文│ 中國(guó)石油化工集團(tuán)有限公司 張朝俊 劉遠(yuǎn) 郭延玲

黨的十九屆五中全會(huì)提出，要統(tǒng)籌推進(jìn)基礎(chǔ)設(shè)施建設(shè)，構(gòu)建系統(tǒng)完備、高效實(shí)用、智能綠色、安全可靠的現(xiàn)代化基礎(chǔ)設(shè)施體系，推進(jìn)能源革命，建設(shè)智慧能源系統(tǒng)等具體舉措，充分體現(xiàn)了國(guó)家對(duì)石油化工領(lǐng)域以數(shù)字化轉(zhuǎn)型為基礎(chǔ)的新發(fā)展理念。面對(duì)不斷變幻的網(wǎng)絡(luò)空間形勢(shì)、日趨嚴(yán)格的國(guó)家網(wǎng)絡(luò)安全保障要求，如何做好石油化工行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保障與發(fā)展，是當(dāng)前也是未來(lái)很長(zhǎng)一段時(shí)間需要持續(xù)深入研究并踐行的重要課題。

一、以“保安全”為首要任務(wù)，夯實(shí)網(wǎng)絡(luò)安全保障責(zé)任

能源行業(yè)要做好網(wǎng)絡(luò)安全保障工作，就要做到“管理體系完善、技術(shù)體系先進(jìn)、運(yùn)營(yíng)體系健全”，形成網(wǎng)絡(luò)安全綜合防控體系。

(一)完善的管理體系是網(wǎng)絡(luò)安全工作的前提

所謂“三分技術(shù)、七分管理”，網(wǎng)絡(luò)安全工作的開展需要一以貫之的方針政策，需要明確的工作機(jī)制和要求，更需要配套的考核手段，從而使各方重視、執(zhí)行規(guī)范。

方針政策。要堅(jiān)持統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)，建設(shè)自頂向下制度及標(biāo)準(zhǔn)體系，筑牢網(wǎng)絡(luò)安全工作基礎(chǔ)。

工作機(jī)制。要嚴(yán)格落實(shí)網(wǎng)絡(luò)安全“三同步”工作要求，建立信息化項(xiàng)目全生命周期的網(wǎng)絡(luò)安全質(zhì)量保障機(jī)制，并與網(wǎng)絡(luò)安全等級(jí)保護(hù)工作、持續(xù)性風(fēng)險(xiǎn)評(píng)估工作深入融合，確?！按媪匡L(fēng)險(xiǎn)可控，增量全程合規(guī)”。

考核手段。要嚴(yán)格落實(shí)網(wǎng)絡(luò)安全責(zé)任制，明確網(wǎng)絡(luò)安全責(zé)任人，并逐層分解，把責(zé)任分解細(xì)化落實(shí)到具體部門、崗位、人員和任務(wù)，把網(wǎng)絡(luò)安全視為與生產(chǎn)安全同等重要的地位，嚴(yán)格落實(shí)年度網(wǎng)絡(luò)安全綜合水平評(píng)價(jià)。

(二)強(qiáng)有力的技術(shù)體系是網(wǎng)絡(luò)安全工作的有效保證

能源行業(yè)的網(wǎng)絡(luò)安全保障工作需要覆蓋的面廣，需要顧及的業(yè)務(wù)需求眾多，既要有先進(jìn)的網(wǎng)絡(luò)通信安全保障方案，又要有具有普適性的安全基礎(chǔ)保障服務(wù)，需要建立強(qiáng)有力的技術(shù)體系進(jìn)行保駕護(hù)航。以中國(guó)石化集團(tuán)為例，一方面，公司推動(dòng)全集團(tuán)的“收口工程”建設(shè)，另一方面，公司大力發(fā)展安全基礎(chǔ)設(shè)施，提供有效安全保障。

(三)健全的運(yùn)營(yíng)體系是網(wǎng)絡(luò)安全工作持續(xù)發(fā)展的基礎(chǔ)

