51网讯 一直以来，国网四川电力公司信通公司高度重视网络安全，以建成“可管可控、精准防护、可视可信、智能防御”的网络安全智能防御体系为目标，持续提升公司整体网络安全防护水平。为进一步落实细化网络与信息安全技防措施，规范各类系统安全防护要求，公司提前部署、统筹安排，全面梳理网络安全防御边界，圆满完成了公司全范围内信息内网防火墙改造及策略调优，打造坚强的网络安全堡垒。

提前部署 统筹安排

为有序高效地开展此项工作，强化网络安全的统一领导，信通公司成立了专项工作组，并于2017年7月召开了信息内网防火墙改造及策略调优工作启动会，明确了工作目标，制定了详细的工作计划，将按照安全区域规划、策略迁移、防火墙替换升级、策略调优四个步骤，对信息内网边界、服务器区、专线共10台防火墙进行新旧设备替换、系统升级及策略调优。

思路清晰 井然有序

2017年9月，按照国家《信息安全等级保护管理办法》及“等保回头看”工作的相关要求，对部分系统进行了重新的分类及定级，并结合《国家电网公司网络安全顶层设计》要求及实际业务情况，将信息内网划分为一级域、二级域、三级域、测试域、管理域及内网桌面办公域六类安全域，根据国家等级保护要求落实安全措施，保障域内应用与数据安全。为实现通过防火墙对不同区域间的访问进行控制，信通公司技术专家多次开展网络安全评审会议，根据其业务需求、防护等级等明确接入区域，成功的完成了防火墙改造及策略调优工作的第一步。

自主研发 攻坚克难

在策略梳理过程中，由于不同品牌防火墙策略标准不同且数量巨大，人工难以在短期内实现新旧防火墙策略的准确迁移。基于此情况，公司组织多方力量，集思广益、攻坚克难，2018年1月成功自主研发了防火墙策略自动化解析工具，统一采用JSON格式静态地存储防火墙策略，完成了公司运维的所有防火墙一万余条策略的标准化，实现了策略的自动化迁移，为顺利完成防火墙替换升级工作奠定了基础。接下来，如何在时间紧、任务重的情况下完成防火墙策略的优化成为了新的重难点。公司在防火墙策略自动化解析工具的基础上，进一步开展技术攻关，自主研发了防火墙策略自动审计工具。该工具能根据《国网信通部关于进一步规范信息系统远程访问端口管理工作的通知》（124号文）的具体要求，自动化筛选不完全符合安全性、合规性要求的策略。

通力配合 卓有成效

在公司领导的统筹协调和各业务部门的大力支持下，在防火墙策略自动化解析工具及防火墙策略自动审计工具的有效支撑下，自2018年4月起至今，已按计划成功完成了信息内网8台防火墙的新旧替换、1台防火墙的新增及1台防火墙的升级；完成了新防火墙上超过8000条防火墙策略的审计；按系统重要程度，将防火墙策略分批逐条进行治理，完成超过5000条防火墙策略的调优工作。在整个防火墙改造及策略调优工作过程中，未因防火墙策略调整导致业务中断，圆满的完成此次信息内网防火墙改造及策略调优工作。

信通公司克服了准备工作时间紧、信息系统数量多、业务影响范围大、系统访问端口复杂等困难，不仅在既定时间内高质量地完成了该工作，而且认真分析了信息系统中各环节可能存在的安全问题，进一步严格控制了防火墙策略制定的规范化、标准化。对于新增业务应用需求，采取“先评估，再申请，后审批”的方式，合理合规开放权限，明确业务应用访问的源地址、目的地址，服务需求细化到端口级别，确保每条防火墙策略的闭环处理，有效规范信息系统远程访问端口的管理和使用。

接下来，信通公司将全面落实网络安全法，持续加强对网络安全的统一领导，将网络安全纳入安全生产管理体系，纳入信息化建设运维全过程，实现全面、全员、全过程、全方位管理。（许珂 徐佳）