１构建“五位一体”网络安全风险管控机制

１）加强落实网络安全责任制．分级建立网络安全责任制、强化责任担当是各项网络安全工作落实到位的重要保障手段．中国石化明确了各级党委对本单位、本部门网络安全工作负主体责任，明确了信息系统业务主管单位、建设单位、运维单位和使用单位四方责任．只有不断强化各级员工的网络安全责任意识，才能确保网络安全风险防范措施和事件处置效果不打折扣，逐级落地．

２）建立网络安全“三同步”管控机制．随着网络安全责任制的落实，网络安全合规建设以国家颁布的“三法一条例”为基础，在信息化建设中，保证安全技术措施同步规划、同步建设、同步使用．安全验收后的日常运营维护中，应当保持系统处于持续安全防护水平，建立明确清晰的网络安全应急处置机制．以“三同步”为指导思想，在系统生命周期各阶段明确责任部门及安全职责，在全过程中推行安全同步开展，将网络安全等级保护、关基保护、密码保护、数据安全保护和个人信息保护纳入方案设计、项目实施和运营过程，确保安全机制和措施在信息系统建设过程中同步规划、同步执行、同步上线投用，并严把项目立项、项目上线和项目验收３大关口，在满足国家网络安全合规要求的基础上实现风险左移控制，切实提升信息系统全生命周期安全防护水平［１］．

３）建立网络安全考核评价体系．中国石化为了更好地将网络安全工作落实情况纳入到二级单位网络安全考核评价体系，考核结果直接与领导班子绩效考核结果挂钩．根据网络安全整体形势和年度重点任务，每年动态优化考核内容，优化检查方法，及时发现风险隐患并及时整改，提升了安全风险控制能力．２０２１年度网络安全考核评价企业１２５家，其中８６％的单位被评为Ｂ级或以上，并通过信息通报、专项约谈、下发警示函和考核扣分等方式，督促落后企业落实网络安全责任，提升风险防范能力．

４）建立网络安全通报机制．建立集约型的集团企业２级网络安全预警与通报机制．将各二级单位网络安全分管领导、信息管理部门负责人和网络安全主管纳入网络安全通报联络员范围，实行７×２４ｈ联络员管理．同时区分平时和战时，平时按照常态化工作开展，例如漏洞通报、漏洞预警威胁情报等信息，通过常规的通报渠道下发企业，让企业根据通报内容进行快速响应；战时按照特殊情况下工作要求开展，例如重要保障时期、国家网络攻防演习时期等，通过专门的通报渠道下发企业，缩短中间公文流转时间，直接通知企业对问题进行整改，提高工作效率．

５）建立网络安全隐患“清零”机制．以“识别大风险、消除大隐患、杜绝大事故”为工作主线，全面推进网络安全隐患排查治理工作，通过台账化管理，消存量、控增量，持续提升中国石化网络安全管控水平．在前期互联网应用安全专项治理行动基础上，建立以识别资产、识别风险、及时整改和闭环控制的常态化隐患治理工作模式［２］，同时积极发挥企业内部攻防团队力量，站在攻击者视角全盘审视，聚焦重要网络、重要系统和核心数据的突出问题和薄弱环节，开展常态化渗透测试和漏洞挖掘工作，定期开展实战演练，并同时配套有关技术防护系统的建设及部署工作，形成管理＋技术的综合整治模式，通过流程建立风险清理账单，逐步实现网络安全风险隐患“清零”．

２建立“管理＋科技”突发事件应急处置机制

１）强化管理，建立健全应急响应标准流程．安全事件应急处置流程以快速、高效为核心，将安全事件分为３个阶段：一是启动阶段，包括发现威胁、紧急处置、信息流转、处置建议、事件汇总；二是事件处置阶段，开展处置、分析研判、溯源反制、技术交流等工作；三是事件结束阶段，进行结果验证、结果核查、事件归档、问题整改，确保事件风险清零．全集团以通报机制为纽带，实现自上而下的作战单元防护体系，形成情报共享、事件共享、结果共享的联动响应机制．

２）科技强安，建立一体化事件处置平台．“工欲善其事必先利其器”，面对突发事件，建设相对完善的监测防护系统是重中之重．我们通过在９个区域中心部署流量监控系统，使用大数据、威胁情报和ＡＴＴ＆ＣＫ的攻击规则模型，建立了一体化事件监控处置平台．在总部和区域中心互联网边界、数据中心及主干网部署态势感知设备并进行数据集成，实现网络异常流量集中监控，采用ＳＯＡＲ技术集成态势感知与ＳＥＩＭ，对监控到的攻击告警进行深度处理，调用预制剧本，实现了互联网攻击的精准、自动化封禁及自动化解封．

３目前存在的问题

目前网络安全工作在保障数字化转型发展中还存在差距和不足，现有安全体系达不到国家新的监管要求，尤其在数据安全、个人信息保护、关基保护、供应链安全等方面仍存在较多缺失；在这些新业务、新技术面前应该如何建立联防联控机制，也是我们要思考的一个问题．面对新业务、新技术引发的新威胁不能全面有效应对，新型信息基础设施安全能力“底子薄”，旧的安全能力在技术、新业态环境不能满足数字化转型发展需要；网络人才队伍不够健全，高端技术人才匮乏，缺乏网络安全架构设计、攻防分析、情报管理等方面的高端人才，安全资源投入仍需加大．

