冷煒鑭?楊新成?張果

摘要：在“兩化融合”與“互聯(lián)網(wǎng)+”的過(guò)程中，一方面互聯(lián)網(wǎng)企業(yè)如雨后春筍般大量冒出，另一方面?zhèn)鹘y(tǒng)能源企業(yè)在整個(gè)行業(yè)環(huán)境倒逼的趨勢(shì)下進(jìn)行數(shù)字化轉(zhuǎn)型。以上這些因素的不斷推進(jìn)，使得企業(yè)的信息安全意識(shí)持續(xù)增強(qiáng)，對(duì)信息安全建設(shè)的需求越來(lái)越多。互聯(lián)網(wǎng)企業(yè)開(kāi)始設(shè)立CISO（首席信息安全官，或稱為IT安全主管）。傳統(tǒng)能源企業(yè)也開(kāi)始推行黨委黨組網(wǎng)絡(luò)安全責(zé)任制，組建信息安全運(yùn)營(yíng)團(tuán)隊(duì)參與到公司數(shù)字化運(yùn)營(yíng)當(dāng)中。從自身在信息安全領(lǐng)域近10年來(lái)的工作中，抽絲剝繭，透過(guò)現(xiàn)象洞察本質(zhì)，將互聯(lián)網(wǎng)企業(yè)與傳統(tǒng)能源行業(yè)的信息安全工作業(yè)務(wù)域進(jìn)行分析對(duì)標(biāo)，去其糟粕取其精華進(jìn)行融會(huì)貫通，形成了一套在傳統(tǒng)能源行業(yè)能夠落地并行之有效的信息安全運(yùn)營(yíng)管理工作最佳實(shí)踐思考。

關(guān)鍵詞：信息安全；運(yùn)營(yíng)管理；網(wǎng)絡(luò)安全

一、企業(yè)信息安全工作領(lǐng)域

企業(yè)信息安全大致涵蓋如下7個(gè)領(lǐng)域。

1.網(wǎng)絡(luò)安全：最基礎(chǔ)但又是核心的部分。以計(jì)算機(jī)（桌面PC、服務(wù)器、小型機(jī)、BYOD等）和網(wǎng)絡(luò)主體的網(wǎng)絡(luò)安全。包括網(wǎng)絡(luò)準(zhǔn)入控制、安全域劃分、桌面安全、防火墻和入侵檢測(cè)設(shè)備接入、漏洞感知、補(bǔ)丁修復(fù)、ACL安全策略配置等?；A(chǔ)網(wǎng)絡(luò)安全側(cè)重于運(yùn)維，是企業(yè)安全團(tuán)隊(duì)必須要覆蓋的工作 [1]。

2.應(yīng)用交付安全：應(yīng)用是企業(yè)數(shù)字化轉(zhuǎn)型的最小實(shí)踐單位，是支撐企業(yè)主營(yíng)業(yè)務(wù)的主體，能源企業(yè)辦公、生產(chǎn)、經(jīng)營(yíng)應(yīng)用多數(shù)為外部協(xié)作單位開(kāi)發(fā)，少量為內(nèi)部支持單位開(kāi)發(fā)。如何保障應(yīng)用交付安全是關(guān)鍵核心。

3.平臺(tái)與業(yè)務(wù)安全：跟所在行業(yè)與主營(yíng)業(yè)務(wù)相關(guān)的安全管理，例如垃圾注冊(cè)、撞庫(kù)攻擊、盜號(hào)洗號(hào)、驗(yàn)證碼安全、信息重放、找密/改密安全等。業(yè)務(wù)安全主要關(guān)注主營(yíng)業(yè)務(wù)相關(guān)的流程安全。此領(lǐng)域互聯(lián)網(wǎng)公司尤為關(guān)注[2]。

4.廣義的信息安全：以互聯(lián)網(wǎng)技術(shù)（IT）為核心，由廣義上的信息、信息載體和信息技術(shù)構(gòu)成的大安全體系。

5.IT合規(guī)管理（IT內(nèi)控和審計(jì)）：IT合規(guī)性管理作用是幫助企業(yè)滿足各種IT準(zhǔn)則的需求，從合規(guī)性準(zhǔn)則要求出發(fā)，對(duì)企業(yè)合規(guī)工作進(jìn)行管理，以保證企業(yè)內(nèi)部制度與外部標(biāo)準(zhǔn)的相符合[3]。

