今日頭條
官方微信
官方抖音
資訊頻道文│ 中國石油化工集團有限公司 張朝俊 劉遠 郭延玲
黨的十九屆五中全會提出,要統(tǒng)籌推進基礎(chǔ)設(shè)施建設(shè),構(gòu)建系統(tǒng)完備、高效實用、智能綠色、安全可靠的現(xiàn)代化基礎(chǔ)設(shè)施體系,推進能源革命,建設(shè)智慧能源系統(tǒng)等具體舉措,充分體現(xiàn)了國家對石油化工領(lǐng)域以數(shù)字化轉(zhuǎn)型為基礎(chǔ)的新發(fā)展理念。面對不斷變幻的網(wǎng)絡(luò)空間形勢、日趨嚴格的國家網(wǎng)絡(luò)安全保障要求,如何做好石油化工行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保障與發(fā)展,是當前也是未來很長一段時間需要持續(xù)深入研究并踐行的重要課題。
一、以“保安全”為首要任務(wù),夯實網(wǎng)絡(luò)安全保障責(zé)任
能源行業(yè)要做好網(wǎng)絡(luò)安全保障工作,就要做到“管理體系完善、技術(shù)體系先進、運營體系健全”,形成網(wǎng)絡(luò)安全綜合防控體系。
(一)完善的管理體系是網(wǎng)絡(luò)安全工作的前提
所謂“三分技術(shù)、七分管理”,網(wǎng)絡(luò)安全工作的開展需要一以貫之的方針政策,需要明確的工作機制和要求,更需要配套的考核手段,從而使各方重視、執(zhí)行規(guī)范。
方針政策。要堅持統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一建設(shè),建設(shè)自頂向下制度及標準體系,筑牢網(wǎng)絡(luò)安全工作基礎(chǔ)。
工作機制。要嚴格落實網(wǎng)絡(luò)安全“三同步”工作要求,建立信息化項目全生命周期的網(wǎng)絡(luò)安全質(zhì)量保障機制,并與網(wǎng)絡(luò)安全等級保護工作、持續(xù)性風(fēng)險評估工作深入融合,確保“存量風(fēng)險可控,增量全程合規(guī)”。
考核手段。要嚴格落實網(wǎng)絡(luò)安全責(zé)任制,明確網(wǎng)絡(luò)安全責(zé)任人,并逐層分解,把責(zé)任分解細化落實到具體部門、崗位、人員和任務(wù),把網(wǎng)絡(luò)安全視為與生產(chǎn)安全同等重要的地位,嚴格落實年度網(wǎng)絡(luò)安全綜合水平評價。
(二)強有力的技術(shù)體系是網(wǎng)絡(luò)安全工作的有效保證
能源行業(yè)的網(wǎng)絡(luò)安全保障工作需要覆蓋的面廣,需要顧及的業(yè)務(wù)需求眾多,既要有先進的網(wǎng)絡(luò)通信安全保障方案,又要有具有普適性的安全基礎(chǔ)保障服務(wù),需要建立強有力的技術(shù)體系進行保駕護航。以中國石化集團為例,一方面,公司推動全集團的“收口工程”建設(shè),另一方面,公司大力發(fā)展安全基礎(chǔ)設(shè)施,提供有效安全保障。
(三)健全的運營體系是網(wǎng)絡(luò)安全工作持續(xù)發(fā)展的基礎(chǔ)
金融行業(yè)網(wǎng)絡(luò)安全保障工作重要性之所以較其他行業(yè)更為突出,是因為強大且健全的安全運營能力發(fā)揮了巨大作用。能源行業(yè)當前在安全運營方面的能力尚有進步空間,需要在建平臺、理流程、組隊伍方面加大投入。
建平臺。要建設(shè)以安全大數(shù)據(jù)為核心的集自動化編排、威脅情報、應(yīng)急響應(yīng)、安全服務(wù)、安全管控為一體的網(wǎng)絡(luò)安全管控平臺,使訪問可控、接入可信、發(fā)布可管、事件可定位、事后可追溯,形成“人+ 平臺 + 服務(wù)”聯(lián)防聯(lián)動機制。
