中國(guó)石化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控研究

序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來(lái)了一篇中國(guó)石化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控研究范文，愿它們成為您寫作過(guò)程中的靈感催化劑，助力您的創(chuàng)作。

１構(gòu)建“五位一體”網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控機(jī)制

１）加強(qiáng)落實(shí)網(wǎng)絡(luò)安全責(zé)任制．分級(jí)建立網(wǎng)絡(luò)安全責(zé)任制、強(qiáng)化責(zé)任擔(dān)當(dāng)是各項(xiàng)網(wǎng)絡(luò)安全工作落實(shí)到位的重要保障手段．中國(guó)石化明確了各級(jí)黨委對(duì)本單位、本部門網(wǎng)絡(luò)安全工作負(fù)主體責(zé)任，明確了信息系統(tǒng)業(yè)務(wù)主管單位、建設(shè)單位、運(yùn)維單位和使用單位四方責(zé)任．只有不斷強(qiáng)化各級(jí)員工的網(wǎng)絡(luò)安全責(zé)任意識(shí)，才能確保網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范措施和事件處置效果不打折扣，逐級(jí)落地．

２）建立網(wǎng)絡(luò)安全“三同步”管控機(jī)制．隨著網(wǎng)絡(luò)安全責(zé)任制的落實(shí)，網(wǎng)絡(luò)安全合規(guī)建設(shè)以國(guó)家頒布的“三法一條例”為基礎(chǔ)，在信息化建設(shè)中，保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用．安全驗(yàn)收后的日常運(yùn)營(yíng)維護(hù)中，應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平，建立明確清晰的網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制．以“三同步”為指導(dǎo)思想，在系統(tǒng)生命周期各階段明確責(zé)任部門及安全職責(zé)，在全過(guò)程中推行安全同步開展，將網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)基保護(hù)、密碼保護(hù)、數(shù)據(jù)安全保護(hù)和個(gè)人信息保護(hù)納入方案設(shè)計(jì)、項(xiàng)目實(shí)施和運(yùn)營(yíng)過(guò)程，確保安全機(jī)制和措施在信息系統(tǒng)建設(shè)過(guò)程中同步規(guī)劃、同步執(zhí)行、同步上線投用，并嚴(yán)把項(xiàng)目立項(xiàng)、項(xiàng)目上線和項(xiàng)目驗(yàn)收３大關(guān)口，在滿足國(guó)家網(wǎng)絡(luò)安全合規(guī)要求的基礎(chǔ)上實(shí)現(xiàn)風(fēng)險(xiǎn)左移控制，切實(shí)提升信息系統(tǒng)全生命周期安全防護(hù)水平［１］．

３）建立網(wǎng)絡(luò)安全考核評(píng)價(jià)體系．中國(guó)石化為了更好地將網(wǎng)絡(luò)安全工作落實(shí)情況納入到二級(jí)單位網(wǎng)絡(luò)安全考核評(píng)價(jià)體系，考核結(jié)果直接與領(lǐng)導(dǎo)班子績(jī)效考核結(jié)果掛鉤．根據(jù)網(wǎng)絡(luò)安全整體形勢(shì)和年度重點(diǎn)任務(wù)，每年動(dòng)態(tài)優(yōu)化考核內(nèi)容，優(yōu)化檢查方法，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患并及時(shí)整改，提升了安全風(fēng)險(xiǎn)控制能力．２０２１年度網(wǎng)絡(luò)安全考核評(píng)價(jià)企業(yè)１２５家，其中８６％的單位被評(píng)為Ｂ級(jí)或以上，并通過(guò)信息通報(bào)、專項(xiàng)約談、下發(fā)警示函和考核扣分等方式，督促落后企業(yè)落實(shí)網(wǎng)絡(luò)安全責(zé)任，提升風(fēng)險(xiǎn)防范能力．

４）建立網(wǎng)絡(luò)安全通報(bào)機(jī)制．建立集約型的集團(tuán)企業(yè)２級(jí)網(wǎng)絡(luò)安全預(yù)警與通報(bào)機(jī)制．將各二級(jí)單位網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)、信息管理部門負(fù)責(zé)人和網(wǎng)絡(luò)安全主管納入網(wǎng)絡(luò)安全通報(bào)聯(lián)絡(luò)員范圍，實(shí)行７×２４ｈ聯(lián)絡(luò)員管理．同時(shí)區(qū)分平時(shí)和戰(zhàn)時(shí)，平時(shí)按照常態(tài)化工作開展，例如漏洞通報(bào)、漏洞預(yù)警威脅情報(bào)等信息，通過(guò)常規(guī)的通報(bào)渠道下發(fā)企業(yè)，讓企業(yè)根據(jù)通報(bào)內(nèi)容進(jìn)行快速響應(yīng)；戰(zhàn)時(shí)按照特殊情況下工作要求開展，例如重要保障時(shí)期、國(guó)家網(wǎng)絡(luò)攻防演習(xí)時(shí)期等，通過(guò)專門的通報(bào)渠道下發(fā)企業(yè)，縮短中間公文流轉(zhuǎn)時(shí)間，直接通知企業(yè)對(duì)問(wèn)題進(jìn)行整改，提高工作效率．