6.業(yè)務(wù)持續(xù)性管理（BCM）：相比于廣義的信息安全和IT綜合管理這樣的管理體系領(lǐng)域，業(yè)務(wù)連續(xù)性管理更傾向于實(shí)際操作，是一項(xiàng)綜合管理流程，其目的是防范信息安全入侵事件導(dǎo)致企業(yè)不得不暫停甚至關(guān)閉核心業(yè)務(wù)[4]。

7.企業(yè)安全信譽(yù)維護(hù)：身為企業(yè)的CISO，除了實(shí)質(zhì)性的信息安全管理和技術(shù)事務(wù)，還必須處理一些務(wù)虛的事務(wù)。例如為了企業(yè)的安全形象出席一些市場(chǎng)宣介和演示活動(dòng)，目的是維護(hù)企業(yè)的安全信譽(yù)。

二、傳統(tǒng)能源企業(yè)和互聯(lián)網(wǎng)企業(yè)信息安全運(yùn)營(yíng)工作的區(qū)別

企業(yè)信息安全到底是什么或者企業(yè)信息安全到底要做哪些工作？對(duì)互聯(lián)網(wǎng)甲方公司、傳統(tǒng)甲方公司、傳統(tǒng)乙方安全公司、新興乙方安全公司、移動(dòng)安全公司來(lái)說(shuō)，都有不同的詮釋。傳統(tǒng)能源企業(yè)和互聯(lián)網(wǎng)企業(yè)在信息安全建設(shè)中存在明顯差異[5]。互聯(lián)網(wǎng)企業(yè)注重技術(shù)，“三分管理，七分技術(shù)”，注重業(yè)務(wù)技術(shù)更替和企業(yè)信息安全信譽(yù)，信息安全工作領(lǐng)域側(cè)重于網(wǎng)絡(luò)安全領(lǐng)域、應(yīng)用交付安全領(lǐng)域、業(yè)務(wù)安全領(lǐng)域、業(yè)務(wù)持續(xù)性管理領(lǐng)域和企業(yè)安全信譽(yù)維護(hù)領(lǐng)域。傳統(tǒng)能源企業(yè)偏重管理，“三分技術(shù)，七分管理”，注重信息安全合規(guī)性和網(wǎng)絡(luò)資產(chǎn)管理，信息安全工作領(lǐng)域側(cè)重于網(wǎng)絡(luò)安全領(lǐng)域、應(yīng)用交付安全領(lǐng)域、廣義的信息安全領(lǐng)域和IT合規(guī)管理領(lǐng)域。工作領(lǐng)域側(cè)重點(diǎn)的不同，使傳統(tǒng)能源企業(yè)在信息安全運(yùn)營(yíng)中更注重制度、規(guī)范、流程等管理手段建設(shè)。相應(yīng)地，技術(shù)能力也就成為了傳統(tǒng)能源企業(yè)信息安全運(yùn)營(yíng)中的短板[6]。

三、傳統(tǒng)能源企業(yè)信息安全運(yùn)營(yíng)管理工作的最佳實(shí)踐

“十四五”規(guī)劃明確“加快數(shù)字化發(fā)展”在“加快發(fā)展現(xiàn)代化產(chǎn)業(yè)體系、推動(dòng)經(jīng)濟(jì)體系優(yōu)化”目標(biāo)中作為重要指導(dǎo)方針。數(shù)字化轉(zhuǎn)型對(duì)傳統(tǒng)能源企業(yè)不再是企業(yè)發(fā)展的可選方向，而是關(guān)乎企業(yè)存亡的需要突破的重大課題。信息安全運(yùn)營(yíng)工作作為數(shù)字化轉(zhuǎn)型的前提基礎(chǔ)和堅(jiān)實(shí)保障，無(wú)論是從國(guó)家層面還是從企業(yè)層面信息安全運(yùn)營(yíng)工作的重要性都是不言而喻的。

