冷炜镧?杨新成?张果

摘要：在“两化融合”与“互联网+”的过程中，一方面互联网企业如雨后春笋般大量冒出，另一方面传统能源企业在整个行业环境倒逼的趋势下进行数字化转型。以上这些因素的不断推进，使得企业的信息安全意识持续增强，对信息安全建设的需求越来越多。互联网企业开始设立CISO（首席信息安全官，或称为IT安全主管）。传统能源企业也开始推行党委党组网络安全责任制，组建信息安全运营团队参与到公司数字化运营当中。从自身在信息安全领域近10年来的工作中，抽丝剥茧，透过现象洞察本质，将互联网企业与传统能源行业的信息安全工作业务域进行分析对标，去其糟粕取其精华进行融会贯通，形成了一套在传统能源行业能够落地并行之有效的信息安全运营管理工作最佳实践思考。

关键词：信息安全；运营管理；网络安全

一、企业信息安全工作领域

企业信息安全大致涵盖如下7个领域。

1.网络安全：最基础但又是核心的部分。以计算机（桌面PC、服务器、小型机、BYOD等）和网络主体的网络安全。包括网络准入控制、安全域划分、桌面安全、防火墙和入侵检测设备接入、漏洞感知、补丁修复、ACL安全策略配置等。基础网络安全侧重于运维，是企业安全团队必须要覆盖的工作 [1]。

2.应用交付安全：应用是企业数字化转型的最小实践单位，是支撑企业主营业务的主体，能源企业办公、生产、经营应用多数为外部协作单位开发，少量为内部支持单位开发。如何保障应用交付安全是关键核心。

3.平台与业务安全：跟所在行业与主营业务相关的安全管理，例如垃圾注册、撞库攻击、盗号洗号、验证码安全、信息重放、找密/改密安全等。业务安全主要关注主营业务相关的流程安全。此领域互联网公司尤为关注[2]。

4.广义的信息安全：以互联网技术（IT）为核心，由广义上的信息、信息载体和信息技术构成的大安全体系。

5.IT合规管理（IT内控和审计）：IT合规性管理作用是帮助企业满足各种IT准则的需求，从合规性准则要求出发，对企业合规工作进行管理，以保证企业内部制度与外部标准的相符合[3]。

6.业务持续性管理（BCM）：相比于广义的信息安全和IT综合管理这样的管理体系领域，业务连续性管理更倾向于实际操作，是一项综合管理流程，其目的是防范信息安全入侵事件导致企业不得不暂停甚至关闭核心业务[4]。

7.企业安全信誉维护：身为企业的CISO，除了实质性的信息安全管理和技术事务，还必须处理一些务虚的事务。例如为了企业的安全形象出席一些市场宣介和演示活动，目的是维护企业的安全信誉。

二、传统能源企业和互联网企业信息安全运营工作的区别

企业信息安全到底是什么或者企业信息安全到底要做哪些工作？对互联网甲方公司、传统甲方公司、传统乙方安全公司、新兴乙方安全公司、移动安全公司来说，都有不同的诠释。传统能源企业和互联网企业在信息安全建设中存在明显差异[5]。互联网企业注重技术，“三分管理，七分技术”，注重业务技术更替和企业信息安全信誉，信息安全工作领域侧重于网络安全领域、应用交付安全领域、业务安全领域、业务持续性管理领域和企业安全信誉维护领域。传统能源企业偏重管理，“三分技术，七分管理”，注重信息安全合规性和网络资产管理，信息安全工作领域侧重于网络安全领域、应用交付安全领域、广义的信息安全领域和IT合规管理领域。工作领域侧重点的不同，使传统能源企业在信息安全运营中更注重制度、规范、流程等管理手段建设。相应地，技术能力也就成为了传统能源企业信息安全运营中的短板[6]。

三、传统能源企业信息安全运营管理工作的最佳实践

“十四五”规划明确“加快数字化发展”在“加快发展现代化产业体系、推动经济体系优化”目标中作为重要指导方针。数字化转型对传统能源企业不再是企业发展的可选方向，而是关乎企业存亡的需要突破的重大课题。信息安全运营工作作为数字化转型的前提基础和坚实保障，无论是从国家层面还是从企业层面信息安全运营工作的重要性都是不言而喻的。

