顧 磊

(中國石油化工集團有限公司信息和數(shù)字化管理部 北京 100020)

近年來，我國網(wǎng)絡安全形勢嚴峻，內外部環(huán)境均發(fā)生了復雜深刻的變化，網(wǎng)信領域已成為大國博弈的重點領域.習近平總書記指出：“沒有網(wǎng)絡安全就沒有國家安全”，網(wǎng)絡沖突和攻擊已成為國家間對抗的重要形式.中國石化是國家關鍵信息基礎設施的運營者，維護好網(wǎng)絡安全、保障重要基礎設施安全運行是中國石化義不容辭的責任.

1 構建“五位一體”網(wǎng)絡安全風險管控機制

1) 加強落實網(wǎng)絡安全責任制.

分級建立網(wǎng)絡安全責任制、強化責任擔當是各項網(wǎng)絡安全工作落實到位的重要保障手段.中國石化明確了各級黨委對本單位、本部門網(wǎng)絡安全工作負主體責任，明確了信息系統(tǒng)業(yè)務主管單位、建設單位、運維單位和使用單位四方責任.只有不斷強化各級員工的網(wǎng)絡安全責任意識，才能確保網(wǎng)絡安全風險防范措施和事件處置效果不打折扣，逐級落地.

2) 建立網(wǎng)絡安全“三同步”管控機制.

隨著網(wǎng)絡安全責任制的落實，網(wǎng)絡安全合規(guī)建設以國家頒布的“三法一條例”為基礎，在信息化建設中，保證安全技術措施同步規(guī)劃、同步建設、同步使用.安全驗收后的日常運營維護中，應當保持系統(tǒng)處于持續(xù)安全防護水平，建立明確清晰的網(wǎng)絡安全應急處置機制.以“三同步”為指導思想，在系統(tǒng)生命周期各階段明確責任部門及安全職責，在全過程中推行安全同步開展，將網(wǎng)絡安全等級保護、關基保護、密碼保護、數(shù)據(jù)安全保護和個人信息保護納入方案設計、項目實施和運營過程，確保安全機制和措施在信息系統(tǒng)建設過程中同步規(guī)劃、同步執(zhí)行、同步上線投用，并嚴把項目立項、項目上線和項目驗收3大關口，在滿足國家網(wǎng)絡安全合規(guī)要求的基礎上實現(xiàn)風險左移控制，切實提升信息系統(tǒng)全生命周期安全防護水平[1].

3) 建立網(wǎng)絡安全考核評價體系.

中國石化為了更好地將網(wǎng)絡安全工作落實情況納入到二級單位網(wǎng)絡安全考核評價體系，考核結果直接與領導班子績效考核結果掛鉤.根據(jù)網(wǎng)絡安全整體形勢和年度重點任務，每年動態(tài)優(yōu)化考核內容，優(yōu)化檢查方法，及時發(fā)現(xiàn)風險隱患并及時整改，提升了安全風險控制能力.2021年度網(wǎng)絡安全考核評價企業(yè)125家，其中86%的單位被評為B級或以上，并通過信息通報、專項約談、下發(fā)警示函和考核扣分等方式，督促落后企業(yè)落實網(wǎng)絡安全責任，提升風險防范能力.

4) 建立網(wǎng)絡安全通報機制.

建立集約型的集團-企業(yè)2級網(wǎng)絡安全預警與通報機制.將各二級單位網(wǎng)絡安全分管領導、信息管理部門負責人和網(wǎng)絡安全主管納入網(wǎng)絡安全通報聯(lián)絡員范圍，實行7×24 h聯(lián)絡員管理.同時區(qū)分平時和戰(zhàn)時，平時按照常態(tài)化工作開展，例如漏洞通報、漏洞預警威脅情報等信息，通過常規(guī)的通報渠道下發(fā)企業(yè)，讓企業(yè)根據(jù)通報內容進行快速響應；戰(zhàn)時按照特殊情況下工作要求開展，例如重要保障時期、國家網(wǎng)絡攻防演習時期等，通過專門的通報渠道下發(fā)企業(yè)，縮短中間公文流轉時間，直接通知企業(yè)對問題進行整改，提高工作效率.

5) 建立網(wǎng)絡安全隱患“清零”機制.

