能源企業網絡安全管理研究

申端明，喬德新，辛海燕，張 娜，李 青

（中國石油勘探開發研究院，北京 100083）

0 引言

近年來，我國數字經濟蓬勃發展，已成為國民經濟發展的重要推動力。各行業構建數字產業發展格局的同時，也將面臨網絡安全帶來的新挑戰。網絡安全已不僅僅是產業發展必須關注的一個風險要素，其將成為提升全社會數字化轉型核心競爭力的關鍵因素。隨著能源企業信息化程度升高，業務運營對互聯網技術（Internet Technology，IT）的依賴性逐漸提升，甚至發展為不可分割。從信息化到數字化，網絡安全損失的含義也發生了巨大變化，從能源企業信息化初級階段發展到數字化運營階段，網絡安全損失也從信息資產損失轉變為業務運營價值損失，同時能源企業還將面臨法律責任風險。數字化階段，網絡安全風險可能會造成“一失萬無”的嚴重后果。

當前，網絡空間斗爭形勢十分嚴峻、復雜，重大網絡安全事件時有發生，高級可持續威脅（Advanced Persistent Threat，APT）攻擊、勒索病毒、數據泄露和0Day 漏洞等網絡安全事件層出不窮。例如，2021 年5 月，美國最大成品油管道運營商Colonial Pipeline 遭到勒索軟件攻擊，致使約8 851 km 的輸油管被迫停運。隨后，美國宣布進入國家緊急狀態，美國聯邦調查局、能源部、網絡安全與基礎設施安全局等多個聯邦機構及第三方安全公司第一時間介入調查。在如此嚴峻的網絡安全形勢下，沒有任何一個國家、地區、企業、個人可以在網絡安全的暗潮涌動之下不受影響。

1 能源企業在網絡安全方面存在的問題

一是網絡安全意識不強。部分能源企業員工對網絡安全不夠重視，部分系統賬號仍存在弱密碼、弱口令等安全問題，容易遭受郵件、QQ、微信等方式的釣魚攻擊。二是網絡資產不清。部分能源企業存在網絡資產不清、網絡安全主體責任落實不到位等問題，如信息系統臺賬不清楚、責任人不夠明確，互聯網中的未知信息、未知資產仍然是能源企業的防守盲區，還會給能源企業信息系統安全帶來嚴重威脅。三是網絡安全管控不嚴。各種業務互聯形成多個網絡出口，防守難度增大，一個出口防守管控不嚴，造成整體邊界防護措施全部失效。四是應用系統常規漏洞多。多數能源企業應用系統建設期因開發人員代碼編寫不規范，造成業務系統漏洞頻出，或應用系統運維期技術人員擔心系統安全升級加固工作影響系統穩定性，過于重視“眼前利益”，忽視安全運營。五是安全防御能力弱。服務器多、終端多、設備多、運維壓力大，造成自身升級加固難度大，滋生弱口令、口令同置等問題，導致終端容易“零成本”失陷，并且失陷后不容易被第一時間發現。六是供應鏈管控弱。能源企業的供應商自身網絡安全薄弱，業務系統源代碼及配置信息等頻頻被攻擊者“低成本”獲取。

2 能源企業加強網絡安全管理的策略

面對上述網絡安全問題，能源企業應全面落實習近平總書記網絡強國戰略思想，不斷壓實網絡安全主體責任，從制度建設、技術保障、過程管控、宣傳培訓等4 個方面加強網絡安全管理。

2.1 加強制度建設，建立網絡安全管理制度

依據《中華人民共和國網絡安全法》《信息安全技術 網絡安全等級保護基本要求》《關鍵信息基礎設施安全保護條例》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規，能源企業可以制定內部的網絡安全管理辦法，系統規定能源企業網絡安全管理要求。該辦法要明確能源企業網絡安全工作的決策機構、歸口管理機構和技術支持機構；明確網絡安全管理原則，即“誰主管誰負責、誰運行誰負責、誰使用誰負責”，實行統一管理、分級負責，各級部門、管理人員、崗位員工履行各自的網絡安全職責；明確能源企業主要負責人是網絡安全第一責任人，分管網絡安全的領導是直接責任人，信息化專辦員是能源企業網絡安全工作具體執行人；明確網絡安全包括網絡環境安全及終端安全、員工行為安全、數據安全和信息系統安全等；明確網絡安全工作獎懲指標項和考核扣分規則。