５）建立網(wǎng)絡(luò)安全隱患“清零”機(jī)制．以“識(shí)別大風(fēng)險(xiǎn)、消除大隱患、杜絕大事故”為工作主線，全面推進(jìn)網(wǎng)絡(luò)安全隱患排查治理工作，通過(guò)臺(tái)賬化管理，消存量、控增量，持續(xù)提升中國(guó)石化網(wǎng)絡(luò)安全管控水平．在前期互聯(lián)網(wǎng)應(yīng)用安全專項(xiàng)治理行動(dòng)基礎(chǔ)上，建立以識(shí)別資產(chǎn)、識(shí)別風(fēng)險(xiǎn)、及時(shí)整改和閉環(huán)控制的常態(tài)化隱患治理工作模式［２］，同時(shí)積極發(fā)揮企業(yè)內(nèi)部攻防團(tuán)隊(duì)力量，站在攻擊者視角全盤審視，聚焦重要網(wǎng)絡(luò)、重要系統(tǒng)和核心數(shù)據(jù)的突出問(wèn)題和薄弱環(huán)節(jié)，開展常態(tài)化滲透測(cè)試和漏洞挖掘工作，定期開展實(shí)戰(zhàn)演練，并同時(shí)配套有關(guān)技術(shù)防護(hù)系統(tǒng)的建設(shè)及部署工作，形成管理＋技術(shù)的綜合整治模式，通過(guò)流程建立風(fēng)險(xiǎn)清理賬單，逐步實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患“清零”．

２建立“管理＋科技”突發(fā)事件應(yīng)急處置機(jī)制

１）強(qiáng)化管理，建立健全應(yīng)急響應(yīng)標(biāo)準(zhǔn)流程．安全事件應(yīng)急處置流程以快速、高效為核心，將安全事件分為３個(gè)階段：一是啟動(dòng)階段，包括發(fā)現(xiàn)威脅、緊急處置、信息流轉(zhuǎn)、處置建議、事件匯總；二是事件處置階段，開展處置、分析研判、溯源反制、技術(shù)交流等工作；三是事件結(jié)束階段，進(jìn)行結(jié)果驗(yàn)證、結(jié)果核查、事件歸檔、問(wèn)題整改，確保事件風(fēng)險(xiǎn)清零．全集團(tuán)以通報(bào)機(jī)制為紐帶，實(shí)現(xiàn)自上而下的作戰(zhàn)單元防護(hù)體系，形成情報(bào)共享、事件共享、結(jié)果共享的聯(lián)動(dòng)響應(yīng)機(jī)制．

２）科技強(qiáng)安，建立一體化事件處置平臺(tái)．“工欲善其事必先利其器”，面對(duì)突發(fā)事件，建設(shè)相對(duì)完善的監(jiān)測(cè)防護(hù)系統(tǒng)是重中之重．我們通過(guò)在９個(gè)區(qū)域中心部署流量監(jiān)控系統(tǒng)，使用大數(shù)據(jù)、威脅情報(bào)和ＡＴＴ＆ＣＫ的攻擊規(guī)則模型，建立了一體化事件監(jiān)控處置平臺(tái)．在總部和區(qū)域中心互聯(lián)網(wǎng)邊界、數(shù)據(jù)中心及主干網(wǎng)部署態(tài)勢(shì)感知設(shè)備并進(jìn)行數(shù)據(jù)集成，實(shí)現(xiàn)網(wǎng)絡(luò)異常流量集中監(jiān)控，采用ＳＯＡＲ技術(shù)集成態(tài)勢(shì)感知與ＳＥＩＭ，對(duì)監(jiān)控到的攻擊告警進(jìn)行深度處理，調(diào)用預(yù)制劇本，實(shí)現(xiàn)了互聯(lián)網(wǎng)攻擊的精準(zhǔn)、自動(dòng)化封禁及自動(dòng)化解封．