在了解了信息安全对于“数字化转型”的重要性后，信息安全如何开展就摆在了传统能源企业信息安全负责人的面前，在这里首选要说明一个常识性问题，当业务面临一个领域问题不知如何下手的时候，去对标这个领域问题的最佳实践是能够快速达到目的的一个方法。在信息安全领域中的最佳实践恰恰集中在互联网企业。造成这一现象的原因一方面是互联网企业自身对信息安全是刚性需求，急需通过信息安全手段到达稳固自身业务的目的；另一方面互联网企业具有雄厚的技术实力去解决现有的信息安全问题。通过笔者这几年的对标，结合传统能源行业的自生特点，形成了一套传统能源企业中信息安全运营工作的最佳实践，该运营工作的最佳实践分为：管理体系运营、团队运营、IT资产运营、合规性运营、事件运营和常态化攻防。

管理体系运营：从企业信息安全管理出发，制定信息安全管理办法、信息安全考核细则或指标、安全基线、应急预案等制度、规范和流程，从而形成包括管理目标、管理方法、执行标准和执行流程的完整的信息安全管理体系。管理体系运营是一个随着企业发展和业务扩张而逐渐完善的过程，而不是一上来就要用一个大而全的安全体系，传统能源企业管理体系运营要切实考虑自身情况，量体裁衣，先建立一套适用的、易落地的管理体系，保证企业信息安全管理体系有序发展，防止在管理措施实施时阻碍业务发展和引起抵触情绪。

团队运营：从企业信息安全业务需求和发展需求出发，建立信息安全团队，配备信息安全工具。人员管理、人才培养、工具维护、知识库维护，都属于企业信息安全团队运营范畴，根据信息安全需求，配备信息安全人员和工具，将常态化运营和实战化经验相结合，将团队运营过程中的安全方法论、安全体系、安全分析规则、安全脚背等沉淀下来，转化为可传承、共享的知识，通过不断地流动与迭代加以完善，为企业培养高精尖信息安全人才和总结信息安全最佳实践，从而更好的赋能各个业务部门甚至整个行业。

IT资产运营：从IT资产出发，开展多维度全方位的资产梳理工作，实现IT资产价值管理和精细化管理，通过明确IT资产的重要性（包括终端、服务器、业务系统等），并针对IT资产的不同维度进行可视化展示和维护（包括设备类型、IP、端口、组件、组件版本、部署位置等），提取IT资产隐患信息（包括反向代理、扫描器、未报备应用、弱口令、高危漏洞等），动态分析关键信息系统潜在风险（包括VPN系统、OA办公系统、ERP系统、邮件系统、堡垒机等）。

合规性运营：从信息安全监管合规性出发，完善企业信息安全管理体系，开展信息系统网络安全等级保护等相关工作，使得企业信息安全运营情况满足国家和上级单位信息安全监管合规性要求。

事件运营：从网络事件和流量出发，一是全面建立企业信息安全态势“可视、可管、可控”机制，设立信息安全态势监控分析岗，根据漏洞库、病毒库和日志告警信息，通过规则匹配、语义分析、流量分析、关联分析等技术手段，快速识别企业信息安全风险；二是建立信息安全事件通报处置机制，设立信息安全事件通报处置岗，向上受理国家和上级监管部门信息安全事件通报，横向接收信息安全态势监控分析岗同步的企业内部信息安全隐患，向下发送信息安全事件通报预警和配合下属单位开展信息安全事件处置闭环工作。

常态化攻防：从网络安全攻防出发，建立常态化攻防机制，在企业内部形成红蓝实战对抗，红队不定时间、地点、方法和路径对企业网络和信息资产开展实战渗透测试；蓝队在不知情的情况下开展日常信息安全态势监控分析工作。这种常态化攻防机制在传统能源企业中可以说是一劳永逸的，即检验了企业网络和信息资产脆弱性，又检验企业信息安全态势监控和事件分析能力。通过常态化网络安全攻防，完善企业信息安全防护体系、优化信息安全团队工作机制、锻炼信息安全团队实战水平，使企业在应对大型网络攻防演练、重大活动保障和真实网络攻击时游刃有余。

四、传统能源企业中信息安全运营管理工作的实践思考

（一）从形式上重视安全转变为本质上重视安全

随着《国家网络空间安全战略》的发布与实施，网络空间主权已经成为除领土、领海、领空之外的国家第四空间主权。传统能源企业相对于金融、电力和互联网企业，信息安全起步较晚、投入较少、意识滞后，多数企业还处于信息安全纵深防御建立阶段，少数企业因为合规性需求等客观原因，完成了信息安全防护体系建设，但由于企业本身对信息安全不重视，也只解决了信息安全防护手段有无的问题，采购了大量信息安全防护产品，只完成了上架实施，信息安全防护策略未配置，信息安全防护日志无人审计，导致信息安全防护手段形同虚设。

