中國信息安全 - 專題·漏洞治理 | 網絡安全漏洞管理的探索與實踐－鑽石舞台

Aug 21 Sun 2022 21:01
中國信息安全 - 專題·漏洞治理 | 網絡安全漏洞管理的探索與實踐

掃碼訂閱《中國信息安全》雜誌

郵發代號 2-786

征訂熱線：010-82341063

文│南方電網公司楊航

漏洞是信息化時代不可避免的問題，必須正視問題所在並做好管理。戰國時期的經典故事《扁鵲見蔡桓公》告訴人們，要正視自身的隱患，不可諱疾忌醫。如果在初期就將隱患及時根除，所付出的工作就是「湯熨之所及也」，以較小的付出來清除隱患，繼而避免風險的進一步發展。

對於如何化解風險，習近平總書記在《關於〈中共中央關於制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議〉的說明》中指出，「我們必須堅持統籌發展和安全，增強機遇意識和風險意識，樹立底線思維，把困難估計得更充分一些，把風險思考得更深入一些，注重堵漏洞、強弱項，下好先手棋、打好主動仗，有效防範化解各類風險挑戰，確保社會主義現代化事業順利推進。」

對漏洞而言，有效的漏洞管理可以及早地發現漏洞並遏制漏洞利用事件的發生，能顯著降低企業面臨的風險。近年來，國家網絡空間法律法規密集出台，2021 年，《網絡產品安全漏洞管理規定》《網絡產品安全漏洞收集平台備案管理辦法（徵求意見稿）》相繼發布，對漏洞管理工作進行了明確的規範。

南方電網公司（以下簡稱公司）作為關係國計民生的電力關鍵信息基礎設施運營者，隨着公司數字化轉型建設的不斷推進，數字化業務與網絡安全逐漸高度融合，要求公司必須增強機遇意識和風險意識，牢固樹立底線思維，加強網絡安全體系和能力建設，全面提升網絡安全本質安全水平，實現人、物、管理、環境等各要素安全可靠、和諧統一，逐步趨近和實現預防型、恆久型、本質型的安全目標，夯實公司高質量發展安全基礎，構建本質安全型數字化轉型，為國家關鍵信息基礎設施安全保障工作積極奉獻力量。

一、探索與實踐

公司嚴格貫徹落實國家各項法律法規，依照網絡安全法、網絡產品安全漏洞管理規定等相關要求，定期召開會議，專題研究，認真部署，深入開展網絡安全合規管控，加強網絡安全漏洞管理深度和技術強度。

（一）壓實安全責任鏈條，夯實人員安全底座

公司以結果為導向，貫徹落實國家法律法規和上級領導要求。以壓實安全責任鏈條、提升六項管理能力、落實人員管控機制為手段，全面提升公司網絡安全管理與監督能力，使網絡安全風險可控在控。

根據國家要求，優化完善公司網絡安全組織架構，設置首席網絡安全官，以首席網絡安全官為督導主體，深化安全責任落實，強化責任制檢查考核獎懲力度，做到「職責實、機構全、崗位明、手段齊、底數清、考核嚴」。

明確各級網絡安全責任人。按照「誰主管誰負責、誰建設誰負責、誰運行誰負責、誰使用誰負責、管業務必須管安全」的原則，設置專門安全管理機構和安全管理人，明確各級單位的網絡安全主要負責人和直接責任人，對網絡安全關鍵崗位建立人員清單，定期對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。

（二）建設漏洞「中樞」平台，實現全網統一的安全漏洞持續發現、通報、驗證、處置閉環管理

經過多年網絡安全建設，公司已建成信息安全運行監控預警系統、資產庫、網絡安全漏洞庫、網絡安全靶場，集立體監測、威脅研判、態勢感知、仿真驗證、安全運營支撐、自動化處置等應用能力於一體。對接 CNNVD 國家信息安全漏洞庫，基於預警平台實現了統一漏洞管理機制，降低因漏洞修補不及時、不全面而導致的風險。

對信息安全運行監控預警系統進行技術架構重構。充分利用雲原生技術，推進以微服務模式提供各類安全能力組件接口，推進數字電網安全「中樞」所有專業功能組件分層解耦和接口標準化，建立開放生態，支持後續功能疊加演進。建設標準、統一的網絡安全數據採集、處理、存儲、分析與服務底座，進一步把安全大數據服務與安全分析、態勢感知等專業應用進行解耦，將安全大數據模塊拆分為獨立的安全大數據服務設施。完善網絡安全漏洞庫和威脅情報庫，建立惡意代碼庫和處置知識庫。建立常態化網絡安全攻防機制，按照「紅隊攻點，藍隊防控，督查監督」的定位，切實防範信息安全漏洞隱患。

（三）緊抓供應鏈管控措施，「不能粗、不能放、不能松」

供應鏈是近年來漏洞事件高發之地。公司持續更新細化供應鏈圖譜，針對公司核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、雲計算服務以及其他對公司有重要影響的網絡產品和服務，根據國家相關規定，結合安全威脅情報，制定網絡產品和服務供應鏈產品、企業、安全隱患與整改清單，對清單進行審核、發布、持續更新，確保安全隱患漏洞為零時才允許入網。

