能源企業(yè)網(wǎng)絡(luò)安全管理研究

申端明，喬德新，辛海燕，張 娜，李 青

（中國石油勘探開發(fā)研究院，北京 100083）

0 引言

近年來，我國數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，已成為國民經(jīng)濟(jì)發(fā)展的重要推動(dòng)力。各行業(yè)構(gòu)建數(shù)字產(chǎn)業(yè)發(fā)展格局的同時(shí)，也將面臨網(wǎng)絡(luò)安全帶來的新挑戰(zhàn)。網(wǎng)絡(luò)安全已不僅僅是產(chǎn)業(yè)發(fā)展必須關(guān)注的一個(gè)風(fēng)險(xiǎn)要素，其將成為提升全社會(huì)數(shù)字化轉(zhuǎn)型核心競爭力的關(guān)鍵因素。隨著能源企業(yè)信息化程度升高，業(yè)務(wù)運(yùn)營對(duì)互聯(lián)網(wǎng)技術(shù)（Internet Technology，IT）的依賴性逐漸提升，甚至發(fā)展為不可分割。從信息化到數(shù)字化，網(wǎng)絡(luò)安全損失的含義也發(fā)生了巨大變化，從能源企業(yè)信息化初級(jí)階段發(fā)展到數(shù)字化運(yùn)營階段，網(wǎng)絡(luò)安全損失也從信息資產(chǎn)損失轉(zhuǎn)變?yōu)闃I(yè)務(wù)運(yùn)營價(jià)值損失，同時(shí)能源企業(yè)還將面臨法律責(zé)任風(fēng)險(xiǎn)。數(shù)字化階段，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能會(huì)造成“一失萬無”的嚴(yán)重后果。

當(dāng)前，網(wǎng)絡(luò)空間斗爭形勢十分嚴(yán)峻、復(fù)雜，重大網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，高級(jí)可持續(xù)威脅（Advanced Persistent Threat，APT）攻擊、勒索病毒、數(shù)據(jù)泄露和0Day 漏洞等網(wǎng)絡(luò)安全事件層出不窮。例如，2021 年5 月，美國最大成品油管道運(yùn)營商Colonial Pipeline 遭到勒索軟件攻擊，致使約8 851 km 的輸油管被迫停運(yùn)。隨后，美國宣布進(jìn)入國家緊急狀態(tài)，美國聯(lián)邦調(diào)查局、能源部、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局等多個(gè)聯(lián)邦機(jī)構(gòu)及第三方安全公司第一時(shí)間介入調(diào)查。在如此嚴(yán)峻的網(wǎng)絡(luò)安全形勢下，沒有任何一個(gè)國家、地區(qū)、企業(yè)、個(gè)人可以在網(wǎng)絡(luò)安全的暗潮涌動(dòng)之下不受影響。

1 能源企業(yè)在網(wǎng)絡(luò)安全方面存在的問題

一是網(wǎng)絡(luò)安全意識(shí)不強(qiáng)。部分能源企業(yè)員工對(duì)網(wǎng)絡(luò)安全不夠重視，部分系統(tǒng)賬號(hào)仍存在弱密碼、弱口令等安全問題，容易遭受郵件、QQ、微信等方式的釣魚攻擊。二是網(wǎng)絡(luò)資產(chǎn)不清。部分能源企業(yè)存在網(wǎng)絡(luò)資產(chǎn)不清、網(wǎng)絡(luò)安全主體責(zé)任落實(shí)不到位等問題，如信息系統(tǒng)臺(tái)賬不清楚、責(zé)任人不夠明確，互聯(lián)網(wǎng)中的未知信息、未知資產(chǎn)仍然是能源企業(yè)的防守盲區(qū)，還會(huì)給能源企業(yè)信息系統(tǒng)安全帶來嚴(yán)重威脅。三是網(wǎng)絡(luò)安全管控不嚴(yán)。各種業(yè)務(wù)互聯(lián)形成多個(gè)網(wǎng)絡(luò)出口，防守難度增大，一個(gè)出口防守管控不嚴(yán)，造成整體邊界防護(hù)措施全部失效。四是應(yīng)用系統(tǒng)常規(guī)漏洞多。多數(shù)能源企業(yè)應(yīng)用系統(tǒng)建設(shè)期因開發(fā)人員代碼編寫不規(guī)范，造成業(yè)務(wù)系統(tǒng)漏洞頻出，或應(yīng)用系統(tǒng)運(yùn)維期技術(shù)人員擔(dān)心系統(tǒng)安全升級(jí)加固工作影響系統(tǒng)穩(wěn)定性，過于重視“眼前利益”，忽視安全運(yùn)營。五是安全防御能力弱。服務(wù)器多、終端多、設(shè)備多、運(yùn)維壓力大，造成自身升級(jí)加固難度大，滋生弱口令、口令同置等問題，導(dǎo)致終端容易“零成本”失陷，并且失陷后不容易被第一時(shí)間發(fā)現(xiàn)。六是供應(yīng)鏈管控弱。能源企業(yè)的供應(yīng)商自身網(wǎng)絡(luò)安全薄弱，業(yè)務(wù)系統(tǒng)源代碼及配置信息等頻頻被攻擊者“低成本”獲取。