３目前存在的問(wèn)題

目前網(wǎng)絡(luò)安全工作在保障數(shù)字化轉(zhuǎn)型發(fā)展中還存在差距和不足，現(xiàn)有安全體系達(dá)不到國(guó)家新發(fā)布的監(jiān)管要求，尤其在數(shù)據(jù)安全、個(gè)人信息保護(hù)、關(guān)基保護(hù)、供應(yīng)鏈安全等方面仍存在較多缺失；在這些新業(yè)務(wù)、新技術(shù)面前應(yīng)該如何建立聯(lián)防聯(lián)控機(jī)制，也是我們要思考的一個(gè)問(wèn)題．面對(duì)新業(yè)務(wù)、新技術(shù)引發(fā)的新威脅不能全面有效應(yīng)對(duì)，新型信息基礎(chǔ)設(shè)施安全能力“底子薄”，舊的安全能力在技術(shù)、新業(yè)態(tài)環(huán)境不能滿足數(shù)字化轉(zhuǎn)型發(fā)展需要；網(wǎng)絡(luò)人才隊(duì)伍不夠健全，高端技術(shù)人才匱乏，缺乏網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)、攻防分析、情報(bào)管理等方面的高端人才，安全資源投入仍需加大．

４下一步工作建議

１）利用風(fēng)險(xiǎn)管理指標(biāo)，優(yōu)化安全運(yùn)營(yíng)能力．按照“統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)、綜合協(xié)調(diào)、各司其職”的應(yīng)急管理原則，建立總部和二級(jí)單位２級(jí)應(yīng)急指揮體系，成立中國(guó)石化網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心專職隊(duì)伍，依托網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)開展風(fēng)險(xiǎn)監(jiān)控、事件處置、分析溯源、通報(bào)預(yù)警、新技術(shù)研究、考核評(píng)價(jià)等一系列平戰(zhàn)雙模式下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控工作，利用信息安全風(fēng)險(xiǎn)指數(shù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)及網(wǎng)絡(luò)安全運(yùn)營(yíng)能力持續(xù)評(píng)估，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行有效防控．

２）建立安全生態(tài)，提升風(fēng)險(xiǎn)主動(dòng)發(fā)現(xiàn)能力．進(jìn)一步提升網(wǎng)絡(luò)安全監(jiān)測(cè)及控制點(diǎn)的覆蓋率、有效率，加強(qiáng)云安全、容器安全技術(shù)實(shí)踐，夯實(shí)網(wǎng)絡(luò)安全技術(shù)防控基礎(chǔ)；借助安全技防體系建設(shè)逐步實(shí)現(xiàn)隱蔽通道監(jiān)控、擬態(tài)防護(hù)、自動(dòng)化溯源取證等最新技術(shù)內(nèi)部落地，持續(xù)收集安全運(yùn)營(yíng)中捕獲的最新攻擊方法與技術(shù)，開展針對(duì)性技術(shù)研究與輸出，結(jié)合以監(jiān)管部門、專業(yè)情報(bào)廠商、內(nèi)部自研情報(bào)三方共同形成威脅情報(bào)集合，持續(xù)提高針對(duì)組織級(jí)、國(guó)家級(jí)敵對(duì)勢(shì)力的實(shí)戰(zhàn)對(duì)抗能力［３］．建設(shè)“中國(guó)石化網(wǎng)絡(luò)安全社區(qū)”，提供內(nèi)部漏洞提報(bào)平臺(tái)渠道，提高內(nèi)部漏洞修復(fù)、風(fēng)險(xiǎn)消除及時(shí)性．并通過(guò)線上交流與眾測(cè)任務(wù)下發(fā)，激發(fā)內(nèi)部網(wǎng)絡(luò)安全人才的學(xué)習(xí)熱情，擴(kuò)充內(nèi)部“紅藍(lán)軍”隊(duì)伍．

３）加強(qiáng)數(shù)據(jù)全生命周期安全防護(hù)．針對(duì)數(shù)據(jù)安全新業(yè)態(tài)方面，我們要全面提升數(shù)據(jù)安全頂層規(guī)劃和設(shè)計(jì)能力，遵從關(guān)基保護(hù)、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等法律規(guī)范，持續(xù)開展數(shù)據(jù)安全治理工作，全面落實(shí)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》以及相關(guān)條例要求，建立完善涵蓋管理辦法、管理流程、標(biāo)準(zhǔn)規(guī)范、工作手冊(cè)４個(gè)層面的數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范體系，建設(shè)例行化的數(shù)據(jù)資產(chǎn)盤點(diǎn)機(jī)制、數(shù)據(jù)分級(jí)分類機(jī)制，打造集團(tuán)數(shù)據(jù)安全治理體系；啟動(dòng)場(chǎng)景化的數(shù)據(jù)安全防護(hù)和監(jiān)測(cè)體系建設(shè)，推進(jìn)零信任架構(gòu)、數(shù)據(jù)安全態(tài)勢(shì)感知等新安全技術(shù)應(yīng)用建設(shè)．

