文／本刊記者 于 洋

未雨綢繆勝于亡羊補(bǔ)牢，提升系統(tǒng)性安全防御是關(guān)鍵。

特邀嘉賓 (排名不分先后）

姜 勇………………………………………………………………………………………………工控網(wǎng)絡(luò)安全專家

周 磊………………………………………………………………………北京安帝科技有限公司董事長、總經(jīng)理

高 杰………………………………………………………………………………長慶油田采氣四廠信息中心副主任

馮保國……………………………………………………………………………………………………能源戰(zhàn)略專家

鄒佳信………………………………………………………………………關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心研究員

2004年，中石油在西氣東輸冀寧管道聯(lián)絡(luò)線建設(shè)過程中就提出了“數(shù)字化管道”的概念，并陸續(xù)在2008年西氣東輸二線、中緬油氣管道等工程建設(shè)中將衛(wèi)星遙感影像、無人機(jī)、GIS等數(shù)字化技術(shù)應(yīng)用于油氣管道的勘察設(shè)計(jì)和施工階段。從那時(shí)起，中國的石油企業(yè)開始了管道網(wǎng)絡(luò)安全的探索。

10年后，中國石化于2014年8月啟動了智能化管道管理系統(tǒng)建設(shè)。2015年4月3日，其第一條智能化管道新東辛輸油管道項(xiàng)目投產(chǎn)。

2017年，成為了中國油氣管網(wǎng)智能化的重要一年。中國石油依托中俄東線天然氣管道工程，以“全數(shù)字化移交、全智能化運(yùn)營、全生命周期管理”為理念，開始了真正意義上的“智能管道”示范工程建設(shè)，并明確了清晰的管道網(wǎng)絡(luò)安全防御道路：在智慧管網(wǎng)全生命周期各個(gè)階段同步實(shí)施網(wǎng)絡(luò)安全管理，建立全方位的網(wǎng)絡(luò)安全總體防護(hù)體系。同年11月2日，中國石化發(fā)布了智能化管道管理系統(tǒng)2.0版。

中國油氣管網(wǎng)智能化，已總結(jié)出具有中國特色的防御道路。

據(jù)此，本刊記者特邀了相關(guān)專家及企業(yè)代表共同探討。

主動防御

中國石油石化：從美國科洛尼爾管道遭遇勒索事件中，對于管道網(wǎng)絡(luò)安全建設(shè)，我們可以得到哪些啟示？

馮保國：這給我國數(shù)字化大背景下的能源基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)敲響了警鐘。油氣管道等能源基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)，由過去分散性的以硬件系統(tǒng)為主轉(zhuǎn)變到了集中性的以軟件系統(tǒng)為主。一旦軟件系統(tǒng)受到攻擊，其破壞性更加強(qiáng)烈。因此，我們要高度重視這個(gè)問題。

中國石油石化：我們應(yīng)該如何認(rèn)識這種變化和啟示？

周磊：要轉(zhuǎn)變網(wǎng)絡(luò)安全觀。我們不能還立足于“我是隔離的，對手攻不進(jìn)來”這種思路中，一定要有“像黑客一樣思考，像工程師一樣行動”的思維。

在這樣的思維下構(gòu)建企業(yè)級主動防御體系和能力，應(yīng)對未知的新型網(wǎng)絡(luò)攻擊。在核心業(yè)務(wù)及網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)感知，以及新型勒索病毒的攻擊防護(hù)層面，可以采用欺騙防御等非規(guī)則型的安全產(chǎn)品及能力，實(shí)時(shí)感知勒索病毒的橫向感染，快速響應(yīng)、快速止損。利用欺騙防御體系誘捕感知的特性，提前實(shí)現(xiàn)分析發(fā)現(xiàn)，預(yù)防新型未知風(fēng)險(xiǎn)。

以制度為指導(dǎo)

中國石油石化：主動防御離不開政策引導(dǎo)。針對我國管網(wǎng)互聯(lián)網(wǎng)安全“上下對不上”的問題，如何從制度方面引導(dǎo)企業(yè)加強(qiáng)管道網(wǎng)絡(luò)安全？