2 能源企業(yè)加強(qiáng)網(wǎng)絡(luò)安全管理的策略

面對(duì)上述網(wǎng)絡(luò)安全問題，能源企業(yè)應(yīng)全面落實(shí)習(xí)近平總書記網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略思想，不斷壓實(shí)網(wǎng)絡(luò)安全主體責(zé)任，從制度建設(shè)、技術(shù)保障、過程管控、宣傳培訓(xùn)等4 個(gè)方面加強(qiáng)網(wǎng)絡(luò)安全管理。

2.1 加強(qiáng)制度建設(shè)，建立網(wǎng)絡(luò)安全管理制度

依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)，能源企業(yè)可以制定內(nèi)部的網(wǎng)絡(luò)安全管理辦法，系統(tǒng)規(guī)定能源企業(yè)網(wǎng)絡(luò)安全管理要求。該辦法要明確能源企業(yè)網(wǎng)絡(luò)安全工作的決策機(jī)構(gòu)、歸口管理機(jī)構(gòu)和技術(shù)支持機(jī)構(gòu)；明確網(wǎng)絡(luò)安全管理原則，即“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”，實(shí)行統(tǒng)一管理、分級(jí)負(fù)責(zé)，各級(jí)部門、管理人員、崗位員工履行各自的網(wǎng)絡(luò)安全職責(zé)；明確能源企業(yè)主要負(fù)責(zé)人是網(wǎng)絡(luò)安全第一責(zé)任人，分管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)是直接責(zé)任人，信息化專辦員是能源企業(yè)網(wǎng)絡(luò)安全工作具體執(zhí)行人；明確網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)環(huán)境安全及終端安全、員工行為安全、數(shù)據(jù)安全和信息系統(tǒng)安全等；明確網(wǎng)絡(luò)安全工作獎(jiǎng)懲指標(biāo)項(xiàng)和考核扣分規(guī)則。

依據(jù)等級(jí)保護(hù)基本要求、ISO27001 標(biāo)準(zhǔn)規(guī)范，能源企業(yè)要建立由安全策略、管理制度、操作規(guī)程和記錄表單等構(gòu)成的網(wǎng)絡(luò)安全管理文件體系。對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理規(guī)范，對(duì)管理人員或操作人員的日常管理操作制定操作規(guī)范，并不斷完善網(wǎng)絡(luò)安全制度文件，使網(wǎng)絡(luò)安全各項(xiàng)工作都有據(jù)可依，保證信息安全活動(dòng)有序、有效開展。網(wǎng)絡(luò)安全制度文件主要包括以下方面。

一是網(wǎng)絡(luò)安全組織管理及職責(zé)文件。為建立職責(zé)明確的網(wǎng)絡(luò)安全組織架構(gòu)，確保各項(xiàng)網(wǎng)絡(luò)安全工作責(zé)任到人，能源企業(yè)要對(duì)網(wǎng)絡(luò)安全組織管理要求進(jìn)行規(guī)定，制定網(wǎng)絡(luò)安全組織管理等職責(zé)文件，內(nèi)容包括網(wǎng)絡(luò)安全各職能部門的設(shè)置要求和職責(zé)分工、網(wǎng)絡(luò)安全各類崗位的設(shè)置要求和職責(zé)分工等。

