文│ 中国石油化工集团有限公司 张朝俊 刘远 郭延玲

党的十九届五中全会提出,要统筹推进基础设施建设,构建系统完备、高效实用、智能绿色、安全可靠的现代化基础设施体系,推进能源革命,建设智慧能源系统等具体举措,充分体现了国家对石油化工领域以数字化转型为基础的新发展理念。面对不断变幻的网络空间形势、日趋严格的国家网络安全保障要求,如何做好石油化工行业关键信息基础设施的网络安全保障与发展,是当前也是未来很长一段时间需要持续深入研究并践行的重要课题。

一、以“保安全”为首要任务,夯实网络安全保障责任

能源行业要做好网络安全保障工作,就要做到“管理体系完善、技术体系先进、运营体系健全”,形成网络安全综合防控体系。

(一)完善的管理体系是网络安全工作的前提

所谓“三分技术、七分管理”,网络安全工作的开展需要一以贯之的方针政策,需要明确的工作机制和要求,更需要配套的考核手段,从而使各方重视、执行规范。

方针政策。要坚持统一规划、统一标准、统一建设,建设自顶向下制度及标准体系,筑牢网络安全工作基础。

工作机制。要严格落实网络安全“三同步”工作要求,建立信息化项目全生命周期的网络安全质量保障机制,并与网络安全等级保护工作、持续性风险评估工作深入融合,确保“存量风险可控,增量全程合规”。

考核手段。要严格落实网络安全责任制,明确网络安全责任人,并逐层分解,把责任分解细化落实到具体部门、岗位、人员和任务,把网络安全视为与生产安全同等重要的地位,严格落实年度网络安全综合水平评价。

(二)强有力的技术体系是网络安全工作的有效保证

能源行业的网络安全保障工作需要覆盖的面广,需要顾及的业务需求众多,既要有先进的网络通信安全保障方案,又要有具有普适性的安全基础保障服务,需要建立强有力的技术体系进行保驾护航。以中国石化集团为例,一方面,公司推动全集团的“收口工程”建设,另一方面,公司大力发展安全基础设施,提供有效安全保障。

(三)健全的运营体系是网络安全工作持续发展的基础

金融行业网络安全保障工作重要性之所以较其他行业更为突出,是因为强大且健全的安全运营能力发挥了巨大作用。能源行业当前在安全运营方面的能力尚有进步空间,需要在建平台、理流程、组队伍方面加大投入。

建平台。要建设以安全大数据为核心的集自动化编排、威胁情报、应急响应、安全服务、安全管控为一体的网络安全管控平台,使访问可控、接入可信、发布可管、事件可定位、事后可追溯,形成“人+ 平台 + 服务”联防联动机制。

理流程。通过将攻击行为感知、资产信息查询、威胁情报对比、地理位置确认、黑白名单核实、封禁策略下发等一系列传统手工运营需要的操作进行原子化抽象,形成多个的标准作业流程。在安全编排与自动化响应平台与态势感知、运维平台、防火墙、准入控制等安全系统接口打通的基础上,形成自动化安全剧本,达到“企业一键到边界,用户一键到终端,信息一键可查询”的实战效果。同时,为降低安全剧本自动化操作可能对业务带来的潜在风险,所有的安全剧本在设计时均补充了反向快速回撤机制,实现了“误封一键全还原”,以满足在特殊情况下的业务快速恢复需求,实现运营过程自动化、智能化。

组队伍。要坚持网络安全实战化,建立内部红、蓝、黄队,维护网络安全生态。红队模拟真实攻击、发现自有安全隐患,以攻测防、以攻促防;蓝队持续优化流程、积极开展防御,总结并输出自动化安全剧本;黄队通过安全系统建设,落实红队与蓝队输出的安全需求与建议,“红蓝黄”互相配合、持续提升能源企业安全防护能力。

二、以“促发展”为工作目标,推动数字化高质量发展

党的十九届五中全会提出,要统筹发展和安全。网络安全保障的本质并不是为业务发展上枷锁,而是要促进业务工作有序发展。在能源行业数字化进程中,影响大数据应用、数字化产业链供应链等重要任务及环节创新发展的主要顾虑在于网络安全,因此,开展以促发展为目标的网络安全保障措施的研究与落地,尤为重要。

(一)数据安全保障助力能源大数据应用的新发展

能源行业各大企业均在着手研究以数据全生命周期管理为前提的大数据安全保障技术,以同步大数据应用的发展。一是建立重要数据保护目录,对列入目录的数据实施重点保护。二是健全全流程数据安全管理制度流程和数据安全保护技术标准规范。三是通过技术手段加强数据全生命周期的安全管理,数据采集过程要有分级分类标识,重要数据存储使用国产密码加密并建立数据存储冗余策略和备份还原机制,数据处理和分发遵循最小授权和可审计原则。四是推动重要数据定期开展风险评估,对大数据环境的系统脆弱点、恶意利用等潜在安全风险以及应对措施等,定期开展数据安全风险评估。