金融行業(yè)網(wǎng)絡(luò)安全保障工作重要性之所以較其他行業(yè)更為突出，是因?yàn)閺?qiáng)大且健全的安全運(yùn)營(yíng)能力發(fā)揮了巨大作用。能源行業(yè)當(dāng)前在安全運(yùn)營(yíng)方面的能力尚有進(jìn)步空間，需要在建平臺(tái)、理流程、組隊(duì)伍方面加大投入。

建平臺(tái)。要建設(shè)以安全大數(shù)據(jù)為核心的集自動(dòng)化編排、威脅情報(bào)、應(yīng)急響應(yīng)、安全服務(wù)、安全管控為一體的網(wǎng)絡(luò)安全管控平臺(tái)，使訪問(wèn)可控、接入可信、發(fā)布可管、事件可定位、事后可追溯，形成“人+ 平臺(tái) + 服務(wù)”聯(lián)防聯(lián)動(dòng)機(jī)制。

理流程。通過(guò)將攻擊行為感知、資產(chǎn)信息查詢、威脅情報(bào)對(duì)比、地理位置確認(rèn)、黑白名單核實(shí)、封禁策略下發(fā)等一系列傳統(tǒng)手工運(yùn)營(yíng)需要的操作進(jìn)行原子化抽象，形成多個(gè)的標(biāo)準(zhǔn)作業(yè)流程。在安全編排與自動(dòng)化響應(yīng)平臺(tái)與態(tài)勢(shì)感知、運(yùn)維平臺(tái)、防火墻、準(zhǔn)入控制等安全系統(tǒng)接口打通的基礎(chǔ)上，形成自動(dòng)化安全劇本，達(dá)到“企業(yè)一鍵到邊界，用戶一鍵到終端，信息一鍵可查詢”的實(shí)戰(zhàn)效果。同時(shí)，為降低安全劇本自動(dòng)化操作可能對(duì)業(yè)務(wù)帶來(lái)的潛在風(fēng)險(xiǎn)，所有的安全劇本在設(shè)計(jì)時(shí)均補(bǔ)充了反向快速回撤機(jī)制，實(shí)現(xiàn)了“誤封一鍵全還原”，以滿足在特殊情況下的業(yè)務(wù)快速恢復(fù)需求，實(shí)現(xiàn)運(yùn)營(yíng)過(guò)程自動(dòng)化、智能化。

組隊(duì)伍。要堅(jiān)持網(wǎng)絡(luò)安全實(shí)戰(zhàn)化，建立內(nèi)部紅、藍(lán)、黃隊(duì)，維護(hù)網(wǎng)絡(luò)安全生態(tài)。紅隊(duì)模擬真實(shí)攻擊、發(fā)現(xiàn)自有安全隱患，以攻測(cè)防、以攻促防;藍(lán)隊(duì)持續(xù)優(yōu)化流程、積極開展防御，總結(jié)并輸出自動(dòng)化安全劇本;黃隊(duì)通過(guò)安全系統(tǒng)建設(shè)，落實(shí)紅隊(duì)與藍(lán)隊(duì)輸出的安全需求與建議，“紅藍(lán)黃”互相配合、持續(xù)提升能源企業(yè)安全防護(hù)能力。

二、以“促發(fā)展”為工作目標(biāo)，推動(dòng)數(shù)字化高質(zhì)量發(fā)展

黨的十九屆五中全會(huì)提出，要統(tǒng)籌發(fā)展和安全。網(wǎng)絡(luò)安全保障的本質(zhì)并不是為業(yè)務(wù)發(fā)展上枷鎖，而是要促進(jìn)業(yè)務(wù)工作有序發(fā)展。在能源行業(yè)數(shù)字化進(jìn)程中，影響大數(shù)據(jù)應(yīng)用、數(shù)字化產(chǎn)業(yè)鏈供應(yīng)鏈等重要任務(wù)及環(huán)節(jié)創(chuàng)新發(fā)展的主要顧慮在于網(wǎng)絡(luò)安全，因此，開展以促發(fā)展為目標(biāo)的網(wǎng)絡(luò)安全保障措施的研究與落地，尤為重要。