４）針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施，建立有針對(duì)性的保護(hù)工作．深入貫徹《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，以保護(hù)關(guān)鍵業(yè)務(wù)和運(yùn)行安全為重點(diǎn)，構(gòu)建健全關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系；以風(fēng)險(xiǎn)管理為導(dǎo)向，形成動(dòng)態(tài)的安全防護(hù)機(jī)制，增強(qiáng)保護(hù)彈性，有效應(yīng)對(duì)安全風(fēng)險(xiǎn)威脅；建立專項(xiàng)督辦制度，加大監(jiān)督檢查和責(zé)任追究，實(shí)現(xiàn)威脅信息共享和協(xié)同應(yīng)對(duì)，及時(shí)發(fā)現(xiàn)隱患，修補(bǔ)漏洞，做到關(guān)口前移，防患于未然，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行［４］．

５）建立全面的供應(yīng)鏈安全管控體系．落實(shí)《網(wǎng)絡(luò)安全審查辦法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等國(guó)家法律法規(guī)標(biāo)準(zhǔn)中供應(yīng)鏈安全管控要求，建立供應(yīng)鏈安全管理相關(guān)制度，開展供應(yīng)商管理、安全審查、產(chǎn)品及服務(wù)的安全質(zhì)量管控，提升供應(yīng)鏈的完整性、可用性、保密性和可控性．

６）加快網(wǎng)絡(luò)安全人才培養(yǎng)．建立網(wǎng)絡(luò)安全教育培訓(xùn)計(jì)劃，對(duì)網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全管理和技術(shù)專業(yè)人員開展差異化的培訓(xùn)和考核，促進(jìn)不同類型人員網(wǎng)絡(luò)安全技能和經(jīng)驗(yàn)的提升．引進(jìn)補(bǔ)充攻防實(shí)戰(zhàn)能力的專業(yè)人才，建立梯隊(duì)培育模式［５］，用好攻防演練實(shí)訓(xùn)靶場(chǎng)，開展內(nèi)部漏洞提交平臺(tái)建設(shè)，引導(dǎo)內(nèi)部“紅藍(lán)軍”有序開展交流、對(duì)抗，培育網(wǎng)絡(luò)安全生態(tài)，激發(fā)干事創(chuàng)業(yè)的活力和動(dòng)力．

５總結(jié)

為應(yīng)對(duì)愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，中國(guó)石化堅(jiān)持以攻促防的風(fēng)險(xiǎn)防范和安全運(yùn)營(yíng)思路，通過(guò)每年的實(shí)戰(zhàn)化演習(xí)、重點(diǎn)時(shí)期保障措施等，結(jié)合現(xiàn)有網(wǎng)絡(luò)安全管理和技術(shù)手段，建立了面向攻防實(shí)戰(zhàn)的網(wǎng)絡(luò)安全防護(hù)體系［６］和風(fēng)險(xiǎn)防范的聯(lián)防聯(lián)控機(jī)制．確保風(fēng)險(xiǎn)隱患及時(shí)準(zhǔn)確處置，防止威脅蔓延擴(kuò)散，切實(shí)提高了網(wǎng)絡(luò)安全防護(hù)水平，取得了實(shí)際效果．然而，網(wǎng)絡(luò)安全本身就是一個(gè)動(dòng)態(tài)變化的過(guò)程，針對(duì)未來(lái)的不可預(yù)見(jiàn)性，將會(huì)出現(xiàn)一些新技術(shù)、新架構(gòu)和新要求，只有積極備戰(zhàn)，及時(shí)調(diào)整網(wǎng)絡(luò)安全防護(hù)體系，才能及時(shí)處置隨時(shí)有可能出現(xiàn)的網(wǎng)絡(luò)安全威脅．

參考文獻(xiàn)

［１］曾弘瑞．三同步安全管理新思路［Ｊ］．信息化建設(shè)，２０１２，１１（１０）：１２１５

［２］周培培，趙永明．新時(shí)代我國(guó)網(wǎng)絡(luò)意識(shí)形態(tài)安全治理的實(shí)踐理路［Ｊ］．南昌師范學(xué)院學(xué)報(bào)，２０２２，３（５）：２４２６

［３］馬曉亮．網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)技術(shù)與效果分析［Ｊ］．信息安全研究，２０２１，７（８）：７６３７７２

［４］王超，趙英明，陳勛，等．鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)框架設(shè)計(jì)［Ｊ］．鐵路計(jì)算機(jī)應(yīng)用，２０２２，５（３）：２５３８

［５］王鵑．網(wǎng)絡(luò)空間安全學(xué)科人才培養(yǎng)探索與［Ｊ］．信息安全研究，２０１６，２（１１）：１０４９１０５０

［６］李丁夏．面向攻防實(shí)戰(zhàn)的網(wǎng)絡(luò)安全防護(hù)體系［Ｊ］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２０２２，３（５）：２５３８

作者:顧磊單位:中國(guó)石油化工集團(tuán)有限公司信息和數(shù)字化管理部