您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
論壇 | 網(wǎng)絡安全保障石油化工行業(yè)數(shù)字化新發(fā)展
文│ 中國石油化工集團有限公司 張朝俊 劉遠 郭延玲
黨的十九屆五中全會提出,要統(tǒng)籌推進基礎設施建設,構建系統(tǒng)完備、高效實用、智能綠色、安全可靠的現(xiàn)代化基礎設施體系,推進能源革命,建設智慧能源系統(tǒng)等具體舉措,充分體現(xiàn)了國家對石油化工領域以數(shù)字化轉型為基礎的新發(fā)展理念。面對不斷變幻的網(wǎng)絡空間形勢、日趨嚴格的國家網(wǎng)絡安全保障要求,如何做好石油化工行業(yè)關鍵信息基礎設施的網(wǎng)絡安全保障與發(fā)展,是當前也是未來很長一段時間需要持續(xù)深入研究并踐行的重要課題。
一、以“保安全”為首要任務,夯實網(wǎng)絡安全保障責任
能源行業(yè)要做好網(wǎng)絡安全保障工作,就要做到“管理體系完善、技術體系先進、運營體系健全”,形成網(wǎng)絡安全綜合防控體系。
(一)完善的管理體系是網(wǎng)絡安全工作的前提
所謂“三分技術、七分管理”,網(wǎng)絡安全工作的開展需要一以貫之的方針政策,需要明確的工作機制和要求,更需要配套的考核手段,從而使各方重視、執(zhí)行規(guī)范。
方針政策。要堅持統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一建設,建設自頂向下制度及標準體系,筑牢網(wǎng)絡安全工作基礎。
工作機制。要嚴格落實網(wǎng)絡安全“三同步”工作要求,建立信息化項目全生命周期的網(wǎng)絡安全質量保障機制,并與網(wǎng)絡安全等級保護工作、持續(xù)性風險評估工作深入融合,確?!按媪匡L險可控,增量全程合規(guī)”。
考核手段。要嚴格落實網(wǎng)絡安全責任制,明確網(wǎng)絡安全責任人,并逐層分解,把責任分解細化落實到具體部門、崗位、人員和任務,把網(wǎng)絡安全視為與生產(chǎn)安全同等重要的地位,嚴格落實年度網(wǎng)絡安全綜合水平評價。
(二)強有力的技術體系是網(wǎng)絡安全工作的有效保證
能源行業(yè)的網(wǎng)絡安全保障工作需要覆蓋的面廣,需要顧及的業(yè)務需求眾多,既要有先進的網(wǎng)絡通信安全保障方案,又要有具有普適性的安全基礎保障服務,需要建立強有力的技術體系進行保駕護航。以中國石化集團為例,一方面,公司推動全集團的“收口工程”建設,另一方面,公司大力發(fā)展安全基礎設施,提供有效安全保障。
(三)健全的運營體系是網(wǎng)絡安全工作持續(xù)發(fā)展的基礎
金融行業(yè)網(wǎng)絡安全保障工作重要性之所以較其他行業(yè)更為突出,是因為強大且健全的安全運營能力發(fā)揮了巨大作用。能源行業(yè)當前在安全運營方面的能力尚有進步空間,需要在建平臺、理流程、組隊伍方面加大投入。
建平臺。要建設以安全大數(shù)據(jù)為核心的集自動化編排、威脅情報、應急響應、安全服務、安全管控為一體的網(wǎng)絡安全管控平臺,使訪問可控、接入可信、發(fā)布可管、事件可定位、事后可追溯,形成“人+ 平臺 + 服務”聯(lián)防聯(lián)動機制。
理流程。通過將攻擊行為感知、資產(chǎn)信息查詢、威脅情報對比、地理位置確認、黑白名單核實、封禁策略下發(fā)等一系列傳統(tǒng)手工運營需要的操作進行原子化抽象,形成多個的標準作業(yè)流程。在安全編排與自動化響應平臺與態(tài)勢感知、運維平臺、防火墻、準入控制等安全系統(tǒng)接口打通的基礎上,形成自動化安全劇本,達到“企業(yè)一鍵到邊界,用戶一鍵到終端,信息一鍵可查詢”的實戰(zhàn)效果。同時,為降低安全劇本自動化操作可能對業(yè)務帶來的潛在風險,所有的安全劇本在設計時均補充了反向快速回撤機制,實現(xiàn)了“誤封一鍵全還原”,以滿足在特殊情況下的業(yè)務快速恢復需求,實現(xiàn)運營過程自動化、智能化。
