傳統能源企業中的信息安全運營管理工作最佳實踐思考

冷煒鑭?楊新成?張果

摘要：在“兩化融合”與“互聯網+”的過程中，一方面互聯網企業如雨后春筍般大量冒出，另一方面傳統能源企業在整個行業環境倒逼的趨勢下進行數字化轉型。以上這些因素的不斷推進，使得企業的信息安全意識持續增強，對信息安全建設的需求越來越多?；ヂ摼W企業開始設立CISO（首席信息安全官，或稱為IT安全主管）。傳統能源企業也開始推行黨委黨組網絡安全責任制，組建信息安全運營團隊參與到公司數字化運營當中。從自身在信息安全領域近10年來的工作中，抽絲剝繭，透過現象洞察本質，將互聯網企業與傳統能源行業的信息安全工作業務域進行分析對標，去其糟粕取其精華進行融會貫通，形成了一套在傳統能源行業能夠落地并行之有效的信息安全運營管理工作最佳實踐思考。

關鍵詞：信息安全；運營管理；網絡安全

一、企業信息安全工作領域

企業信息安全大致涵蓋如下7個領域。

1.網絡安全：最基礎但又是核心的部分。以計算機（桌面PC、服務器、小型機、BYOD等）和網絡主體的網絡安全。包括網絡準入控制、安全域劃分、桌面安全、防火墻和入侵檢測設備接入、漏洞感知、補丁修復、ACL安全策略配置等?；A網絡安全側重于運維，是企業安全團隊必須要覆蓋的工作 [1]。

2.應用交付安全：應用是企業數字化轉型的最小實踐單位，是支撐企業主營業務的主體，能源企業辦公、生產、經營應用多數為外部協作單位開發，少量為內部支持單位開發。如何保障應用交付安全是關鍵核心。

3.平臺與業務安全：跟所在行業與主營業務相關的安全管理，例如垃圾注冊、撞庫攻擊、盜號洗號、驗證碼安全、信息重放、找密/改密安全等。業務安全主要關注主營業務相關的流程安全。此領域互聯網公司尤為關注[2]。

4.廣義的信息安全：以互聯網技術（IT）為核心，由廣義上的信息、信息載體和信息技術構成的大安全體系。

5.IT合規管理（IT內控和審計）：IT合規性管理作用是幫助企業滿足各種IT準則的需求，從合規性準則要求出發，對企業合規工作進行管理，以保證企業內部制度與外部標準的相符合[3]。

6.業務持續性管理（BCM）：相比于廣義的信息安全和IT綜合管理這樣的管理體系領域，業務連續性管理更傾向于實際操作，是一項綜合管理流程，其目的是防范信息安全入侵事件導致企業不得不暫停甚至關閉核心業務[4]。

7.企業安全信譽維護：身為企業的CISO，除了實質性的信息安全管理和技術事務，還必須處理一些務虛的事務。例如為了企業的安全形象出席一些市場宣介和演示活動，目的是維護企業的安全信譽。

二、傳統能源企業和互聯網企業信息安全運營工作的區別

企業信息安全到底是什么或者企業信息安全到底要做哪些工作？對互聯網甲方公司、傳統甲方公司、傳統乙方安全公司、新興乙方安全公司、移動安全公司來說，都有不同的詮釋。傳統能源企業和互聯網企業在信息安全建設中存在明顯差異[5]?；ヂ摼W企業注重技術，“三分管理，七分技術”，注重業務技術更替和企業信息安全信譽，信息安全工作領域側重于網絡安全領域、應用交付安全領域、業務安全領域、業務持續性管理領域和企業安全信譽維護領域。傳統能源企業偏重管理，“三分技術，七分管理”，注重信息安全合規性和網絡資產管理，信息安全工作領域側重于網絡安全領域、應用交付安全領域、廣義的信息安全領域和IT合規管理領域。工作領域側重點的不同，使傳統能源企業在信息安全運營中更注重制度、規范、流程等管理手段建設。相應地，技術能力也就成為了傳統能源企業信息安全運營中的短板[6]。

三、傳統能源企業信息安全運營管理工作的最佳實踐

“十四五”規劃明確“加快數字化發展”在“加快發展現代化產業體系、推動經濟體系優化”目標中作為重要指導方針。數字化轉型對傳統能源企業不再是企業發展的可選方向，而是關乎企業存亡的需要突破的重大課題。信息安全運營工作作為數字化轉型的前提基礎和堅實保障，無論是從國家層面還是從企業層面信息安全運營工作的重要性都是不言而喻的。