鄒佳信：公安部組織起草了《網(wǎng)絡(luò)安全等級保護(hù)條例》，目前正在征求意見，預(yù)計(jì)今年頒布實(shí)施?！稐l例》要求“重點(diǎn)保護(hù)涉及國家安全、國計(jì)民生、社會公共利益的網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全、運(yùn)行安全和數(shù)據(jù)安全”，明確要求“主動防御”。國家標(biāo)準(zhǔn)和條例的密集出臺，無疑是我國針對網(wǎng)絡(luò)安全斗爭形勢做出的快速反應(yīng)。

周磊：對于我國油氣管道網(wǎng)絡(luò)安全能力建設(shè)，應(yīng)當(dāng)堅(jiān)持總體國家安全觀的指引，將其納入國家能源戰(zhàn)略的總體布局中綜合考量，堅(jiān)持能力導(dǎo)向、規(guī)劃指引、預(yù)算保障、問責(zé)落實(shí)，建立健全油氣管網(wǎng)的工業(yè)網(wǎng)絡(luò)安全態(tài)勢的監(jiān)測、預(yù)警、響應(yīng)、處置等綜合能力。

中國石油石化：這對企業(yè)來說，提出了怎樣的要求？

姜勇：要根據(jù)中國國情深入貫徹落實(shí)國家網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度，健全完善各管道公司和城燃公司生產(chǎn)網(wǎng)絡(luò)安全防護(hù)體系，有效防范針對能源行業(yè)生產(chǎn)控制系統(tǒng)的安全威脅，全面推進(jìn)能源企業(yè)生產(chǎn)網(wǎng)絡(luò)、信息系統(tǒng)、辦公網(wǎng)絡(luò)、智能化工業(yè)控制系統(tǒng)等，在新技術(shù)、新應(yīng)用、新環(huán)境下的安全運(yùn)行。同時(shí)，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級保護(hù)基本要求》等法律法規(guī)和國家標(biāo)準(zhǔn)要求，要更好地落實(shí)生產(chǎn)網(wǎng)絡(luò)安全加固工作，提高各級單位工控網(wǎng)絡(luò)安全管理水平，結(jié)合中國特色油氣企業(yè)運(yùn)行體制的實(shí)際情況做好能源互聯(lián)網(wǎng)的應(yīng)用。

“軟”“硬”兼施

中國石油石化：國家管網(wǎng)將管道統(tǒng)一管理后，對油氣管道的網(wǎng)絡(luò)安全建設(shè)提出了哪些挑戰(zhàn)？

馮保國：如何增強(qiáng)應(yīng)對安全風(fēng)險(xiǎn)的靈活性顯得尤為重要。這就要求企業(yè)處理好自動化智能化操作與人工操作的關(guān)系；處理好信息系統(tǒng)建設(shè)與運(yùn)行安全的關(guān)系；處理好系統(tǒng)日常運(yùn)行與安全風(fēng)險(xiǎn)防范的關(guān)系；處理好能源基礎(chǔ)設(shè)施的互聯(lián)互通關(guān)系。

中國石油石化：行業(yè)應(yīng)該在哪些方面加強(qiáng)管道網(wǎng)絡(luò)安全建設(shè)？

姜勇：油氣管道網(wǎng)絡(luò)安全建設(shè)要“軟”“硬”兼施，全速推進(jìn)國有能源企業(yè)軟硬件的國產(chǎn)化。過去，軟件程序員經(jīng)常會在編寫的程序中留下“后門”，以便未來能夠輕松繞過程序的某些部分，在調(diào)試復(fù)雜的應(yīng)用程序時(shí)降低難度。但隨著時(shí)間的推移，這項(xiàng)技術(shù)出現(xiàn)了變化，目的不再像過去那樣單純了。相反，“后門”已經(jīng)被某些間諜情報(bào)機(jī)關(guān)當(dāng)作應(yīng)用程序或系統(tǒng)中的安全突破口來使用了。因此，從國家能源安全戰(zhàn)略層面來說，應(yīng)當(dāng)全速推進(jìn)國有能源企業(yè)軟硬件的國產(chǎn)化。