二是人員安全管理文件。為提高從事網(wǎng)絡(luò)安全相關(guān)工作人員的業(yè)務(wù)素質(zhì)和工作能力，確保他們能滿足相應(yīng)崗位的能力要求，減少因人員變動(dòng)產(chǎn)生的安全風(fēng)險(xiǎn)，確保外部人員各種形式的訪問得到有效控制，能源企業(yè)要對(duì)人員安全管理要求進(jìn)行規(guī)范，制定內(nèi)部人員安全管理制度和外部人員安全管理制度等制度文件，內(nèi)容包括人員錄用、離崗的工作流程和控制手段、關(guān)鍵崗位的定義、日常審核要求，以及外部人員訪問機(jī)房、辦公區(qū)域、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)的范圍及控制手段等。

三是系統(tǒng)安全建設(shè)管理文件。為確保在系統(tǒng)建設(shè)過程中網(wǎng)絡(luò)安全工作能夠落實(shí)到位，能源企業(yè)要對(duì)系統(tǒng)每個(gè)建設(shè)階段的安全管理要求進(jìn)行規(guī)范，制定工程實(shí)施管理制度、測試驗(yàn)收管理制度和服務(wù)供應(yīng)商管理制度等制度文件，內(nèi)容包括以下方面：網(wǎng)絡(luò)安全總體規(guī)劃設(shè)計(jì)所遵循的原則、規(guī)范性要求，外部軟件提交前的質(zhì)量要求和安全性測試要求，外包軟件源代碼及所有軟件開發(fā)文檔的歸屬權(quán)要求，工程實(shí)施過程的規(guī)范化管理要求，委托第三方測試單位對(duì)系統(tǒng)進(jìn)行安全性測試的要求，系統(tǒng)交付前人員培訓(xùn)、文檔交接要求。

四是安全事件處置管理文件。為確保能及時(shí)處理安全事件，確保網(wǎng)絡(luò)安全事件發(fā)生時(shí)能夠得到及時(shí)響應(yīng)，能源企業(yè)應(yīng)制定網(wǎng)絡(luò)安全監(jiān)測規(guī)范、安全事件管理制度和網(wǎng)絡(luò)安全通報(bào)制度等制度文件，內(nèi)容包含：對(duì)網(wǎng)絡(luò)安全的監(jiān)測要求，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分類分級(jí)，安全事件發(fā)現(xiàn)、報(bào)告和響應(yīng)的處理流程，安全事件的通報(bào)范圍、方式和內(nèi)容。

五是應(yīng)急預(yù)案管理文件。為確保各類應(yīng)急預(yù)案的合理性、可實(shí)施性，能源企業(yè)應(yīng)制定應(yīng)急預(yù)案管理等制度文件，內(nèi)容包括：應(yīng)急組織架構(gòu)、人員組成、各類資源保障，預(yù)案啟動(dòng)條件、后期總結(jié)要求，預(yù)案日常培訓(xùn)演練、預(yù)案更新周期。

2.2 積極防御，搭建專業(yè)化技術(shù)平臺(tái)