在了解了信息安全對于“數字化轉型”的重要性后，信息安全如何開展就擺在了傳統能源企業信息安全負責人的面前，在這里首選要說明一個常識性問題，當業務面臨一個領域問題不知如何下手的時候，去對標這個領域問題的最佳實踐是能夠快速達到目的的一個方法。在信息安全領域中的最佳實踐恰恰集中在互聯網企業。造成這一現象的原因一方面是互聯網企業自身對信息安全是剛性需求，急需通過信息安全手段到達穩固自身業務的目的；另一方面互聯網企業具有雄厚的技術實力去解決現有的信息安全問題。通過筆者這幾年的對標，結合傳統能源行業的自生特點，形成了一套傳統能源企業中信息安全運營工作的最佳實踐，該運營工作的最佳實踐分為：管理體系運營、團隊運營、IT資產運營、合規性運營、事件運營和常態化攻防。

管理體系運營：從企業信息安全管理出發，制定信息安全管理辦法、信息安全考核細則或指標、安全基線、應急預案等制度、規范和流程，從而形成包括管理目標、管理方法、執行標準和執行流程的完整的信息安全管理體系。管理體系運營是一個隨著企業發展和業務擴張而逐漸完善的過程，而不是一上來就要用一個大而全的安全體系，傳統能源企業管理體系運營要切實考慮自身情況，量體裁衣，先建立一套適用的、易落地的管理體系，保證企業信息安全管理體系有序發展，防止在管理措施實施時阻礙業務發展和引起抵觸情緒。

團隊運營：從企業信息安全業務需求和發展需求出發，建立信息安全團隊，配備信息安全工具。人員管理、人才培養、工具維護、知識庫維護，都屬于企業信息安全團隊運營范疇，根據信息安全需求，配備信息安全人員和工具，將常態化運營和實戰化經驗相結合，將團隊運營過程中的安全方法論、安全體系、安全分析規則、安全腳背等沉淀下來，轉化為可傳承、共享的知識，通過不斷地流動與迭代加以完善，為企業培養高精尖信息安全人才和總結信息安全最佳實踐，從而更好的賦能各個業務部門甚至整個行業。

IT資產運營：從IT資產出發，開展多維度全方位的資產梳理工作，實現IT資產價值管理和精細化管理，通過明確IT資產的重要性（包括終端、服務器、業務系統等），并針對IT資產的不同維度進行可視化展示和維護（包括設備類型、IP、端口、組件、組件版本、部署位置等），提取IT資產隱患信息（包括反向代理、掃描器、未報備應用、弱口令、高危漏洞等），動態分析關鍵信息系統潛在風險（包括VPN系統、OA辦公系統、ERP系統、郵件系統、堡壘機等）。

合規性運營：從信息安全監管合規性出發，完善企業信息安全管理體系，開展信息系統網絡安全等級保護等相關工作，使得企業信息安全運營情況滿足國家和上級單位信息安全監管合規性要求。

事件運營：從網絡事件和流量出發，一是全面建立企業信息安全態勢“可視、可管、可控”機制，設立信息安全態勢監控分析崗，根據漏洞庫、病毒庫和日志告警信息，通過規則匹配、語義分析、流量分析、關聯分析等技術手段，快速識別企業信息安全風險；二是建立信息安全事件通報處置機制，設立信息安全事件通報處置崗，向上受理國家和上級監管部門信息安全事件通報，橫向接收信息安全態勢監控分析崗同步的企業內部信息安全隱患，向下發送信息安全事件通報預警和配合下屬單位開展信息安全事件處置閉環工作。

常態化攻防：從網絡安全攻防出發，建立常態化攻防機制，在企業內部形成紅藍實戰對抗，紅隊不定時間、地點、方法和路徑對企業網絡和信息資產開展實戰滲透測試；藍隊在不知情的情況下開展日常信息安全態勢監控分析工作。這種常態化攻防機制在傳統能源企業中可以說是一勞永逸的，即檢驗了企業網絡和信息資產脆弱性，又檢驗企業信息安全態勢監控和事件分析能力。通過常態化網絡安全攻防，完善企業信息安全防護體系、優化信息安全團隊工作機制、鍛煉信息安全團隊實戰水平，使企業在應對大型網絡攻防演練、重大活動保障和真實網絡攻擊時游刃有余。

四、傳統能源企業中信息安全運營管理工作的實踐思考

（一）從形式上重視安全轉變為本質上重視安全

隨著《國家網絡空間安全戰略》的發布與實施，網絡空間主權已經成為除領土、領海、領空之外的國家第四空間主權。傳統能源企業相對于金融、電力和互聯網企業，信息安全起步較晚、投入較少、意識滯后，多數企業還處于信息安全縱深防御建立階段，少數企業因為合規性需求等客觀原因，完成了信息安全防護體系建設，但由于企業本身對信息安全不重視，也只解決了信息安全防護手段有無的問題，采購了大量信息安全防護產品，只完成了上架實施，信息安全防護策略未配置，信息安全防護日志無人審計，導致信息安全防護手段形同虛設。

