国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

石油化工行業(yè)的網(wǎng)絡(luò)安全保障工作有其特殊性。

一是中國(guó)石化業(yè)務(wù)應(yīng)用復(fù)雜，上中下游、科研、工程、貿(mào)易、金融、電商，相應(yīng)的業(yè)務(wù)信息系統(tǒng)復(fù)雜度極高。隨著計(jì)算和存儲(chǔ)技術(shù)的快速提升，為了快速響應(yīng)對(duì)業(yè)務(wù)的支持和市場(chǎng)的反應(yīng)，信息化架構(gòu)從金字塔型模塊化的分層架構(gòu)，向容器化的微服務(wù)敏捷架構(gòu)轉(zhuǎn)變。面向需求側(cè)，由系統(tǒng)集成向微服務(wù)集成轉(zhuǎn)變，面向供給側(cè)，由工業(yè)云向工業(yè)互聯(lián)網(wǎng)生態(tài)轉(zhuǎn)型。未來(lái)，中國(guó)石化的信息化將走向端、邊、管、云的一體化融合，將給網(wǎng)絡(luò)安全運(yùn)營(yíng)帶來(lái)新的挑戰(zhàn)。

二是網(wǎng)絡(luò)覆蓋面大、數(shù)據(jù)中心眾多、終端眾多，整體網(wǎng)絡(luò)延伸到5大洲、30余個(gè)國(guó)家，國(guó)內(nèi)32個(gè)省自治區(qū)直轄市，150余個(gè)企業(yè)，涉及用戶數(shù)量達(dá)65萬(wàn)。

三是供應(yīng)鏈復(fù)雜、主體建設(shè)運(yùn)維已經(jīng)自主掌握，由石化盈科和共享服務(wù)公司提供保障，但是面對(duì)如此龐大復(fù)雜的信息化系統(tǒng)，存在著龐雜的供應(yīng)商隊(duì)伍。單就總部信息管理部門來(lái)說(shuō)，為其提供軟、硬件產(chǎn)品生產(chǎn)商及產(chǎn)品授權(quán)代理商30余家，提供咨詢、實(shí)施、工程、運(yùn)行維護(hù)、軟件開(kāi)發(fā)、系統(tǒng)集成等服務(wù)的信息技術(shù)服務(wù)商十余家。如何對(duì)眾多供應(yīng)商提供的產(chǎn)品以及服務(wù)安全性進(jìn)行全方位約束和考量不可規(guī)避。

四是新業(yè)態(tài)新技術(shù)的不斷涌現(xiàn)并深化應(yīng)用。中國(guó)石化制定了全業(yè)務(wù)應(yīng)用上云戰(zhàn)略，石化智云已經(jīng)全面支撐智能制造、互聯(lián)網(wǎng)應(yīng)用和企業(yè)管理，開(kāi)通了466個(gè)智能制造資源實(shí)例，支撐了9個(gè)地區(qū)智能工廠、智能油氣田、智能物流、智能研究院的17個(gè)重點(diǎn)應(yīng)用，2000多個(gè)互聯(lián)網(wǎng)應(yīng)用資源實(shí)例，支撐包括易捷、易派客、客戶管理等40多個(gè)應(yīng)用系統(tǒng)，1600多個(gè)企業(yè)應(yīng)用資源實(shí)例，支撐共計(jì)140多個(gè)企業(yè)經(jīng)營(yíng)管理應(yīng)用，提供基礎(chǔ)設(shè)施層、數(shù)據(jù)庫(kù)層、中間件層、網(wǎng)絡(luò)安全、主機(jī)安全、計(jì)算節(jié)點(diǎn)等各類資源服務(wù)，涉及云計(jì)算、大數(shù)據(jù)、移動(dòng)應(yīng)用、電子支付、IoT、信息物理系統(tǒng)（CPS）等各類技術(shù)在流程制造行業(yè)的綜合應(yīng)用。在資產(chǎn)、信息、數(shù)據(jù)和關(guān)系發(fā)生量級(jí)增長(zhǎng)后，平臺(tái)安全、數(shù)據(jù)安全、應(yīng)用安全、支付安全、交易安全、物聯(lián)網(wǎng)智能設(shè)備安全是中國(guó)石化實(shí)現(xiàn)一體化、全周期安全運(yùn)營(yíng)必須重視和攻克的挑戰(zhàn)。