企业信息安全建设是重大战略问题，是典型的“一把手”工程。传统能源企业只有打破传统运营理念，充分理解信息安全对加快数字化转型的重大意义，由管理层从战略视角对信息安全进行统一规划运营，“一把手”带头建立系统可行的安全防御机制，企业完成从“要我安全”到“我要安全”的意识转变，信息安全才能真正从形式上的安全转变为本质上的安全。

（二）加强专业信息安全运营团队培养

由于传统能源企业的企业性质和背景，企业员工多数是石油工程、地址工程、地质勘探等能源相关专业人才，信息安全运营团队成员也多数是企业原有员工，他们要么不懂信息安全，要么才开始学习信息安全，有甚者除了信息安全相关工作外还兼顾着原有业务和工作，导致企业信息安全运营团队专业能力严重不足。

对于传统能源企业来说，技术和业务场景众多，需要逐步建立信息安全专业人才招聘选拔培养任用机制，通过信息安全专业技术技能培训和考核、网络攻防大赛、红蓝对抗实战演练等方式，为企业选拔、培养一批即懂信息安全技术又懂能源业务相关技术的复合型人才，实现企业数字化转型和信息安全同步规划、同步发展。

（三）处理好管理和技术的关系

传统能源企业信息安全运营过程中管理和技术就像是灯芯与灯油的关系，谁也离不开谁，必须“两手抓、两手都要硬”。如果将传统能源企业信息安全运营比作一次考试，满分100分，安全管理占60分，它构成了信息安全运营的骨架，是信息安全运营的基础和及格线；安全技术占40分，它组成了信息安全运营的血肉，是信息安全运营的提升和加分项。“骨架”和“血肉”齐全才能算完整的“人”，管理和技术兼备才能算完整的信息安全运营。

从安全管理的角度来看，安全政策和流程如果没有技术和自动化手段保障，无法有效落地，抛开技术空谈管理，安全政策和流程便失去了可行性。

从安全技术的角度来看，在传统能源企业信息安全建设中，技术并不是主要矛盾，技术上的建议如何得到业务部门的认可、如何获得规划计划和财务部门的批准，都需要技术人员跳出技术思维，借助管理中的政策和流程来实现。

（四）处理好业务和安全的关系

安全的根本宗旨是服务业务，但安全更是业务的重要属性，不安全或没有考虑安全的业务就像是不合格的产品，是各级监管部门通报的对象，是攻击者的首选目标，是企业数字化转型智能化发展的绊脚石。笔者通过长期传统能源企业信息安全运营管理经验，总结出了处理业务和安全关系的最佳实践：“安全赋能业务”。

但在实际操作中不能为了安全而安全。安全本质上是一项服务，安全服务是安全团队提供给用户和业务的一种服务类别，安全方案和安全要求不能只考虑安全需求，将业务功能和发展需求排除在外。还需衡量信息安全投资的价值，既投资回报率，任何企业针对网络攻击防范的目标都是以最低成本实现最佳保护。如何将信息安全支出转化为最大投资回报？如何确保选择的解决方案可以提供最佳保护？虽然没有通用性的答案，但是，根据自身企业实际情况，建立一个正确的信息安全投资模型显然会大大降低信息安全风险，同时确保投资得到充分利用。

五、结语

传统能源企业的网络设施和信息系统作为国家关键基础设施，一旦遭到破坏、丧失功能或者数据泄露，将会严重危害国家安全、国计民生、公共利益。传统能源企业信息安全不再是信息化管理部门的任务，而是数字化时代对于整个企业提出的新的要求。传统能源企业信息安全运营工作也不仅仅局限于数据、数据载体和信息安全技术本身，更是整个企业数字化转型的前提基础和坚实保障。做好传统能源企业信息安全运营工作，就是为企业谋生存，为国家谋安全。

参考文献

[1]赵彦，江虎，胡乾威.互联网企业安全高级指南[M].北京：机械工业出版社，2016：5-11.

[2]聂君，李燕，何杨军.企业安全建设指南金融行业安全架构与技术实践[M].北京：机械工业出版社，2019：4-5.

[3]万小博.数字化转型背景下企业网络信息安全体系建设思考[J].中国新通信，2022，24（10）：110-112+218.

[4]曹雅丽.共话网络安全 为企业数字化转型保驾护航[N].中国工业报，2021-08-03（003）.

[5]张格，张妍，刘志尧.我国工业企业数字化转型中网络安全保障能力建设思路与实践路径[J]工业信息安全，2022，（05）：43-47.

[6]董祎铖.基于安全运营建设，促进安全治理工作[J].中国信息安全.2019（08）：52-55.

作者单位：川庆钻探工程公司钻采工程技术研究院