４下一步工作建议

１）利用风险管理指标，优化安全运营能力．按照“统一领导、分级负责、综合协调、各司其职”的应急管理原则，建立总部和二级单位２级应急指挥体系，成立中国石化网络安全应急响应中心专职队伍，依托网络安全态势感知平台开展风险监控、事件处置、分析溯源、通报预警、新技术研究、考核评价等一系列平战双模式下网络安全风险管控工作，利用信息安全风险指数进行网络安全态势及网络安全运营能力持续评估，对网络安全风险进行有效防控．

２）建立安全生态，提升风险主动发现能力．进一步提升网络安全监测及控制点的覆盖率、有效率，加强云安全、容器安全技术实践，夯实网络安全技术防控基础；借助安全技防体系建设逐步实现隐蔽通道监控、拟态防护、自动化溯源取证等最新技术内部落地，持续收集安全运营中捕获的最新攻击方法与技术，开展针对性技术研究与输出，结合以监管部门、专业情报厂商、内部自研情报三方共同形成威胁情报集合，持续提高针对组织级、部级敌对势力的实战对抗能力［３］．建设“中国石化网络安全社区”，提供内部漏洞提报平台渠道，提高内部漏洞修复、风险消除及时性．并通过线上交流与众测任务下发，激发内部网络安全人才的学习热情，扩充内部“红蓝军”队伍．

３）加强数据全生命周期安全防护．针对数据安全新业态方面，我们要全面提升数据安全顶层规划和设计能力，遵从关基保护、数据安全法、个人信息保护法等法律规范，持续开展数据安全治理工作，全面落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及相关条例要求，建立完善涵盖管理办法、管理流程、标准规范、工作手册４个层面的数据安全标准规范体系，建设例行化的数据资产盘点机制、数据分级分类机制，打造集团数据安全治理体系；启动场景化的数据安全防护和监测体系建设，推进零信任架构、数据安全态势感知等新安全技术应用建设．

４）针对关键信息基础设施，建立有针对性的保护工作．深入贯彻《关键信息基础设施安全保护条例》，以保护关键业务和运行安全为重点，构建健全关键信息基础设施安全保护体系；以风险管理为导向，形成动态的安全防护机制，增强保护弹性，有效应对安全风险威胁；建立专项督办制度，加大监督检查和责任追究，实现威胁信息共享和协同应对，及时发现隐患，修补漏洞，做到关口前移，防患于未然，确保关键信息基础设施安全稳定运行［４］．

５）建立全面的供应链安全管控体系．落实《网络安全审查办法》《关键信息基础设施安全保护条例》等国家法律法规标准中供应链安全管控要求，建立供应链安全管理相关制度，开展供应商管理、安全审查、产品及服务的安全质量管控，提升供应链的完整性、可用性、保密性和可控性．

６）加快网络安全人才培养．建立网络安全教育培训计划，对网络安全主管领导、网络安全管理和技术专业人员开展差异化的培训和考核，促进不同类型人员网络安全技能和经验的提升．引进补充攻防实战能力的专业人才，建立梯队培育模式［５］，用好攻防演练实训靶场，开展内部漏洞提交平台建设，引导内部“红蓝军”有序开展交流、对抗，培育网络安全生态，激发干事创业的活力和动力．

５总结

为应对愈发严峻的网络安全形势，中国石化坚持以攻促防的风险防范和安全运营思路，通过每年的实战化演习、重点时期保障措施等，结合现有网络安全管理和技术手段，建立了面向攻防实战的网络安全防护体系［６］和风险防范的联防联控机制．确保风险隐患及时准确处置，防止威胁蔓延扩散，切实提高了网络安全防护水平，取得了实际效果．然而，网络安全本身就是一个动态变化的过程，针对未来的不可预见性，将会出现一些新技术、新架构和新要求，只有积极备战，及时调整网络安全防护体系，才能及时处置随时有可能出现的网络安全威胁．

参考文献

［１］曾弘瑞．三同步安全管理新思路［Ｊ］．信息化建设，２０１２，１１（１０）：１２１５

［２］周培培，赵永明．新时代我国网络意识形态安全治理的实践理路［Ｊ］．南昌师范学院学报，２０２２，３（５）：２４２６

［３］马晓亮．网络安全攻防实战技术与效果分析［Ｊ］．信息安全研究，２０２１，７（８）：７６３７７２

［４］王超，赵英明，陈勋，等．铁路关键信息基础设施安全防护框架设计［Ｊ］．铁路计算机应用，２０２２，５（３）：２５３８

［５］王鹃．网络空间安全学科人才培养探索与［Ｊ］．信息安全研究，２０１６，２（１１）：１０４９１０５０

［６］李丁夏．面向攻防实战的网络安全防护体系［Ｊ］．网络安全技术与应用，２０２２，３（５）：２５３８

作者:顾磊单位:中国石油化工集团有限公司信息和数字化管理部