文 | 中国海洋石油集团有限公司信息技术中心 王英梅 杨林 王连庆 廖旭 宁文治 刘宸
统筹发展和安全,是以习近平同志为核心的党中央立足新发展阶段和国际国内新形势、新情况提出的重大战略思想。党的二十大报告明确提出,必须坚定不移贯彻总体国家安全观,以新安全格局保障新发展格局,对包括网络安全在内的重要领域安全保障体系建设作出战略部署。作为国家能源领域关键信息基础设施单位,中国海洋石油集团有限公司(以下简称“中国海油”)肩负保卫国家安全和能源安全的重要使命,在集团发展总体发展思路指导下,正经历着“变革发展模式,实现从传统管理模式向现代化、数字化、智能化跨越”,进入新阶段、面临新挑战。网络安全已经成为保障集团发展的“数字化底座工程”,加强对关键信息基础设施的重点防护,构建一体化网络安全保障体系,是践行“总体国家安全观”,维护国家安全和社会稳定的具体行动。
一、充分理解并思考关基要求,提升数字化安全建设认知
《关键信息基础设施安全保护条例》(以下简称《条例》),自 2021 年 9 月 1 日起施行。《条例》的正式出台是我国网络安全顶层设计的又一里程碑事件,理解好、落实好、执行好《条例》,对维护国家网络安全、保障关键信息基础设施平稳运行具有重要意义。《条例》建立了以国家网信部门、国务院公安部门、关键信息基础设施保护工作部门、关键信息基础设施运营者为主体的综合保护责任体系,明确了运营者在综合保护体系中的主体责任地位。将关键信息基础设施的安全需求整合到国家和行业整体安全体系,并进一步建立安全生态,实现安全能力的聚合和提升。同时,2022 年 10 月出台的《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)规定了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等 6 个方面的安全要求,为运营者提供了明确的工作方向与指导。
集团数字化转型催生众多网络安全风险,云计算、大数据和物联网技术的应用使网络边界日趋模糊,云计算模糊了传统的安全边界,安全攻防的复杂程度也大大增加,安全建设前移将成为趋势。大数据技术的发展使数据储量和流量成倍上涨,网络安全攻击带来的损失和伤害也随之成倍增加;物联网打通了线上线下的界限,利用设备漏洞控制物联网甚至可对物理世界造成伤害。
在当前大国博弈的时代背景下,网络空间对抗逐步呈现出战争化趋势,全球网络战领域合作频次持续增加。在新的交战和威慑规则建立前,网络对抗进入“探底”时期,网络攻击将关键信息基础设施作为各国网络空间安全博弈的重要目标,尝试探测彼此的容忍度和承受力。“多域作战”理念逐步形成,网络空间、电子战、情报、空间和信息作战持续,网络部队与传统作战部队开展联合作战。未来,面临的体系化对抗将围绕保护对象进行攻击与防御,攻击与防御双方将在攻击面分析与暴露面收敛、边界突破与防御、横向渗透与区域控制、核心区攻陷与强管控等方面展开较量。
传统被动式、仅满足合规要求的网络安全建设已无法满足企业发展的要求,对数字化安全提出了更高的要求,平台型、系统性、体系化的安全建设成为关注的重点。中国海油结合关基保护的指导方向、“数字化转型”对网络安全的刚性需求以及网络安全发展现状,充分吸收先进的管理理念,不断探索实践,总结出“一个顶层指引、三个方面融合、三个防护层级、一个基础底座”的面向关基的网络安全保障体系“1331”建设模式。“一个顶层指引”是指以集团公司“十四五”网络安全架构为指引;“三个方面融合”是指管理、技术和运营三个方面的融合发展,通过技术手段将安全管理制度提炼为数字化指标,并融入数字运营体系;“三个防护层级”是指夯实基础、强化关基、实战对抗三个防护层级;“一个基础底座”是指建设网络安全运营中心(SOC)平台,以支撑网络安全业务发展,持续打造中国海油的数字化安全中枢。
二、扎实推进“1331”建设框架,保护关基基础设施安全
(一)“一个顶层指引”:实现网络安全“业务化”
以集团公司“十四五”网络安全保障体系框架作为顶层指引,构建数字海油安全蓝图,推动网络安全工作业务化。以“一体系、一平台、一队伍”为支撑,在“IT 基础设施安全、云安全、数据安全、移动安全、工控安全、供应链安全”六个安全领域,围绕“检测、防御、应急、预测”四项安全能力,实现“资产清晰可视、威胁实时感知、防御动态联动、行为精准预测、应急保障可控”五个方向的提升,持续打造网络安全中枢,提升中国海油的体系化对抗能力。在此指引下,明确要服务于“数字化转型”总体目标,既满足“数字化的安全”又要实现“安全的数字化”;安全关注重点由“网络安全”向“数字安全”、从“外挂安全”向“内生安全”转变。通过风险评估及最佳实践的对标分析,围绕管理、技术、运营三方面明确了10 个关键问题、14 项重点任务,逐步推进中国海油网络安全保障体系有效落地,将网络安全工作变为一项具备管理属性和技术属性的业务,持续打造中国海油的安全中枢。
