冷煒鑭?楊新成?張果

摘要：在“兩化融合”與“互聯(lián)網(wǎng)+”的過程中，一方面互聯(lián)網(wǎng)企業(yè)如雨后春筍般大量冒出，另一方面?zhèn)鹘y(tǒng)能源企業(yè)在整個行業(yè)環(huán)境倒逼的趨勢下進行數(shù)字化轉型。以上這些因素的不斷推進，使得企業(yè)的信息安全意識持續(xù)增強，對信息安全建設的需求越來越多?；ヂ?lián)網(wǎng)企業(yè)開始設立CISO（首席信息安全官，或稱為IT安全主管）。傳統(tǒng)能源企業(yè)也開始推行黨委黨組網(wǎng)絡安全責任制，組建信息安全運營團隊參與到公司數(shù)字化運營當中。從自身在信息安全領域近10年來的工作中，抽絲剝繭，透過現(xiàn)象洞察本質，將互聯(lián)網(wǎng)企業(yè)與傳統(tǒng)能源行業(yè)的信息安全工作業(yè)務域進行分析對標，去其糟粕取其精華進行融會貫通，形成了一套在傳統(tǒng)能源行業(yè)能夠落地并行之有效的信息安全運營管理工作最佳實踐思考。

關鍵詞：信息安全；運營管理；網(wǎng)絡安全

一、企業(yè)信息安全工作領域

企業(yè)信息安全大致涵蓋如下7個領域。

1.網(wǎng)絡安全：最基礎但又是核心的部分。以計算機（桌面PC、服務器、小型機、BYOD等）和網(wǎng)絡主體的網(wǎng)絡安全。包括網(wǎng)絡準入控制、安全域劃分、桌面安全、防火墻和入侵檢測設備接入、漏洞感知、補丁修復、ACL安全策略配置等。基礎網(wǎng)絡安全側重于運維，是企業(yè)安全團隊必須要覆蓋的工作 [1]。

2.應用交付安全：應用是企業(yè)數(shù)字化轉型的最小實踐單位，是支撐企業(yè)主營業(yè)務的主體，能源企業(yè)辦公、生產(chǎn)、經(jīng)營應用多數(shù)為外部協(xié)作單位開發(fā)，少量為內部支持單位開發(fā)。如何保障應用交付安全是關鍵核心。

3.平臺與業(yè)務安全：跟所在行業(yè)與主營業(yè)務相關的安全管理，例如垃圾注冊、撞庫攻擊、盜號洗號、驗證碼安全、信息重放、找密/改密安全等。業(yè)務安全主要關注主營業(yè)務相關的流程安全。此領域互聯(lián)網(wǎng)公司尤為關注[2]。

4.廣義的信息安全：以互聯(lián)網(wǎng)技術（IT）為核心，由廣義上的信息、信息載體和信息技術構成的大安全體系。

5.IT合規(guī)管理（IT內控和審計）：IT合規(guī)性管理作用是幫助企業(yè)滿足各種IT準則的需求，從合規(guī)性準則要求出發(fā)，對企業(yè)合規(guī)工作進行管理，以保證企業(yè)內部制度與外部標準的相符合[3]。

6.業(yè)務持續(xù)性管理（BCM）：相比于廣義的信息安全和IT綜合管理這樣的管理體系領域，業(yè)務連續(xù)性管理更傾向于實際操作，是一項綜合管理流程，其目的是防范信息安全入侵事件導致企業(yè)不得不暫停甚至關閉核心業(yè)務[4]。

7.企業(yè)安全信譽維護：身為企業(yè)的CISO，除了實質性的信息安全管理和技術事務，還必須處理一些務虛的事務。例如為了企業(yè)的安全形象出席一些市場宣介和演示活動，目的是維護企業(yè)的安全信譽。

二、傳統(tǒng)能源企業(yè)和互聯(lián)網(wǎng)企業(yè)信息安全運營工作的區(qū)別

企業(yè)信息安全到底是什么或者企業(yè)信息安全到底要做哪些工作？對互聯(lián)網(wǎng)甲方公司、傳統(tǒng)甲方公司、傳統(tǒng)乙方安全公司、新興乙方安全公司、移動安全公司來說，都有不同的詮釋。傳統(tǒng)能源企業(yè)和互聯(lián)網(wǎng)企業(yè)在信息安全建設中存在明顯差異[5]?；ヂ?lián)網(wǎng)企業(yè)注重技術，“三分管理，七分技術”，注重業(yè)務技術更替和企業(yè)信息安全信譽，信息安全工作領域側重于網(wǎng)絡安全領域、應用交付安全領域、業(yè)務安全領域、業(yè)務持續(xù)性管理領域和企業(yè)安全信譽維護領域。傳統(tǒng)能源企業(yè)偏重管理，“三分技術，七分管理”，注重信息安全合規(guī)性和網(wǎng)絡資產(chǎn)管理，信息安全工作領域側重于網(wǎng)絡安全領域、應用交付安全領域、廣義的信息安全領域和IT合規(guī)管理領域。工作領域側重點的不同，使傳統(tǒng)能源企業(yè)在信息安全運營中更注重制度、規(guī)范、流程等管理手段建設。相應地，技術能力也就成為了傳統(tǒng)能源企業(yè)信息安全運營中的短板[6]。