在了解了信息安全對(duì)于“數(shù)字化轉(zhuǎn)型”的重要性后，信息安全如何開(kāi)展就擺在了傳統(tǒng)能源企業(yè)信息安全負(fù)責(zé)人的面前，在這里首選要說(shuō)明一個(gè)常識(shí)性問(wèn)題，當(dāng)業(yè)務(wù)面臨一個(gè)領(lǐng)域問(wèn)題不知如何下手的時(shí)候，去對(duì)標(biāo)這個(gè)領(lǐng)域問(wèn)題的最佳實(shí)踐是能夠快速達(dá)到目的的一個(gè)方法。在信息安全領(lǐng)域中的最佳實(shí)踐恰恰集中在互聯(lián)網(wǎng)企業(yè)。造成這一現(xiàn)象的原因一方面是互聯(lián)網(wǎng)企業(yè)自身對(duì)信息安全是剛性需求，急需通過(guò)信息安全手段到達(dá)穩(wěn)固自身業(yè)務(wù)的目的；另一方面互聯(lián)網(wǎng)企業(yè)具有雄厚的技術(shù)實(shí)力去解決現(xiàn)有的信息安全問(wèn)題。通過(guò)筆者這幾年的對(duì)標(biāo)，結(jié)合傳統(tǒng)能源行業(yè)的自生特點(diǎn)，形成了一套傳統(tǒng)能源企業(yè)中信息安全運(yùn)營(yíng)工作的最佳實(shí)踐，該運(yùn)營(yíng)工作的最佳實(shí)踐分為：管理體系運(yùn)營(yíng)、團(tuán)隊(duì)運(yùn)營(yíng)、IT資產(chǎn)運(yùn)營(yíng)、合規(guī)性運(yùn)營(yíng)、事件運(yùn)營(yíng)和常態(tài)化攻防。

管理體系運(yùn)營(yíng)：從企業(yè)信息安全管理出發(fā)，制定信息安全管理辦法、信息安全考核細(xì)則或指標(biāo)、安全基線、應(yīng)急預(yù)案等制度、規(guī)范和流程，從而形成包括管理目標(biāo)、管理方法、執(zhí)行標(biāo)準(zhǔn)和執(zhí)行流程的完整的信息安全管理體系。管理體系運(yùn)營(yíng)是一個(gè)隨著企業(yè)發(fā)展和業(yè)務(wù)擴(kuò)張而逐漸完善的過(guò)程，而不是一上來(lái)就要用一個(gè)大而全的安全體系，傳統(tǒng)能源企業(yè)管理體系運(yùn)營(yíng)要切實(shí)考慮自身情況，量體裁衣，先建立一套適用的、易落地的管理體系，保證企業(yè)信息安全管理體系有序發(fā)展，防止在管理措施實(shí)施時(shí)阻礙業(yè)務(wù)發(fā)展和引起抵觸情緒。

團(tuán)隊(duì)運(yùn)營(yíng)：從企業(yè)信息安全業(yè)務(wù)需求和發(fā)展需求出發(fā)，建立信息安全團(tuán)隊(duì)，配備信息安全工具。人員管理、人才培養(yǎng)、工具維護(hù)、知識(shí)庫(kù)維護(hù)，都屬于企業(yè)信息安全團(tuán)隊(duì)運(yùn)營(yíng)范疇，根據(jù)信息安全需求，配備信息安全人員和工具，將常態(tài)化運(yùn)營(yíng)和實(shí)戰(zhàn)化經(jīng)驗(yàn)相結(jié)合，將團(tuán)隊(duì)運(yùn)營(yíng)過(guò)程中的安全方法論、安全體系、安全分析規(guī)則、安全腳背等沉淀下來(lái)，轉(zhuǎn)化為可傳承、共享的知識(shí)，通過(guò)不斷地流動(dòng)與迭代加以完善，為企業(yè)培養(yǎng)高精尖信息安全人才和總結(jié)信息安全最佳實(shí)踐，從而更好的賦能各個(gè)業(yè)務(wù)部門甚至整個(gè)行業(yè)。

IT資產(chǎn)運(yùn)營(yíng)：從IT資產(chǎn)出發(fā)，開(kāi)展多維度全方位的資產(chǎn)梳理工作，實(shí)現(xiàn)IT資產(chǎn)價(jià)值管理和精細(xì)化管理，通過(guò)明確IT資產(chǎn)的重要性（包括終端、服務(wù)器、業(yè)務(wù)系統(tǒng)等），并針對(duì)IT資產(chǎn)的不同維度進(jìn)行可視化展示和維護(hù)（包括設(shè)備類型、IP、端口、組件、組件版本、部署位置等），提取IT資產(chǎn)隱患信息（包括反向代理、掃描器、未報(bào)備應(yīng)用、弱口令、高危漏洞等），動(dòng)態(tài)分析關(guān)鍵信息系統(tǒng)潛在風(fēng)險(xiǎn)（包括VPN系統(tǒng)、OA辦公系統(tǒng)、ERP系統(tǒng)、郵件系統(tǒng)、堡壘機(jī)等）。

