文│中国海洋石油集团有限公司 谢晓辉 王英梅

在大国博弈的时代背景下,大型企业均认识到维护本企业网络安全的重要性。随着边界安全工作的持续完善,在高级可持续威胁攻击(APT)和红蓝对抗演练中,钓鱼和水坑攻击方式出现得越来越频繁,所针对的目标就是“人”的弱点。

中国海洋石油集团有限公司(以下简称“中国海油”)是国务院国资委直属的特大型能源中央企业,是国家关键信息基础设施的重要组成,其安全稳定运行关系到国家的经济发展以及国家安全。因此,网络安全已经成为中国海油的核心关注点,而培育网络安全文化、培养全体员工的网络安全意识是集团公司网络安全工作的重要组成部分,目的是使员工能够主动感知、判断身边的网络安全风险,提升网络安全风险的应对能力。

在实践中,中国海油网络安全意识培养工作得以顺利推进主要归纳为两点,即集团高层领导的支持以及不断探索网络安全意识培养的工作方法。

一、领导高度重视

中国海油的网络安全工作由党组领导亲自推动,要求站在国家总体安全观的基础上认识网络安全问题,要像抓生产安全一样,抓网络安全工作。在集团领导的大力支持和推动下,集团上下对网络安全重要性的认识不断提升,网络安全意识教育活动获得了最大的动力及影响力。集团党组领导每年针对网络安全问题召开两次以上的专题会议,在网络安全重大演习中亲自到场指导慰问,国家重大节日期间亲自部署网络安全保障活动,营造了集团“上下同欲,共筑网络安全屏障”的整体氛围。

二、“严、实、快、新”的工作方法

中国海油在网络安全意识培养工作中,坚持“严、实、快、新”的工作作风,做到“制度严、执行实、反应快、举措新”。

(一)制度严

中国海油将网络安全意识培训作为集团网络安全工作的基本内容,总部及各二级单位均需根据国家网络安全法律法规、制度标准等进行宣传与培训,同时,修订集团网络安全管理办法,明确责任分工落实安全责任,进行全员培训,对网络接入要求、网络使用要求、网络安全建设中的供应链安全管理要求、网络安全检测和考核制度等进行宣贯,使员工明确网络安全管理制度。对于不同层级的管理人员,可以根据集团的要求制定相关细则,提高网络安全精细化管理能力,并通过考核,增强网络安全管理制度的执行力度,提升了员工网络安全责任感。

(二)执行实

一是制定计划。中国海油网络安全团队的年度规划,将网络安全意识教育作为重要组成部分,传授知识并让受训人员建立网络安全意识,以帮助员工在出现网络安全事件时采取预期行动,减少事件对业务造成的负面影响。有了网络安全意识,每位员工在其岗位上做出的微小努力都可能会对业务带来显著的效果。

二是联动业务。网络安全要保护的信息都和业务相关,因为业务才让信息有了价值。除了基础的网络安全意识教育,所有和业务相关的信息技术安全意识教育同样不可或缺。因此,参与培训的人员应覆盖每位员工或每位业务参与者,包括内部员工和第三方员工。安全团队与业务团队的交流,用能引起共鸣的业务语言突出安全意识教育的内在价值、优势和效果,强调成功的安全意识教育与业务成功间会有直接关系。网络安全工作的关键目标是确保让业务相关人员明白,他们对安全意识教育的直接认可不仅有助于集团发展,而且也会使他们自己受益。在网络安全宣传过程中,安全团队利用积极倾听的技巧,向业务团队表明同理心,达成共识。安全团队要充分理解业务团队的痛点,并通过解决这些痛点为安全意识教育建立成功案例。

