制漏洞利用事件的發(fā)生，能顯著降低企業(yè)面臨的風(fēng)險(xiǎn)。近年來(lái)，國(guó)家網(wǎng)絡(luò)空間法律法規(guī)密集出臺(tái)，2021 年，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理辦法（征求意見(jiàn)稿）》相繼發(fā)布，對(duì)漏洞管理工作進(jìn)行了明確的規(guī)范。

南方電網(wǎng)公司（以下簡(jiǎn)稱公司）作為關(guān)系國(guó)計(jì)民生的電力關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，隨著公司數(shù)字化轉(zhuǎn)型建設(shè)的不斷推進(jìn)，數(shù)字化業(yè)務(wù)與網(wǎng)絡(luò)安全逐漸高度融合，要求公司必須增強(qiáng)機(jī)遇意識(shí)和風(fēng)險(xiǎn)意識(shí)，牢固樹(shù)立底線思維，加強(qiáng)網(wǎng)絡(luò)安全體系和能力建設(shè)，全面提升網(wǎng)絡(luò)安全本質(zhì)安全水平，實(shí)現(xiàn)人、物、管理、環(huán)境等各要素安全可靠、和諧統(tǒng)一，逐步趨近和實(shí)現(xiàn)預(yù)防型、恒久型、本質(zhì)型的安全目標(biāo)，夯實(shí)公司高質(zhì)量發(fā)展安全基礎(chǔ)，構(gòu)建本質(zhì)安全型數(shù)字化轉(zhuǎn)型，為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作積極奉獻(xiàn)力量。

一、探索與實(shí)踐

公司嚴(yán)格貫徹落實(shí)國(guó)家各項(xiàng)法律法規(guī)，依照網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定等相關(guān)要求，定期召開(kāi)會(huì)議，專題研究，認(rèn)真部署，深入開(kāi)展網(wǎng)絡(luò)安全合規(guī)管控，加強(qiáng)網(wǎng)絡(luò)安全漏洞管理深度和技術(shù)強(qiáng)度。

（一）壓實(shí)安全責(zé)任鏈條，夯實(shí)人員安全底座

公司以結(jié)果為導(dǎo)向，貫徹落實(shí)國(guó)家法律法規(guī)和上級(jí)領(lǐng)導(dǎo)要求。以壓實(shí)安全責(zé)任鏈條、提升六項(xiàng)管理能力、落實(shí)人員管控機(jī)制為手段，全面提升公司網(wǎng)絡(luò)安全管理與監(jiān)督能力，使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可控在控。

根據(jù)國(guó)家要求，優(yōu)化完善公司網(wǎng)絡(luò)安全組織架構(gòu)，設(shè)置首席網(wǎng)絡(luò)安全官，以首席網(wǎng)絡(luò)安全官為督導(dǎo)主體，深化安全責(zé)任落實(shí)，強(qiáng)化責(zé)任制檢查考核獎(jiǎng)懲力度，做到“職責(zé)實(shí)、機(jī)構(gòu)全、崗位明、手段齊、底數(shù)清、考核嚴(yán)”。

明確各級(jí)網(wǎng)絡(luò)安全責(zé)任人。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)、管業(yè)務(wù)必須管安全”的原則，設(shè)置專門(mén)安全管理機(jī)構(gòu)和安全管理人，明確各級(jí)單位的網(wǎng)絡(luò)安全主要負(fù)責(zé)人和直接責(zé)任人，對(duì)網(wǎng)絡(luò)安全關(guān)鍵崗位建立人員清單，定期對(duì)專門(mén)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。

（二）建設(shè)漏洞“中樞”平臺(tái)，實(shí)現(xiàn)全網(wǎng)統(tǒng)一的安全漏洞持續(xù)發(fā)現(xiàn)、通報(bào)、驗(yàn)證、處置閉環(huán)管理

