石油化工行業(yè)的網(wǎng)絡(luò )安全保障工作有其特殊性。

一是中國石化業(yè)務(wù)應用復雜，上中下游、科研、工程、貿易、金融、電商，相應的業(yè)務(wù)信息系統復雜度極高。隨著(zhù)計算和存儲技術(shù)的快速提升，為了快速響應對業(yè)務(wù)的支持和市場(chǎng)的反應，信息化架構從金字塔型模塊化的分層架構，向容器化的微服務(wù)敏捷架構轉變。面向需求側，由系統集成向微服務(wù)集成轉變，面向供給側，由工業(yè)云向工業(yè)互聯(lián)網(wǎng)生態(tài)轉型。未來(lái)，中國石化的信息化將走向端、邊、管、云的一體化融合，將給網(wǎng)絡(luò )安全運營(yíng)帶來(lái)新的挑戰。

二是網(wǎng)絡(luò )覆蓋面大、數據中心眾多、終端眾多，整體網(wǎng)絡(luò )延伸到5大洲、30余個(gè)國家，國內32個(gè)省自治區直轄市，150余個(gè)企業(yè)，涉及用戶(hù)數量達65萬(wàn)。

三是供應鏈復雜、主體建設運維已經(jīng)自主掌握，由石化盈科和共享服務(wù)公司提供保障，但是面對如此龐大復雜的信息化系統，存在著(zhù)龐雜的供應商隊伍。單就總部信息管理部門(mén)來(lái)說(shuō)，為其提供軟、硬件產(chǎn)品生產(chǎn)商及產(chǎn)品授權代理商30余家，提供咨詢(xún)、實(shí)施、工程、運行維護、軟件開(kāi)發(fā)、系統集成等服務(wù)的信息技術(shù)服務(wù)商十余家。如何對眾多供應商提供的產(chǎn)品以及服務(wù)安全性進(jìn)行全方位約束和考量不可規避。

四是新業(yè)態(tài)新技術(shù)的不斷涌現并深化應用。中國石化制定了全業(yè)務(wù)應用上云戰略，石化智云已經(jīng)全面支撐智能制造、互聯(lián)網(wǎng)應用和企業(yè)管理，開(kāi)通了466個(gè)智能制造資源實(shí)例，支撐了9個(gè)地區智能工廠(chǎng)、智能油氣田、智能物流、智能研究院的17個(gè)重點(diǎn)應用，2000多個(gè)互聯(lián)網(wǎng)應用資源實(shí)例，支撐包括易捷、易派客、客戶(hù)管理等40多個(gè)應用系統，1600多個(gè)企業(yè)應用資源實(shí)例，支撐共計140多個(gè)企業(yè)經(jīng)營(yíng)管理應用，提供基礎設施層、數據庫層、中間件層、網(wǎng)絡(luò )安全、主機安全、計算節點(diǎn)等各類(lèi)資源服務(wù)，涉及云計算、大數據、移動(dòng)應用、電子支付、IoT、信息物理系統（CPS）等各類(lèi)技術(shù)在流程制造行業(yè)的綜合應用。在資產(chǎn)、信息、數據和關(guān)系發(fā)生量級增長(cháng)后，平臺安全、數據安全、應用安全、支付安全、交易安全、物聯(lián)網(wǎng)智能設備安全是中國石化實(shí)現一體化、全周期安全運營(yíng)必須重視和攻克的挑戰。

針對網(wǎng)絡(luò )安全工作，中國石化高度重視，集團公司領(lǐng)導層做出了“集團公司正處于改革發(fā)展的關(guān)鍵時(shí)期，面對復雜嚴峻的外部環(huán)境，面對推進(jìn)全面可持續發(fā)展的艱巨任務(wù)，擁有安全穩定的網(wǎng)絡(luò )環(huán)境是至關(guān)重要的”這一戰略判斷。中國石化集團公司董事長(cháng)、網(wǎng)絡(luò )安全和信息化領(lǐng)導小組組長(cháng)戴厚良同志，代表集團公司黨組對全系統做出了：“網(wǎng)絡(luò )安全是系統性、全局性的，一旦出現問(wèn)題將是全局性、災難性的，要提高思想認識、壓實(shí)各級責任，用比生產(chǎn)裝置安全更高標準、更嚴要求來(lái)抓好網(wǎng)絡(luò )安全?！钡闹甘?。