組隊伍。要堅持網(wǎng)絡安全實戰(zhàn)化,建立內部紅、藍、黃隊,維護網(wǎng)絡安全生態(tài)。紅隊模擬真實攻擊、發(fā)現(xiàn)自有安全隱患,以攻測防、以攻促防;藍隊持續(xù)優(yōu)化流程、積極開展防御,總結并輸出自動化安全劇本;黃隊通過安全系統(tǒng)建設,落實紅隊與藍隊輸出的安全需求與建議,“紅藍黃”互相配合、持續(xù)提升能源企業(yè)安全防護能力。
二、以“促發(fā)展”為工作目標,推動數(shù)字化高質量發(fā)展
黨的十九屆五中全會提出,要統(tǒng)籌發(fā)展和安全。網(wǎng)絡安全保障的本質并不是為業(yè)務發(fā)展上枷鎖,而是要促進業(yè)務工作有序發(fā)展。在能源行業(yè)數(shù)字化進程中,影響大數(shù)據(jù)應用、數(shù)字化產(chǎn)業(yè)鏈供應鏈等重要任務及環(huán)節(jié)創(chuàng)新發(fā)展的主要顧慮在于網(wǎng)絡安全,因此,開展以促發(fā)展為目標的網(wǎng)絡安全保障措施的研究與落地,尤為重要。
(一)數(shù)據(jù)安全保障助力能源大數(shù)據(jù)應用的新發(fā)展
能源行業(yè)各大企業(yè)均在著手研究以數(shù)據(jù)全生命周期管理為前提的大數(shù)據(jù)安全保障技術,以同步大數(shù)據(jù)應用的發(fā)展。一是建立重要數(shù)據(jù)保護目錄,對列入目錄的數(shù)據(jù)實施重點保護。二是健全全流程數(shù)據(jù)安全管理制度流程和數(shù)據(jù)安全保護技術標準規(guī)范。三是通過技術手段加強數(shù)據(jù)全生命周期的安全管理,數(shù)據(jù)采集過程要有分級分類標識,重要數(shù)據(jù)存儲使用國產(chǎn)密碼加密并建立數(shù)據(jù)存儲冗余策略和備份還原機制,數(shù)據(jù)處理和分發(fā)遵循最小授權和可審計原則。四是推動重要數(shù)據(jù)定期開展風險評估,對大數(shù)據(jù)環(huán)境的系統(tǒng)脆弱點、惡意利用等潛在安全風險以及應對措施等,定期開展數(shù)據(jù)安全風險評估。
(二)供應鏈安全管理提升能源數(shù)字化發(fā)展的可靠性
任何一家企業(yè)的信息化進程不可能從零開始完全采用自主可控的技術手段,但在這種習慣背后,存在著巨大的風險,每臺購入的設備,每套購入的系統(tǒng)甚至每個基于開源框架的二次開發(fā)系統(tǒng)都存在潛在的技術安全威脅,每個信息化供應商都可能成為數(shù)據(jù)泄露的源頭。為提高供應鏈可靠性,加強源頭管理,需要積極研究供應鏈安全保障機制,建立供應商目錄并在可研、招標、驗收等關鍵環(huán)節(jié)對供應鏈進行安全風險評估,并動態(tài)調整供應商級別;同時,要及時獲取信息技術供應商是否存在有違規(guī)問題和安全風險,嚴格落實網(wǎng)絡安全審查、供應鏈安全等相關要求。對一些具有能源行業(yè)特性的數(shù)字化技術軟硬件及平臺,可鼓勵開展聯(lián)合研究,形成自主科研能力,降低供應鏈安全風險。
(三)基于零信任的網(wǎng)絡架構保障遠程辦公安全需求
要創(chuàng)新嘗試以零信任網(wǎng)絡架構適應復雜的形勢和多樣的要求,以無邊界防護、動態(tài)認證安全理念為基礎,實現(xiàn)以身份為中心的安全管理體系。以國產(chǎn)密碼算法為核心,提供技術標準統(tǒng)一、服務組件化及安全合規(guī)的密碼服務。使用數(shù)據(jù)加密防竊取,數(shù)據(jù)簽名防篡改等技術,保護用戶數(shù)據(jù)在傳輸過程中的機密性和完整性,搭建安全通信網(wǎng)絡;同時,保護用戶數(shù)據(jù)在存儲及處理時的機密性和完整性,保證數(shù)據(jù)的安全。
三、以“轉服務”為發(fā)展路徑,探索實現(xiàn)網(wǎng)絡安全賦能
國家大戰(zhàn)略需要各行各業(yè)各部門各單位不同層級的小戰(zhàn)略落實支撐。下一步,能源行業(yè)在網(wǎng)絡安全層面要落實二〇三五年遠景目標和“十四五”主要目標中與石油化工領域相關的網(wǎng)絡安全保障目標和任務要求,立足全局、著眼長遠,切實為安全保障賦能,從有利于網(wǎng)絡強國戰(zhàn)略實施、有利于支撐經(jīng)濟社會發(fā)展、有利于推進國家治理體系和治理能力現(xiàn)代化、有利于能源行業(yè)數(shù)字化高質量發(fā)展的角度,奮力前行。