三是多措并举。通过多项举措,中国海油在行动中将网络安全工作 “往心里走”“往深里走”“往实里走”。首先,网络安全宣传形式多样。集团在《中国海洋石油报》上设置“防范网络安全风险 筑牢安全基石”的网络安全专栏,借助多媒体发布系统,在集团及二级单位电梯间、公共场所播放网络安全意识教育视频。在海学网发布“共筑网络安全,守护海油家园”专题。在 OA 系统开通网络安全专栏,发布集团网络安全简报以及安全知识、法规标准等内容。举办中国海油“网络安全宣传周”“网络安全宣传日”,通过丰富的表现形式来开展网络安全意识教育,提升员工、客户、第三方的安全风险意识和防护技能,减少网络安全问题对业务、对客户服务、对内外合作的影响。总结提炼网络安全基本要求,形成易懂易记的口诀。如总结网络安全行为“五要五不要”:“口令要常换、病毒要常防、软件要正版、补丁要安装、屏保要设置,不明网站不要登录、不明软件不要安装、不明邮件不要打开、不明访客不要搭理、不明存储不要连接。”其次,宣传题材来源于身边,以身边事教育身边人。收集业务团队信息,了解业务运营环境、历史运营情况和利益相关者的目标以及痛点。使用集团内或同业案例,来证明安全意识问题能直接影响业务目标。例如:在集团内部攻防演练后,编制渗透过程的视频,组织多场警示教育,使管理人员、系统负责人、运维人员,都能够看到自己角色在工作中的疏忽,会造成多大的网络安全危害及业务损失。这样的案例会引起业务团队的共鸣,对日常工作中不太了解 IT 技术的同事效果明显。展示案例的选取以人为原因(操作风险)造成的网络安全事件优先,例如:因配置错误造成的网络安全事件、因变更操作错误造成的网络安全事件、因数据滥用造成的网络安全事件、因钓鱼邮件造成的网络安全事件等。

四是培训内容针对性强。紧跟年度工作重要节点开展相关培训、教育及宣传。中国海油网络安全工作将国家重大网络安全专项行动、网络安全检查作为年度“大考”,做好国家重要时期网络安全保障工作,每个时间节点都进行不同侧重的培训及宣传:针对各关键活动,制定培训及宣传方案,落实工作责任;同时及时跟踪检查,推进各项工作紧密、有序、高效进行。

(三)反应快

一是宣传内容更新快。紧密跟踪国内网络安全形势、攻防技术发展趋势,制定宣传与培训主题,如近两年勒索病毒攻击持续升温,就将勒索病毒的原理和防范方式在安全运营人员中进行宣传培训,同时对相关处置方式进行技术交流与培训。

二是培训节奏快。加快网络安全工作步伐,增加培训频率。根据工作目标倒排时间节点,并结合阶段性工作开展相关技能培训及网络安全教育。

(四)举措新

不断探索网络安全教育新模式。针对目前钓鱼邮件成为高级持续攻击的主要突破手段,为提升员工抵御钓鱼邮件的安全意识,中国海油开展 “黑衣人”社会工程钓鱼演练工作,以常见主题、热门话题为内容,模拟攻击者开展网络钓鱼演练。话题可设定为“邮箱业务调整通知”“OA 系统维护通知”“集团演练终端加固指南”等主题,随机向集团内部全体员工发送钓鱼邮件。网络钓鱼演练使员工身临其境,为提升全员防御钓鱼邮件能力提供了一次练兵机会,也为开发网络安全意识培训课程提供借鉴经验。

三、结 语

网络安全文化是企业网络安全工作的灵魂,是企业网络安全无所不在的守护者。网络安全文化不仅仅是政策和程序,它还是一个“操作系统”,影响和引导员工将安全意识和行为融入日常生活。当安全文化缺失时,无论是在网络安全团队内部,还是在安全团队与集团其他成员之间,都可能导致松懈的网络实践和责任的相互推诿。网络安全文化建设是一项长期性工作,根据网络安全态势的发展变化,需要不断创新,不断适应新的需求与挑战。未来,中国海油将以更务实、更有效、更多样的办法推进企业网络文化建设。

(本文刊登于《中国信息安全》杂志2022年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。