在传统企业网络安全管理中，一直倡导的方式是七分管理三分技术，但随着网络大安全环境的变化，在当前管理模式也逐渐发生了变化。国网最早建立红蓝队时，目标的是应对未来5-10年可能发生的更大规模的网络安全攻击事件，主要内容是防黑客、防网络战。

综合背景来分析在2003年以前，国与国之间的冲突可能是最直接的武装冲突，在04-08年期间，国与国的冲突增加了经贸、金融、科技、意识形态等等。与此同时，网络战也正在成为国家之间冲突的表征。从俄乌冲突、巴以冲突等都能看到网络战的迹象。

国网的网络安全建设路径在这期间也在发生变化。在初步期间，国网的安全目标是建设攻防意识，通过培训、考试等方式全面普及全员攻防意识。在中部年期间，国网的安全目标转移到攻防平衡，建立体系化的攻防平衡，包括对管道、通道、终端、业务系统等等进行梳理。安全建设目标是在2025年之前达到前置防御阶段。

在业务方面，国网正在全力建设新型电力系统。此前，从发电区向用电区供电，需要大量的人工来核闸、倒闸，现在则是采用信息化手段和工业技术等来实现协调联动，缓解人力压力。在这个过程中，国网将安全从云端下沉到底端，这与互联网公司正好相反。实际上，不仅是云技术，包括零信任等技术，国网的使用时间普遍早于行业的使用时间。

近年来，国际能源行业出现了几次重大安全事件都对能源保供出现了重大影响，国网针对这几起事件进行了大量的分析、调研等工作，以避免发生同样的安全事故。

英国某核电站2019年3月间疑似遭受重大网络攻击，导致核发电厂的一项重要业务难以恢复，须依靠英国国家网络安全中心的技术支持来帮助其恢复业务。经英国网络安全人员分析，攻击方很有可能已经获取了核电站内网的访问控制权限，甚至已经获取到极高的系统权限。

美国西部某电力公司电力系统使用的防火墙存在漏洞，攻击者绕过防护设备的身份认证，从一个影响较小的调度主站对多个远程发电站点发起拒绝服务攻击并导致设备不断重启，最终造成电力调度中心与远程发电站点以及站点内设备之间的通信短暂中断，影响加州、犹他州等多个州。

相对于国际能源行业的各种网络安全问题，对比国内中大型企业安全建设来分析，我们的网络安全面临着的六大效应，国网提出要做到可管、可控。这六大效应包括倒灌效应，境外输入性风险日益增多，已成为影响我国网络安全稳定的外生变量；合流效应，内外合流，舆论和技术合流，专业和非专业合流等引发叠加升级；叠加效应，意识风险、应用风险、技术综合风险。源头来自于数据安全的模糊探讨、模糊应用、随机应用；联动效应，各类风险流动性加快、关联性增强，呈现出境内外互动、跨区域联动、跨群体聚合的新动向；放大效应，互联网日益成为各类风险的策源地、传导器、放大器，一件小事情都可能形成舆论漩涡，一些谣言传闻经煽动炒作，极易使“茶杯里的风暴”骤变为现实社会的“龙卷风”；诱导效应，技术人员看待技术不忠诚，效仿引发持续发酵，在外部输入性风险的诱导下，就有可能升级放大。

网络安全是一把双刃剑，在保卫社会大发展的同时，也带来了很多难以预测的风险。头疼医头脚疼医脚甚至是头疼医脚在过去屡见不鲜，想要用好网络安全，就需要增强企业的顶层设计、统筹协调、综合研判、快速反应等能力。因此，我们要以认知和认识为目标的安全体系是贯彻落实网络安全的主要思想引导依据。

国网对信息安全保障的认识是一个发展、提升到再发展再提升的过程。国网对信息安全认识的提升，促进了国网信息安全工作、信息安全体系与信息安全建设内容的持续发展。国网认为信息安全是以应对威胁、风险管理以及动态管理等一系列的过程，早期，实现这一过程要先解决技术，然后在做到技术与管理融合，最后是能力提升，以实现对信息安全的综合治理。

以企业价值视角来看，在2011-2013年期间，首先解决了数据资源共享，网络与信息系统的互联使得“信息”资源实现大范围的共享，同时也导致“信息泄漏”成为常见的情况。其次是工作提高效率，信息化建设在提高工作效率的同时，也使得攻击者“工作”效率提升。第三是资源集中分析使用，信息化建设使得信息资源在更大的范围被“梳理”、“集中”，使得信息价值更高，更加容易引发攻击事件。最后是人员联系方便，人员工作联系更加方便，可接触全局、敏感信息的人员数量也大幅提升。基于此，国网推出了信息安全工作的“三同步”原则，即信息安全与信息化建设“同步规划、同步建设、同步投入运行”。