理流程。通過將攻擊行為感知、資產(chǎn)信息查詢、威脅情報對比、地理位置確認、黑白名單核實、封禁策略下發(fā)等一系列傳統(tǒng)手工運營需要的操作進行原子化抽象,形成多個的標準作業(yè)流程。在安全編排與自動化響應(yīng)平臺與態(tài)勢感知、運維平臺、防火墻、準入控制等安全系統(tǒng)接口打通的基礎(chǔ)上,形成自動化安全劇本,達到“企業(yè)一鍵到邊界,用戶一鍵到終端,信息一鍵可查詢”的實戰(zhàn)效果。同時,為降低安全劇本自動化操作可能對業(yè)務(wù)帶來的潛在風(fēng)險,所有的安全劇本在設(shè)計時均補充了反向快速回撤機制,實現(xiàn)了“誤封一鍵全還原”,以滿足在特殊情況下的業(yè)務(wù)快速恢復(fù)需求,實現(xiàn)運營過程自動化、智能化。
組隊伍。要堅持網(wǎng)絡(luò)安全實戰(zhàn)化,建立內(nèi)部紅、藍、黃隊,維護網(wǎng)絡(luò)安全生態(tài)。紅隊模擬真實攻擊、發(fā)現(xiàn)自有安全隱患,以攻測防、以攻促防;藍隊持續(xù)優(yōu)化流程、積極開展防御,總結(jié)并輸出自動化安全劇本;黃隊通過安全系統(tǒng)建設(shè),落實紅隊與藍隊輸出的安全需求與建議,“紅藍黃”互相配合、持續(xù)提升能源企業(yè)安全防護能力。
二、以“促發(fā)展”為工作目標,推動數(shù)字化高質(zhì)量發(fā)展
黨的十九屆五中全會提出,要統(tǒng)籌發(fā)展和安全。網(wǎng)絡(luò)安全保障的本質(zhì)并不是為業(yè)務(wù)發(fā)展上枷鎖,而是要促進業(yè)務(wù)工作有序發(fā)展。在能源行業(yè)數(shù)字化進程中,影響大數(shù)據(jù)應(yīng)用、數(shù)字化產(chǎn)業(yè)鏈供應(yīng)鏈等重要任務(wù)及環(huán)節(jié)創(chuàng)新發(fā)展的主要顧慮在于網(wǎng)絡(luò)安全,因此,開展以促發(fā)展為目標的網(wǎng)絡(luò)安全保障措施的研究與落地,尤為重要。
(一)數(shù)據(jù)安全保障助力能源大數(shù)據(jù)應(yīng)用的新發(fā)展
能源行業(yè)各大企業(yè)均在著手研究以數(shù)據(jù)全生命周期管理為前提的大數(shù)據(jù)安全保障技術(shù),以同步大數(shù)據(jù)應(yīng)用的發(fā)展。一是建立重要數(shù)據(jù)保護目錄,對列入目錄的數(shù)據(jù)實施重點保護。二是健全全流程數(shù)據(jù)安全管理制度流程和數(shù)據(jù)安全保護技術(shù)標準規(guī)范。三是通過技術(shù)手段加強數(shù)據(jù)全生命周期的安全管理,數(shù)據(jù)采集過程要有分級分類標識,重要數(shù)據(jù)存儲使用國產(chǎn)密碼加密并建立數(shù)據(jù)存儲冗余策略和備份還原機制,數(shù)據(jù)處理和分發(fā)遵循最小授權(quán)和可審計原則。四是推動重要數(shù)據(jù)定期開展風(fēng)險評估,對大數(shù)據(jù)環(huán)境的系統(tǒng)脆弱點、惡意利用等潛在安全風(fēng)險以及應(yīng)對措施等,定期開展數(shù)據(jù)安全風(fēng)險評估。
(二)供應(yīng)鏈安全管理提升能源數(shù)字化發(fā)展的可靠性
