能源行業(yè)要做好網(wǎng)絡(luò )安全保障工作，就要做到“管理體系完善、技術(shù)體系先進(jìn)、運營(yíng)體系健全”，形成網(wǎng)絡(luò )安全綜合防控體系。

（一）完善的管理體系是網(wǎng)絡(luò )安全工作的前提

所謂“三分技術(shù)、七分管理”，網(wǎng)絡(luò )安全工作的開(kāi)展需要一以貫之的方針政策，需要明確的工作機制和要求，更需要配套的考核手段，從而使各方重視、執行規范。

方針政策。要堅持統一規劃、統一標準、統一建設，建設自頂向下制度及標準體系，筑牢網(wǎng)絡(luò )安全工作基礎。

工作機制。要嚴格落實(shí)網(wǎng)絡(luò )安全“三同步”工作要求，建立信息化項目全生命周期的網(wǎng)絡(luò )安全質(zhì)量保障機制，并與網(wǎng)絡(luò )安全等級保護工作、持續性風(fēng)險評估工作深入融合，確?！按媪匡L(fēng)險可控，增量全程合規”。

考核手段。要嚴格落實(shí)網(wǎng)絡(luò )安全責任制，明確網(wǎng)絡(luò )安全責任人，并逐層分解，把責任分解細化落實(shí)到具體部門(mén)、崗位、人員和任務(wù)，把網(wǎng)絡(luò )安全視為與生產(chǎn)安全同等重要的地位，嚴格落實(shí)年度網(wǎng)絡(luò )安全綜合水平評價(jià)。

（二）強有力的技術(shù)體系是網(wǎng)絡(luò )安全工作的有效保證

能源行業(yè)的網(wǎng)絡(luò )安全保障工作需要覆蓋的面廣，需要顧及的業(yè)務(wù)需求眾多，既要有先進(jìn)的網(wǎng)絡(luò )通信安全保障方案，又要有具有普適性的安全基礎保障服務(wù)，需要建立強有力的技術(shù)體系進(jìn)行保駕護航。以中國石化集團為例，一方面，公司推動(dòng)全集團的“收口工程”建設，另一方面，公司大力發(fā)展安全基礎設施，提供有效安全保障。

（三）健全的運營(yíng)體系是網(wǎng)絡(luò )安全工作持續發(fā)展的基礎

金融行業(yè)網(wǎng)絡(luò )安全保障工作重要性之所以較其他行業(yè)更為突出，是因為強大且健全的安全運營(yíng)能力發(fā)揮了巨大作用。能源行業(yè)當前在安全運營(yíng)方面的能力尚有進(jìn)步空間，需要在建平臺、理流程、組隊伍方面加大投入。

建平臺。要建設以安全大數據為核心的集自動(dòng)化編排、威脅情報、應急響應、安全服務(wù)、安全管控為一體的網(wǎng)絡(luò )安全管控平臺，使訪(fǎng)問(wèn)可控、接入可信、發(fā)布可管、事件可定位、事后可追溯，形成“人+ 平臺 + 服務(wù)”聯(lián)防聯(lián)動(dòng)機制。

理流程。通過(guò)將攻擊行為感知、資產(chǎn)信息查詢(xún)、威脅情報對比、地理位置確認、黑白名單核實(shí)、封禁策略下發(fā)等一系列傳統手工運營(yíng)需要的操作進(jìn)行原子化抽象，形成多個(gè)的標準作業(yè)流程。在安全編排與自動(dòng)化響應平臺與態(tài)勢感知、運維平臺、防火墻、準入控制等安全系統接口打通的基礎上，形成自動(dòng)化安全劇本，達到“企業(yè)一鍵到邊界，用戶(hù)一鍵到終端，信息一鍵可查詢(xún)”的實(shí)戰效果。同時(shí)，為降低安全劇本自動(dòng)化操作可能對業(yè)務(wù)帶來(lái)的潛在風(fēng)險，所有的安全劇本在設計時(shí)均補充了反向快速回撤機制，實(shí)現了“誤封一鍵全還原”，以滿(mǎn)足在特殊情況下的業(yè)務(wù)快速恢復需求，實(shí)現運營(yíng)過(guò)程自動(dòng)化、智能化。

組隊伍。要堅持網(wǎng)絡(luò )安全實(shí)戰化，建立內部紅、藍、黃隊，維護網(wǎng)絡(luò )安全生態(tài)。紅隊模擬真實(shí)攻擊、發(fā)現自有安全隱患，以攻測防、以攻促防；藍隊持續優(yōu)化流程、積極開(kāi)展防御，總結并輸出自動(dòng)化安全劇本；黃隊通過(guò)安全系統建設，落實(shí)紅隊與藍隊輸出的安全需求與建議，“紅藍黃”互相配合、持續提升能源企業(yè)安全防護能力。

