党的二十大报告提出,坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。网络安全是建设网络强国、数字中国的基石。近年来,水利部加强网络安全管理和技术创新,建立由管理体系、技术体系、保障体系组成的网络安全综合防御体系,形成领导重视、各部门协同发力的网络安全工作格局,行业整体网络安全能力和水平显著提升,确保多年来水利网络安全零事件,保障水旱灾害防御、水资源管理和重大水利工程自动控制等系统安全高效稳定运行。

以机制健全为抓手,构建管理体系

2018年水利部党组明确了“安全、实用”水利网信发展总要求,突出强调高度重视网络安全工作。

细化网络安全责任。水利部严格落实党委(党组)网络安全工作责任制,明确各级水利部门网络安全职责,将关键信息基础设施保护工作部门细化为安全管理部门和业务主管部门,安全管理部门统筹协调,业务主管部门在各自业务领域协同推进,同时明确运营者业务管理部门、安全管理部门、使用部门、建设单位、运维单位各自责任,形成齐抓共管工作合力。每年更新印发年度网络安全责任人名录、数据安全责任人名录、关键信息基础设施安全责任人名录,细化责任清单,落实网络安全责任。将网络安全工作纳入领导班子和领导干部年度考核评价,强化网络安全考核。

健全网络安全管理制度。出台《水利网络安全管理办法》和《水利网络安全顶层设计》,确立水利网络安全的基本策略,并以此为基础,强化网络安全、关键信息基础设施保护安全、数据安全、供应链安全、信息通报、联防联控、应急管理等方面的制度建设,构建了涵盖组织管理、技术防护、安全运营、保障支撑的水利网络安全制度体系。

构建行业联防联控工作机制。围绕网络安全脆弱性威胁事件,依托行业态势感知平台、威胁情报中心,以及水利网络安全工作平台、水利蓝信等信息通报平台,建立情报共享、内外协同、上下联动的水利网络安全联防联控机制,实现“一处预警、处处设防,一处威胁、处处处置”。行业联防联控工作机制在网络安全保障工作中发挥重要作用,仅2022年,行业共享威胁预警5000多次,联合处置70多起高危网络安全攻击。

水利部构建行业网络安全联防联控工作机制。

建立“查、改、罚”监督检查机制。水利部依据《水利网络安全管理办法》,围绕“及时发现漏洞、及时有效处置漏洞”两个关键,建立“及时发现漏洞、有效处置漏洞、严格责任追究”三套机制,通过“查、改、罚”等有效手段,强化水利网络安全监管。在“查”方面,水利部以渗透测试、专项整治行动等方式开展行业网络安全检查,及时有效发现问题;在“改”方面,对发现的问题通过通知、通报等多种形式进行提醒、督促整改,各单位及时整改并反馈,实现漏洞隐患动态清零;在“罚”方面,对有关单位开展责任追究,各单位也对具体责任部门、责任人进行约谈、通报,通过层层传导压力、扩大通报范围等产生震慑作用。

以关键信息基础设施保护为重点,完善技术体系

水利部在网络安全防护策略和网络安全综合防御体系的支撑下,建立统一基础服务和两套机制,提升安全防护基线水平,同时也支撑网络类关键信息基础设施的防护,分类施策,对其他不同类型关键信息基础设施制定有针对性的防护措施。

提升安全防护基线水平。一是建立安全共享的统一服务。构建行业运行所需的统一安全服务基础设施,形成纵深防御底盘,提升安全能力的整合共享,有效杜绝以前频频出现的弱口令、应用“带病”上线等普遍问题。二是强化态势感知监测预警。建设通用网络安全大数据平台,汇集管理网内各类安全相关数据,在此基础上,研发网络安全威胁检测规则、算法,形成开放可成长网络安全威胁感知平台;各单位依托大数据平台和情报资源建设本单位威胁感知系统,形成互联共享的安全态势感知体系。三是掌握行业安全态势。部署行业网络安全监管平台,在行业各单位重要网络节点部署流量监测设备,通过对各单位互联网、水利业务网出口流量实时采集、处理、汇总、分析,形成行业安全态势,统筹应对处置网络安全事件。

采用业务深度融合算法模型方法保护核心业务类关键信息基础设施。基于网络安全大数据平台,在公用威胁检测算法模型基础上,针对水旱灾害防御、水资源管理等核心业务的业务特征、业务流程、访问行为等,研发与水利业务深度融合的异常检测算法模型,有效弥补传统基于攻击特征的威胁检测算法模型难以应对“0DAY”(零日漏洞)、APT(高级持续性威胁)等高级攻击问题,提升业务安全监测的精准度和时效性。

采用点面结合密码保护技术保护数据类关键信息基础设施。基于数据库透明加密技术进行“面”防护,降低攻击者“拔盘”窃取数据风险。同时,对应用内重要、敏感数据进行字段加密,形成对“点”防护,降低合法用户窃取数据的风险。通过“双保险”的关键数据防护模式,保障海量水利数据安全。

构建安全可信环境保护工控类关键信息基础设施。在严格两网四区边界隔离措施基础上,通过设备自主可控、可信设备准入和通信加密等措施,形成安全可信环境,保护水利工程控制系统安全。推进水利工程控制系统可编程逻辑控制器(PLC)、数据采集与监视控制系统(SCADA)等核心软硬件产品国产化进程,研发适用于大型水利枢纽、长距离引调水等多场景系列产品,构建边缘可信防护系统,自动拒绝未授权设备入网,集成国产密码模块实现PLC与上位机之间的通信加密。

以人才培养为关键,夯实保障体系

培养水利网络安全人才。网络安全人才是关键,必须培养自己的安全技术队伍。水利部建立了由领军人才、首席网络安全官、网络安全技术骨干、网络安全运营人才、网络安全应急专家组成的超过3000人的水利网络安全人才队伍,组建“国家关键信息基础设施(水利)安全技术”人才创新团队,成功入选水利人才创新团队。

制定网络安全标准规范。网络安全标准规范在网络工作中发挥着基础性、规范性、引领性作用。水利部在国家网络安全等级保护等相关标准规范基础上,针对水利行业特点,颁布了《水利网络安全保护技术规范》等行业网络安全标准规范,覆盖设计、建设、运行全生命周期。各单位也依据行业标准形成较为完善的网络安全防护体系和日常运行维护体系。

网络安全是一项复杂的系统工程,水利部将深入贯彻习近平总书记关于网络强国的重要思想,多措并举、综合治理、常抓不懈,探索管理和技术创新双轮驱动的综合防御体系,为保障国家水安全提供有力支撑。

作者:蔡阳 水利部网络安全和信息化领导小组办公室主任、信息中心主任

来源:《中国网信》2022年第10期

声明:本文来自中国网信杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。