(二)“三个方面融合”:实现网络安全“一体化”
确立网络安全管理、网络安全技术和网络安全运营作为网络安全保障体系的三大支柱,通过“安全管理指标化、安全技术生态化、安全运营数字化”的相互融合,实现网络安全一体化。
一是在细化安全管理制度与流程基础上,探索数字化转型中新型网络安全风险的管理模式。以网络安全管理精细化、流程化、线上化为目标,同时考虑到考核评价科学化和标准化,拓展安全管理内容、规范安全管理流程、逐级压实安全责任、强化考核评价机制、完善安全建设全生命周期管理以及安全运维管理。加强数据安全和供应链安全管理制度要求,同时加强网络安全应急管理,提升应急响应能力。
二是在构建纵深防御和主动防御技防体系的基础上,加强应用防护、数据防护和身份防护。以安全防御体系化、安全系统平台化、安全建设生态化为目标,构建纵深防御和主动防御技术防护,覆盖传统应用与新技术应用场景。围绕物理安全、网络安全、主机安全、应用安全、数据安全和平台安全等方面,梳理保护措施,整合防护手段,构建异构安全能力,提升基础设施技术防护水平,促进网络安全防护体系建设的“横向到边、纵向到底”,支撑一体化监测、分析、响应、处置和“挂图作战”能力。根据网络安全新型攻防态势,进行了统一身份管理认证平台的建设等。同时,开展商业秘密信息防护体系的论证,并搭建了密级标识系统。将技术能力逐渐深入应用于用户身份管理、数据安全管理等方面。
三是在整合内外部资源的基础上,组建安全运营队伍,开展日常网络安全运营工作,实现网络安全常态化和平战结合一体化。组建安全运营常态化支持团队,建立运营管理制度、流程及规范;构建安全运营组织架构,明确层级划分,定岗定责,并定期进行安全意识教育、培训和考核;严格规范安全运营考核,制定详细的总部及下属单位绩效考核指标,确保绩效考核的公正和透明;建立定期工作总结机制,实现常态化和专项工作的总结积累。
网络安全保障体系是“三个方面”的融合一体化,通过“人才+平台”的安全运营,将管理和技术有效协同,实现集团网络安全保障体系的纵向贯穿、横向打通和持续运营。通过持续的人才培养、能力提升和知识库积累,打造平战结合的中国海油网络安全保障体系,提升体系化对抗的能力。
(三)“三个防护层级”:应对网络安全“实战化”
“三个防护层级”包括合规基础保护、实战强化保护和指挥协同保护。各层级明确安全防护的重点,在满足等保合规的基础上,针对关键信息基础设施加强防护,补充“实战化”的网络安全防御建设需求。合规基础保护层是安全工作的底线,针对关键信息基础设施和重要业务系统加强防控手段,对供应链安全防护及数据安全防护进行补充部署;实战强化保护层注重安全运营,重点提升情报、监测、分析精准度和响应处置的效率;指挥协同保护层聚焦多场景、多角色、多视角下的联合协同,实现一体化指挥。
一是合规基础保护。围绕等级保护、数据安全、密码保护、商业秘密保护、个人信息保护等安全相关要求,开展基础保护建设工作,逐步积淀形成以合规为主的安全管理体系和安全技术体系。在加强供应链安全方面,制定供应链管理制度、完善供应链管理机制、梳理供应链的动态清晰底账;在安全技术方面,落实准入验证(包括销售许可、厂商能力、版本型号等);在安全审查方面,包括安全检测、风险测评、源代码安全审计等;在资产管理方面,动态监测资产的底数清晰程度、风险隐患、稳定性和可靠性等,并进行持续改进,形成有效闭环。
二是实战强化保护。融入关基保护的“分析识别、安全防护、检测评估、监测预警、主动防御、事件处置”六个方面的要求,关注网络资产管理、数据安全和安全运营。围绕被保护对象,建立网络资产库,形成完整的资产安全运营机制流程,实现资产动态与静态、历史与实时的变更,满足“资产底账清晰化、资产管理动态化”的目标。特别要明晰保护对象不再局限于传统的单个信息系统、云计算、工业控制系统、物联网等,而是需要从业务保护维度入手,厘清网络资产关系,建立网络资产底账画像,并形成资产多维关联,展现资产动态全景。构建以数据保护为核心的能力体系,明晰数据价值阶段、定义数据管理角色、厘清数据管理和安全管理分工、绘制数据流程场景及数据画像,并根据数据安全需求补充相应的安全能力。已部署终端数据防泄漏技术,在北七家朝阳门进行网络数据防泄漏技术试点,补充了数据加密、标签等技术手段。同时,建立了网络安全运营中心,强化“监测、响应、预测、防御”的动态自动化闭环运转以及安全智能化分析能力,实现快速精准的一体化闭环智能对抗,缩减响应时间,降低损失。建立全方位监测能力,覆盖业务系统的各个层面;建立平战结合、多角色联动的快速持续响应能力,明确关键角色和应急响应流程及闭环管理;开展精准研判预测,提升动态纵深防御能力。