能源企業(yè)可以圍繞信息化業(yè)務(wù)場景，構(gòu)建風(fēng)險(xiǎn)可視化、防御主動(dòng)化、運(yùn)行自動(dòng)化的一體化技術(shù)防護(hù)體系。一是建立軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）準(zhǔn)入平臺(tái)，實(shí)現(xiàn)用戶和終端設(shè)備準(zhǔn)入和業(yè)務(wù)隨行，形成實(shí)名制網(wǎng)絡(luò)設(shè)備接入清單，切實(shí)將網(wǎng)絡(luò)安全責(zé)任落實(shí)到個(gè)人。二是建立網(wǎng)絡(luò)資產(chǎn)測繪平臺(tái)，通過主動(dòng)探測、指紋比對(duì)等技術(shù)對(duì)能源企業(yè)辦公網(wǎng)絡(luò)內(nèi)的終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備等多類信息資產(chǎn)進(jìn)行信息收集和識(shí)別，全面描述和展示網(wǎng)絡(luò)空間資產(chǎn)。三是構(gòu)建網(wǎng)絡(luò)漏洞掃描系統(tǒng)，全方位檢測應(yīng)用系統(tǒng)存在的漏洞、信息系統(tǒng)存在的安全漏洞與安全配置問題，檢查系統(tǒng)存在的弱口令，以及收集系統(tǒng)不必要開放的賬號(hào)、服務(wù)、端口，幫助網(wǎng)絡(luò)安全管理人員先于攻擊者發(fā)現(xiàn)安全問題，及時(shí)解決問題。四是建立網(wǎng)絡(luò)數(shù)據(jù)防泄漏系統(tǒng)，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)流量，還原網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，使用關(guān)鍵字、正則表達(dá)式、數(shù)據(jù)標(biāo)識(shí)符、文件指紋等檢測方式對(duì)數(shù)據(jù)內(nèi)容進(jìn)行解析，以便及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄漏事件。五是建立網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)，采用機(jī)器學(xué)習(xí)方法，分解可疑程序的樣本執(zhí)行步驟和動(dòng)作，通過海量程序的分析，挖掘潛在規(guī)律，突破傳統(tǒng)防護(hù)中靜態(tài)匹配方法存在的滯后性和局限性，有效提升對(duì)未知惡意代碼的檢測能力。六是建立網(wǎng)絡(luò)流量分析平臺(tái)，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)流量，及時(shí)發(fā)現(xiàn)主動(dòng)外聯(lián)、異常域名系統(tǒng)（Domain Name System，DNS）解析等違規(guī)操作行為，復(fù)現(xiàn)還原異常安全事件的發(fā)生過程，輔助管理部門進(jìn)行責(zé)任研判。七是搭建蜜罐系統(tǒng)，將真實(shí)業(yè)務(wù)直接暴露變?yōu)檎婕贅I(yè)務(wù)混合，擾亂攻擊視線，拖延攻擊時(shí)間，為精確分析攻擊情況、采取反制策略提供時(shí)間，將被動(dòng)防御變?yōu)橹鲃?dòng)防御。

2.3 加強(qiáng)過程管控，實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)閉環(huán)管控

能源企業(yè)可以依托規(guī)范化的管理體系和標(biāo)準(zhǔn)化的技術(shù)平臺(tái)，增強(qiáng)“事前預(yù)防、事中控制、事后追溯”的安全風(fēng)險(xiǎn)閉環(huán)治理能力。在“事前預(yù)防”階段，對(duì)安全風(fēng)險(xiǎn)進(jìn)行及時(shí)識(shí)別和處置，消除或降低安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)；在“事中控制”階段，通過持續(xù)監(jiān)控及時(shí)發(fā)現(xiàn)即將發(fā)生或已經(jīng)發(fā)生的安全風(fēng)險(xiǎn)事件，對(duì)安全風(fēng)險(xiǎn)事件進(jìn)行及時(shí)處理，阻止安全風(fēng)險(xiǎn)事件發(fā)生或?qū)踩L(fēng)險(xiǎn)事件的危害降到最低；在“事后追溯”階段，發(fā)生安全風(fēng)險(xiǎn)事件后，盡快將系統(tǒng)恢復(fù)正常運(yùn)行，分析總結(jié)安全風(fēng)險(xiǎn)事件原因，減少類似安全風(fēng)險(xiǎn)事件。

一是建立包含漏洞掃描、漏洞提醒、漏洞整改、漏洞督辦、漏洞復(fù)測和漏洞關(guān)閉等環(huán)節(jié)的網(wǎng)絡(luò)安全漏洞治理流程。依托該流程，定期開展能源企業(yè)網(wǎng)絡(luò)安全漏洞檢測工作，盡早發(fā)現(xiàn)高危漏洞和應(yīng)用系統(tǒng)漏洞，及時(shí)通知相關(guān)責(zé)任人對(duì)漏洞進(jìn)行修補(bǔ)，修補(bǔ)完成通過復(fù)測后才能上線運(yùn)行。如果整改不到位或多次出現(xiàn)安全漏洞，將向責(zé)任人問責(zé)，有效降低能源企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