黨的十九屆五中全會(huì )提出，要統籌發(fā)展和安全。網(wǎng)絡(luò )安全保障的本質(zhì)并不是為業(yè)務(wù)發(fā)展上枷鎖，而是要促進(jìn)業(yè)務(wù)工作有序發(fā)展。在能源行業(yè)數字化進(jìn)程中，影響大數據應用、數字化產(chǎn)業(yè)鏈供應鏈等重要任務(wù)及環(huán)節創(chuàng )新發(fā)展的主要顧慮在于網(wǎng)絡(luò )安全，因此，開(kāi)展以促發(fā)展為目標的網(wǎng)絡(luò )安全保障措施的研究與落地，尤為重要。

（一）數據安全保障助力能源大數據應用的新發(fā)展

能源行業(yè)各大企業(yè)均在著(zhù)手研究以數據全生命周期管理為前提的大數據安全保障技術(shù)，以同步大數據應用的發(fā)展。一是建立重要數據保護目錄，對列入目錄的數據實(shí)施重點(diǎn)保護。二是健全全流程數據安全管理制度流程和數據安全保護技術(shù)標準規范。三是通過(guò)技術(shù)手段加強數據全生命周期的安全管理，數據采集過(guò)程要有分級分類(lèi)標識，重要數據存儲使用國產(chǎn)密碼加密并建立數據存儲冗余策略和備份還原機制，數據處理和分發(fā)遵循最小授權和可審計原則。四是推動(dòng)重要數據定期開(kāi)展風(fēng)險評估，對大數據環(huán)境的系統脆弱點(diǎn)、惡意利用等潛在安全風(fēng)險以及應對措施等，定期開(kāi)展數據安全風(fēng)險評估。

（二）供應鏈安全管理提升能源數字化發(fā)展的可靠性

任何一家企業(yè)的信息化進(jìn)程不可能從零開(kāi)始完全采用自主可控的技術(shù)手段，但在這種習慣背后，存在著(zhù)巨大的風(fēng)險，每臺購入的設備，每套購入的系統甚至每個(gè)基于開(kāi)源框架的二次開(kāi)發(fā)系統都存在潛在的技術(shù)安全威脅，每個(gè)信息化供應商都可能成為數據泄露的源頭。為提高供應鏈可靠性，加強源頭管理，需要積極研究供應鏈安全保障機制，建立供應商目錄并在可研、招標、驗收等關(guān)鍵環(huán)節對供應鏈進(jìn)行安全風(fēng)險評估，并動(dòng)態(tài)調整供應商級別；同時(shí)，要及時(shí)獲取信息技術(shù)供應商是否存在有違規問(wèn)題和安全風(fēng)險，嚴格落實(shí)網(wǎng)絡(luò )安全審查、供應鏈安全等相關(guān)要求。對一些具有能源行業(yè)特性的數字化技術(shù)軟硬件及平臺，可鼓勵開(kāi)展聯(lián)合研究，形成自主科研能力，降低供應鏈安全風(fēng)險。

（三）基于零信任的網(wǎng)絡(luò )架構保障遠程辦公安全需求

要創(chuàng )新嘗試以零信任網(wǎng)絡(luò )架構適應復雜的形勢和多樣的要求，以無(wú)邊界防護、動(dòng)態(tài)認證安全理念為基礎，實(shí)現以身份為中心的安全管理體系。以國產(chǎn)密碼算法為核心，提供技術(shù)標準統一、服務(wù)組件化及安全合規的密碼服務(wù)。使用數據加密防竊取，數據簽名防篡改等技術(shù)，保護用戶(hù)數據在傳輸過(guò)程中的機密性和完整性，搭建安全通信網(wǎng)絡(luò )；同時(shí)，保護用戶(hù)數據在存儲及處理時(shí)的機密性和完整性，保證數據的安全。

國家大戰略需要各行各業(yè)各部門(mén)各單位不同層級的小戰略落實(shí)支撐。下一步，能源行業(yè)在網(wǎng)絡(luò )安全層面要落實(shí)二〇三五年遠景目標和“十四五”主要目標中與石油化工領(lǐng)域相關(guān)的網(wǎng)絡(luò )安全保障目標和任務(wù)要求，立足全局、著(zhù)眼長(cháng)遠，切實(shí)為安全保障賦能，從有利于網(wǎng)絡(luò )強國戰略實(shí)施、有利于支撐經(jīng)濟社會(huì )發(fā)展、有利于推進(jìn)國家治理體系和治理能力現代化、有利于能源行業(yè)數字化高質(zhì)量發(fā)展的角度，奮力前行。