經(jīng)過(guò)多年網(wǎng)絡(luò)安全建設(shè)，公司已建成信息安全運(yùn)行監(jiān)控預(yù)警系統(tǒng)、資產(chǎn)庫(kù)、網(wǎng)絡(luò)安全漏洞庫(kù)、網(wǎng)絡(luò)安全靶場(chǎng)，集立體監(jiān)測(cè)、威脅研判、態(tài)勢(shì)感知、仿真驗(yàn)證、安全運(yùn)營(yíng)支撐、自動(dòng)化處置等應(yīng)用能力于一體。對(duì)接 CNNVD 國(guó)家信息安全漏洞庫(kù)，基于預(yù)警平臺(tái)實(shí)現(xiàn)了統(tǒng)一漏洞管理機(jī)制，降低因漏洞修補(bǔ)不及時(shí)、不全面而導(dǎo)致的風(fēng)險(xiǎn)。

對(duì)信息安全運(yùn)行監(jiān)控預(yù)警系統(tǒng)進(jìn)行技術(shù)架構(gòu)重構(gòu)。充分利用云原生技術(shù)，推進(jìn)以微服務(wù)模式提供各類安全能力組件接口，推進(jìn)數(shù)字電網(wǎng)安全“中樞”所有專業(yè)功能組件分層解耦和接口標(biāo)準(zhǔn)化，建立開(kāi)放生態(tài)，支持后續(xù)功能疊加演進(jìn)。建設(shè)標(biāo)準(zhǔn)、統(tǒng)一的網(wǎng)絡(luò)安全數(shù)據(jù)采集、處理、存儲(chǔ)、分析與服務(wù)底座，進(jìn)一步把安全大數(shù)據(jù)服務(wù)與安全分析、態(tài)勢(shì)感知等專業(yè)應(yīng)用進(jìn)行解耦，將安全大數(shù)據(jù)模塊拆分為獨(dú)立的安全大數(shù)據(jù)服務(wù)設(shè)施。完善網(wǎng)絡(luò)安全漏洞庫(kù)和威脅情報(bào)庫(kù)，建立惡意代碼庫(kù)和處置知識(shí)庫(kù)。建立常態(tài)化網(wǎng)絡(luò)安全攻防機(jī)制，按照“紅隊(duì)攻點(diǎn)，藍(lán)隊(duì)防控，督查監(jiān)督”的定位，切實(shí)防范信息安全漏洞隱患。

（三）緊抓供應(yīng)鏈管控措施，“不能粗、不能放、不能松”

供應(yīng)鏈?zhǔn)墙陙?lái)漏洞事件高發(fā)之地。公司持續(xù)更新細(xì)化供應(yīng)鏈圖譜，針對(duì)公司核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)以及其他對(duì)公司有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，根據(jù)國(guó)家相關(guān)規(guī)定，結(jié)合安全威脅情報(bào)，制定網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈產(chǎn)品、企業(yè)、安全隱患與整改清單，對(duì)清單進(jìn)行審核、發(fā)布、持續(xù)更新，確保安全隱患漏洞為零時(shí)才允許入網(wǎng)。

增強(qiáng)產(chǎn)品服務(wù)供應(yīng)鏈入網(wǎng)安全。公司組織專業(yè)評(píng)估測(cè)試團(tuán)隊(duì)，加強(qiáng)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品檢測(cè)認(rèn)證，制定軟硬件產(chǎn)品入網(wǎng)要求，審核產(chǎn)品入網(wǎng)資格，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全審查要求。常態(tài)化加強(qiáng)設(shè)備入網(wǎng)測(cè)試、到貨抽檢等網(wǎng)絡(luò)安全測(cè)試。加強(qiáng) IT 資產(chǎn)及其組件的版本管理，對(duì)軟件所使用的開(kāi)源組件進(jìn)行識(shí)別，檢測(cè)開(kāi)源組件漏洞，分析組件安全風(fēng)險(xiǎn)，避免開(kāi)源組件帶來(lái)的安全風(fēng)險(xiǎn)。對(duì)硬件的固件進(jìn)行統(tǒng)一源代碼缺陷分析、源代碼后門(mén)審計(jì)和源代碼缺陷修復(fù)跟蹤，避免固件缺陷導(dǎo)致的安全風(fēng)險(xiǎn)。