合規(guī)性運(yùn)營(yíng)：從信息安全監(jiān)管合規(guī)性出發(fā)，完善企業(yè)信息安全管理體系，開(kāi)展信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)等相關(guān)工作，使得企業(yè)信息安全運(yùn)營(yíng)情況滿足國(guó)家和上級(jí)單位信息安全監(jiān)管合規(guī)性要求。

事件運(yùn)營(yíng)：從網(wǎng)絡(luò)事件和流量出發(fā)，一是全面建立企業(yè)信息安全態(tài)勢(shì)“可視、可管、可控”機(jī)制，設(shè)立信息安全態(tài)勢(shì)監(jiān)控分析崗，根據(jù)漏洞庫(kù)、病毒庫(kù)和日志告警信息，通過(guò)規(guī)則匹配、語(yǔ)義分析、流量分析、關(guān)聯(lián)分析等技術(shù)手段，快速識(shí)別企業(yè)信息安全風(fēng)險(xiǎn)；二是建立信息安全事件通報(bào)處置機(jī)制，設(shè)立信息安全事件通報(bào)處置崗，向上受理國(guó)家和上級(jí)監(jiān)管部門信息安全事件通報(bào)，橫向接收信息安全態(tài)勢(shì)監(jiān)控分析崗?fù)降钠髽I(yè)內(nèi)部信息安全隱患，向下發(fā)送信息安全事件通報(bào)預(yù)警和配合下屬單位開(kāi)展信息安全事件處置閉環(huán)工作。

常態(tài)化攻防：從網(wǎng)絡(luò)安全攻防出發(fā)，建立常態(tài)化攻防機(jī)制，在企業(yè)內(nèi)部形成紅藍(lán)實(shí)戰(zhàn)對(duì)抗，紅隊(duì)不定時(shí)間、地點(diǎn)、方法和路徑對(duì)企業(yè)網(wǎng)絡(luò)和信息資產(chǎn)開(kāi)展實(shí)戰(zhàn)滲透測(cè)試；藍(lán)隊(duì)在不知情的情況下開(kāi)展日常信息安全態(tài)勢(shì)監(jiān)控分析工作。這種常態(tài)化攻防機(jī)制在傳統(tǒng)能源企業(yè)中可以說(shuō)是一勞永逸的，即檢驗(yàn)了企業(yè)網(wǎng)絡(luò)和信息資產(chǎn)脆弱性，又檢驗(yàn)企業(yè)信息安全態(tài)勢(shì)監(jiān)控和事件分析能力。通過(guò)常態(tài)化網(wǎng)絡(luò)安全攻防，完善企業(yè)信息安全防護(hù)體系、優(yōu)化信息安全團(tuán)隊(duì)工作機(jī)制、鍛煉信息安全團(tuán)隊(duì)實(shí)戰(zhàn)水平，使企業(yè)在應(yīng)對(duì)大型網(wǎng)絡(luò)攻防演練、重大活動(dòng)保障和真實(shí)網(wǎng)絡(luò)攻擊時(shí)游刃有余。

四、傳統(tǒng)能源企業(yè)中信息安全運(yùn)營(yíng)管理工作的實(shí)踐思考

（一）從形式上重視安全轉(zhuǎn)變?yōu)楸举|(zhì)上重視安全

隨著《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》的發(fā)布與實(shí)施，網(wǎng)絡(luò)空間主權(quán)已經(jīng)成為除領(lǐng)土、領(lǐng)海、領(lǐng)空之外的國(guó)家第四空間主權(quán)。傳統(tǒng)能源企業(yè)相對(duì)于金融、電力和互聯(lián)網(wǎng)企業(yè)，信息安全起步較晚、投入較少、意識(shí)滯后，多數(shù)企業(yè)還處于信息安全縱深防御建立階段，少數(shù)企業(yè)因?yàn)楹弦?guī)性需求等客觀原因，完成了信息安全防護(hù)體系建設(shè)，但由于企業(yè)本身對(duì)信息安全不重視，也只解決了信息安全防護(hù)手段有無(wú)的問(wèn)題，采購(gòu)了大量信息安全防護(hù)產(chǎn)品，只完成了上架實(shí)施，信息安全防護(hù)策略未配置，信息安全防護(hù)日志無(wú)人審計(jì)，導(dǎo)致信息安全防護(hù)手段形同虛設(shè)。