針對(duì)網(wǎng)絡(luò)安全工作，中國(guó)石化高度重視，集團(tuán)公司領(lǐng)導(dǎo)層做出了“集團(tuán)公司正處于改革發(fā)展的關(guān)鍵時(shí)期，面對(duì)復(fù)雜嚴(yán)峻的外部環(huán)境，面對(duì)推進(jìn)全面可持續(xù)發(fā)展的艱巨任務(wù)，擁有安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境是至關(guān)重要的”這一戰(zhàn)略判斷。中國(guó)石化集團(tuán)公司董事長(zhǎng)、網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長(zhǎng)戴厚良同志，代表集團(tuán)公司黨組對(duì)全系統(tǒng)做出了：“網(wǎng)絡(luò)安全是系統(tǒng)性、全局性的，一旦出現(xiàn)問(wèn)題將是全局性、災(zāi)難性的，要提高思想認(rèn)識(shí)、壓實(shí)各級(jí)責(zé)任，用比生產(chǎn)裝置安全更高標(biāo)準(zhǔn)、更嚴(yán)要求來(lái)抓好網(wǎng)絡(luò)安全?！钡闹甘尽?/p>

在集團(tuán)公司黨組領(lǐng)導(dǎo)的正確領(lǐng)導(dǎo)下，中國(guó)石化近年來(lái)不斷加大了網(wǎng)絡(luò)安全財(cái)力物力人力投入，持續(xù)加強(qiáng)安全運(yùn)營(yíng)保障的各方面能力。

（一）以退為進(jìn)，收緊戰(zhàn)線——全面收斂集團(tuán)面向互聯(lián)網(wǎng)的攻擊暴露面

互聯(lián)網(wǎng)暴露面越廣，風(fēng)險(xiǎn)越高，也更容易成為攻擊者的首選目標(biāo)。近年來(lái)，中國(guó)石化持續(xù)加強(qiáng)互聯(lián)網(wǎng)出口管控，一是推行互聯(lián)網(wǎng)收口工程，在全國(guó)范圍內(nèi)建設(shè)十個(gè)互聯(lián)網(wǎng)區(qū)域中心，對(duì)下屬49家直屬企業(yè)及100余家二、三級(jí)單位互聯(lián)網(wǎng)出口實(shí)現(xiàn)統(tǒng)一管控；二是規(guī)范互聯(lián)網(wǎng)訪問(wèn)方式，VPN全面啟用雙因素認(rèn)證，清退各類違規(guī)互聯(lián)網(wǎng)訪問(wèn)、遠(yuǎn)程接入賬號(hào)；三是建設(shè)統(tǒng)一部署的身份認(rèn)證及行為監(jiān)測(cè)體系，實(shí)施全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、桌面安全管理系統(tǒng)、防病毒系統(tǒng)，企業(yè)無(wú)死角開(kāi)啟網(wǎng)絡(luò)準(zhǔn)入控制，遵循“準(zhǔn)入必合規(guī)”原則，對(duì)終端入網(wǎng)實(shí)現(xiàn)身份驗(yàn)證和安全管控；四是形成覆蓋全生命周期的風(fēng)險(xiǎn)發(fā)現(xiàn)與處置機(jī)制，系統(tǒng)上線前的安全規(guī)劃及代碼審計(jì)、上線時(shí)的上線與驗(yàn)收測(cè)評(píng)、運(yùn)行過(guò)程中的風(fēng)險(xiǎn)評(píng)估與安全檢查均形成常態(tài)化機(jī)制，并適時(shí)開(kāi)展如互聯(lián)網(wǎng)安全專項(xiàng)治理工作，平戰(zhàn)結(jié)合，形成長(zhǎng)效機(jī)制。