二是建立包含通知宣貫、制訂防護(hù)方案、檢測整改、實(shí)時(shí)防護(hù)監(jiān)測、突發(fā)事件應(yīng)急響應(yīng)、總結(jié)經(jīng)驗(yàn)等環(huán)節(jié)的重要活動(dòng)期間網(wǎng)絡(luò)安全防護(hù)流程，從設(shè)備資產(chǎn)、技術(shù)防護(hù)、應(yīng)急處置、人員值班等方面制訂保障方案，確保安全防護(hù)無死角。

三是建立包含申報(bào)報(bào)備、組織評(píng)審、等保定級(jí)、公安部門備案、等保測評(píng)等環(huán)節(jié)的信息系統(tǒng)等保測評(píng)工作實(shí)施流程。通過開展等保測評(píng)工作，完善信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)范，減少信息系統(tǒng)遭受各種攻擊的風(fēng)險(xiǎn)，有效提升系統(tǒng)安全防護(hù)能力。

2.4 建立攻防實(shí)驗(yàn)室和知識(shí)宣貫培訓(xùn)機(jī)制

一是建立能源企業(yè)網(wǎng)絡(luò)安全技術(shù)攻防實(shí)驗(yàn)室。能源企業(yè)可以通過構(gòu)建實(shí)訓(xùn)平臺(tái)、演練平臺(tái)、漏洞驗(yàn)證研究平臺(tái)，建立網(wǎng)絡(luò)安全實(shí)戰(zhàn)靶場，通過實(shí)戰(zhàn)練兵，不斷錘煉團(tuán)隊(duì)技能，實(shí)現(xiàn)以攻助防、以攻促防、以攻帶防。能源企業(yè)通過“以攻助防”能推動(dòng)企業(yè)信息化網(wǎng)絡(luò)安全建設(shè)，提升網(wǎng)絡(luò)攻擊抵御能力，建成具有攻擊技術(shù)的防護(hù)體系，進(jìn)一步保障能源企業(yè)信息化價(jià)值；“以攻促防”能提升攻擊語境安全意識(shí)，完善應(yīng)急保障流程，形成集內(nèi)外資源為一體的安全應(yīng)急響應(yīng)模式；“以攻帶防”通過信息安全培訓(xùn)，能提升信息安全技術(shù)水平，組建專業(yè)的攻防人才隊(duì)伍，提升在攻防對(duì)抗、漏洞管理、前沿科技研究等方面的技術(shù)能力。

二是建立能源企業(yè)網(wǎng)絡(luò)安全態(tài)勢月報(bào)制度，每月定期發(fā)布國內(nèi)外安全動(dòng)態(tài)和安全事件，同時(shí)通報(bào)能源企業(yè)內(nèi)部網(wǎng)絡(luò)安全工作情況，加強(qiáng)落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，提高全體職工的網(wǎng)絡(luò)安全責(zé)任意識(shí)。積極開展能源企業(yè)網(wǎng)絡(luò)安全宣傳周活動(dòng)，通過門戶網(wǎng)站、微信公眾號(hào)、宣傳展板、專家講座、知識(shí)答題等多種形式宣傳網(wǎng)絡(luò)安全知識(shí)。努力推動(dòng)宣傳與培訓(xùn)常態(tài)化、制度化，不斷提高員工網(wǎng)絡(luò)安全意識(shí)，增強(qiáng)“網(wǎng)絡(luò)安全為大家、網(wǎng)絡(luò)安全靠大家”的理念，打造能源企業(yè)網(wǎng)絡(luò)安全生態(tài)文化。

3 結(jié)語

加強(qiáng)網(wǎng)絡(luò)安全管理是能源企業(yè)信息化發(fā)展的必然選擇，也是能源企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的必要條件。面對(duì)不斷增加的數(shù)字化應(yīng)用場景，能源企業(yè)網(wǎng)絡(luò)安全工作應(yīng)以實(shí)戰(zhàn)化安全運(yùn)營為目標(biāo)，持續(xù)構(gòu)建和完善網(wǎng)絡(luò)安全管理機(jī)制，努力構(gòu)造風(fēng)險(xiǎn)可控的網(wǎng)絡(luò)安全環(huán)境，為能源企業(yè)數(shù)字化轉(zhuǎn)型、智能化發(fā)展保駕護(hù)航。