企業(yè)信息安全建設(shè)是重大戰(zhàn)略問(wèn)題，是典型的“一把手”工程。傳統(tǒng)能源企業(yè)只有打破傳統(tǒng)運(yùn)營(yíng)理念，充分理解信息安全對(duì)加快數(shù)字化轉(zhuǎn)型的重大意義，由管理層從戰(zhàn)略視角對(duì)信息安全進(jìn)行統(tǒng)一規(guī)劃運(yùn)營(yíng)，“一把手”帶頭建立系統(tǒng)可行的安全防御機(jī)制，企業(yè)完成從“要我安全”到“我要安全”的意識(shí)轉(zhuǎn)變，信息安全才能真正從形式上的安全轉(zhuǎn)變?yōu)楸举|(zhì)上的安全。

（二）加強(qiáng)專業(yè)信息安全運(yùn)營(yíng)團(tuán)隊(duì)培養(yǎng)

由于傳統(tǒng)能源企業(yè)的企業(yè)性質(zhì)和背景，企業(yè)員工多數(shù)是石油工程、地址工程、地質(zhì)勘探等能源相關(guān)專業(yè)人才，信息安全運(yùn)營(yíng)團(tuán)隊(duì)成員也多數(shù)是企業(yè)原有員工，他們要么不懂信息安全，要么才開(kāi)始學(xué)習(xí)信息安全，有甚者除了信息安全相關(guān)工作外還兼顧著原有業(yè)務(wù)和工作，導(dǎo)致企業(yè)信息安全運(yùn)營(yíng)團(tuán)隊(duì)專業(yè)能力嚴(yán)重不足。

對(duì)于傳統(tǒng)能源企業(yè)來(lái)說(shuō)，技術(shù)和業(yè)務(wù)場(chǎng)景眾多，需要逐步建立信息安全專業(yè)人才招聘選拔培養(yǎng)任用機(jī)制，通過(guò)信息安全專業(yè)技術(shù)技能培訓(xùn)和考核、網(wǎng)絡(luò)攻防大賽、紅藍(lán)對(duì)抗實(shí)戰(zhàn)演練等方式，為企業(yè)選拔、培養(yǎng)一批即懂信息安全技術(shù)又懂能源業(yè)務(wù)相關(guān)技術(shù)的復(fù)合型人才，實(shí)現(xiàn)企業(yè)數(shù)字化轉(zhuǎn)型和信息安全同步規(guī)劃、同步發(fā)展。

（三）處理好管理和技術(shù)的關(guān)系

傳統(tǒng)能源企業(yè)信息安全運(yùn)營(yíng)過(guò)程中管理和技術(shù)就像是燈芯與燈油的關(guān)系，誰(shuí)也離不開(kāi)誰(shuí)，必須“兩手抓、兩手都要硬”。如果將傳統(tǒng)能源企業(yè)信息安全運(yùn)營(yíng)比作一次考試，滿分100分，安全管理占60分，它構(gòu)成了信息安全運(yùn)營(yíng)的骨架，是信息安全運(yùn)營(yíng)的基礎(chǔ)和及格線；安全技術(shù)占40分，它組成了信息安全運(yùn)營(yíng)的血肉，是信息安全運(yùn)營(yíng)的提升和加分項(xiàng)。“骨架”和“血肉”齊全才能算完整的“人”，管理和技術(shù)兼?zhèn)洳拍芩阃暾男畔踩\(yùn)營(yíng)。

從安全管理的角度來(lái)看，安全政策和流程如果沒(méi)有技術(shù)和自動(dòng)化手段保障，無(wú)法有效落地，拋開(kāi)技術(shù)空談管理，安全政策和流程便失去了可行性。