在集團公司黨組領(lǐng)導的正確領(lǐng)導下，中國石化近年來(lái)不斷加大了網(wǎng)絡(luò )安全財力物力人力投入，持續加強安全運營(yíng)保障的各方面能力。

（一）以退為進(jìn)，收緊戰線(xiàn)——全面收斂集團面向互聯(lián)網(wǎng)的攻擊暴露面

互聯(lián)網(wǎng)暴露面越廣，風(fēng)險越高，也更容易成為攻擊者的首選目標。近年來(lái)，中國石化持續加強互聯(lián)網(wǎng)出口管控，一是推行互聯(lián)網(wǎng)收口工程，在全國范圍內建設十個(gè)互聯(lián)網(wǎng)區域中心，對下屬49家直屬企業(yè)及100余家二、三級單位互聯(lián)網(wǎng)出口實(shí)現統一管控；二是規范互聯(lián)網(wǎng)訪(fǎng)問(wèn)方式，VPN全面啟用雙因素認證，清退各類(lèi)違規互聯(lián)網(wǎng)訪(fǎng)問(wèn)、遠程接入賬號；三是建設統一部署的身份認證及行為監測體系，實(shí)施全網(wǎng)統一的網(wǎng)絡(luò )準入控制系統、桌面安全管理系統、防病毒系統，企業(yè)無(wú)死角開(kāi)啟網(wǎng)絡(luò )準入控制，遵循“準入必合規”原則，對終端入網(wǎng)實(shí)現身份驗證和安全管控；四是形成覆蓋全生命周期的風(fēng)險發(fā)現與處置機制，系統上線(xiàn)前的安全規劃及代碼審計、上線(xiàn)時(shí)的上線(xiàn)與驗收測評、運行過(guò)程中的風(fēng)險評估與安全檢查均形成常態(tài)化機制，并適時(shí)開(kāi)展如互聯(lián)網(wǎng)安全專(zhuān)項治理工作，平戰結合，形成長(cháng)效機制。

（二）摸清家底，全面布控——形成資產(chǎn)管理與態(tài)勢感知相結合的自動(dòng)化監測能力

在資產(chǎn)管理方面，中國石化集團公司信息資產(chǎn)數量巨大，防護水平參差不齊，攻擊者通過(guò)搜尋防護薄弱、疏于管理以及廢棄老舊資產(chǎn)作為突破口，可實(shí)現對重要系統的迂回突破。通過(guò)開(kāi)展資產(chǎn)測繪，排查互聯(lián)網(wǎng)、主干網(wǎng)、外聯(lián)區等邊界信息，明確資產(chǎn)歸屬，形成臺賬，及時(shí)下線(xiàn)廢棄或無(wú)主系統。此外，資產(chǎn)管理工作還需要額外關(guān)注互聯(lián)網(wǎng)上泄露的中國石化敏感信息，包括主機、郵箱明文存儲的賬號、口令，以及文庫、github等互聯(lián)網(wǎng)平臺上存在的技術(shù)方案、網(wǎng)絡(luò )拓撲圖、系統源代碼、賬號、口令等。為防止正面防御如同“馬奇諾防線(xiàn)”一樣被繞過(guò)，造成重要系統直接暴露在攻擊者面前，持續開(kāi)展敏感信息清理工作非常必要。