提升已入網(wǎng)產(chǎn)品、服務(wù)供應(yīng)鏈應(yīng)急能力。公司制訂服務(wù)、產(chǎn)品替代要求，當(dāng)識(shí)別已入網(wǎng)軟硬件產(chǎn)品發(fā)生高威脅漏洞或者已知重大隱患情況時(shí)，及時(shí)進(jìn)行版本更替或者產(chǎn)品替換，實(shí)現(xiàn)業(yè)務(wù)連續(xù)及可靠。

（四）實(shí)戰(zhàn)化網(wǎng)絡(luò)安全運(yùn)行保障，建設(shè)網(wǎng)絡(luò)安全“快反”機(jī)制

完善“全網(wǎng)一盤(pán)棋”下的安全指揮和運(yùn)營(yíng)能力。建成公司一體化網(wǎng)絡(luò)安全運(yùn)營(yíng)中心和網(wǎng)絡(luò)安全信息通報(bào)中心。創(chuàng)立網(wǎng)省兩級(jí)網(wǎng)絡(luò)安全指揮機(jī)制，組建網(wǎng)省級(jí)運(yùn)營(yíng)中心、地市級(jí)運(yùn)營(yíng)班組，統(tǒng)籌公司各級(jí)安全監(jiān)控分析、網(wǎng)絡(luò)攻防對(duì)抗、事件應(yīng)急響應(yīng)、信息通報(bào)共享、指揮協(xié)調(diào)、聯(lián)防聯(lián)保。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)威脅的“一處發(fā)現(xiàn)、處處攔截”，針對(duì)全域防護(hù)提供運(yùn)行保障支撐，提升聯(lián)合防御、協(xié)同應(yīng)對(duì)能力。

完善預(yù)測(cè)、防護(hù)、檢測(cè)與響應(yīng)專業(yè)能力，覆蓋風(fēng)險(xiǎn)識(shí)別、威脅檢測(cè)、預(yù)警響應(yīng)、場(chǎng)景化安全防護(hù)需求。

充分利用公司統(tǒng)一安全漏洞庫(kù)、威脅情報(bào)庫(kù)以及安全態(tài)勢(shì)感知信息，整合外部安全漏洞挖掘與情報(bào)研究資源，加強(qiáng)網(wǎng)絡(luò)安全積極防御與攻擊反制，提升網(wǎng)絡(luò)安全對(duì)抗實(shí)戰(zhàn)化水平，減少高級(jí)持續(xù)性安全威脅所可能造成的風(fēng)險(xiǎn)或危害。

實(shí)戰(zhàn)化錘煉網(wǎng)絡(luò)安全隊(duì)伍，加強(qiáng)應(yīng)急指揮與處置能力。公司組建網(wǎng)省兩級(jí)網(wǎng)絡(luò)安全技術(shù)隊(duì)伍，建設(shè)網(wǎng)級(jí)電力專用網(wǎng)絡(luò)安全靶場(chǎng)及電力監(jiān)控系統(tǒng)仿真演練環(huán)境，組織系統(tǒng)化練兵。定期組織實(shí)戰(zhàn)型網(wǎng)絡(luò)攻防演習(xí)，檢驗(yàn)網(wǎng)絡(luò)安全防御、監(jiān)測(cè)預(yù)警和應(yīng)急處置能力，提升網(wǎng)絡(luò)安全應(yīng)急處置能力，有效支撐重保、護(hù)網(wǎng)等網(wǎng)絡(luò)安全工作，達(dá)成“以我為主”建設(shè)隊(duì)伍和實(shí)戰(zhàn)檢驗(yàn)應(yīng)急預(yù)案雙重效能。

