网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

目前总体思路就是，以我们的生产控制系统，对于我们电厂来说一些工控系统为重点，以技术体系和管理体系为支撑，构筑信息安全的三道防线，实现我们的三个目标。这边边界防护，我们16字仿真立面的应该是实施比较成熟的，纵深防御是电监会的5号令向34号文转变的时候我们增加了综合防御，第三道防线态势感知和应急响应，应该是目前正在实施的，因为以往我们其实主要还是以日常巡检、日志审计为主，态势感知是希望通过实时的去了解我们电力工控的情况，目前对于我们水电厂来说处于正在实施的阶段。

第二部分安全防护里面我讲几个我们实施过程中的重难点。

第一，人员的技术能力。人员技术能力方面我觉得体现在两方面，一方面，刚刚讲的，那么多的法律法规，我们相关的人员如何去理解这些相关的法律法规、指导性文件和标准规范，落实到具体防护措施，就是做什么。其实从事10多年的安全防控工作，有两种态度，有一种态度就是说，一说要什么我就做，但是做了这个东西它有没有起到真正的防护作用，第二个，你上这些安防设备以后有没有影响，没有做评估，这是比较激进的态度。一种是比较保守的态度，我上这个系统首先要确保这些设备是不是影响我本身的运行的。一种这个防护措施应该适当，但是也足够，基于这么一个考虑。

2，技术能力把握的问题。就是要熟悉计算机信息技术，根据网络安全状况实时加护设备，最早对于计算机比较细节的不是很清楚的，这两方面没有融合，这个也是需要加强的，相当于我整个怎么做。

3，就是涉及到针对这些法律法规，要上这些硬件的手段，我们怎么样去配备适当和足够的安全防护设备，我要掌握这些防护设备的性能和特征，一个是效果评估。因为像最早开始的时候，有很多安全装置对我们来说这是一个黑匣子似的，他就说我这个是什么什么功能，具体怎么配置都不清楚。近年来有很多检查也好，包括我们的监督部门也好，他们工作做的更细致、更具体了，所以会逐渐发现，有些安全防护设备上了只是说上了，它的配置有可能都不是正确的，并没有起到真正的安全防护作用，这个情况也是有的。还有安全防护设备，本身就违背了我们安全防护的理念，举个例子，有些防护设备用的是那些应用和技术，本来我们控制是不允许的，像这种情况都屡见不鲜。

所以我们的一些做法，第一个，在组织层面要做好顶层设计，因为光靠生产单位的某些个人的能力，是没有办法做到融会贯通的，所以我们基本上在公司层面，深入学习、领悟相关的法规指导性文件，融会贯通。这个工作我们做了有几年，但是觉得这个方案要想一下子做好其实难度也挺大，包括去年开始，因为我们三峡有一个项目，我们也希望通过这个项目的实施将我们常规的安全防护手段和一些先进的安全防护理念结合起来以后形成一个比较完善的水电厂安全防护顶层设计方案。这是我们想今年能够结题的一个项目。

第二，在技术方面，组织编制，像《主机设备加固手册》指导性文件，这些工作从电厂开始就做一些尝试，后来到我们公司层面，最近其实南网他们也下发了一个跟我们类似的包括组织架构的病毒查杀的指导文件，这个非常有用，因为在现场要非常非常了解你的计算机相关技术、了解每一个端口有哪些漏洞，这些是不太可能的，只有通过这些细致的文件，可以照章实施，通过这些细致的手段才能够真正的把网络安全做到实处，也便于分布层级的技术人员能力的提高。加强安全防护设备的要求，确保安全防护设备的有效性。有些安全防护设备配置都不是很正确，都没有去做管理，《网络安全法》里面对设备供货商也有要求，这个也是我们今后要加强的。要加强对我们从事信息安全相关人员的培训，提高全员的安全意识与防护能力，我们第一方面理解相关的标准规范和熟悉信息系统技术两方面，对我们信息系统的从业人员做一个提高。

第三，管理制度落地。从事网络安全管理工作十多年，管理制度经历了从无到有、从简单到全面、从单纯的设备维护职责到本单位和外部单位的维护发展过程，开始的时候我们的管理针对计算机系统，最多针对我们的机房有一些管理规定，但是这些规定对网络安全方面存在很多漏洞，所以目前我们的管理制度，就慢慢的需要制定涵概包括从业人员管理、外单位的一些保密类的相关规定，同时我们这个管理制度还要设计一些流程性的可控的东西来保证管理规定的落实。举个例子来讲，像我们外围的法规要求，就是在我们的项目合同中保密合同的签订，对于我们从业人员，对于离职的，可能我们在离职整个流程单中如果你没有把相关的权限消掉，你这个流程走不下去，从流程管控方面就保证我们的管理制度真正的落地。