在態(tài)勢感知方面，在總部互聯(lián)網(wǎng)出口、主干網(wǎng)、區域中心互聯(lián)網(wǎng)出口等關(guān)鍵部位部署態(tài)勢感知系統對網(wǎng)絡(luò )流量進(jìn)行重點(diǎn)監控。通過(guò)對攻擊者攻擊方法、攻擊路線(xiàn)、常見(jiàn)套路進(jìn)行分析與提煉,形成定制策略，精準識別攻擊者掃描踩點(diǎn)、漏洞利用、權限提升、橫向滲透等行為。同時(shí)，在總部和區域中心互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò )攻擊阻斷系統，采用大數據分析技術(shù)，融合匯聚主機防護設備情報源、企業(yè)威脅情報源、情報聯(lián)盟情報源等多源數據，開(kāi)展威脅、情報關(guān)聯(lián)分析與挖掘，對惡意IP的訪(fǎng)問(wèn)請求進(jìn)行實(shí)時(shí)匹配和阻斷，從而實(shí)現防護關(guān)口的前移，達到全局共享惡意IP，實(shí)現“一點(diǎn)監測、全局阻斷”效果。此外，通過(guò)日志審計系統在攻擊者探測、控制與命令通道、橫向移動(dòng)攻擊以及內部安全審計等維度，設置實(shí)時(shí)關(guān)聯(lián)分析告警規則進(jìn)行大廣角的橫向關(guān)聯(lián)和縱深的數據挖掘。同時(shí)與態(tài)勢感知系統協(xié)同聯(lián)動(dòng)，可發(fā)現大量掃描、暴力破解、賬號異常、異常通信和服務(wù)器異常操作等行為。

（三）形成縱深，保障要害——創(chuàng )建層次清晰、手段豐富的縱深防御體系

眾所周知，電力行業(yè)早期就形成了諸如“橫向隔離，縱向加密”的網(wǎng)絡(luò )縱深，取得了很好的安全保障效果。中國石化也在打造自身的縱深防御體系。在網(wǎng)絡(luò )層面體現為三道主要防線(xiàn)：一是在總部和區域中心互聯(lián)網(wǎng)邊界部署IPS、WAF等自動(dòng)化防護系統并啟用高強度防護策略，阻斷來(lái)自互聯(lián)網(wǎng)的自動(dòng)化攻擊、掃描行為；二是在連接各下屬企業(yè)的主干網(wǎng)通路啟用白名單訪(fǎng)問(wèn)控制策略，阻斷攻擊者入侵單個(gè)企業(yè)后的橫向滲透；三是在數據中心重要安全域邊界啟用雙向白名單訪(fǎng)問(wèn)控制策略，阻斷攻擊者入侵外圍邊界后的縱向深入。

主機層面，在重點(diǎn)業(yè)務(wù)系統上全面部署主機防護設備進(jìn)行重點(diǎn)防護。針對SQL注入、暴力破解、任意文件讀取、網(wǎng)站漏洞等入侵行為部署針對性防護策略。同時(shí)通過(guò)主機防護設備強化操作系統底層安全，保障其基礎環(huán)境安全。監控人員依托主機防護設備的云中心大數據分析平臺，從攔截日志中提取詳細信息，對攻擊行為進(jìn)行感知、辨識、追溯、取證。此外，在互聯(lián)網(wǎng)區、內網(wǎng)核心區部署蜜罐，以此在攻擊者攻擊路徑上構造陷阱，精確感知攻擊行為，混淆攻擊目標，將攻擊火力引導到蜜罐系統，記錄攻擊行為，實(shí)現“誘敵深入，精準溯源”效果。

（四）技管結合，以人為本——打造以高素質(zhì)人才為核心協(xié)同高效運營(yíng)團隊

檢驗網(wǎng)絡(luò )安全運營(yíng)是否成熟，本質(zhì)在于是否有一支高素質(zhì)的隊伍。網(wǎng)絡(luò )攻防其實(shí)就是人與人之間的攻防，在網(wǎng)絡(luò )安全人才整體短缺的大背景下,不論是突出合規屬性的管理型人才還是突出技術(shù)屬性的實(shí)戰化人才，在數量以及能力上都嚴重匱乏。中國石化在加強與國家專(zhuān)業(yè)機構、產(chǎn)業(yè)公司合作的基礎上加強能力的轉移轉化，并不斷跟蹤國內外網(wǎng)絡(luò )安全新政策、新標準、新技術(shù)，在全集團范圍內建立形成人才梯隊培育模式并建設攻防演練實(shí)訓靶場(chǎng)，培育行業(yè)隊伍。