三、傳統(tǒng)能源企業(yè)信息安全運營管理工作的最佳實踐

“十四五”規(guī)劃明確“加快數(shù)字化發(fā)展”在“加快發(fā)展現(xiàn)代化產(chǎn)業(yè)體系、推動經(jīng)濟體系優(yōu)化”目標中作為重要指導方針。數(shù)字化轉型對傳統(tǒng)能源企業(yè)不再是企業(yè)發(fā)展的可選方向，而是關乎企業(yè)存亡的需要突破的重大課題。信息安全運營工作作為數(shù)字化轉型的前提基礎和堅實保障，無論是從國家層面還是從企業(yè)層面信息安全運營工作的重要性都是不言而喻的。

在了解了信息安全對于“數(shù)字化轉型”的重要性后，信息安全如何開展就擺在了傳統(tǒng)能源企業(yè)信息安全負責人的面前，在這里首選要說明一個常識性問題，當業(yè)務面臨一個領域問題不知如何下手的時候，去對標這個領域問題的最佳實踐是能夠快速達到目的的一個方法。在信息安全領域中的最佳實踐恰恰集中在互聯(lián)網(wǎng)企業(yè)。造成這一現(xiàn)象的原因一方面是互聯(lián)網(wǎng)企業(yè)自身對信息安全是剛性需求，急需通過信息安全手段到達穩(wěn)固自身業(yè)務的目的；另一方面互聯(lián)網(wǎng)企業(yè)具有雄厚的技術實力去解決現(xiàn)有的信息安全問題。通過筆者這幾年的對標，結合傳統(tǒng)能源行業(yè)的自生特點，形成了一套傳統(tǒng)能源企業(yè)中信息安全運營工作的最佳實踐，該運營工作的最佳實踐分為：管理體系運營、團隊運營、IT資產(chǎn)運營、合規(guī)性運營、事件運營和常態(tài)化攻防。

管理體系運營：從企業(yè)信息安全管理出發(fā)，制定信息安全管理辦法、信息安全考核細則或指標、安全基線、應急預案等制度、規(guī)范和流程，從而形成包括管理目標、管理方法、執(zhí)行標準和執(zhí)行流程的完整的信息安全管理體系。管理體系運營是一個隨著企業(yè)發(fā)展和業(yè)務擴張而逐漸完善的過程，而不是一上來就要用一個大而全的安全體系，傳統(tǒng)能源企業(yè)管理體系運營要切實考慮自身情況，量體裁衣，先建立一套適用的、易落地的管理體系，保證企業(yè)信息安全管理體系有序發(fā)展，防止在管理措施實施時阻礙業(yè)務發(fā)展和引起抵觸情緒。

團隊運營：從企業(yè)信息安全業(yè)務需求和發(fā)展需求出發(fā)，建立信息安全團隊，配備信息安全工具。人員管理、人才培養(yǎng)、工具維護、知識庫維護，都屬于企業(yè)信息安全團隊運營范疇，根據(jù)信息安全需求，配備信息安全人員和工具，將常態(tài)化運營和實戰(zhàn)化經(jīng)驗相結合，將團隊運營過程中的安全方法論、安全體系、安全分析規(guī)則、安全腳背等沉淀下來，轉化為可傳承、共享的知識，通過不斷地流動與迭代加以完善，為企業(yè)培養(yǎng)高精尖信息安全人才和總結信息安全最佳實踐，從而更好的賦能各個業(yè)務部門甚至整個行業(yè)。

IT資產(chǎn)運營：從IT資產(chǎn)出發(fā)，開展多維度全方位的資產(chǎn)梳理工作，實現(xiàn)IT資產(chǎn)價值管理和精細化管理，通過明確IT資產(chǎn)的重要性（包括終端、服務器、業(yè)務系統(tǒng)等），并針對IT資產(chǎn)的不同維度進行可視化展示和維護（包括設備類型、IP、端口、組件、組件版本、部署位置等），提取IT資產(chǎn)隱患信息（包括反向代理、掃描器、未報備應用、弱口令、高危漏洞等），動態(tài)分析關鍵信息系統(tǒng)潛在風險（包括VPN系統(tǒng)、OA辦公系統(tǒng)、ERP系統(tǒng)、郵件系統(tǒng)、堡壘機等）。