（二）摸清家底，全面布控——形成資產(chǎn)管理與態(tài)勢(shì)感知相結(jié)合的自動(dòng)化監(jiān)測(cè)能力

在資產(chǎn)管理方面，中國(guó)石化集團(tuán)公司信息資產(chǎn)數(shù)量巨大，防護(hù)水平參差不齊，攻擊者通過(guò)搜尋防護(hù)薄弱、疏于管理以及廢棄老舊資產(chǎn)作為突破口，可實(shí)現(xiàn)對(duì)重要系統(tǒng)的迂回突破。通過(guò)開(kāi)展資產(chǎn)測(cè)繪，排查互聯(lián)網(wǎng)、主干網(wǎng)、外聯(lián)區(qū)等邊界信息，明確資產(chǎn)歸屬，形成臺(tái)賬，及時(shí)下線廢棄或無(wú)主系統(tǒng)。此外，資產(chǎn)管理工作還需要額外關(guān)注互聯(lián)網(wǎng)上泄露的中國(guó)石化敏感信息，包括主機(jī)、郵箱明文存儲(chǔ)的賬號(hào)、口令，以及文庫(kù)、github等互聯(lián)網(wǎng)平臺(tái)上存在的技術(shù)方案、網(wǎng)絡(luò)拓?fù)鋱D、系統(tǒng)源代碼、賬號(hào)、口令等。為防止正面防御如同“馬奇諾防線”一樣被繞過(guò)，造成重要系統(tǒng)直接暴露在攻擊者面前，持續(xù)開(kāi)展敏感信息清理工作非常必要。

在態(tài)勢(shì)感知方面，在總部互聯(lián)網(wǎng)出口、主干網(wǎng)、區(qū)域中心互聯(lián)網(wǎng)出口等關(guān)鍵部位部署態(tài)勢(shì)感知系統(tǒng)對(duì)網(wǎng)絡(luò)流量進(jìn)行重點(diǎn)監(jiān)控。通過(guò)對(duì)攻擊者攻擊方法、攻擊路線、常見(jiàn)套路進(jìn)行分析與提煉,形成定制策略，精準(zhǔn)識(shí)別攻擊者掃描踩點(diǎn)、漏洞利用、權(quán)限提升、橫向滲透等行為。同時(shí)，在總部和區(qū)域中心互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)攻擊阻斷系統(tǒng)，采用大數(shù)據(jù)分析技術(shù)，融合匯聚主機(jī)防護(hù)設(shè)備情報(bào)源、企業(yè)威脅情報(bào)源、情報(bào)聯(lián)盟情報(bào)源等多源數(shù)據(jù)，開(kāi)展威脅、情報(bào)關(guān)聯(lián)分析與挖掘，對(duì)惡意IP的訪問(wèn)請(qǐng)求進(jìn)行實(shí)時(shí)匹配和阻斷，從而實(shí)現(xiàn)防護(hù)關(guān)口的前移，達(dá)到全局共享惡意IP，實(shí)現(xiàn)“一點(diǎn)監(jiān)測(cè)、全局阻斷”效果。此外，通過(guò)日志審計(jì)系統(tǒng)在攻擊者探測(cè)、控制與命令通道、橫向移動(dòng)攻擊以及內(nèi)部安全審計(jì)等維度，設(shè)置實(shí)時(shí)關(guān)聯(lián)分析告警規(guī)則進(jìn)行大廣角的橫向關(guān)聯(lián)和縱深的數(shù)據(jù)挖掘。同時(shí)與態(tài)勢(shì)感知系統(tǒng)協(xié)同聯(lián)動(dòng)，可發(fā)現(xiàn)大量掃描、暴力破解、賬號(hào)異常、異常通信和服務(wù)器異常操作等行為。

