能源企业网络安全管理研究

2022-11-13申端明乔德新辛海燕

中国管理信息化 2022年10期

申端明，乔德新，辛海燕，张娜，李青

（中国石油勘探开发研究院，北京 100083）

0 引言

近年来，我国数字经济蓬勃发展，已成为国民经济发展的重要推动力。各行业构建数字产业发展格局的同时，也将面临网络安全带来的新挑战。网络安全已不仅仅是产业发展必须关注的一个风险要素，其将成为提升全社会数字化转型核心竞争力的关键因素。随着能源企业信息化程度升高，业务运营对互联网技术（Internet Technology，IT）的依赖性逐渐提升，甚至发展为不可分割。从信息化到数字化，网络安全损失的含义也发生了巨大变化，从能源企业信息化初级阶段发展到数字化运营阶段，网络安全损失也从信息资产损失转变为业务运营价值损失，同时能源企业还将面临法律责任风险。数字化阶段，网络安全风险可能会造成“一失万无”的严重后果。

当前，网络空间斗争形势十分严峻、复杂，重大网络安全事件时有发生，高级可持续威胁（Advanced Persistent Threat，APT）攻击、勒索病毒、数据泄露和0Day 漏洞等网络安全事件层出不穷。例如，2021 年5 月，美国最大成品油管道运营商Colonial Pipeline 遭到勒索软件攻击，致使约8 851 km 的输油管被迫停运。随后，美国宣布进入国家紧急状态，美国联邦调查局、能源部、网络安全与基础设施安全局等多个联邦机构及第三方安全公司第一时间介入调查。在如此严峻的网络安全形势下，没有任何一个国家、地区、企业、个人可以在网络安全的暗潮涌动之下不受影响。

1 能源企业在网络安全方面存在的问题

一是网络安全意识不强。部分能源企业员工对网络安全不够重视，部分系统账号仍存在弱密码、弱口令等安全问题，容易遭受邮件、QQ、微信等方式的钓鱼攻击。二是网络资产不清。部分能源企业存在网络资产不清、网络安全主体责任落实不到位等问题，如信息系统台账不清楚、责任人不够明确，互联网中的未知信息、未知资产仍然是能源企业的防守盲区，还会给能源企业信息系统安全带来严重威胁。三是网络安全管控不严。各种业务互联形成多个网络出口，防守难度增大，一个出口防守管控不严，造成整体边界防护措施全部失效。四是应用系统常规漏洞多。多数能源企业应用系统建设期因开发人员代码编写不规范，造成业务系统漏洞频出，或应用系统运维期技术人员担心系统安全升级加固工作影响系统稳定性，过于重视“眼前利益”，忽视安全运营。五是安全防御能力弱。服务器多、终端多、设备多、运维压力大，造成自身升级加固难度大，滋生弱口令、口令同置等问题，导致终端容易“零成本”失陷，并且失陷后不容易被第一时间发现。六是供应链管控弱。能源企业的供应商自身网络安全薄弱，业务系统源代码及配置信息等频频被攻击者“低成本”获取。

2 能源企业加强网络安全管理的策略

面对上述网络安全问题，能源企业应全面落实习近平总书记网络强国战略思想，不断压实网络安全主体责任，从制度建设、技术保障、过程管控、宣传培训等4 个方面加强网络安全管理。

2.1 加强制度建设，建立网络安全管理制度

依据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，能源企业可以制定内部的网络安全管理办法，系统规定能源企业网络安全管理要求。该办法要明确能源企业网络安全工作的决策机构、归口管理机构和技术支持机构；明确网络安全管理原则，即“谁主管谁负责、谁运行谁负责、谁使用谁负责”，实行统一管理、分级负责，各级部门、管理人员、岗位员工履行各自的网络安全职责；明确能源企业主要负责人是网络安全第一责任人，分管网络安全的领导是直接责任人，信息化专办员是能源企业网络安全工作具体执行人；明确网络安全包括网络环境安全及终端安全、员工行为安全、数据安全和信息系统安全等；明确网络安全工作奖惩指标项和考核扣分规则。

依据等级保护基本要求、ISO27001 标准规范，能源企业要建立由安全策略、管理制度、操作规程和记录表单等构成的网络安全管理文件体系。对安全管理活动中的各类管理内容建立安全管理规范，对管理人员或操作人员的日常管理操作制定操作规范，并不断完善网络安全制度文件，使网络安全各项工作都有据可依，保证信息安全活动有序、有效开展。网络安全制度文件主要包括以下方面。

一是网络安全组织管理及职责文件。为建立职责明确的网络安全组织架构，确保各项网络安全工作责任到人，能源企业要对网络安全组织管理要求进行规定，制定网络安全组织管理等职责文件，内容包括网络安全各职能部门的设置要求和职责分工、网络安全各类岗位的设置要求和职责分工等。

二是人员安全管理文件。为提高从事网络安全相关工作人员的业务素质和工作能力，确保他们能满足相应岗位的能力要求，减少因人员变动产生的安全风险，确保外部人员各种形式的访问得到有效控制，能源企业要对人员安全管理要求进行规范，制定内部人员安全管理制度和外部人员安全管理制度等制度文件，内容包括人员录用、离岗的工作流程和控制手段、关键岗位的定义、日常审核要求，以及外部人员访问机房、办公区域、网络环境、应用系统的范围及控制手段等。

三是系统安全建设管理文件。为确保在系统建设过程中网络安全工作能够落实到位，能源企业要对系统每个建设阶段的安全管理要求进行规范，制定工程实施管理制度、测试验收管理制度和服务供应商管理制度等制度文件，内容包括以下方面：网络安全总体规划设计所遵循的原则、规范性要求，外部软件提交前的质量要求和安全性测试要求，外包软件源代码及所有软件开发文档的归属权要求，工程实施过程的规范化管理要求，委托第三方测试单位对系统进行安全性测试的要求，系统交付前人员培训、文档交接要求。