合規(guī)性運營：從信息安全監(jiān)管合規(guī)性出發(fā)，完善企業(yè)信息安全管理體系，開展信息系統(tǒng)網(wǎng)絡安全等級保護等相關工作，使得企業(yè)信息安全運營情況滿足國家和上級單位信息安全監(jiān)管合規(guī)性要求。

事件運營：從網(wǎng)絡事件和流量出發(fā)，一是全面建立企業(yè)信息安全態(tài)勢“可視、可管、可控”機制，設立信息安全態(tài)勢監(jiān)控分析崗，根據(jù)漏洞庫、病毒庫和日志告警信息，通過規(guī)則匹配、語義分析、流量分析、關聯(lián)分析等技術手段，快速識別企業(yè)信息安全風險；二是建立信息安全事件通報處置機制，設立信息安全事件通報處置崗，向上受理國家和上級監(jiān)管部門信息安全事件通報，橫向接收信息安全態(tài)勢監(jiān)控分析崗同步的企業(yè)內部信息安全隱患，向下發(fā)送信息安全事件通報預警和配合下屬單位開展信息安全事件處置閉環(huán)工作。

常態(tài)化攻防：從網(wǎng)絡安全攻防出發(fā)，建立常態(tài)化攻防機制，在企業(yè)內部形成紅藍實戰(zhàn)對抗，紅隊不定時間、地點、方法和路徑對企業(yè)網(wǎng)絡和信息資產(chǎn)開展實戰(zhàn)滲透測試；藍隊在不知情的情況下開展日常信息安全態(tài)勢監(jiān)控分析工作。這種常態(tài)化攻防機制在傳統(tǒng)能源企業(yè)中可以說是一勞永逸的，即檢驗了企業(yè)網(wǎng)絡和信息資產(chǎn)脆弱性，又檢驗企業(yè)信息安全態(tài)勢監(jiān)控和事件分析能力。通過常態(tài)化網(wǎng)絡安全攻防，完善企業(yè)信息安全防護體系、優(yōu)化信息安全團隊工作機制、鍛煉信息安全團隊實戰(zhàn)水平，使企業(yè)在應對大型網(wǎng)絡攻防演練、重大活動保障和真實網(wǎng)絡攻擊時游刃有余。

四、傳統(tǒng)能源企業(yè)中信息安全運營管理工作的實踐思考

（一）從形式上重視安全轉變?yōu)楸举|上重視安全

隨著《國家網(wǎng)絡空間安全戰(zhàn)略》的發(fā)布與實施，網(wǎng)絡空間主權已經(jīng)成為除領土、領海、領空之外的國家第四空間主權。傳統(tǒng)能源企業(yè)相對于金融、電力和互聯(lián)網(wǎng)企業(yè)，信息安全起步較晚、投入較少、意識滯后，多數(shù)企業(yè)還處于信息安全縱深防御建立階段，少數(shù)企業(yè)因為合規(guī)性需求等客觀原因，完成了信息安全防護體系建設，但由于企業(yè)本身對信息安全不重視，也只解決了信息安全防護手段有無的問題，采購了大量信息安全防護產(chǎn)品，只完成了上架實施，信息安全防護策略未配置，信息安全防護日志無人審計，導致信息安全防護手段形同虛設。

企業(yè)信息安全建設是重大戰(zhàn)略問題，是典型的“一把手”工程。傳統(tǒng)能源企業(yè)只有打破傳統(tǒng)運營理念，充分理解信息安全對加快數(shù)字化轉型的重大意義，由管理層從戰(zhàn)略視角對信息安全進行統(tǒng)一規(guī)劃運營，“一把手”帶頭建立系統(tǒng)可行的安全防御機制，企業(yè)完成從“要我安全”到“我要安全”的意識轉變，信息安全才能真正從形式上的安全轉變?yōu)楸举|上的安全。

（二）加強專業(yè)信息安全運營團隊培養(yǎng)

由于傳統(tǒng)能源企業(yè)的企業(yè)性質和背景，企業(yè)員工多數(shù)是石油工程、地址工程、地質勘探等能源相關專業(yè)人才，信息安全運營團隊成員也多數(shù)是企業(yè)原有員工，他們要么不懂信息安全，要么才開始學習信息安全，有甚者除了信息安全相關工作外還兼顧著原有業(yè)務和工作，導致企業(yè)信息安全運營團隊專業(yè)能力嚴重不足。