（三）形成縱深，保障要害——?jiǎng)?chuàng)建層次清晰、手段豐富的縱深防御體系

眾所周知，電力行業(yè)早期就形成了諸如“橫向隔離，縱向加密”的網(wǎng)絡(luò)縱深，取得了很好的安全保障效果。中國(guó)石化也在打造自身的縱深防御體系。在網(wǎng)絡(luò)層面體現(xiàn)為三道主要防線：一是在總部和區(qū)域中心互聯(lián)網(wǎng)邊界部署IPS、WAF等自動(dòng)化防護(hù)系統(tǒng)并啟用高強(qiáng)度防護(hù)策略，阻斷來(lái)自互聯(lián)網(wǎng)的自動(dòng)化攻擊、掃描行為；二是在連接各下屬企業(yè)的主干網(wǎng)通路啟用白名單訪問(wèn)控制策略，阻斷攻擊者入侵單個(gè)企業(yè)后的橫向滲透；三是在數(shù)據(jù)中心重要安全域邊界啟用雙向白名單訪問(wèn)控制策略，阻斷攻擊者入侵外圍邊界后的縱向深入。

主機(jī)層面，在重點(diǎn)業(yè)務(wù)系統(tǒng)上全面部署主機(jī)防護(hù)設(shè)備進(jìn)行重點(diǎn)防護(hù)。針對(duì)SQL注入、暴力破解、任意文件讀取、網(wǎng)站漏洞等入侵行為部署針對(duì)性防護(hù)策略。同時(shí)通過(guò)主機(jī)防護(hù)設(shè)備強(qiáng)化操作系統(tǒng)底層安全，保障其基礎(chǔ)環(huán)境安全。監(jiān)控人員依托主機(jī)防護(hù)設(shè)備的云中心大數(shù)據(jù)分析平臺(tái)，從攔截日志中提取詳細(xì)信息，對(duì)攻擊行為進(jìn)行感知、辨識(shí)、追溯、取證。此外，在互聯(lián)網(wǎng)區(qū)、內(nèi)網(wǎng)核心區(qū)部署蜜罐，以此在攻擊者攻擊路徑上構(gòu)造陷阱，精確感知攻擊行為，混淆攻擊目標(biāo)，將攻擊火力引導(dǎo)到蜜罐系統(tǒng)，記錄攻擊行為，實(shí)現(xiàn)“誘敵深入，精準(zhǔn)溯源”效果。

（四）技管結(jié)合，以人為本——打造以高素質(zhì)人才為核心協(xié)同高效運(yùn)營(yíng)團(tuán)隊(duì)

檢驗(yàn)網(wǎng)絡(luò)安全運(yùn)營(yíng)是否成熟，本質(zhì)在于是否有一支高素質(zhì)的隊(duì)伍。網(wǎng)絡(luò)攻防其實(shí)就是人與人之間的攻防，在網(wǎng)絡(luò)安全人才整體短缺的大背景下,不論是突出合規(guī)屬性的管理型人才還是突出技術(shù)屬性的實(shí)戰(zhàn)化人才，在數(shù)量以及能力上都嚴(yán)重匱乏。中國(guó)石化在加強(qiáng)與國(guó)家專業(yè)機(jī)構(gòu)、產(chǎn)業(yè)公司合作的基礎(chǔ)上加強(qiáng)能力的轉(zhuǎn)移轉(zhuǎn)化，并不斷跟蹤國(guó)內(nèi)外網(wǎng)絡(luò)安全新政策、新標(biāo)準(zhǔn)、新技術(shù)，在全集團(tuán)范圍內(nèi)建立形成人才梯隊(duì)培育模式并建設(shè)攻防演練實(shí)訓(xùn)靶場(chǎng)，培育行業(yè)隊(duì)伍。

檢驗(yàn)網(wǎng)絡(luò)安全運(yùn)營(yíng)是否成熟，核心在于日常運(yùn)營(yíng)協(xié)同是否合理有效。中國(guó)石化科學(xué)合理配置總部和企業(yè)的防護(hù)力量，在總部設(shè)立網(wǎng)絡(luò)安全運(yùn)營(yíng)中心，統(tǒng)一調(diào)配各專業(yè)小組和外圍機(jī)動(dòng)力量，各企業(yè)設(shè)立分中心，協(xié)同進(jìn)行態(tài)勢(shì)監(jiān)控和響應(yīng)，形成上下一體、協(xié)同聯(lián)動(dòng)的運(yùn)營(yíng)體系。