以“識別大風險、消除大隱患、杜絕大事故”為工作主線，全面推進網(wǎng)絡安全隱患排查治理工作，通過臺賬化管理，消存量、控增量，持續(xù)提升中國石化網(wǎng)絡安全管控水平.在前期互聯(lián)網(wǎng)應用安全專項治理行動基礎上，建立以識別資產、識別風險、及時整改和閉環(huán)控制的常態(tài)化隱患治理工作模式[2]，同時積極發(fā)揮企業(yè)內部攻防團隊力量，站在攻擊者視角全盤審視，聚焦重要網(wǎng)絡、重要系統(tǒng)和核心數(shù)據(jù)的突出問題和薄弱環(huán)節(jié)，開展常態(tài)化滲透測試和漏洞挖掘工作，定期開展實戰(zhàn)演練，并同時配套有關技術防護系統(tǒng)的建設及部署工作，形成管理+技術的綜合整治模式，通過流程建立風險清理賬單，逐步實現(xiàn)網(wǎng)絡安全風險隱患“清零”.

2 建立“管理+科技”突發(fā)事件應急處置機制

1) 強化管理，建立健全應急響應標準流程.

安全事件應急處置流程以快速、高效為核心，將安全事件分為3個階段：一是啟動階段，包括發(fā)現(xiàn)威脅、緊急處置、信息流轉、處置建議、事件匯總；二是事件處置階段，開展處置、分析研判、溯源反制、技術交流等工作；三是事件結束階段，進行結果驗證、結果核查、事件歸檔、問題整改，確保事件風險清零.全集團以通報機制為紐帶，實現(xiàn)自上而下的作戰(zhàn)單元防護體系，形成情報共享、事件共享、結果共享的聯(lián)動響應機制.

2) 科技強安，建立一體化事件處置平臺.

“工欲善其事必先利其器”，面對突發(fā)事件，建設相對完善的監(jiān)測防護系統(tǒng)是重中之重.我們通過在9個區(qū)域中心部署流量監(jiān)控系統(tǒng)，使用大數(shù)據(jù)、威脅情報和ATT&CK的攻擊規(guī)則模型，建立了一體化事件監(jiān)控處置平臺.在總部和區(qū)域中心互聯(lián)網(wǎng)邊界、數(shù)據(jù)中心及主干網(wǎng)部署態(tài)勢感知設備并進行數(shù)據(jù)集成，實現(xiàn)網(wǎng)絡異常流量集中監(jiān)控，采用SOAR技術集成態(tài)勢感知與SEIM，對監(jiān)控到的攻擊告警進行深度處理，調用預制劇本，實現(xiàn)了互聯(lián)網(wǎng)攻擊的精準、自動化封禁及自動化解封.

3 目前存在的問題

目前網(wǎng)絡安全工作在保障數(shù)字化轉型發(fā)展中還存在差距和不足，現(xiàn)有安全體系達不到國家新發(fā)布的監(jiān)管要求，尤其在數(shù)據(jù)安全、個人信息保護、關基保護、供應鏈安全等方面仍存在較多缺失；在這些新業(yè)務、新技術面前應該如何建立聯(lián)防聯(lián)控機制，也是我們要思考的一個問題.面對新業(yè)務、新技術引發(fā)的新威脅不能全面有效應對，新型信息基礎設施安全能力“底子薄”，舊的安全能力在技術、新業(yè)態(tài)環(huán)境不能滿足數(shù)字化轉型發(fā)展需要；網(wǎng)絡人才隊伍不夠健全，高端技術人才匱乏，缺乏網(wǎng)絡安全架構設計、攻防分析、情報管理等方面的高端人才，安全資源投入仍需加大.

4 下一步工作建議

1) 利用風險管理指標，優(yōu)化安全運營能力.

按照“統(tǒng)一領導、分級負責、綜合協(xié)調、各司其職”的應急管理原則，建立總部和二級單位2級應急指揮體系，成立中國石化網(wǎng)絡安全應急響應中心專職隊伍，依托網(wǎng)絡安全態(tài)勢感知平臺開展風險監(jiān)控、事件處置、分析溯源、通報預警、新技術研究、考核評價等一系列平戰(zhàn)雙模式下網(wǎng)絡安全風險管控工作，利用信息安全風險指數(shù)進行網(wǎng)絡安全態(tài)勢及網(wǎng)絡安全運營能力持續(xù)評估，對網(wǎng)絡安全風險進行有效防控.

2) 建立安全生態(tài)，提升風險主動發(fā)現(xiàn)能力.