（五）深化安全漏洞風(fēng)險(xiǎn)管理體系，形成漏洞安全風(fēng)險(xiǎn)管控長(zhǎng)效機(jī)制

健全網(wǎng)絡(luò)安全漏洞管控機(jī)制。公司深化安全漏洞風(fēng)險(xiǎn)管理體系在網(wǎng)絡(luò)安全的應(yīng)用，組建數(shù)字化業(yè)務(wù)風(fēng)險(xiǎn)管控專家隊(duì)伍，深度梳理數(shù)字化業(yè)務(wù)，研判數(shù)字化業(yè)務(wù)風(fēng)險(xiǎn)，建立數(shù)字化業(yè)務(wù)風(fēng)險(xiǎn)分級(jí)清單，制定并定期更新數(shù)字化業(yè)務(wù)風(fēng)險(xiǎn)基準(zhǔn)控制措施。

公司擴(kuò)大安全內(nèi)控及督查范圍，常態(tài)化開(kāi)展網(wǎng)絡(luò)安全漏洞排查治理，形成從漏洞發(fā)現(xiàn)、漏洞驗(yàn)證、漏洞分析、漏洞預(yù)警排查、資產(chǎn)脆弱性分析、補(bǔ)丁驗(yàn)證、漏洞修復(fù)、漏洞消控審核的跟蹤閉環(huán)機(jī)制。確保安全風(fēng)險(xiǎn)可控在控、隱患漏洞應(yīng)消盡消。

（六）深入推進(jìn)加強(qiáng)多方合作，打造網(wǎng)絡(luò)安全合作生態(tài)圈

公司與國(guó)家級(jí)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)達(dá)成戰(zhàn)略合作，例如與中國(guó)信息安全測(cè)評(píng)中心簽訂戰(zhàn)略合作協(xié)議，借助國(guó)家級(jí)高水平力量共保網(wǎng)絡(luò)安全。

參加粵港澳電力企業(yè)網(wǎng)絡(luò)安全交流會(huì)議，建立網(wǎng)絡(luò)安全情報(bào)共享機(jī)制，與粵港澳三地共享安全漏洞、威脅情報(bào)、惡意 IP 等信息。

打造能源行業(yè)產(chǎn)、學(xué)、研、用相結(jié)合的網(wǎng)絡(luò)安全協(xié)作生態(tài)。公司與業(yè)內(nèi)頂級(jí)安全公司、知名高校、高水平研究機(jī)構(gòu)建立良性互動(dòng)的緊密合作關(guān)系，提高公司網(wǎng)絡(luò)安全服務(wù)對(duì)外輻射能力，構(gòu)建跨界融合的安全生態(tài)，提升公司和網(wǎng)絡(luò)安全行業(yè)的協(xié)作廣度。

二、總結(jié)與思考

公司在漏洞管理方面的探索和實(shí)踐已取得顯著成效，相關(guān)流程機(jī)制常態(tài)化運(yùn)轉(zhuǎn)，歷經(jīng)多次網(wǎng)絡(luò)安全重大活動(dòng)保障考驗(yàn)。例如，在 2021 年重大漏洞Log4j 事件中，公司獲悉 Apache Log4j2 高危漏洞線索后，連夜組織緊急研判和果斷處置，實(shí)時(shí)阻斷網(wǎng)絡(luò)攻擊，完成受影響系統(tǒng)的全面消缺，切實(shí)防范化解了重大隱患，充分檢驗(yàn)了公司網(wǎng)絡(luò)安全全天候?qū)崙?zhàn)化能力。

在已初見(jiàn)成效的安全防護(hù)體系的建設(shè)成果之上，公司堅(jiān)持頂層視角、全面統(tǒng)籌、整體規(guī)劃，以“三同步”原則，推進(jìn)安全和信息化的“全面覆蓋、深度融合”，在滿足監(jiān)管要求的基礎(chǔ)上，進(jìn)一步錘煉“實(shí)戰(zhàn)化、體系化、常態(tài)化”的安全能力，逐步建成“協(xié)同一體、雙向支撐、全面延伸、服務(wù)共享”的具有南網(wǎng)特色的網(wǎng)絡(luò)安全綜合保護(hù)體系 2.0。