依據等級保護基本要求、ISO27001 標準規范，能源企業要建立由安全策略、管理制度、操作規程和記錄表單等構成的網絡安全管理文件體系。對安全管理活動中的各類管理內容建立安全管理規范，對管理人員或操作人員的日常管理操作制定操作規范，并不斷完善網絡安全制度文件，使網絡安全各項工作都有據可依，保證信息安全活動有序、有效開展。網絡安全制度文件主要包括以下方面。

一是網絡安全組織管理及職責文件。為建立職責明確的網絡安全組織架構，確保各項網絡安全工作責任到人，能源企業要對網絡安全組織管理要求進行規定，制定網絡安全組織管理等職責文件，內容包括網絡安全各職能部門的設置要求和職責分工、網絡安全各類崗位的設置要求和職責分工等。

二是人員安全管理文件。為提高從事網絡安全相關工作人員的業務素質和工作能力，確保他們能滿足相應崗位的能力要求，減少因人員變動產生的安全風險，確保外部人員各種形式的訪問得到有效控制，能源企業要對人員安全管理要求進行規范，制定內部人員安全管理制度和外部人員安全管理制度等制度文件，內容包括人員錄用、離崗的工作流程和控制手段、關鍵崗位的定義、日常審核要求，以及外部人員訪問機房、辦公區域、網絡環境、應用系統的范圍及控制手段等。

三是系統安全建設管理文件。為確保在系統建設過程中網絡安全工作能夠落實到位，能源企業要對系統每個建設階段的安全管理要求進行規范，制定工程實施管理制度、測試驗收管理制度和服務供應商管理制度等制度文件，內容包括以下方面：網絡安全總體規劃設計所遵循的原則、規范性要求，外部軟件提交前的質量要求和安全性測試要求，外包軟件源代碼及所有軟件開發文檔的歸屬權要求，工程實施過程的規范化管理要求，委托第三方測試單位對系統進行安全性測試的要求，系統交付前人員培訓、文檔交接要求。

四是安全事件處置管理文件。為確保能及時處理安全事件，確保網絡安全事件發生時能夠得到及時響應，能源企業應制定網絡安全監測規范、安全事件管理制度和網絡安全通報制度等制度文件，內容包含：對網絡安全的監測要求，對網絡安全事件進行分類分級，安全事件發現、報告和響應的處理流程，安全事件的通報范圍、方式和內容。

五是應急預案管理文件。為確保各類應急預案的合理性、可實施性，能源企業應制定應急預案管理等制度文件，內容包括：應急組織架構、人員組成、各類資源保障，預案啟動條件、后期總結要求，預案日常培訓演練、預案更新周期。

2.2 積極防御，搭建專業化技術平臺

能源企業可以圍繞信息化業務場景，構建風險可視化、防御主動化、運行自動化的一體化技術防護體系。一是建立軟件定義網絡（Software Defined Network，SDN）準入平臺，實現用戶和終端設備準入和業務隨行，形成實名制網絡設備接入清單，切實將網絡安全責任落實到個人。二是建立網絡資產測繪平臺，通過主動探測、指紋比對等技術對能源企業辦公網絡內的終端、服務器、網絡設備等多類信息資產進行信息收集和識別，全面描述和展示網絡空間資產。三是構建網絡漏洞掃描系統，全方位檢測應用系統存在的漏洞、信息系統存在的安全漏洞與安全配置問題，檢查系統存在的弱口令，以及收集系統不必要開放的賬號、服務、端口，幫助網絡安全管理人員先于攻擊者發現安全問題，及時解決問題。四是建立網絡數據防泄漏系統，實時監測網絡流量，還原網絡數據報文，使用關鍵字、正則表達式、數據標識符、文件指紋等檢測方式對數據內容進行解析，以便及時發現數據泄漏事件。五是建立網絡態勢感知系統，采用機器學習方法，分解可疑程序的樣本執行步驟和動作，通過海量程序的分析，挖掘潛在規律，突破傳統防護中靜態匹配方法存在的滯后性和局限性，有效提升對未知惡意代碼的檢測能力。六是建立網絡流量分析平臺，實時監測網絡流量，及時發現主動外聯、異常域名系統（Domain Name System，DNS）解析等違規操作行為，復現還原異常安全事件的發生過程，輔助管理部門進行責任研判。七是搭建蜜罐系統，將真實業務直接暴露變為真假業務混合，擾亂攻擊視線，拖延攻擊時間，為精確分析攻擊情況、采取反制策略提供時間，將被動防御變為主動防御。