三是指挥协同保护。建立集团内部、监管部门和行业单位之间的信息共享与指挥协同机制,实现安全场景化。建立信息共享机制,确保安全事件、漏洞信息、情报信息和最佳实践等能够及时有效传递给各方。建立协同指挥机制,聚焦资源协同、能力协同、应急协同和安全生态协同等方面,实现组织内部和监管部门之间的统一指挥协同和动态联动。
(四)“一个基础底座”:支撑网络安全“数字化”
网络安全保障是集团公司数字化转型发展的重要组成部分,同时作为基础业务的网络安全工作也需要实现“数字化”。中国海油持续探索具有海油特色的网络安全运营中心建设思路,并围绕夯实基础、融合体系、突出重点等方面,自 2019 年以来,逐步建设业务化、实战化、智能化的 SOC 平台,以应对各类安全挑战,解决安全运营工作遇到的困难与问题,确保中国海油关键信息基础设施及重点保护对象持续、稳定和安全运行。
SOC 平台是网络安全保障体系的技术基础,是汇集各种安全日志和网络资产数据的“安全大数据池”。按照中国海油集团级网络安全保障体系框架,以网络资产库、风险库和能力库为基础,实现技术、管理和运营的一体化落地,通过“监测、响应、预测、防御”的一体化指挥,持续推进 SOC 的建设,并以 SOC 为核心开展日常安全运营工作,实现集团动态、全量的网络资产底账管理,并与业务、数据、管理和风险等多个维度进行关联分析,实现数字化资产和风险动态全景的可视化、可管和可控。基于全集团清晰可视的资产,完善全维度全域监测能力、快速持续响应能力、精准研判预测能力、动态纵深防御能力和一体化智能分析能力,实现安全风险的“全面查看、准确分析、快速处置和及时管理”的目标。
SOC 平台推动管理层面组织、流程、考核的体系化和自动化。通过情报中心、监测中心、响应处置中心和防御中心等部门,利用自动化编排和智能分析等技术,建立分析、通报、决策、信息共享和指挥协同的运行机制,将安全运营工作从传统的信息部门负主要责任转变为网络安全工作由全集团各部门、各业务共同经营的有序模式,使中国海油的网络安全运营机制发生了重要变化。这种变化是解决企业在数字化转型中面临的网络安全管理难题的有效手段。
三、开展常态化网络安全运营,应对关基安全考验
以“安全运营”持续管控关基的安全风险。通过持续的安全运营,将管理制度、业务流程和人员能力有机结合,发挥各要素最大效益。网络安全运营中心通过构建运营体系,深度融合与运用现有的安全技术,并落实安全管理要求。通过 SOC 平台实现安全运营工作的自动化,按照既定的机制和流程开展业务识别、资产识别、风险识别、监测预警、应急处置、合规管理、一体化对抗等安全工作。同时,设立风险评估、培训演练、重保支持、安全检查等安全专项任务,实现安全运营任务的线上化和安全运营工作的平台化。建设面向关键信息基础设施的保护能力,构建全面覆盖、深度融合的安全运营体系,确保工作有章可循、流程清晰高效,并形成规定动作的“条件反射”。
中国海油的网络安全保障体系是集团公司实现“以人为本、以数据为核心、以先进技术为支撑”的安全能力的着力点。该安全体系积极探索了中国海油管理模式的现代化、数字化和智能化发展。通过建立平战结合的网络安全综合防护体系,实现了网络资产的梳理、攻击与风险感知、威胁情报感知、安全事件告警与通报等能力,为中国海油的数字化转型提供了基础保障。随着 SOC 平台的建立和专业安全运营团队的成立,在日常工作与网络实战对抗中,不断积累安全数据、管理数据、行为数据和业务数据等各类数据,夯实了安全运营的数字化基础。通过知识与数据的积累,优化了网络安全运营流程和评估模型,并实现了部分场景下的自动化阻断,提高了事件处置效率、减少了人工成本。目前,日均抵御攻击告警 3 千余次,分析排查高风险问题 10 余起,以及抵御钓鱼邮件日均 2500 余封。同时,进行了漏洞发现及整改工作,已完成了 1 万余个不同层面的漏洞整改。圆满完成了建党 100 周年、冬奥会、冬残奥会、两会、二十大等国家重要时期的网络安全保障任务,确保了网络与信息系统的平稳运行,未发生重大网络安全事件,展现了央企在重大事件中的责任担当。
四、结 语
中国海油在国家关键信息基础设施保护的标准文件指引下,聚焦数字化转型中的新技术和新应用,探索网络安全业务化的新思路,逐步实现数字化业务与网络安全建设的同步发展,为业务发展保驾护航。通过“人才+平台”的安全运营,有效协同管理和技术,实现集团网络安全保障体系的纵向贯穿、横向打通和持续运营,打造平战结合的中国海油网络安全保障体系,使中国海油的网络安全运营机制发生了重要变化,并持续打造中国海油的数字化安全中枢。
(本文刊登于《中国信息安全》杂志2023年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。