企業信息安全建設是重大戰略問題，是典型的“一把手”工程。傳統能源企業只有打破傳統運營理念，充分理解信息安全對加快數字化轉型的重大意義，由管理層從戰略視角對信息安全進行統一規劃運營，“一把手”帶頭建立系統可行的安全防御機制，企業完成從“要我安全”到“我要安全”的意識轉變，信息安全才能真正從形式上的安全轉變為本質上的安全。

（二）加強專業信息安全運營團隊培養

由于傳統能源企業的企業性質和背景，企業員工多數是石油工程、地址工程、地質勘探等能源相關專業人才，信息安全運營團隊成員也多數是企業原有員工，他們要么不懂信息安全，要么才開始學習信息安全，有甚者除了信息安全相關工作外還兼顧著原有業務和工作，導致企業信息安全運營團隊專業能力嚴重不足。

對于傳統能源企業來說，技術和業務場景眾多，需要逐步建立信息安全專業人才招聘選拔培養任用機制，通過信息安全專業技術技能培訓和考核、網絡攻防大賽、紅藍對抗實戰演練等方式，為企業選拔、培養一批即懂信息安全技術又懂能源業務相關技術的復合型人才，實現企業數字化轉型和信息安全同步規劃、同步發展。

（三）處理好管理和技術的關系

傳統能源企業信息安全運營過程中管理和技術就像是燈芯與燈油的關系，誰也離不開誰，必須“兩手抓、兩手都要硬”。如果將傳統能源企業信息安全運營比作一次考試，滿分100分，安全管理占60分，它構成了信息安全運營的骨架，是信息安全運營的基礎和及格線；安全技術占40分，它組成了信息安全運營的血肉，是信息安全運營的提升和加分項?！肮羌堋焙汀把狻饼R全才能算完整的“人”，管理和技術兼備才能算完整的信息安全運營。

從安全管理的角度來看，安全政策和流程如果沒有技術和自動化手段保障，無法有效落地，拋開技術空談管理，安全政策和流程便失去了可行性。

從安全技術的角度來看，在傳統能源企業信息安全建設中，技術并不是主要矛盾，技術上的建議如何得到業務部門的認可、如何獲得規劃計劃和財務部門的批準，都需要技術人員跳出技術思維，借助管理中的政策和流程來實現。

（四）處理好業務和安全的關系

安全的根本宗旨是服務業務，但安全更是業務的重要屬性，不安全或沒有考慮安全的業務就像是不合格的產品，是各級監管部門通報的對象，是攻擊者的首選目標，是企業數字化轉型智能化發展的絆腳石。筆者通過長期傳統能源企業信息安全運營管理經驗，總結出了處理業務和安全關系的最佳實踐：“安全賦能業務”。

但在實際操作中不能為了安全而安全。安全本質上是一項服務，安全服務是安全團隊提供給用戶和業務的一種服務類別，安全方案和安全要求不能只考慮安全需求，將業務功能和發展需求排除在外。還需衡量信息安全投資的價值，既投資回報率，任何企業針對網絡攻擊防范的目標都是以最低成本實現最佳保護。如何將信息安全支出轉化為最大投資回報？如何確保選擇的解決方案可以提供最佳保護？雖然沒有通用性的答案，但是，根據自身企業實際情況，建立一個正確的信息安全投資模型顯然會大大降低信息安全風險，同時確保投資得到充分利用。

五、結語

傳統能源企業的網絡設施和信息系統作為國家關鍵基礎設施，一旦遭到破壞、喪失功能或者數據泄露，將會嚴重危害國家安全、國計民生、公共利益。傳統能源企業信息安全不再是信息化管理部門的任務，而是數字化時代對于整個企業提出的新的要求。傳統能源企業信息安全運營工作也不僅僅局限于數據、數據載體和信息安全技術本身，更是整個企業數字化轉型的前提基礎和堅實保障。做好傳統能源企業信息安全運營工作，就是為企業謀生存，為國家謀安全。

參考文獻

[1]趙彥，江虎，胡乾威.互聯網企業安全高級指南[M].北京：機械工業出版社，2016：5-11.

[2]聶君，李燕，何楊軍.企業安全建設指南金融行業安全架構與技術實踐[M].北京：機械工業出版社，2019：4-5.

[3]萬小博.數字化轉型背景下企業網絡信息安全體系建設思考[J].中國新通信，2022，24（10）：110-112+218.

[4]曹雅麗.共話網絡安全 為企業數字化轉型保駕護航[N].中國工業報，2021-08-03（003）.

[5]張格，張妍，劉志堯.我國工業企業數字化轉型中網絡安全保障能力建設思路與實踐路徑[J]工業信息安全，2022，（05）：43-47.

[6]董祎鋮.基于安全運營建設，促進安全治理工作[J].中國信息安全.2019（08）：52-55.

作者單位：川慶鉆探工程公司鉆采工程技術研究院