2.3 加強過程管控，實現網絡安全風險閉環管控

能源企業可以依托規范化的管理體系和標準化的技術平臺，增強“事前預防、事中控制、事后追溯”的安全風險閉環治理能力。在“事前預防”階段，對安全風險進行及時識別和處置，消除或降低安全風險風險；在“事中控制”階段，通過持續監控及時發現即將發生或已經發生的安全風險事件，對安全風險事件進行及時處理，阻止安全風險事件發生或將安全風險事件的危害降到最低；在“事后追溯”階段，發生安全風險事件后，盡快將系統恢復正常運行，分析總結安全風險事件原因，減少類似安全風險事件。

一是建立包含漏洞掃描、漏洞提醒、漏洞整改、漏洞督辦、漏洞復測和漏洞關閉等環節的網絡安全漏洞治理流程。依托該流程，定期開展能源企業網絡安全漏洞檢測工作，盡早發現高危漏洞和應用系統漏洞，及時通知相關責任人對漏洞進行修補，修補完成通過復測后才能上線運行。如果整改不到位或多次出現安全漏洞，將向責任人問責，有效降低能源企業的網絡安全風險。

二是建立包含通知宣貫、制訂防護方案、檢測整改、實時防護監測、突發事件應急響應、總結經驗等環節的重要活動期間網絡安全防護流程，從設備資產、技術防護、應急處置、人員值班等方面制訂保障方案，確保安全防護無死角。

三是建立包含申報報備、組織評審、等保定級、公安部門備案、等保測評等環節的信息系統等保測評工作實施流程。通過開展等保測評工作，完善信息系統網絡安全管理規范，減少信息系統遭受各種攻擊的風險，有效提升系統安全防護能力。

2.4 建立攻防實驗室和知識宣貫培訓機制

一是建立能源企業網絡安全技術攻防實驗室。能源企業可以通過構建實訓平臺、演練平臺、漏洞驗證研究平臺，建立網絡安全實戰靶場，通過實戰練兵，不斷錘煉團隊技能，實現以攻助防、以攻促防、以攻帶防。能源企業通過“以攻助防”能推動企業信息化網絡安全建設，提升網絡攻擊抵御能力，建成具有攻擊技術的防護體系，進一步保障能源企業信息化價值；“以攻促防”能提升攻擊語境安全意識，完善應急保障流程，形成集內外資源為一體的安全應急響應模式；“以攻帶防”通過信息安全培訓，能提升信息安全技術水平，組建專業的攻防人才隊伍，提升在攻防對抗、漏洞管理、前沿科技研究等方面的技術能力。

二是建立能源企業網絡安全態勢月報制度，每月定期發布國內外安全動態和安全事件，同時通報能源企業內部網絡安全工作情況，加強落實網絡安全主體責任，提高全體職工的網絡安全責任意識。積極開展能源企業網絡安全宣傳周活動，通過門戶網站、微信公眾號、宣傳展板、專家講座、知識答題等多種形式宣傳網絡安全知識。努力推動宣傳與培訓常態化、制度化，不斷提高員工網絡安全意識，增強“網絡安全為大家、網絡安全靠大家”的理念，打造能源企業網絡安全生態文化。

3 結語

加強網絡安全管理是能源企業信息化發展的必然選擇，也是能源企業實現數字化轉型的必要條件。面對不斷增加的數字化應用場景，能源企業網絡安全工作應以實戰化安全運營為目標，持續構建和完善網絡安全管理機制，努力構造風險可控的網絡安全環境，為能源企業數字化轉型、智能化發展保駕護航。