(一)數(shù)據(jù)安全保障助力能源大數(shù)據(jù)應(yīng)用的新發(fā)展

能源行業(yè)各大企業(yè)均在著手研究以數(shù)據(jù)全生命周期管理為前提的大數(shù)據(jù)安全保障技術(shù)，以同步大數(shù)據(jù)應(yīng)用的發(fā)展。一是建立重要數(shù)據(jù)保護(hù)目錄，對(duì)列入目錄的數(shù)據(jù)實(shí)施重點(diǎn)保護(hù)。二是健全全流程數(shù)據(jù)安全管理制度流程和數(shù)據(jù)安全保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范。三是通過(guò)技術(shù)手段加強(qiáng)數(shù)據(jù)全生命周期的安全管理，數(shù)據(jù)采集過(guò)程要有分級(jí)分類標(biāo)識(shí)，重要數(shù)據(jù)存儲(chǔ)使用國(guó)產(chǎn)密碼加密并建立數(shù)據(jù)存儲(chǔ)冗余策略和備份還原機(jī)制，數(shù)據(jù)處理和分發(fā)遵循最小授權(quán)和可審計(jì)原則。四是推動(dòng)重要數(shù)據(jù)定期開展風(fēng)險(xiǎn)評(píng)估，對(duì)大數(shù)據(jù)環(huán)境的系統(tǒng)脆弱點(diǎn)、惡意利用等潛在安全風(fēng)險(xiǎn)以及應(yīng)對(duì)措施等，定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。

(二)供應(yīng)鏈安全管理提升能源數(shù)字化發(fā)展的可靠性

任何一家企業(yè)的信息化進(jìn)程不可能從零開始完全采用自主可控的技術(shù)手段，但在這種習(xí)慣背后，存在著巨大的風(fēng)險(xiǎn)，每臺(tái)購(gòu)入的設(shè)備，每套購(gòu)入的系統(tǒng)甚至每個(gè)基于開源框架的二次開發(fā)系統(tǒng)都存在潛在的技術(shù)安全威脅，每個(gè)信息化供應(yīng)商都可能成為數(shù)據(jù)泄露的源頭。為提高供應(yīng)鏈可靠性，加強(qiáng)源頭管理，需要積極研究供應(yīng)鏈安全保障機(jī)制，建立供應(yīng)商目錄并在可研、招標(biāo)、驗(yàn)收等關(guān)鍵環(huán)節(jié)對(duì)供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并動(dòng)態(tài)調(diào)整供應(yīng)商級(jí)別；同時(shí)，要及時(shí)獲取信息技術(shù)供應(yīng)商是否存在有違規(guī)問(wèn)題和安全風(fēng)險(xiǎn)，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全審查、供應(yīng)鏈安全等相關(guān)要求。對(duì)一些具有能源行業(yè)特性的數(shù)字化技術(shù)軟硬件及平臺(tái)，可鼓勵(lì)開展聯(lián)合研究，形成自主科研能力，降低供應(yīng)鏈安全風(fēng)險(xiǎn)。

(三)基于零信任的網(wǎng)絡(luò)架構(gòu)保障遠(yuǎn)程辦公安全需求

要?jiǎng)?chuàng)新嘗試以零信任網(wǎng)絡(luò)架構(gòu)適應(yīng)復(fù)雜的形勢(shì)和多樣的要求，以無(wú)邊界防護(hù)、動(dòng)態(tài)認(rèn)證安全理念為基礎(chǔ)，實(shí)現(xiàn)以身份為中心的安全管理體系。以國(guó)產(chǎn)密碼算法為核心，提供技術(shù)標(biāo)準(zhǔn)統(tǒng)一、服務(wù)組件化及安全合規(guī)的密碼服務(wù)。使用數(shù)據(jù)加密防竊取，數(shù)據(jù)簽名防篡改等技術(shù)，保護(hù)用戶數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性和完整性，搭建安全通信網(wǎng)絡(luò);同時(shí)，保護(hù)用戶數(shù)據(jù)在存儲(chǔ)及處理時(shí)的機(jī)密性和完整性，保證數(shù)據(jù)的安全。