（一）管理賦能：由防御型框架向檢測響應型框架轉化

能源行業(yè)的網(wǎng)絡(luò )安全防御體系已基本建成，但是任何網(wǎng)絡(luò )信息系統都無(wú)法確保完全，不出現安全問(wèn)題。在攻防投入極不對稱(chēng)的情況下，要適時(shí)轉變網(wǎng)絡(luò )安全保障思路，提升網(wǎng)絡(luò )安全檢測、監測能力與應急響應能力，以求更精準地發(fā)現問(wèn)題，更快速、更自動(dòng)化、更智能化地處理問(wèn)題。下一步，要著(zhù)重開(kāi)展三方面工作：一是在“三同步”基礎上，增加對實(shí)施過(guò)程的管控，推行 DevSecOps，將安全內建于開(kāi)發(fā)、交付、運營(yíng)過(guò)程中，研發(fā)、運營(yíng)、測試、安全多個(gè)部門(mén)緊密協(xié)作，提升開(kāi)發(fā)和運營(yíng)敏捷性；二是推行以風(fēng)險識別、評估、處置為一體的風(fēng)險管理，動(dòng)態(tài)評估并處置外部威脅變化、保障政策變化、內部網(wǎng)絡(luò )變化等帶來(lái)的安全保障風(fēng)險；三是不斷完善安全編排與自動(dòng)化響應平臺能力，力爭將 90% 以上日常監測發(fā)現的安全風(fēng)險與事件，通過(guò)自動(dòng)化手段，第一時(shí)間進(jìn)行處置，提升工作效率。

（二）技術(shù)賦能：由傳統安全保障向“安全即服務(wù)”模式轉化

能源行業(yè)各單位均制定了業(yè)務(wù)應用上云戰略，在資產(chǎn)、信息、數據和關(guān)系發(fā)生量級增長(cháng)后，下一步要努力把已經(jīng)形成的網(wǎng)絡(luò )安全保障能力進(jìn)一步標準化、虛擬化，形成云資源服務(wù)，以目錄形式向業(yè)務(wù)系統輸出安全防護能力，為所有云上應用提供統一的、便捷的、安全的云安全服務(wù)保障，真正形成“安全中臺”，為真正實(shí)現一體化、全周期安全運營(yíng)提供技術(shù)落地方案。

（三）人才賦能：由單點(diǎn)向立體化人才保障梯隊轉化

專(zhuān)業(yè)化、常態(tài)化網(wǎng)絡(luò )安全運營(yíng)能夠形成合理有效的協(xié)同聯(lián)動(dòng)機制，提升應急處置效率，對安全事件形成閉環(huán)管理，而網(wǎng)絡(luò )安全運營(yíng)的關(guān)鍵是擁有一支高素質(zhì)、多維度、立體化的網(wǎng)絡(luò )安全人才梯隊。一是要秉承“以人為中心”的發(fā)展思想，加強崗位練兵和網(wǎng)絡(luò )安全技術(shù)比武，發(fā)現和選拔網(wǎng)絡(luò )安全專(zhuān)業(yè)人才，制定網(wǎng)絡(luò )安全人才發(fā)展規劃，創(chuàng )新完善培養機制，建立人才梯隊培育模式。二是開(kāi)展網(wǎng)絡(luò )安全人員技能考核，推進(jìn)網(wǎng)絡(luò )安全人員持證上崗，不斷提高能源行業(yè)網(wǎng)絡(luò )安全從業(yè)人員的技能水平。三是營(yíng)造良好的人才生態(tài)環(huán)境，搭建能源行業(yè)關(guān)鍵信息基礎設施運營(yíng)單位、國家網(wǎng)絡(luò )安全權威技術(shù)機構、網(wǎng)絡(luò )安全優(yōu)先產(chǎn)業(yè)單位、行業(yè)知名專(zhuān)家之間溝通交流的橋梁，凝聚各方人才，提升能源行業(yè)網(wǎng)絡(luò )安全人才能力。

面對能源革命和能源轉型加快推進(jìn)的新形勢，石油化工行業(yè)利用數字技術(shù)驅動(dòng)業(yè)務(wù)模式變革進(jìn)行數字化轉型是不可逆轉的大趨勢?！笆奈濉睍r(shí)期是石油化工行業(yè)數字化進(jìn)程實(shí)現新的更大發(fā)展的關(guān)鍵時(shí)期，網(wǎng)絡(luò )安全保障工作要綜合考慮國內外數字化發(fā)展趨勢和我國數字化發(fā)展條件，堅持目標導向和問(wèn)題導向相結合，增強機遇意識和風(fēng)險意識，準確識變、科學(xué)應變、主動(dòng)求變，切實(shí)保障石油化工行業(yè)數字化新發(fā)展。

所謂“開(kāi)局定全局”。2021 年是“十四五”開(kāi)局之年，要進(jìn)一步加強網(wǎng)絡(luò )安全體系化規劃建設，夯實(shí)網(wǎng)絡(luò )安全防御基礎。以體系化的安全規劃為牽引，通過(guò)科學(xué)、高質(zhì)的項目建設，快速補齊短板、持續提高網(wǎng)絡(luò )安全管控能力，以整體化、集中化、規?；姆绞揭巹澖ㄔO安全中臺，形成具備“精細化安全管控、體系化安全防御、實(shí)戰化安全運行”的綜合網(wǎng)絡(luò )安全防御能力，全面支撐石油化工行業(yè)“數據 + 平臺 + 應用”的信息化管理、建設、運維新模式。

（本文刊登于《中國信息安全》雜志2021年第1期）