(二)供应链安全管理提升能源数字化发展的可靠性

任何一家企业的信息化进程不可能从零开始完全采用自主可控的技术手段,但在这种习惯背后,存在着巨大的风险,每台购入的设备,每套购入的系统甚至每个基于开源框架的二次开发系统都存在潜在的技术安全威胁,每个信息化供应商都可能成为数据泄露的源头。为提高供应链可靠性,加强源头管理,需要积极研究供应链安全保障机制,建立供应商目录并在可研、招标、验收等关键环节对供应链进行安全风险评估,并动态调整供应商级别;同时,要及时获取信息技术供应商是否存在有违规问题和安全风险,严格落实网络安全审查、供应链安全等相关要求。对一些具有能源行业特性的数字化技术软硬件及平台,可鼓励开展联合研究,形成自主科研能力,降低供应链安全风险。

(三)基于零信任的网络架构保障远程办公安全需求

要创新尝试以零信任网络架构适应复杂的形势和多样的要求,以无边界防护、动态认证安全理念为基础,实现以身份为中心的安全管理体系。以国产密码算法为核心,提供技术标准统一、服务组件化及安全合规的密码服务。使用数据加密防窃取,数据签名防篡改等技术,保护用户数据在传输过程中的机密性和完整性,搭建安全通信网络;同时,保护用户数据在存储及处理时的机密性和完整性,保证数据的安全。

三、以“转服务”为发展路径,探索实现网络安全赋能

国家大战略需要各行各业各部门各单位不同层级的小战略落实支撑。下一步,能源行业在网络安全层面要落实二〇三五年远景目标和“十四五”主要目标中与石油化工领域相关的网络安全保障目标和任务要求,立足全局、着眼长远,切实为安全保障赋能,从有利于网络强国战略实施、有利于支撑经济社会发展、有利于推进国家治理体系和治理能力现代化、有利于能源行业数字化高质量发展的角度,奋力前行。

(一)管理赋能:由防御型框架向检测响应型框架转化

能源行业的网络安全防御体系已基本建成,但是任何网络信息系统都无法确保完全,不出现安全问题。在攻防投入极不对称的情况下,要适时转变网络安全保障思路,提升网络安全检测、监测能力与应急响应能力,以求更精准地发现问题,更快速、更自动化、更智能化地处理问题。下一步,要着重开展三方面工作:一是在“三同步”基础上,增加对实施过程的管控,推行 DevSecOps,将安全内建于开发、交付、运营过程中,研发、运营、测试、安全多个部门紧密协作,提升开发和运营敏捷性;二是推行以风险识别、评估、处置为一体的风险管理,动态评估并处置外部威胁变化、保障政策变化、内部网络变化等带来的安全保障风险;三是不断完善安全编排与自动化响应平台能力,力争将 90% 以上日常监测发现的安全风险与事件,通过自动化手段,第一时间进行处置,提升工作效率。

(二)技术赋能:由传统安全保障向“安全即服务”模式转化

能源行业各单位均制定了业务应用上云战略,在资产、信息、数据和关系发生量级增长后,下一步要努力把已经形成的网络安全保障能力进一步标准化、虚拟化,形成云资源服务,以目录形式向业务系统输出安全防护能力,为所有云上应用提供统一的、便捷的、安全的云安全服务保障,真正形成“安全中台”,为真正实现一体化、全周期安全运营提供技术落地方案。

(三)人才赋能:由单点向立体化人才保障梯队转化

专业化、常态化网络安全运营能够形成合理有效的协同联动机制,提升应急处置效率,对安全事件形成闭环管理,而网络安全运营的关键是拥有一支高素质、多维度、立体化的网络安全人才梯队。一是要秉承“以人为中心”的发展思想,加强岗位练兵和网络安全技术比武,发现和选拔网络安全专业人才,制定网络安全人才发展规划,创新完善培养机制,建立人才梯队培育模式。二是开展网络安全人员技能考核,推进网络安全人员持证上岗,不断提高能源行业网络安全从业人员的技能水平。三是营造良好的人才生态环境,搭建能源行业关键信息基础设施运营单位、国家网络安全权威技术机构、网络安全优先产业单位、行业知名专家之间沟通交流的桥梁,凝聚各方人才,提升能源行业网络安全人才能力。

面对能源革命和能源转型加快推进的新形势,石油化工行业利用数字技术驱动业务模式变革进行数字化转型是不可逆转的大趋势。“十四五”时期是石油化工行业数字化进程实现新的更大发展的关键时期,网络安全保障工作要综合考虑国内外数字化发展趋势和我国数字化发展条件,坚持目标导向和问题导向相结合,增强机遇意识和风险意识,准确识变、科学应变、主动求变,切实保障石油化工行业数字化新发展。

所谓“开局定全局”。2021 年是“十四五”开局之年,要进一步加强网络安全体系化规划建设,夯实网络安全防御基础。以体系化的安全规划为牵引,通过科学、高质的项目建设,快速补齐短板、持续提高网络安全管控能力,以整体化、集中化、规模化的方式规划建设安全中台,形成具备“精细化安全管控、体系化安全防御、实战化安全运行”的综合网络安全防御能力,全面支撑石油化工行业“数据 + 平台 + 应用”的信息化管理、建设、运维新模式。

(本文刊登于《中国信息安全》杂志2021年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。