从责任视角来看，国网兼具着国家安全责任、法律与社会责任、经济效益影响以及生产与管理影响。信息安全工作需要将责任充分考虑进来、落实下去。国网按照“谁主管谁负责、谁运行谁负责”和属地化管理原则，公司各级单位成立了信息化工作领导小组，统一部署信息安全工作，逐级落实信息安全防护责任。

从威胁视角来看，对于信息安全威胁的认识需从个别黑客攻击、病毒木马攻击，向有组织、集团化黑客攻击、特种木马攻击，乃至“网络战”的方向深入。这些高强度威胁采取的方法，具有持续性强、隐蔽性高、切入点多、破坏性大的特点。

从技术需求角度来看，IT技术产品的应用不仅要符合国网企业架构与流程的变化，也要充分考虑信息安全的问题，加大信息化中人的安全意识、IT技术产品的安全性。在服务端、终端、边界、网络、数据、应用这几个方面加大力度投资，并建立技术建设标准和人才培训标准。在人才培训标准建立后，国网储备了大量技术人才，在后续的漏洞补丁制作等方面起到了关键作用。

从人员队伍角度来看，信息安全协调、动员能力，对分析、判断信息安全形势，研究信息安全技术趋势，推动信息安全工作发展，以及在发生重大信息安全事件后的追查、处置方面非常重要。国网对攻防红队提出了“文能写文档，武能做渗透”这一基础要求，再上一级需要协调统一能力和充分的技术能力。

在建设层面，国网始终坚持策略、规范、标准的一致性。国网的网络与信息系统的涉及面广、系统复杂性高，在防护体系建设中制定了总体的策略，在具体方案中严格坚持策略落实。

首先，国网认为信息安全是一个风险管理过程，信息安全防护需要紧紧围绕“风险管理”，对具体系统进行具体的安全性分析。关键的问题还是要全面的认识风险。

其次，国网认为信息化具有生命周期，以全生命周期各阶段为工作基础，对各阶段的工作内容进行分析梳理，构建防护管理体系，形成了包含工作机制、内容的总体解决方案。

第三，国网认为能否持续、动态、关联的解决是衡量安全水平的重要指标。国家电网公司信息安全总体方案综合考虑了信息安全标准的应用，从持续动态发展的角度进行总体设计，基本满足了信息安全工作目标。

最后，我们要认为，认知、需求、策略必须明确。全面分析面临的安全威胁，信息安全威胁需要全面分析，一方面要提高威胁源的等级，另一方面也要结合信息安全责任来分析。对威胁的认识不足则会导致防护力度不足。从企业的责任与需求出发，一方面要能够支撑肩负的责任，另一方面也要满足网络与信息安全的要求。从责任与需求角度出发，信息安全工作所考虑的内容将得到提升。总体的防护策略要明确，结合自身的情况，制定信息化总体安全防护策略，信息安全工作需围绕总体策略开展，并定期进行修订、完善、提升。解决方案遵循总体策略，针对各级单位、不同业务的信息安全防护方案要落实总体防护策略。无论是总体、具体的解决方案均需遵循总体策略。

国网红蓝队建设是在2012年7月提出，2013年9月开始投入建设。起初，对于红蓝队的认知和目标，国网内部进行了多次讨论和研判，最终得出了红蓝队的总建设目标和建设思路。红蓝队建设目标是要选拔优秀专业人才，构建国网安全人才体系、通过红蓝对抗，构建以公司总部为核心、覆盖公司各单位，涵盖全部信息系统并延伸至工控系统的信息安全保障体系。红队建设思路则是以既有高级督查队伍为主组建信息安全红队，对信息安全实际防护的情况和有效性进行逆向检验，及时发现深层次安全漏洞并督促整改。蓝队建设思路则需要以公司各单位安全开发人员、安全运维人员为主组建信息安全蓝队，从信息安全开发建设、运行维护环节对信息安全隐患进行闭环防护治理。

但在建设的过程中，国网也发现了一些问题。其中，包括资深专家匮乏，复合型人才匮乏，战略性人才匮乏；“红蓝”对抗资源不平衡，直面“生产”环境的实战经验严重滞后，“练兵机制”粗放低效，实战经验滞后；内部技术研究能力不足，外部专有技术支撑有限；常态化训练组织不到位，中低端人员技术提高缓慢；强化训练很难组织；应急响应速度快、但处理效率较低等问题制约着国网红蓝队的建设。整体来讲，企业不能为了攻而攻，而是为了防而攻，为了提升公司整体防御能力而用更高明的攻击手法在实战中检验。

对此，国网开始依托各单位基础技术力量，以总部高级队伍核心，以“传、帮、带”方式建立起内部攻防资深团队，全面强化企业信息安全工作水平。将“资深攻防专家”的“个人钻研、高手指点、团队交流”通用经验与公司“统一调度、分级管理”的工作模式相结合，强化“红队”管理和提升。“资深攻防专家”具有自发性和相互选择的特点。即技术研究兴趣驱动，技术传授“能力”驱动；形成“人——技术——人”的传动能力。