文 ‖ 杨 琰
安徽石油连续两年荣获集团网络安全水平评价A 级企业称号。
随着企业数字化、信息化的加速升级,数字经济战略成为国家“十四五”规划和2035 年远景目标。以人工智能、大数据、5G、物联网、区块链等为代表的数字技术全面渗透,为成品油销售企业业务发展和运营管理提供技术支撑。
中国石化安徽石油不断夯实网络安全基础,构建全方位,多层次、快速有效的网络安全防护体系,以应对网络安全威胁,确保重要设施、经营管理系统安全、稳定和可靠运行。2022、2023 年,公司连续两年荣获中国石化集团公司网络安全水平评价A 级企业称号。
●安徽石油开展常态化网络安全防控,站在攻击者视角全盘审视漏洞。 供图/安徽石油
安徽石油在总部网络安全管理制度体系的基础上,修订完善网络安全管理制、网络安全操作规范、网络接入流程,落实网络安全相关岗位授权机制,明确工作职责,确保网络安全工作有章可循。
一是修订了设备管理维护制度、软件维护制度、密钥管理制度、用户管理制度、计算机终端安全管理制度,以及重要系统和业务的安全操作规范及细则。制定信息安全岗位说明书,明确工作职责、权限和范围。
二是修订机房安全管理制度、机房门禁管理制度、机房操作管理、机房安全巡检制度,完善机房人员出入、设备出入和巡检表,增加节假日、重保期间安全大检查,实行7×24 小时值班制度,及时处理突发情况,保障运行安全。
三是落实项目建设安全审查规范。对于新建系统,安徽石油严格执行项目安全审查和验收规范,系统上线前按照网络安全保护等级进行上线前安全技术检测。系统验收按照验收规范,开展系统安全检测工作,对第三级及以上系统委托有资质的网络安全测评机构开展等级测评和密码应用安全性评估。
一是建立全面完整信息资产台账。安徽石油开展信息资产梳理工作,摸清所有信息资产,并动态及时更新信息。建立企业信息资产台账和网络安全问题清单。根据清单定期进行安全自查,发现隐患及时整改,把风险扼杀在摇篮里,避免更大的网络安全事件发生。
二是强化互联网统一出口管控。全面推广信息安全防控系统,依托准入控制系统,强化入口管控。突出“网络安全、核心技术、突出设施和重要数据”的安全防护、突出网络预知预警和应急处置能力建设,坚持问题导向,不断提升网络安全事件处置能力,进一步完善“监控、防护、溯源”三位一体的立体化管控体系。
三是加强无线网、远程接入安全管控。做好终端设备网络准入控制策略配置和监管工作,第三方开通VPN 账号对堡垒机、网络及安全设备、操作系统、数据库、应用系统等进行运维,按照实际开通的策略内容执行审批流程。做好加油站无线网络运行、外网实名认证、智能加油机无线路由、广告牌无线控制及站级物联网覆盖等问题梳理,从制度和技术手段上进一步规范,消除基层站库海量终端存在的网络安全风险隐患。
四是加强基础网络及工控安全防护。做好网络出口边界安全防护、工控网与办公网边界安全防护、服务器区与办公区边界安全防护。同时,推进宣城、芜湖、合肥、宿州等油库工控安全建设,优化网闸安全防护策略,实现办公网与工控网的纵向分层和工控业务间的横向分区,解决油库工控网络风险隐患。
安徽石油牢固树立网络安全“实战化、体系化、常态化”理念,组织省市公司信息人员成立网络安全专项工作组,与网络安全头部企业深入合作,引入新技术构建新能力,对网络流量开展常态化监控,实现事前威胁预警、事中威胁监测、事后威胁溯源,提升网络安全的防控能力 。
一是建立网络安全预警与通报机制,针对预警内容及时研判和内部排查、处置,执行“零日报”制度。同时,根据各市公司网络安全月报,总结分析共性问题,制定相应解决方案,对于上级单位下发的网络安全通报联系相关责任人及时处置并反馈。
二是建立网络安全隐患排查机制,建立以识别资产、识别风险、及时整改和闭环控制的常态化隐患治理工作模式。同时,积极发挥企业内部攻防团队力量,建立常态化动态监控机制,站在攻击者视角全盘审视,聚焦重要网络、重要系统和核心数据的突出问题和薄弱环节,开展常态化渗透测试和漏洞挖掘工作。
三是终端系统风险防控。一方面做好用户安全管理。安徽石油注重将应用账号按照权限最小化、权限不相容规则进行授权,在出现人员退休、离职、岗位变动等情况时,达到同步禁用、删除或回收应用账户权限;另一方面针对涉及用户个人信息及资金交易的重要敏感系统,安徽石油重点防护,安装专用防护软件,主动防御风险,对重要数据进行加密存储。
为了客观地评价各市公司网络安全水平,安徽石油建立网络安全考核评价体系,从安全合规、安全监测、安全事故三方面开展常态化信息安全评价。
一是落实责任制,明确各级领导和相关岗位人员在信息安全方面的职责,建立了奖惩机制。二是对考核落后的地市采取结队帮扶、专项指导等方式帮助其分析问题和找出原因,并采取有效措施提高信息安全水平。三是对于发生“未备案或安全防护措施不到位,造成严重后果被公安机关、国家相关部门通报的;重要业务系统敏感信息和关键数据丢失或被窃取、窜改、假冒,对公司生产经营活动构成严重威胁”的等重大信息安全事故采取一票否决制。通过开展网络安全考核评价,安徽石油营造出了信息安全工作比学赶超、取长补短氛围,实现了信息安全水平的持续提高,筑牢网络安全防线。
加强网络安全离不开一支高素质的网络安全人才队伍。安徽石油以基础设施、合规、实战、信创为四大方向,由市公司信息人员组队,分类分区管理,培养网络安全专业团队,充分发挥集体和个人的智慧,提升团队的业务能力、协作能力和创新能力。安徽石油网络安全宣传推文“网络安全与法同行”获得2023 年中国石化网络安全宣传周作品三等奖。2023 年,安徽石油网络安全实战化监控指标评分在全集团排名12,居销售企业第一。