(一)管理賦能:由防御型框架向檢測響應型框架轉化
能源行業(yè)的網(wǎng)絡安全防御體系已基本建成,但是任何網(wǎng)絡信息系統(tǒng)都無法確保完全,不出現(xiàn)安全問題。在攻防投入極不對稱的情況下,要適時轉變網(wǎng)絡安全保障思路,提升網(wǎng)絡安全檢測、監(jiān)測能力與應急響應能力,以求更精準地發(fā)現(xiàn)問題,更快速、更自動化、更智能化地處理問題。下一步,要著重開展三方面工作:一是在“三同步”基礎上,增加對實施過程的管控,推行 DevSecOps,將安全內建于開發(fā)、交付、運營過程中,研發(fā)、運營、測試、安全多個部門緊密協(xié)作,提升開發(fā)和運營敏捷性;二是推行以風險識別、評估、處置為一體的風險管理,動態(tài)評估并處置外部威脅變化、保障政策變化、內部網(wǎng)絡變化等帶來的安全保障風險;三是不斷完善安全編排與自動化響應平臺能力,力爭將 90% 以上日常監(jiān)測發(fā)現(xiàn)的安全風險與事件,通過自動化手段,第一時間進行處置,提升工作效率。
(二)技術賦能:由傳統(tǒng)安全保障向“安全即服務”模式轉化
能源行業(yè)各單位均制定了業(yè)務應用上云戰(zhàn)略,在資產(chǎn)、信息、數(shù)據(jù)和關系發(fā)生量級增長后,下一步要努力把已經(jīng)形成的網(wǎng)絡安全保障能力進一步標準化、虛擬化,形成云資源服務,以目錄形式向業(yè)務系統(tǒng)輸出安全防護能力,為所有云上應用提供統(tǒng)一的、便捷的、安全的云安全服務保障,真正形成“安全中臺”,為真正實現(xiàn)一體化、全周期安全運營提供技術落地方案。
(三)人才賦能:由單點向立體化人才保障梯隊轉化
專業(yè)化、常態(tài)化網(wǎng)絡安全運營能夠形成合理有效的協(xié)同聯(lián)動機制,提升應急處置效率,對安全事件形成閉環(huán)管理,而網(wǎng)絡安全運營的關鍵是擁有一支高素質、多維度、立體化的網(wǎng)絡安全人才梯隊。一是要秉承“以人為中心”的發(fā)展思想,加強崗位練兵和網(wǎng)絡安全技術比武,發(fā)現(xiàn)和選拔網(wǎng)絡安全專業(yè)人才,制定網(wǎng)絡安全人才發(fā)展規(guī)劃,創(chuàng)新完善培養(yǎng)機制,建立人才梯隊培育模式。二是開展網(wǎng)絡安全人員技能考核,推進網(wǎng)絡安全人員持證上崗,不斷提高能源行業(yè)網(wǎng)絡安全從業(yè)人員的技能水平。三是營造良好的人才生態(tài)環(huán)境,搭建能源行業(yè)關鍵信息基礎設施運營單位、國家網(wǎng)絡安全權威技術機構、網(wǎng)絡安全優(yōu)先產(chǎn)業(yè)單位、行業(yè)知名專家之間溝通交流的橋梁,凝聚各方人才,提升能源行業(yè)網(wǎng)絡安全人才能力。
面對能源革命和能源轉型加快推進的新形勢,石油化工行業(yè)利用數(shù)字技術驅動業(yè)務模式變革進行數(shù)字化轉型是不可逆轉的大趨勢?!笆奈濉睍r期是石油化工行業(yè)數(shù)字化進程實現(xiàn)新的更大發(fā)展的關鍵時期,網(wǎng)絡安全保障工作要綜合考慮國內外數(shù)字化發(fā)展趨勢和我國數(shù)字化發(fā)展條件,堅持目標導向和問題導向相結合,增強機遇意識和風險意識,準確識變、科學應變、主動求變,切實保障石油化工行業(yè)數(shù)字化新發(fā)展。
所謂“開局定全局”。2021 年是“十四五”開局之年,要進一步加強網(wǎng)絡安全體系化規(guī)劃建設,夯實網(wǎng)絡安全防御基礎。以體系化的安全規(guī)劃為牽引,通過科學、高質的項目建設,快速補齊短板、持續(xù)提高網(wǎng)絡安全管控能力,以整體化、集中化、規(guī)模化的方式規(guī)劃建設安全中臺,形成具備“精細化安全管控、體系化安全防御、實戰(zhàn)化安全運行”的綜合網(wǎng)絡安全防御能力,全面支撐石油化工行業(yè)“數(shù)據(jù) + 平臺 + 應用”的信息化管理、建設、運維新模式。
本文刊登于《中國信息安全》雜志2021年第1期 來源:中國信息安全