進一步提升網(wǎng)絡安全監(jiān)測及控制點的覆蓋率、有效率，加強云安全、容器安全技術實踐，夯實網(wǎng)絡安全技術防控基礎；借助安全技防體系建設逐步實現(xiàn)隱蔽通道監(jiān)控、擬態(tài)防護、自動化溯源取證等最新技術內部落地，持續(xù)收集安全運營中捕獲的最新攻擊方法與技術，開展針對性技術研究與輸出，結合以監(jiān)管部門、專業(yè)情報廠商、內部自研情報三方共同形成威脅情報集合，持續(xù)提高針對組織級、國家級敵對勢力的實戰(zhàn)對抗能力[3].建設“中國石化網(wǎng)絡安全社區(qū)”，提供內部漏洞提報平臺渠道，提高內部漏洞修復、風險消除及時性.并通過線上交流與眾測任務下發(fā)，激發(fā)內部網(wǎng)絡安全人才的學習熱情，擴充內部“紅藍軍”隊伍.

3) 加強數(shù)據(jù)全生命周期安全防護.

針對數(shù)據(jù)安全新業(yè)態(tài)方面，我們要全面提升數(shù)據(jù)安全頂層規(guī)劃和設計能力，遵從關基保護、數(shù)據(jù)安全法、個人信息保護法等法律規(guī)范，持續(xù)開展數(shù)據(jù)安全治理工作，全面落實《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》以及相關條例要求，建立完善涵蓋管理辦法、管理流程、標準規(guī)范、工作手冊4個層面的數(shù)據(jù)安全標準規(guī)范體系，建設例行化的數(shù)據(jù)資產盤點機制、數(shù)據(jù)分級分類機制，打造集團數(shù)據(jù)安全治理體系；啟動場景化的數(shù)據(jù)安全防護和監(jiān)測體系建設，推進零信任架構、數(shù)據(jù)安全態(tài)勢感知等新安全技術應用建設.

4) 針對關鍵信息基礎設施，建立有針對性的保護工作.

深入貫徹《關鍵信息基礎設施安全保護條例》,以保護關鍵業(yè)務和運行安全為重點，構建健全關鍵信息基礎設施安全保護體系；以風險管理為導向，形成動態(tài)的安全防護機制，增強保護彈性，有效應對安全風險威脅；建立專項督辦制度，加大監(jiān)督檢查和責任追究，實現(xiàn)威脅信息共享和協(xié)同應對，及時發(fā)現(xiàn)隱患，修補漏洞，做到關口前移，防患于未然，確保關鍵信息基礎設施安全穩(wěn)定運行[4].

5) 建立全面的供應鏈安全管控體系.

落實《網(wǎng)絡安全審查辦法》《關鍵信息基礎設施安全保護條例》等國家法律法規(guī)標準中供應鏈安全管控要求，建立供應鏈安全管理相關制度，開展供應商管理、安全審查、產品及服務的安全質量管控，提升供應鏈的完整性、可用性、保密性和可控性.

6) 加快網(wǎng)絡安全人才培養(yǎng).

建立網(wǎng)絡安全教育培訓計劃，對網(wǎng)絡安全主管領導、網(wǎng)絡安全管理和技術專業(yè)人員開展差異化的培訓和考核，促進不同類型人員網(wǎng)絡安全技能和經驗的提升.引進補充攻防實戰(zhàn)能力的專業(yè)人才，建立梯隊培育模式[5]，用好攻防演練實訓靶場，開展內部漏洞提交平臺建設，引導內部“紅藍軍”有序開展交流、對抗，培育網(wǎng)絡安全生態(tài)，激發(fā)干事創(chuàng)業(yè)的活力和動力.

5 總 結

為應對愈發(fā)嚴峻的網(wǎng)絡安全形勢，中國石化堅持以攻促防的風險防范和安全運營思路，通過每年的實戰(zhàn)化演習、重點時期保障措施等，結合現(xiàn)有網(wǎng)絡安全管理和技術手段，建立了面向攻防實戰(zhàn)的網(wǎng)絡安全防護體系[6]和風險防范的聯(lián)防聯(lián)控機制.確保風險隱患及時準確處置，防止威脅蔓延擴散，切實提高了網(wǎng)絡安全防護水平，取得了實際效果.然而，網(wǎng)絡安全本身就是一個動態(tài)變化的過程，針對未來的不可預見性，將會出現(xiàn)一些新技術、新架構和新要求，只有積極備戰(zhàn)，及時調整網(wǎng)絡安全防護體系，才能及時處置隨時有可能出現(xiàn)的網(wǎng)絡安全威脅.