從安全技術(shù)的角度來(lái)看，在傳統(tǒng)能源企業(yè)信息安全建設(shè)中，技術(shù)并不是主要矛盾，技術(shù)上的建議如何得到業(yè)務(wù)部門的認(rèn)可、如何獲得規(guī)劃計(jì)劃和財(cái)務(wù)部門的批準(zhǔn)，都需要技術(shù)人員跳出技術(shù)思維，借助管理中的政策和流程來(lái)實(shí)現(xiàn)。

（四）處理好業(yè)務(wù)和安全的關(guān)系

安全的根本宗旨是服務(wù)業(yè)務(wù)，但安全更是業(yè)務(wù)的重要屬性，不安全或沒(méi)有考慮安全的業(yè)務(wù)就像是不合格的產(chǎn)品，是各級(jí)監(jiān)管部門通報(bào)的對(duì)象，是攻擊者的首選目標(biāo)，是企業(yè)數(shù)字化轉(zhuǎn)型智能化發(fā)展的絆腳石。筆者通過(guò)長(zhǎng)期傳統(tǒng)能源企業(yè)信息安全運(yùn)營(yíng)管理經(jīng)驗(yàn)，總結(jié)出了處理業(yè)務(wù)和安全關(guān)系的最佳實(shí)踐：“安全賦能業(yè)務(wù)”。

但在實(shí)際操作中不能為了安全而安全。安全本質(zhì)上是一項(xiàng)服務(wù)，安全服務(wù)是安全團(tuán)隊(duì)提供給用戶和業(yè)務(wù)的一種服務(wù)類別，安全方案和安全要求不能只考慮安全需求，將業(yè)務(wù)功能和發(fā)展需求排除在外。還需衡量信息安全投資的價(jià)值，既投資回報(bào)率，任何企業(yè)針對(duì)網(wǎng)絡(luò)攻擊防范的目標(biāo)都是以最低成本實(shí)現(xiàn)最佳保護(hù)。如何將信息安全支出轉(zhuǎn)化為最大投資回報(bào)？如何確保選擇的解決方案可以提供最佳保護(hù)？雖然沒(méi)有通用性的答案，但是，根據(jù)自身企業(yè)實(shí)際情況，建立一個(gè)正確的信息安全投資模型顯然會(huì)大大降低信息安全風(fēng)險(xiǎn)，同時(shí)確保投資得到充分利用。

五、結(jié)語(yǔ)

傳統(tǒng)能源企業(yè)的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，將會(huì)嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益。傳統(tǒng)能源企業(yè)信息安全不再是信息化管理部門的任務(wù)，而是數(shù)字化時(shí)代對(duì)于整個(gè)企業(yè)提出的新的要求。傳統(tǒng)能源企業(yè)信息安全運(yùn)營(yíng)工作也不僅僅局限于數(shù)據(jù)、數(shù)據(jù)載體和信息安全技術(shù)本身，更是整個(gè)企業(yè)數(shù)字化轉(zhuǎn)型的前提基礎(chǔ)和堅(jiān)實(shí)保障。做好傳統(tǒng)能源企業(yè)信息安全運(yùn)營(yíng)工作，就是為企業(yè)謀生存，為國(guó)家謀安全。

參考文獻(xiàn)

[1]趙彥，江虎，胡乾威.互聯(lián)網(wǎng)企業(yè)安全高級(jí)指南[M].北京：機(jī)械工業(yè)出版社，2016：5-11.

[2]聶君，李燕，何楊軍.企業(yè)安全建設(shè)指南金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2019：4-5.

[3]萬(wàn)小博.數(shù)字化轉(zhuǎn)型背景下企業(yè)網(wǎng)絡(luò)信息安全體系建設(shè)思考[J].中國(guó)新通信，2022，24（10）：110-112+218.

[4]曹雅麗.共話網(wǎng)絡(luò)安全 為企業(yè)數(shù)字化轉(zhuǎn)型保駕護(hù)航[N].中國(guó)工業(yè)報(bào)，2021-08-03（003）.

[5]張格，張妍，劉志堯.我國(guó)工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型中網(wǎng)絡(luò)安全保障能力建設(shè)思路與實(shí)踐路徑[J]工業(yè)信息安全，2022，（05）：43-47.

[6]董祎鋮.基于安全運(yùn)營(yíng)建設(shè)，促進(jìn)安全治理工作[J].中國(guó)信息安全.2019（08）：52-55.

作者單位：川慶鉆探工程公司鉆采工程技術(shù)研究院