四是安全事件处置管理文件。为确保能及时处理安全事件，确保网络安全事件发生时能够得到及时响应，能源企业应制定网络安全监测规范、安全事件管理制度和网络安全通报制度等制度文件，内容包含：对网络安全的监测要求，对网络安全事件进行分类分级，安全事件发现、报告和响应的处理流程，安全事件的通报范围、方式和内容。

五是应急预案管理文件。为确保各类应急预案的合理性、可实施性，能源企业应制定应急预案管理等制度文件，内容包括：应急组织架构、人员组成、各类资源保障，预案启动条件、后期总结要求，预案日常培训演练、预案更新周期。

2.2 积极防御，搭建专业化技术平台

能源企业可以围绕信息化业务场景，构建风险可视化、防御主动化、运行自动化的一体化技术防护体系。一是建立软件定义网络（Software Defined Network，SDN）准入平台，实现用户和终端设备准入和业务随行，形成实名制网络设备接入清单，切实将网络安全责任落实到个人。二是建立网络资产测绘平台，通过主动探测、指纹比对等技术对能源企业办公网络内的终端、服务器、网络设备等多类信息资产进行信息收集和识别，全面描述和展示网络空间资产。三是构建网络漏洞扫描系统，全方位检测应用系统存在的漏洞、信息系统存在的安全漏洞与安全配置问题，检查系统存在的弱口令，以及收集系统不必要开放的账号、服务、端口，帮助网络安全管理人员先于攻击者发现安全问题，及时解决问题。四是建立网络数据防泄漏系统，实时监测网络流量，还原网络数据报文，使用关键字、正则表达式、数据标识符、文件指纹等检测方式对数据内容进行解析，以便及时发现数据泄漏事件。五是建立网络态势感知系统，采用机器学习方法，分解可疑程序的样本执行步骤和动作，通过海量程序的分析，挖掘潜在规律，突破传统防护中静态匹配方法存在的滞后性和局限性，有效提升对未知恶意代码的检测能力。六是建立网络流量分析平台，实时监测网络流量，及时发现主动外联、异常域名系统（Domain Name System，DNS）解析等违规操作行为，复现还原异常安全事件的发生过程，辅助管理部门进行责任研判。七是搭建蜜罐系统，将真实业务直接暴露变为真假业务混合，扰乱攻击视线，拖延攻击时间，为精确分析攻击情况、采取反制策略提供时间，将被动防御变为主动防御。

2.3 加强过程管控，实现网络安全风险闭环管控

能源企业可以依托规范化的管理体系和标准化的技术平台，增强“事前预防、事中控制、事后追溯”的安全风险闭环治理能力。在“事前预防”阶段，对安全风险进行及时识别和处置，消除或降低安全风险风险；在“事中控制”阶段，通过持续监控及时发现即将发生或已经发生的安全风险事件，对安全风险事件进行及时处理，阻止安全风险事件发生或将安全风险事件的危害降到最低；在“事后追溯”阶段，发生安全风险事件后，尽快将系统恢复正常运行，分析总结安全风险事件原因，减少类似安全风险事件。

一是建立包含漏洞扫描、漏洞提醒、漏洞整改、漏洞督办、漏洞复测和漏洞关闭等环节的网络安全漏洞治理流程。依托该流程，定期开展能源企业网络安全漏洞检测工作，尽早发现高危漏洞和应用系统漏洞，及时通知相关责任人对漏洞进行修补，修补完成通过复测后才能上线运行。如果整改不到位或多次出现安全漏洞，将向责任人问责，有效降低能源企业的网络安全风险。

二是建立包含通知宣贯、制订防护方案、检测整改、实时防护监测、突发事件应急响应、总结经验等环节的重要活动期间网络安全防护流程，从设备资产、技术防护、应急处置、人员值班等方面制订保障方案，确保安全防护无死角。

三是建立包含申报报备、组织评审、等保定级、公安部门备案、等保测评等环节的信息系统等保测评工作实施流程。通过开展等保测评工作，完善信息系统网络安全管理规范，减少信息系统遭受各种攻击的风险，有效提升系统安全防护能力。

2.4 建立攻防实验室和知识宣贯培训机制

一是建立能源企业网络安全技术攻防实验室。能源企业可以通过构建实训平台、演练平台、漏洞验证研究平台，建立网络安全实战靶场，通过实战练兵，不断锤炼团队技能，实现以攻助防、以攻促防、以攻带防。能源企业通过“以攻助防”能推动企业信息化网络安全建设，提升网络攻击抵御能力，建成具有攻击技术的防护体系，进一步保障能源企业信息化价值；“以攻促防”能提升攻击语境安全意识，完善应急保障流程，形成集内外资源为一体的安全应急响应模式；“以攻带防”通过信息安全培训，能提升信息安全技术水平，组建专业的攻防人才队伍，提升在攻防对抗、漏洞管理、前沿科技研究等方面的技术能力。

二是建立能源企业网络安全态势月报制度，每月定期发布国内外安全动态和安全事件，同时通报能源企业内部网络安全工作情况，加强落实网络安全主体责任，提高全体职工的网络安全责任意识。积极开展能源企业网络安全宣传周活动，通过门户网站、微信公众号、宣传展板、专家讲座、知识答题等多种形式宣传网络安全知识。努力推动宣传与培训常态化、制度化，不断提高员工网络安全意识，增强“网络安全为大家、网络安全靠大家”的理念，打造能源企业网络安全生态文化。