任何一家企業(yè)的信息化進程不可能從零開始完全采用自主可控的技術(shù)手段,但在這種習(xí)慣背后,存在著巨大的風(fēng)險,每臺購入的設(shè)備,每套購入的系統(tǒng)甚至每個基于開源框架的二次開發(fā)系統(tǒng)都存在潛在的技術(shù)安全威脅,每個信息化供應(yīng)商都可能成為數(shù)據(jù)泄露的源頭。為提高供應(yīng)鏈可靠性,加強源頭管理,需要積極研究供應(yīng)鏈安全保障機制,建立供應(yīng)商目錄并在可研、招標、驗收等關(guān)鍵環(huán)節(jié)對供應(yīng)鏈進行安全風(fēng)險評估,并動態(tài)調(diào)整供應(yīng)商級別;同時,要及時獲取信息技術(shù)供應(yīng)商是否存在有違規(guī)問題和安全風(fēng)險,嚴格落實網(wǎng)絡(luò)安全審查、供應(yīng)鏈安全等相關(guān)要求。對一些具有能源行業(yè)特性的數(shù)字化技術(shù)軟硬件及平臺,可鼓勵開展聯(lián)合研究,形成自主科研能力,降低供應(yīng)鏈安全風(fēng)險。
(三)基于零信任的網(wǎng)絡(luò)架構(gòu)保障遠程辦公安全需求
要創(chuàng)新嘗試以零信任網(wǎng)絡(luò)架構(gòu)適應(yīng)復(fù)雜的形勢和多樣的要求,以無邊界防護、動態(tài)認證安全理念為基礎(chǔ),實現(xiàn)以身份為中心的安全管理體系。以國產(chǎn)密碼算法為核心,提供技術(shù)標準統(tǒng)一、服務(wù)組件化及安全合規(guī)的密碼服務(wù)。使用數(shù)據(jù)加密防竊取,數(shù)據(jù)簽名防篡改等技術(shù),保護用戶數(shù)據(jù)在傳輸過程中的機密性和完整性,搭建安全通信網(wǎng)絡(luò);同時,保護用戶數(shù)據(jù)在存儲及處理時的機密性和完整性,保證數(shù)據(jù)的安全。
三、以“轉(zhuǎn)服務(wù)”為發(fā)展路徑,探索實現(xiàn)網(wǎng)絡(luò)安全賦能
國家大戰(zhàn)略需要各行各業(yè)各部門各單位不同層級的小戰(zhàn)略落實支撐。下一步,能源行業(yè)在網(wǎng)絡(luò)安全層面要落實二〇三五年遠景目標和“十四五”主要目標中與石油化工領(lǐng)域相關(guān)的網(wǎng)絡(luò)安全保障目標和任務(wù)要求,立足全局、著眼長遠,切實為安全保障賦能,從有利于網(wǎng)絡(luò)強國戰(zhàn)略實施、有利于支撐經(jīng)濟社會發(fā)展、有利于推進國家治理體系和治理能力現(xiàn)代化、有利于能源行業(yè)數(shù)字化高質(zhì)量發(fā)展的角度,奮力前行。
(一)管理賦能:由防御型框架向檢測響應(yīng)型框架轉(zhuǎn)化
能源行業(yè)的網(wǎng)絡(luò)安全防御體系已基本建成,但是任何網(wǎng)絡(luò)信息系統(tǒng)都無法確保完全,不出現(xiàn)安全問題。在攻防投入極不對稱的情況下,要適時轉(zhuǎn)變網(wǎng)絡(luò)安全保障思路,提升網(wǎng)絡(luò)安全檢測、監(jiān)測能力與應(yīng)急響應(yīng)能力,以求更精準地發(fā)現(xiàn)問題,更快速、更自動化、更智能化地處理問題。下一步,要著重開展三方面工作:一是在“三同步”基礎(chǔ)上,增加對實施過程的管控,推行 DevSecOps,將安全內(nèi)建于開發(fā)、交付、運營過程中,研發(fā)、運營、測試、安全多個部門緊密協(xié)作,提升開發(fā)和運營敏捷性;二是推行以風(fēng)險識別、評估、處置為一體的風(fēng)險管理,動態(tài)評估并處置外部威脅變化、保障政策變化、內(nèi)部網(wǎng)絡(luò)變化等帶來的安全保障風(fēng)險;三是不斷完善安全編排與自動化響應(yīng)平臺能力,力爭將 90% 以上日常監(jiān)測發(fā)現(xiàn)的安全風(fēng)險與事件,通過自動化手段,第一時間進行處置,提升工作效率。
(二)技術(shù)賦能:由傳統(tǒng)安全保障向“安全即服務(wù)”模式轉(zhuǎn)化