增強產品服務供應鏈入網安全。公司組織專業評估測試團隊，加強網絡關鍵設備和網絡安全專用產品檢測認證，制定軟硬件產品入網要求，審核產品入網資格，嚴格落實網絡安全審查要求。常態化加強設備入網測試、到貨抽檢等網絡安全測試。加強 IT 資產及其組件的版本管理，對軟件所使用的開源組件進行識別，檢測開源組件漏洞，分析組件安全風險，避免開源組件帶來的安全風險。對硬件的固件進行統一源代碼缺陷分析、源代碼後門審計和源代碼缺陷修復跟蹤，避免固件缺陷導致的安全風險。

提升已入網產品、服務供應鏈應急能力。公司制訂服務、產品替代要求，當識別已入網軟硬件產品發生高威脅漏洞或者已知重大隱患情況時，及時進行版本更替或者產品替換，實現業務連續及可靠。

（四）實戰化網絡安全運行保障，建設網絡安全「快反」機制

完善「全網一盤棋」下的安全指揮和運營能力。建成公司一體化網絡安全運營中心和網絡安全信息通報中心。創立網省兩級網絡安全指揮機制，組建網省級運營中心、地市級運營班組，統籌公司各級安全監控分析、網絡攻防對抗、事件應急響應、信息通報共享、指揮協調、聯防聯保。實現對網絡威脅的「一處發現、處處攔截」，針對全域防護提供運行保障支撐，提升聯合防禦、協同應對能力。

完善預測、防護、檢測與響應專業能力，覆蓋風險識別、威脅檢測、預警響應、場景化安全防護需求。

充分利用公司統一安全漏洞庫、威脅情報庫以及安全態勢感知信息，整合外部安全漏洞挖掘與情報研究資源，加強網絡安全積極防禦與攻擊反制，提升網絡安全對抗實戰化水平，減少高級持續性安全威脅所可能造成的風險或危害。

實戰化錘鍊網絡安全隊伍，加強應急指揮與處置能力。公司組建網省兩級網絡安全技術隊伍，建設網級電力專用網絡安全靶場及電力監控系統仿真演練環境，組織系統化練兵。定期組織實戰型網絡攻防演習，檢驗網絡安全防禦、監測預警和應急處置能力，提升網絡安全應急處置能力，有效支撐重保、護網等網絡安全工作，達成「以我為主」建設隊伍和實戰檢驗應急預案雙重效能。

（五）深化安全漏洞風險管理體系，形成漏洞安全風險管控長效機制

健全網絡安全漏洞管控機制。公司深化安全漏洞風險管理體系在網絡安全的應用，組建數字化業務風險管控專家隊伍，深度梳理數字化業務，研判數字化業務風險，建立數字化業務風險分級清單，制定並定期更新數字化業務風險基準控制措施。

公司擴大安全內控及督查範圍，常態化開展網絡安全漏洞排查治理，形成從漏洞發現、漏洞驗證、漏洞分析、漏洞預警排查、資產脆弱性分析、補丁驗證、漏洞修復、漏洞消控審核的跟蹤閉環機制。確保安全風險可控在控、隱患漏洞應消盡消。

（六）深入推進加強多方合作，打造網絡安全合作生態圈

公司與國家級網絡安全專業機構達成戰略合作，例如與中國信息安全測評中心簽訂戰略合作協議，藉助國家級高水平力量共保網絡安全。

參加粵港澳電力企業網絡安全交流會議，建立網絡安全情報共享機制，與粵港澳三地共享安全漏洞、威脅情報、惡意 IP 等信息。

打造能源行業產、學、研、用相結合的網絡安全協作生態。公司與業內頂級安全公司、知名高校、高水平研究機構建立良性互動的緊密合作關係，提高公司網絡安全服務對外輻射能力，構建跨界融合的安全生態，提升公司和網絡安全行業的協作廣度。

二、總結與思考

公司在漏洞管理方面的探索和實踐已取得顯著成效，相關流程機制常態化運轉，歷經多次網絡安全重大活動保障考驗。例如，在 2021 年重大漏洞Log4j 事件中，公司獲悉 Apache Log4j2 高危漏洞線索後，連夜組織緊急研判和果斷處置，實時阻斷網絡攻擊，完成受影響系統的全面消缺，切實防範化解了重大隱患，充分檢驗了公司網絡安全全天候實戰化能力。

在已初見成效的安全防護體系的建設成果之上，公司堅持頂層視角、全面統籌、整體規劃，以「三同步」原則，推進安全和信息化的「全面覆蓋、深度融合」，在滿足監管要求的基礎上，進一步錘鍊「實戰化、體系化、常態化」的安全能力，逐步建成「協同一體、雙向支撐、全面延伸、服務共享」的具有南網特色的網絡安全綜合保護體系 2.0。

（本文刊登於《中國信息安全》雜誌2022年第6期）