网络安全漏洞预防措施

详情描述：

对漏洞而言，有效的漏洞管理可以及早地发现漏洞并遏制漏洞利用事件的发生，能显著降低企业面临的风险。
随着公司数字化转型建设的不断推进，数字化业务与网络安全逐渐高度融合，要求公司必须增强机遇意识和风险意识，牢固树立底线思维，加强网络安全体系和能力建设，全面提升网络安全本质安全水平，实现人、物、管理、环境等各要素安全可靠、和谐统一，逐步趋近和实现预防型、恒久型、本质型的安全目标，夯实公司高质量发展安全基础，构建本质安全型数字化转型，为国家关键信息基础设施安全保障工作积极奉献力量。
一：压实安全责任链条，夯实人员安全底座
公司以结果为导向，贯彻落实国家法律法规和上级领导要求。以压实安全责任链条、提升六项管理能力、落实人员管控机制为手段，全面提升公司网络安全管理与监督能力，使网络安全风险可控在控。
优化完善公司网络安全组织架构，设置首席网络安全官，以首席网络安全官为督导主体，深化安全责任落实，强化责任制检查考核奖惩力度，做到“职责实、机构全、岗位明、手段齐、底数清、考核严”。
二：实现全网统一的安全漏洞持续发现、通报、验证、处置闭环管理
经过多年网络安全建设，公司已建成信息安全运行监控预警系统、资产库、网络安全漏洞库、网络安全靶场，集立体监测、威胁研判、态势感知、仿真验证、安全运营支撑、自动化处置等应用能力于一体。
对信息安全运行监控预警系统进行技术架构重构。充分利用云原生技术，推进以微服务模式提供各类安全能力组件接口。建设标准、统一的网络安全数据采集、处理、存储、分析与服务底座，进一步把安全大数据服务与安全分析、态势感知等专业应用进行解耦，将安全大数据模块拆分为独立的安全大数据服务设施。建立常态化网络安全攻防机制，按照“红队攻点，蓝队防控，督查监督”的定位，切实防范信息安全漏洞隐患。
三：紧抓供应链管控措施，“不能粗、不能放、不能松”
供应链是近年来漏洞事件高发之地。公司持续更新细化供应链图谱，针对公司核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对公司有重要影响的网络产品和服务，根据国家相关规定，结合安全威胁情报，制定网络产品和服务供应链产品、企业、安全隐患与整改清单，对清单进行审核、发布、持续更新，确保安全隐患漏洞为零时才允许入网。
增强产品服务供应链入网安全。公司组织专业评估测试团队，加强网络关键设备和网络安全专用产品检测认证，制定软硬件产品入网要求，审核产品入网资格，严格落实网络安全审查要求。常态化加强设备入网测试、到货抽检等网络安全测试。加强 IT 资产及其组件的版本管理，对软件所使用的开源组件进行识别，检测开源组件漏洞，分析组件安全风险，避免开源组件带来的安全风险。对硬件的固件进行统一源代码缺陷分析、源代码后门审计和源代码缺陷修复跟踪，避免固件缺陷导致的安全风险。
提升已入网产品、服务供应链应急能力。公司制订服务、产品替代要求，当识别已入网软硬件产品发生高威胁漏洞或者已知重大隐患情况时，及时进行版本更替或者产品替换，实现业务连续及可靠。
四：实战化网络安全运行保障，建设网络安全“快反”机制
建成公司一体化网络安全运营中心和网络安全信息通报中心。创立网省两级网络安全指挥机制，组建网省级运营中心、地市级运营班组，统筹公司各级安全监控分析、网络攻防对抗、事件应急响应、信息通报共享、指挥协调、联防联保。
完善预测、防护、检测与响应专业能力，覆盖风险识别、威胁检测、预警响应、场景化安全防护需求。
充分利用公司统一安全漏洞库、威胁情报库以及安全态势感知信息，整合外部安全漏洞挖掘与情报研究资源，加强网络安全积极防御与攻击反制，提升网络安全对抗实战化水平，减少高级持续性安全威胁所可能造成的风险或危害。
实战化锤炼网络安全队伍，加强应急指挥与处置能力。公司组建网省两级网络安全技术队伍，建设网级电力专用网络安全靶场及电力监控系统仿真演练环境，组织系统化练兵。定期组织实战型网络攻防演习，检验网络安全防御、监测预警和应急处置能力，提升网络安全应急处置能力，有效支撑重保、护网等网络安全工作，达成“以我为主”建设队伍和实战检验应急预案双重效能。
五：深化安全漏洞风险管理体系，形成漏洞安全风险管控长效机制
健全网络安全漏洞管控机制。公司深化安全漏洞风险管理体系在网络安全的应用，组建数字化业务风险管控专家队伍，深度梳理数字化业务，研判数字化业务风险，建立数字化业务风险分级清单，制定并定期更新数字化业务风险基准控制措施。
六：深入推进加强多方合作，打造网络安全合作生态圈
公司与专业级网络安全专业机构达成战略合作，例如与中国信息安全测评中心签订战略合作协议，借助专业级高水平力量共保网络安全。打造能源行业产、学、研、用相结合的网络安全协作生态。