一、數字化轉型背景下的網絡安全形勢

隨著“數字中國”“網絡強國”和“新基建”等國家重大戰略部署加快推進，國有企業數字化轉型成為大勢所趨，伴隨著新一代信息技術的創新應用，業務運營模式的變化更迭，網絡安全工作面臨新的挑戰。

一是國家法律法規對加強網絡安全工作提出更高要求。近兩年，《密碼法》《數據安全法（草案）》、網絡安全等級保護2.0和關鍵信息基礎設施安全保護相關制度等法律法規陸續頒布施行，對數字化轉型背景下的云安全、數據安全、工控安全和密碼應用等工作和能力提出新要求新挑戰。國務院國資委發布新版《中央企業負責人經營業績考核辦法》，增加了對網絡安全事件的考核要求，對國有企業的網絡安全工作提出了更高要求。

二是網絡安全保障成為數字化轉型的重要挑戰。國有企業數字化轉型將會極大地改進原有生產和經營方式，信息技術與業務發展的深度融合將凸顯網絡安全風險的實質性影響，網絡安全風險已延伸至生產和經營的方方面面，將會直接影響業務運營，進而影響生產安全、社會安全、甚至國家安全。

三是新一代信息技術創新應用帶來新的網絡安全風險。5G、云計算、大數據、物聯網、人工智能等新一代信息技術的創新應用給國有企業帶來巨大的創新紅利，同時引起企業IT環境的變化發展，云安全、數據安全、工控安全等諸多新的安全風險隨之而來。此外，大數據、人工智能等新一代信息技術也被廣泛用于網絡攻擊中，大大增加了網絡安全防護難度。

二、數字化轉型過程中的網絡安全問題

在數字化轉型過程中，新技術、新應用、新模式層出不窮，新問題、新風險、新挑戰不斷出現，傳統安全防護手段面對更加開放多元的應用場景，難以保障數字化業務的平穩、可靠、有序和高效運營。

一是網絡安全缺乏頂層設計，防護體系化缺失，安全能力難于協同。網絡安全采用“局部整改” “查漏補缺” “輔助配套”建設模式，IT和網絡安全治理層面缺乏頂層設計，安全系統之間安全能力分散，缺乏聯動與協同，無法發揮整體防護效能，網絡安全防御能力與保障數字化業務運營的高標準要求尚有差距。

二是工業控制系統安全問題日趨凸顯。隨著IT與OT的深度融合，工業控制系統與信息化結合日益緊密，生產安全更加依賴網絡安全。工控系統大多采用國外產品，老舊設備占比較大，對業務連續性要求較高，難以承擔漏洞修復后產生的影響，導致系統“帶病運行”。部分工業控制系統網絡內部未進行分區分域隔離，缺乏有效的安全防護手段，工控系統缺乏針對性安全管理和策略。

三是新技術的發展和廣泛應用帶來網絡安全新挑戰。近年來，云計算、大數據、工業互聯網、人工智能等新技術新應用大規模發展，業務應用模式不斷創新，國有企業網絡結構復雜化、邊界模糊化、數據集中化，網絡安全風險融合疊加并快速演變趨向多樣化，傳統的網絡安全架構無法應對新技術帶來的虛擬化、數據集中、平臺可用性等安全風險，網絡安全面臨新的挑戰。

四是網絡安全專業隊伍儲備不足。高端人才匱乏導致企業網絡安全能力上限不高，過于依賴安全廠商，無法形成穩定可持續的安全能力輸出；基層單位網絡安全人員不足，缺乏專人專崗，導致網絡安全制度和要求無法得到全面落實。

三、數字化轉型工作中網絡安全保障的思考和建議

國有企業要堅決貫徹落實習近平總書記關于網絡強國的重要思想，落實黨中央國務院有關決策部署，切實增強責任感使命感，進一步認清新形勢下網絡安全工作的重要性緊迫性，準確把握數字化轉型形勢背景下網絡安全工作面臨的新問題新挑戰，把網絡安全防護工作作為數字化轉型的前提基礎和堅實保障，堅決落實主體責任，不斷強化頂層設計，健全組織管理體系，加強防護能力建設，加快人才隊伍培養，全面提升安全保障能力，切實為企業數字化轉型保駕護航，推動高質量發展。

（一）加強頂層設計，強化體系建設

國有企業網絡安全體系建設是一項復雜的系統性工程，尤其對于數字化轉型深入階段的安全防護，必須深入保障數字化業務的各個方面，加強網絡安全頂層設計規劃，以體系化、工程化的模式建立新型網絡安全防御體系，增強應對各類網絡安全風險的能力。中國華電完成互聯網統一出口安全防護，通過網絡安全架構實現整體網絡安全能力的大幅提升，并在此基礎上進行體系化的網絡安全能力建設，逐步構建網絡安全縱深防御體系，夯實網絡安全基礎。