檢驗網(wǎng)絡(luò )安全運營(yíng)是否成熟，核心在于日常運營(yíng)協(xié)同是否合理有效。中國石化科學(xué)合理配置總部和企業(yè)的防護力量，在總部設立網(wǎng)絡(luò )安全運營(yíng)中心，統一調配各專(zhuān)業(yè)小組和外圍機動(dòng)力量，各企業(yè)設立分中心，協(xié)同進(jìn)行態(tài)勢監控和響應，形成上下一體、協(xié)同聯(lián)動(dòng)的運營(yíng)體系。

檢驗網(wǎng)絡(luò )安全運營(yíng)是否成熟，關(guān)鍵在于重大敏感時(shí)期或安全事件爆發(fā)時(shí)的應急處置效率。中國石化以總部網(wǎng)絡(luò )安全運營(yíng)中心為核心，搭建集團內部自上而下的應急響應即時(shí)通訊平臺，及時(shí)發(fā)布安全事件和處置指令，按照監控告警、分析研判、處置響應的工作主線(xiàn)，及既定應急響應流程，采用全網(wǎng)掃描報備、精準感知、態(tài)勢研判、關(guān)聯(lián)分析、自動(dòng)封禁、快速處置、重點(diǎn)溯源、跟蹤閉環(huán)、動(dòng)態(tài)調配等一系列策略開(kāi)展網(wǎng)絡(luò )安全應急響應工作。

中國石化的網(wǎng)絡(luò )安全運營(yíng)工作依然任重而道遠，下一步的網(wǎng)絡(luò )安全運營(yíng)將朝著(zhù)集中化、自動(dòng)化、智能化方向不斷發(fā)展。

一是進(jìn)一步做實(shí)網(wǎng)絡(luò )安全責任制，實(shí)現從要我安全到我要安全的轉變。一方面要強化考核、壓實(shí)責任。加強網(wǎng)絡(luò )安全考核力度，針對運營(yíng)工作中發(fā)現的漏洞短板，重點(diǎn)加強攻擊面收斂、敏感信息消除、第三方運維單位安全管控等內容的考核力度。另一方面要出臺網(wǎng)絡(luò )安全問(wèn)責機制，發(fā)生安全事件后對主責單位實(shí)施問(wèn)責。

二是狠抓三同步，實(shí)現業(yè)務(wù)系統建設與網(wǎng)絡(luò )安全工作的融合發(fā)展，確保系統的本質(zhì)安全。把好源頭關(guān)，著(zhù)力做好信息系統建設過(guò)程中的安全規劃設計和實(shí)施質(zhì)量管理，探索項目安全監理制度。

三是網(wǎng)絡(luò )安全運營(yíng)隊伍的專(zhuān)業(yè)化。依托集團攻防團隊核心骨干人員建立專(zhuān)業(yè)的安全運營(yíng)隊伍，并根據安全運營(yíng)的專(zhuān)業(yè)需要進(jìn)一步加強人才隊伍的能力建設，包括專(zhuān)職負責安全研究的專(zhuān)家，主要研究最新的攻擊方法，模擬黑客進(jìn)行攻擊；還要有安全數據分析專(zhuān)家，主要從海量的數據中找規律、優(yōu)化算法，力求以最快的速度發(fā)現威脅。

四是網(wǎng)絡(luò )安全運營(yíng)系統的集中化，打造總部、區域中心、企業(yè)三位一體的安全運營(yíng)體系，將集團內網(wǎng)及互聯(lián)網(wǎng)所有數據進(jìn)行統一匯總分析，結合內網(wǎng)威脅情報實(shí)現對全集團安全態(tài)勢的統一管控。同時(shí)進(jìn)一步加強智能分析與處置能力，重點(diǎn)加強安全編排和安全自動(dòng)化能力，以及響應管理能力，最終整體提升安全運營(yíng)系統的效能。

來(lái)源：中國信息安全