周磊：建立行業(yè)體系化的網(wǎng)絡(luò)安全防御能力。安全性是一個(gè)連續(xù)的過程，而不是一個(gè)簡單的、孤立的工作。每個(gè)設(shè)計(jì)階段都應(yīng)包括一系列必須遵循的安全步驟，并將安全直接集成到解決方案的整個(gè)生命周期中。

為了達(dá)到最有效的安全，必須從一開始就將其貫穿于整個(gè)生命周期設(shè)計(jì)中。通過構(gòu)建以健壯的安全體系結(jié)構(gòu)為核心的系統(tǒng)，并與更廣泛的組織的合規(guī)要求和治理工作進(jìn)行集成融合，以實(shí)現(xiàn)更有效、更具費(fèi)效比的安全方法。

當(dāng)前主要迫切解決的問題，總體原則應(yīng)該是消除存量威脅，遏制增量威脅。一是摸清工業(yè)資產(chǎn)底數(shù)，資產(chǎn)可見性問題的解決；二是威脅、漏洞、風(fēng)險(xiǎn)的態(tài)勢要心中有數(shù)；三是基礎(chǔ)的安全問題，如系統(tǒng)補(bǔ)丁、殺毒軟件、外設(shè)管控、分區(qū)分域、隔離防護(hù)、準(zhǔn)入控制、登錄認(rèn)證等，基礎(chǔ)的網(wǎng)絡(luò)衛(wèi)生要落實(shí)。

高杰：現(xiàn)在，我們主要通過四個(gè)方面加強(qiáng)網(wǎng)絡(luò)安全。一是將生產(chǎn)、辦公、社區(qū)網(wǎng)絡(luò)進(jìn)行隔離，應(yīng)用網(wǎng)閘等網(wǎng)絡(luò)安全防護(hù)設(shè)備，在確保各類生產(chǎn)管理數(shù)據(jù)高質(zhì)量傳輸?shù)耐瑫r(shí)實(shí)現(xiàn)確保網(wǎng)絡(luò)安全受控。二是全面應(yīng)用網(wǎng)絡(luò)信息安全管理平臺及各安全工具，各信息設(shè)備安全運(yùn)行狀況全面受控。三是制定并不斷完善信息安全制度，嚴(yán)格落實(shí)，提升全員信息安全意識和防護(hù)技能。四是要加強(qiáng)技術(shù)人員的專業(yè)培養(yǎng)，提高專業(yè)人員培訓(xùn)頻次，加強(qiáng)信息安全人員儲備。

應(yīng)急機(jī)制體系化

中國石油石化：未雨綢繆固然重要，但如果真的發(fā)生了網(wǎng)絡(luò)勒索事件，我們怎樣做才能減少損失呢？

姜勇：這需要從國家到企業(yè)建立起一套有效聯(lián)動的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防御機(jī)制，將防范和化解重大網(wǎng)絡(luò)風(fēng)險(xiǎn)和軟件系統(tǒng)攻擊風(fēng)險(xiǎn)放到重要位置，培養(yǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)專家，建立起職業(yè)團(tuán)隊(duì)，并加強(qiáng)與可信度高、職業(yè)操守強(qiáng)的第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)專家機(jī)構(gòu)的協(xié)同協(xié)作。

周磊：需要建設(shè)體系化應(yīng)急響應(yīng)機(jī)制。網(wǎng)絡(luò)安全是相對的，不是絕對的。工業(yè)領(lǐng)域，網(wǎng)絡(luò)空間與實(shí)體空間的影響后果會連通，這是重點(diǎn)。事后的應(yīng)急響應(yīng)，是化解、緩解網(wǎng)絡(luò)安全事件連鎖影響的關(guān)鍵手段。油氣供應(yīng)與電力的關(guān)系密切，油氣短缺可能直接引發(fā)電力供應(yīng)的緊張。這種連鎖反應(yīng)必須考慮到并下力氣解決。我們要從組織、人員、機(jī)制、指控、協(xié)同層面，輿論引導(dǎo)、社會穩(wěn)定等方面，建立健全體系化的響應(yīng)機(jī)制。

▲在數(shù)字化背景下，有形的風(fēng)險(xiǎn)可怕，無形的風(fēng)險(xiǎn)如網(wǎng)絡(luò)勒索更可怕。 供圖/胡慶明 蔣萬全 周澤山