三、以“轉(zhuǎn)服務(wù)”為發(fā)展路徑，探索實(shí)現(xiàn)網(wǎng)絡(luò)安全賦能

國(guó)家大戰(zhàn)略需要各行各業(yè)各部門各單位不同層級(jí)的小戰(zhàn)略落實(shí)支撐。下一步，能源行業(yè)在網(wǎng)絡(luò)安全層面要落實(shí)二〇三五年遠(yuǎn)景目標(biāo)和“十四五”主要目標(biāo)中與石油化工領(lǐng)域相關(guān)的網(wǎng)絡(luò)安全保障目標(biāo)和任務(wù)要求，立足全局、著眼長(zhǎng)遠(yuǎn)，切實(shí)為安全保障賦能，從有利于網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略實(shí)施、有利于支撐經(jīng)濟(jì)社會(huì)發(fā)展、有利于推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化、有利于能源行業(yè)數(shù)字化高質(zhì)量發(fā)展的角度，奮力前行。

(一)管理賦能：由防御型框架向檢測(cè)響應(yīng)型框架轉(zhuǎn)化

能源行業(yè)的網(wǎng)絡(luò)安全防御體系已基本建成，但是任何網(wǎng)絡(luò)信息系統(tǒng)都無(wú)法確保完全，不出現(xiàn)安全問(wèn)題。在攻防投入極不對(duì)稱的情況下，要適時(shí)轉(zhuǎn)變網(wǎng)絡(luò)安全保障思路，提升網(wǎng)絡(luò)安全檢測(cè)、監(jiān)測(cè)能力與應(yīng)急響應(yīng)能力，以求更精準(zhǔn)地發(fā)現(xiàn)問(wèn)題，更快速、更自動(dòng)化、更智能化地處理問(wèn)題。下一步，要著重開展三方面工作：一是在“三同步”基礎(chǔ)上，增加對(duì)實(shí)施過(guò)程的管控，推行 DevSecOps，將安全內(nèi)建于開發(fā)、交付、運(yùn)營(yíng)過(guò)程中，研發(fā)、運(yùn)營(yíng)、測(cè)試、安全多個(gè)部門緊密協(xié)作，提升開發(fā)和運(yùn)營(yíng)敏捷性；二是推行以風(fēng)險(xiǎn)識(shí)別、評(píng)估、處置為一體的風(fēng)險(xiǎn)管理，動(dòng)態(tài)評(píng)估并處置外部威脅變化、保障政策變化、內(nèi)部網(wǎng)絡(luò)變化等帶來(lái)的安全保障風(fēng)險(xiǎn)；三是不斷完善安全編排與自動(dòng)化響應(yīng)平臺(tái)能力，力爭(zhēng)將 90% 以上日常監(jiān)測(cè)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)與事件，通過(guò)自動(dòng)化手段，第一時(shí)間進(jìn)行處置，提升工作效率。

(二)技術(shù)賦能：由傳統(tǒng)安全保障向“安全即服務(wù)”模式轉(zhuǎn)化

能源行業(yè)各單位均制定了業(yè)務(wù)應(yīng)用上云戰(zhàn)略，在資產(chǎn)、信息、數(shù)據(jù)和關(guān)系發(fā)生量級(jí)增長(zhǎng)后，下一步要努力把已經(jīng)形成的網(wǎng)絡(luò)安全保障能力進(jìn)一步標(biāo)準(zhǔn)化、虛擬化，形成云資源服務(wù)，以目錄形式向業(yè)務(wù)系統(tǒng)輸出安全防護(hù)能力，為所有云上應(yīng)用提供統(tǒng)一的、便捷的、安全的云安全服務(wù)保障，真正形成“安全中臺(tái)”，為真正實(shí)現(xiàn)一體化、全周期安全運(yùn)營(yíng)提供技術(shù)落地方案。