對于傳統(tǒng)能源企業(yè)來說，技術和業(yè)務場景眾多，需要逐步建立信息安全專業(yè)人才招聘選拔培養(yǎng)任用機制，通過信息安全專業(yè)技術技能培訓和考核、網(wǎng)絡攻防大賽、紅藍對抗實戰(zhàn)演練等方式，為企業(yè)選拔、培養(yǎng)一批即懂信息安全技術又懂能源業(yè)務相關技術的復合型人才，實現(xiàn)企業(yè)數(shù)字化轉型和信息安全同步規(guī)劃、同步發(fā)展。

（三）處理好管理和技術的關系

傳統(tǒng)能源企業(yè)信息安全運營過程中管理和技術就像是燈芯與燈油的關系，誰也離不開誰，必須“兩手抓、兩手都要硬”。如果將傳統(tǒng)能源企業(yè)信息安全運營比作一次考試，滿分100分，安全管理占60分，它構成了信息安全運營的骨架，是信息安全運營的基礎和及格線；安全技術占40分，它組成了信息安全運營的血肉，是信息安全運營的提升和加分項?！肮羌堋焙汀把狻饼R全才能算完整的“人”，管理和技術兼?zhèn)洳拍芩阃暾男畔踩\營。

從安全管理的角度來看，安全政策和流程如果沒有技術和自動化手段保障，無法有效落地，拋開技術空談管理，安全政策和流程便失去了可行性。

從安全技術的角度來看，在傳統(tǒng)能源企業(yè)信息安全建設中，技術并不是主要矛盾，技術上的建議如何得到業(yè)務部門的認可、如何獲得規(guī)劃計劃和財務部門的批準，都需要技術人員跳出技術思維，借助管理中的政策和流程來實現(xiàn)。

（四）處理好業(yè)務和安全的關系

安全的根本宗旨是服務業(yè)務，但安全更是業(yè)務的重要屬性，不安全或沒有考慮安全的業(yè)務就像是不合格的產(chǎn)品，是各級監(jiān)管部門通報的對象，是攻擊者的首選目標，是企業(yè)數(shù)字化轉型智能化發(fā)展的絆腳石。筆者通過長期傳統(tǒng)能源企業(yè)信息安全運營管理經(jīng)驗，總結出了處理業(yè)務和安全關系的最佳實踐：“安全賦能業(yè)務”。

但在實際操作中不能為了安全而安全。安全本質上是一項服務，安全服務是安全團隊提供給用戶和業(yè)務的一種服務類別，安全方案和安全要求不能只考慮安全需求，將業(yè)務功能和發(fā)展需求排除在外。還需衡量信息安全投資的價值，既投資回報率，任何企業(yè)針對網(wǎng)絡攻擊防范的目標都是以最低成本實現(xiàn)最佳保護。如何將信息安全支出轉化為最大投資回報？如何確保選擇的解決方案可以提供最佳保護？雖然沒有通用性的答案，但是，根據(jù)自身企業(yè)實際情況，建立一個正確的信息安全投資模型顯然會大大降低信息安全風險，同時確保投資得到充分利用。

五、結語

傳統(tǒng)能源企業(yè)的網(wǎng)絡設施和信息系統(tǒng)作為國家關鍵基礎設施，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，將會嚴重危害國家安全、國計民生、公共利益。傳統(tǒng)能源企業(yè)信息安全不再是信息化管理部門的任務，而是數(shù)字化時代對于整個企業(yè)提出的新的要求。傳統(tǒng)能源企業(yè)信息安全運營工作也不僅僅局限于數(shù)據(jù)、數(shù)據(jù)載體和信息安全技術本身，更是整個企業(yè)數(shù)字化轉型的前提基礎和堅實保障。做好傳統(tǒng)能源企業(yè)信息安全運營工作，就是為企業(yè)謀生存，為國家謀安全。

參考文獻

[1]趙彥，江虎，胡乾威.互聯(lián)網(wǎng)企業(yè)安全高級指南[M].北京：機械工業(yè)出版社，2016：5-11.

[2]聶君，李燕，何楊軍.企業(yè)安全建設指南金融行業(yè)安全架構與技術實踐[M].北京：機械工業(yè)出版社，2019：4-5.

[3]萬小博.數(shù)字化轉型背景下企業(yè)網(wǎng)絡信息安全體系建設思考[J].中國新通信，2022，24（10）：110-112+218.

[4]曹雅麗.共話網(wǎng)絡安全 為企業(yè)數(shù)字化轉型保駕護航[N].中國工業(yè)報，2021-08-03（003）.

[5]張格，張妍，劉志堯.我國工業(yè)企業(yè)數(shù)字化轉型中網(wǎng)絡安全保障能力建設思路與實踐路徑[J]工業(yè)信息安全，2022，（05）：43-47.

[6]董祎鋮.基于安全運營建設，促進安全治理工作[J].中國信息安全.2019（08）：52-55.

作者單位：川慶鉆探工程公司鉆采工程技術研究院