檢驗(yàn)網(wǎng)絡(luò)安全運(yùn)營(yíng)是否成熟，關(guān)鍵在于重大敏感時(shí)期或安全事件爆發(fā)時(shí)的應(yīng)急處置效率。中國(guó)石化以總部網(wǎng)絡(luò)安全運(yùn)營(yíng)中心為核心，搭建集團(tuán)內(nèi)部自上而下的應(yīng)急響應(yīng)即時(shí)通訊平臺(tái)，及時(shí)發(fā)布安全事件和處置指令，按照監(jiān)控告警、分析研判、處置響應(yīng)的工作主線，及既定應(yīng)急響應(yīng)流程，采用全網(wǎng)掃描報(bào)備、精準(zhǔn)感知、態(tài)勢(shì)研判、關(guān)聯(lián)分析、自動(dòng)封禁、快速處置、重點(diǎn)溯源、跟蹤閉環(huán)、動(dòng)態(tài)調(diào)配等一系列策略開(kāi)展網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作。

中國(guó)石化的網(wǎng)絡(luò)安全運(yùn)營(yíng)工作依然任重而道遠(yuǎn)，下一步的網(wǎng)絡(luò)安全運(yùn)營(yíng)將朝著集中化、自動(dòng)化、智能化方向不斷發(fā)展。

一是進(jìn)一步做實(shí)網(wǎng)絡(luò)安全責(zé)任制，實(shí)現(xiàn)從要我安全到我要安全的轉(zhuǎn)變。一方面要強(qiáng)化考核、壓實(shí)責(zé)任。加強(qiáng)網(wǎng)絡(luò)安全考核力度，針對(duì)運(yùn)營(yíng)工作中發(fā)現(xiàn)的漏洞短板，重點(diǎn)加強(qiáng)攻擊面收斂、敏感信息消除、第三方運(yùn)維單位安全管控等內(nèi)容的考核力度。另一方面要出臺(tái)網(wǎng)絡(luò)安全問(wèn)責(zé)機(jī)制，發(fā)生安全事件后對(duì)主責(zé)單位實(shí)施問(wèn)責(zé)。

二是狠抓三同步，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)建設(shè)與網(wǎng)絡(luò)安全工作的融合發(fā)展，確保系統(tǒng)的本質(zhì)安全。把好源頭關(guān)，著力做好信息系統(tǒng)建設(shè)過(guò)程中的安全規(guī)劃設(shè)計(jì)和實(shí)施質(zhì)量管理，探索項(xiàng)目安全監(jiān)理制度。

三是網(wǎng)絡(luò)安全運(yùn)營(yíng)隊(duì)伍的專業(yè)化。依托集團(tuán)攻防團(tuán)隊(duì)核心骨干人員建立專業(yè)的安全運(yùn)營(yíng)隊(duì)伍，并根據(jù)安全運(yùn)營(yíng)的專業(yè)需要進(jìn)一步加強(qiáng)人才隊(duì)伍的能力建設(shè)，包括專職負(fù)責(zé)安全研究的專家，主要研究最新的攻擊方法，模擬黑客進(jìn)行攻擊；還要有安全數(shù)據(jù)分析專家，主要從海量的數(shù)據(jù)中找規(guī)律、優(yōu)化算法，力求以最快的速度發(fā)現(xiàn)威脅。

四是網(wǎng)絡(luò)安全運(yùn)營(yíng)系統(tǒng)的集中化，打造總部、區(qū)域中心、企業(yè)三位一體的安全運(yùn)營(yíng)體系，將集團(tuán)內(nèi)網(wǎng)及互聯(lián)網(wǎng)所有數(shù)據(jù)進(jìn)行統(tǒng)一匯總分析，結(jié)合內(nèi)網(wǎng)威脅情報(bào)實(shí)現(xiàn)對(duì)全集團(tuán)安全態(tài)勢(shì)的統(tǒng)一管控。同時(shí)進(jìn)一步加強(qiáng)智能分析與處置能力，重點(diǎn)加強(qiáng)安全編排和安全自動(dòng)化能力，以及響應(yīng)管理能力，最終整體提升安全運(yùn)營(yíng)系統(tǒng)的效能。

來(lái)源：中國(guó)信息安全