能源行業(yè)各單位均制定了業(yè)務(wù)應(yīng)用上云戰(zhàn)略,在資產(chǎn)、信息、數(shù)據(jù)和關(guān)系發(fā)生量級增長后,下一步要努力把已經(jīng)形成的網(wǎng)絡(luò)安全保障能力進一步標準化、虛擬化,形成云資源服務(wù),以目錄形式向業(yè)務(wù)系統(tǒng)輸出安全防護能力,為所有云上應(yīng)用提供統(tǒng)一的、便捷的、安全的云安全服務(wù)保障,真正形成“安全中臺”,為真正實現(xiàn)一體化、全周期安全運營提供技術(shù)落地方案。
(三)人才賦能:由單點向立體化人才保障梯隊轉(zhuǎn)化
專業(yè)化、常態(tài)化網(wǎng)絡(luò)安全運營能夠形成合理有效的協(xié)同聯(lián)動機制,提升應(yīng)急處置效率,對安全事件形成閉環(huán)管理,而網(wǎng)絡(luò)安全運營的關(guān)鍵是擁有一支高素質(zhì)、多維度、立體化的網(wǎng)絡(luò)安全人才梯隊。一是要秉承“以人為中心”的發(fā)展思想,加強崗位練兵和網(wǎng)絡(luò)安全技術(shù)比武,發(fā)現(xiàn)和選拔網(wǎng)絡(luò)安全專業(yè)人才,制定網(wǎng)絡(luò)安全人才發(fā)展規(guī)劃,創(chuàng)新完善培養(yǎng)機制,建立人才梯隊培育模式。二是開展網(wǎng)絡(luò)安全人員技能考核,推進網(wǎng)絡(luò)安全人員持證上崗,不斷提高能源行業(yè)網(wǎng)絡(luò)安全從業(yè)人員的技能水平。三是營造良好的人才生態(tài)環(huán)境,搭建能源行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營單位、國家網(wǎng)絡(luò)安全權(quán)威技術(shù)機構(gòu)、網(wǎng)絡(luò)安全優(yōu)先產(chǎn)業(yè)單位、行業(yè)知名專家之間溝通交流的橋梁,凝聚各方人才,提升能源行業(yè)網(wǎng)絡(luò)安全人才能力。
面對能源革命和能源轉(zhuǎn)型加快推進的新形勢,石油化工行業(yè)利用數(shù)字技術(shù)驅(qū)動業(yè)務(wù)模式變革進行數(shù)字化轉(zhuǎn)型是不可逆轉(zhuǎn)的大趨勢。“十四五”時期是石油化工行業(yè)數(shù)字化進程實現(xiàn)新的更大發(fā)展的關(guān)鍵時期,網(wǎng)絡(luò)安全保障工作要綜合考慮國內(nèi)外數(shù)字化發(fā)展趨勢和我國數(shù)字化發(fā)展條件,堅持目標導(dǎo)向和問題導(dǎo)向相結(jié)合,增強機遇意識和風(fēng)險意識,準確識變、科學(xué)應(yīng)變、主動求變,切實保障石油化工行業(yè)數(shù)字化新發(fā)展。
所謂“開局定全局”。2021 年是“十四五”開局之年,要進一步加強網(wǎng)絡(luò)安全體系化規(guī)劃建設(shè),夯實網(wǎng)絡(luò)安全防御基礎(chǔ)。以體系化的安全規(guī)劃為牽引,通過科學(xué)、高質(zhì)的項目建設(shè),快速補齊短板、持續(xù)提高網(wǎng)絡(luò)安全管控能力,以整體化、集中化、規(guī)模化的方式規(guī)劃建設(shè)安全中臺,形成具備“精細化安全管控、體系化安全防御、實戰(zhàn)化安全運行”的綜合網(wǎng)絡(luò)安全防御能力,全面支撐石油化工行業(yè)“數(shù)據(jù) + 平臺 + 應(yīng)用”的信息化管理、建設(shè)、運維新模式。
(本文刊登于《中國信息安全》雜志2021年第1期)
北京市公安局海淀分局備案號:11010802023656號