（二）健全管理體系，實現全方位管理

落實網絡安全主體責任，厘清界面職責，健全組織架構，編制和修訂管理制度，強化考核督導，不斷完善網絡安全保障、信息通報和應急體系。中國華電通過建立健全網絡安全管理體系，落實主體責任，強化考核監督，明確分工界面、理順工作流程，實現全產業、全業務、全過程、全要素的網絡安全管理。

（三）加強產品服務管控，增強本質安全

一是使用安全可靠的產品和服務，建立安全審查機制。貫徹落實《網絡安全審查辦法》要求，建立健全網絡安全審查機制，依法依規對供應商、安全方案、產品和服務等進行嚴格審查，提高產品和服務的安全性可控性。

二是堅持安全創新，加快信創產品和服務的使用。逐步加快安全可靠的信創產品和服務在設備設施、工具軟件、信息系統和服務平臺等方面的使用，提升本質安全，實現國有企業網絡安全體系的可信、可控、可持續。中國華電加強信創產品與系統的研制與應用，在火力發電DCS和水力發電監控系統領域實現了自主可控，打破了技術壟斷，能夠有效防止“卡脖子”事件發生，提高電力控制系統的運行效率和安全可靠性，保障能源電力等重要基礎設施安全運行。

（四）強化技術防護，提升綜合防護水平

一是增強面向安全運營的態勢感知能力，完善網絡安全監測預警與應急處置體系。建設網絡安全態勢感知平臺，匯聚來自網絡流量、人員行為、安全系統、主機應用以及業務系統的各種安全數據，從資產、漏洞、攻擊、威脅、風險、行為等維度全面感知安全態勢。中國華電以態勢感知平臺為依托，實現覆蓋平臺、系統、數據等所有信息資產的實時安全監測和預警，并與網絡安全信息通報平臺集成，實現網絡安全系統之間的協作聯動，完善網絡安全態勢感知、監測預警和應急處置體系，提升網絡安全綜合防護能力。

二是建設網絡安全基礎資源庫，持續輸出安全能力。以整體化、集中化、規模化的方式規劃建設漏洞庫、病毒庫、威脅情報庫等網絡安全基礎資源庫，加強安全資源儲備。中國華電以平臺化方式建設和豐富基礎資源庫，以安全服務持續輸出安全能力，并據此開展日常化、規程化和可持續的網絡安全運營。

三是加強工業控制系統的安全防護。以工控系統監督檢查、等級測評、風險評估、漏洞修復、數據保護、信息通報和共享、應急處置等為抓手，進一步健全管理制度和工作機制，強化工控系統安全管理與防護，在國有企業數字化轉型中落實安全閉環管控。中國華電制定《電力企業網絡安全監督實施細則》，加強工控系統全生命周期安全監督，不斷夯實工控安全基礎。同時積極參與國資委能源工業互聯網安全態勢感知平臺建設工作，增強集團級工控安全態勢感知、應急處置、風險管控等安全能力，有效應對和防范電力網絡安全風險。

四是加強數據全生命周期的安全防護。建設數據安全管理平臺，梳理數據資產，進行分類分級，加強數據采集、傳輸、存儲、使用、共享、銷毀等各個環節的保護措施，加強數據防攻擊、防竊取、防泄露及訪問控制能力建設，實現數據全生命周期的安全防護。

五是加強云平臺的安全防護。構建云安全防護體系，全面覆蓋云邊界、應用系統區域、主機、容器等層次，實現公有云、私有云、混合云多云架構環境下網絡安全的深度融合，形成IaaS、PaaS、SaaS層級的云安全防護能力。

（五）加強攻防演練，提升應急處置水平

網絡安全攻防演練是檢驗網絡安全防護水平最直接、最有效的方式。國有企業應持續開展攻防演習，一方面能夠真實掌握自身網絡安全防護水平，發現網絡安全防御體系中的短板和薄弱環節，及時優化整改，提升整體防御能力，另一方面能夠檢驗和完善網絡安全應急預案，提升突發網絡安全事件應急處置和協同聯動能力。

（六）加強人才隊伍培養，強化智力支撐

網絡安全的本質在對抗，人始終是對抗中最關鍵的要素。中國華電每年在集團內部開展網絡安全宣傳教育月活動，通過各種形式培養和提升員工的網絡安全意識和基本技能。同時，加快網絡安全專業人才隊伍培養，逐步建立網絡安全專業人才的選拔、培養、任用機制，通過安排技術技能培訓與考核、參與技能大賽和攻防演練等方式實現人才隊伍從等保合規測評能力向網絡攻防專業技術能力及實戰能力的提升。