网络安全漏洞预防与保障漏洞并遏制漏洞利用事件的发生

网络安全漏洞预防与防护

对于漏洞，有效的漏洞管理可以及早发现漏洞，遏制漏洞利用的发生，可以显着降低企业面临的风险。

随着公司数字化转型建设的不断推进，数字化业务与网络安全逐渐高度融合，要求企业增强机遇意识和风险意识，牢固树立底线思维，加强网络安全体系和能力建设，全面提升网络安全本质安全水平，实现人、物、管理、环境等要素的安全、可靠、和谐统一，逐步接近和实现预防性、永久性、本质性安全目标，巩固公司高质量发展安全基础，构建本质安全数字化转型，积极为国家关键信息基础设施安全工作贡献力量。

一：压缩安全责任链，夯实人员安全基础

公司以结果为导向，执行国家法律法规和上级领导要求。公司通过夯实安全责任链、提升六大管理能力、落实人员管控机制，全面提升公司网络安全管控能力，使网络安全风险可控、可控。

优化完善公司网络安全组织架构，设立首席网络安全官，以首席网络安全官为监督主体，深化安全责任落实，强化检查考核奖惩实行责任制，做到“责任实、机构完备、岗位明确”。 ，手段统一，底线明确，考核严格。”

第二：实现安全漏洞的持续发现、通知、验证、处置的全网统一闭环管理

公司经过多年的网络安全建设，已建成集立体监控、威胁研究为一体的信息安全运行监测预警系统、资产库、网络安全漏洞库、网络安全靶场判断、态势感知、模拟验证、安全运行保障、自动化处置。和其他应用程序功能合二为一。

重构信息安全运行监控预警系统的技术架构。充分利用云原生技术，推动以微服务模式提供各种安全能力组件接口。构建标准化、统一的网络安全数据采集、处理、存储、分析和服务基地，将安全大数据服务与安全分析、态势感知等专业应用进一步解耦，将安全大数据模块拆分为独立的安全大数据模块。数据服务设施。建立常态化的网络安全攻防机制，按照“红队攻点、蓝队防控、监督监督”的定位，有效防范信息安全漏洞隐患。

三：抓好供应链管控措施，“不厚、不松、不松”

供应链是近年来发生大量违规事件的场所。公司不断更新细化供应链版图，瞄准公司核心网络设备、高性能计算机及服务器、大容量存储设备、大型数据库及应用软件、网络安全设备、云计算服务等网络产品以及对公司有重要影响的产品。对于服务，按照国家相关规定，结合安全威胁情报，制定网络产品和服务供应链产品、企业、安全风险及整改清单，并审核、发布、持续更新清单，确保安全风险漏洞为零。只允许访问网络。

增强产品服务供应链的网络访问安全性。公司组织专业的评估测试团队，加强对网络关键设备和网络安全产品的测试认证，制定软硬件产品入网要求，审核产品入网资质，严格落实网络安全审核要求。规范和加强设备入网检测、到站抽检等网络安全检测。加强IT资产及其组件的版本管理，识别软件中使用的开源组件，检测开源组件漏洞信息安全需求包括什么，分析组件安全风险，规避开源组件带来的安全风险。对硬件固件进行统一的源代码缺陷分析、源代码后门审计、源代码缺陷修复跟踪，避免固件缺陷带来的安全风险。

提高网络化产品和服务供应链的应急响应能力。公司制定服务和产品更换要求，当发现联网软硬件产品存在高威胁漏洞或已知重大隐患时，及时进行版本更换或产品更换，以实现业务连续性和可靠性。

四：落实网络安全运行保障，构建网络安全“快速反应”机制

完善公司综合网络安全运营中心和网络安全信息通报中心。建立网络两级网络安全指挥机制，设立省级运营中心、地市级运营团队信息安全需求包括什么，协调公司各级安全监控分析、网络攻防对抗、应急响应事件、信息共享、指挥协调、联防联防。

提升预测、防护、检测和响应的专业能力，涵盖风险识别、威胁检测、预警响应、场景化安全防护需求。

充分利用公司统一的安全漏洞库、威胁情报库和安全态势感知信息，整合外部安全漏洞挖掘和情报研究资源，强化主动网络安全防御和攻击对策，提升网络安全对抗水平，减少持续存在的安全威胁可能带来的高级风险或危害。

实战锤炼网络安全队伍，增强应急指挥处置能力。公司组建了网络级和省级二级网络安全技术团队，建设了网络级电力专项网络安全靶场和电力监控系统模拟实训环境，组织了系统培训。定期组织开展网络攻防实战演练，检验网络安全防御、监测预警、应急响应能力，提升网络安全应急响应能力，有效支撑重保、保网等网络安全工作，实现“以自我为中心” “团队建设和实战。测试应急计划的双重有效性。

五：深化安全漏洞风险管理体系，形成漏洞安全风险管控长效机制

完善网络安全漏洞管控机制。公司深化安全漏洞风险管理体系在网络安全中的应用，组建数字业务风险管控专家团队，深度梳理数字业务，研判数字业务风险，建立数字业务风险分类清单，制定并定期更新数字业务风险基准控制措施。

六：深入推进和加强多方合作，打造网络安全合作生态

公司与国家网络安全专业机构达成战略合作，如与中国信息安全评估中心签署战略合作协议，在国家高层力量的帮助下共同保障网络安全。创建一个集生产、学习、研究和能源行业使用于一体的网络安全协作生态系统。