(三)人才賦能：由單點(diǎn)向立體化人才保障梯隊(duì)轉(zhuǎn)化

專業(yè)化、常態(tài)化網(wǎng)絡(luò)安全運(yùn)營(yíng)能夠形成合理有效的協(xié)同聯(lián)動(dòng)機(jī)制，提升應(yīng)急處置效率，對(duì)安全事件形成閉環(huán)管理，而網(wǎng)絡(luò)安全運(yùn)營(yíng)的關(guān)鍵是擁有一支高素質(zhì)、多維度、立體化的網(wǎng)絡(luò)安全人才梯隊(duì)。一是要秉承“以人為中心”的發(fā)展思想，加強(qiáng)崗位練兵和網(wǎng)絡(luò)安全技術(shù)比武，發(fā)現(xiàn)和選拔網(wǎng)絡(luò)安全專業(yè)人才，制定網(wǎng)絡(luò)安全人才發(fā)展規(guī)劃，創(chuàng)新完善培養(yǎng)機(jī)制，建立人才梯隊(duì)培育模式。二是開展網(wǎng)絡(luò)安全人員技能考核，推進(jìn)網(wǎng)絡(luò)安全人員持證上崗，不斷提高能源行業(yè)網(wǎng)絡(luò)安全從業(yè)人員的技能水平。三是營(yíng)造良好的人才生態(tài)環(huán)境，搭建能源行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位、國(guó)家網(wǎng)絡(luò)安全權(quán)威技術(shù)機(jī)構(gòu)、網(wǎng)絡(luò)安全優(yōu)先產(chǎn)業(yè)單位、行業(yè)知名專家之間溝通交流的橋梁，凝聚各方人才，提升能源行業(yè)網(wǎng)絡(luò)安全人才能力。

面對(duì)能源革命和能源轉(zhuǎn)型加快推進(jìn)的新形勢(shì)，石油化工行業(yè)利用數(shù)字技術(shù)驅(qū)動(dòng)業(yè)務(wù)模式變革進(jìn)行數(shù)字化轉(zhuǎn)型是不可逆轉(zhuǎn)的大趨勢(shì)。“十四五”時(shí)期是石油化工行業(yè)數(shù)字化進(jìn)程實(shí)現(xiàn)新的更大發(fā)展的關(guān)鍵時(shí)期，網(wǎng)絡(luò)安全保障工作要綜合考慮國(guó)內(nèi)外數(shù)字化發(fā)展趨勢(shì)和我國(guó)數(shù)字化發(fā)展條件，堅(jiān)持目標(biāo)導(dǎo)向和問(wèn)題導(dǎo)向相結(jié)合，增強(qiáng)機(jī)遇意識(shí)和風(fēng)險(xiǎn)意識(shí)，準(zhǔn)確識(shí)變、科學(xué)應(yīng)變、主動(dòng)求變，切實(shí)保障石油化工行業(yè)數(shù)字化新發(fā)展。

所謂“開局定全局”。2021 年是“十四五”開局之年，要進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全體系化規(guī)劃建設(shè)，夯實(shí)網(wǎng)絡(luò)安全防御基礎(chǔ)。以體系化的安全規(guī)劃為牽引，通過(guò)科學(xué)、高質(zhì)的項(xiàng)目建設(shè)，快速補(bǔ)齊短板、持續(xù)提高網(wǎng)絡(luò)安全管控能力，以整體化、集中化、規(guī)?；姆绞揭?guī)劃建設(shè)安全中臺(tái)，形成具備“精細(xì)化安全管控、體系化安全防御、實(shí)戰(zhàn)化安全運(yùn)行”的綜合網(wǎng)絡(luò)安全防御能力，全面支撐石油化工行業(yè)“數(shù)據(jù) + 平臺(tái) + 應(yīng)用”的信息化管理、建設(shè)、運(yùn)維新模式。

本文刊登于《中國(guó)信息安全》雜志2021年第1期    來(lái)源：中國(guó)信息安全