奇安信總裁吳云坤：用“四化”思路應(yīng)對“十四五”石油石化行業(yè)安全挑戰(zhàn)

10月22日，在2020中國石油石化企業(yè)信息技術(shù)交流大會暨數(shù)字化轉(zhuǎn)型和智能化發(fā)展高峰論壇上，奇安信集團(tuán)總裁吳云坤在題為《建設(shè)內(nèi)生安全框架體系，保障數(shù)字化轉(zhuǎn)型和智能化發(fā)展》的主題演講中指出：“十四五”期間，石油石化行業(yè)的數(shù)字化轉(zhuǎn)型、智能化發(fā)展過程面臨六大安全挑戰(zhàn)，需要通過落實(shí)內(nèi)生安全框架，推進(jìn)體系化、規(guī)模化、集約化、精細(xì)化等網(wǎng)絡(luò)安全 “四化”建設(shè)，提升防護(hù)能力、應(yīng)對安全挑戰(zhàn)。

石油石化行業(yè)面臨六大安全挑戰(zhàn)

在“十一五”以來的三個(gè)五年計(jì)劃期間，石油石化行業(yè)率先運(yùn)用EA方法論，指導(dǎo)信息化規(guī)劃建設(shè)，推動業(yè)務(wù)融合、數(shù)字化轉(zhuǎn)型和服務(wù)共享，取得豐碩成果；同時(shí)構(gòu)建了基于國際標(biāo)準(zhǔn)的高效運(yùn)維體系，形成了強(qiáng)大的業(yè)務(wù)支撐能力。

與此同時(shí)，石油石化行業(yè)圍繞合規(guī)要求建成了較完善的網(wǎng)絡(luò)安全體系，在監(jiān)管合規(guī)的推動下，開展合理規(guī)劃、落實(shí)較大投資、構(gòu)筑安全防線，具備了較為全面的網(wǎng)絡(luò)安全防護(hù)能力，有力地保障了業(yè)務(wù)的安全運(yùn)營。為了適應(yīng)數(shù)字化轉(zhuǎn)型、智能化發(fā)展所提出的更高網(wǎng)絡(luò)安全要求，需要在完備性、體系化、有效性方面取得進(jìn)一步提升。

吳云坤指出，“十四五”期間，石油石化行業(yè)在數(shù)字化轉(zhuǎn)型和智能化發(fā)展中面臨的六大網(wǎng)絡(luò)安全挑戰(zhàn)。

一是數(shù)字化、智能化的信息環(huán)境帶來新的安全威脅。數(shù)字化轉(zhuǎn)型和智能化發(fā)展過程中部署新的IT基礎(chǔ)設(shè)施和應(yīng)用，信息技術(shù)與業(yè)務(wù)融合，帶來新的安全威脅，比如新型的數(shù)字化業(yè)務(wù)打破網(wǎng)絡(luò)邊界；數(shù)據(jù)集中共享帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)；物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)的安全威脅激增；業(yè)務(wù)上云、智能制造、互聯(lián)網(wǎng)應(yīng)用和企業(yè)管理等新場景帶來的安全威脅，以及供應(yīng)鏈復(fù)雜化帶來的安全威脅。

二是常態(tài)化、組織化的網(wǎng)絡(luò)攻擊與威脅愈演愈烈。近年來，石油和天然氣等能源領(lǐng)域面臨的安全風(fēng)險(xiǎn)不斷增加，網(wǎng)絡(luò)攻擊事件頻發(fā)，國家背景的攻擊者將攻擊重點(diǎn)轉(zhuǎn)向石油、天然氣及相關(guān)產(chǎn)業(yè)，以實(shí)現(xiàn)其影響政治、經(jīng)濟(jì)和國家安全的目標(biāo)。商業(yè)利益訴求和恐怖破壞交織，國家級攻擊與網(wǎng)絡(luò)犯罪交錯(cuò)，攻擊呈現(xiàn)手法未知性、場景多樣化、后果嚴(yán)重化的趨勢。

三是滿足等保2.0新要求的壓力。比如，構(gòu)建 “一個(gè)中心、三重防護(hù)”的防護(hù)體系，對網(wǎng)絡(luò)安全建設(shè)和運(yùn)行提出了更高的要求。

四是網(wǎng)絡(luò)安全監(jiān)督檢查常態(tài)化、實(shí)戰(zhàn)化、體系化和監(jiān)管法制化的壓力。比如，常態(tài)化的實(shí)網(wǎng)攻防演習(xí)、網(wǎng)絡(luò)安全法、關(guān)基保護(hù)制度等，對網(wǎng)絡(luò)安全建設(shè)、管理、運(yùn)行，以及監(jiān)督檢查要求越來越高、越來越嚴(yán)。

五是傳統(tǒng)安全建設(shè)模式無法支撐數(shù)字化業(yè)務(wù)的安全保障。網(wǎng)絡(luò)安全建設(shè)落后于信息化，傳統(tǒng)的單點(diǎn)安全建設(shè)是面向控制點(diǎn)的零散部署，缺乏體系化能力支撐下的深度結(jié)合全面覆蓋，造成安全能力碎片化，安全防護(hù)存在短板和薄弱環(huán)節(jié)。

六是能源行業(yè)經(jīng)營環(huán)境的不確定性使網(wǎng)絡(luò)安全工作必須立足于降本增效。目前全球能源格局正在發(fā)生深刻變化。在能源轉(zhuǎn)型加速的大環(huán)境下，國內(nèi)能源化工行業(yè)面臨油氣體制改革、產(chǎn)能過剩等挑戰(zhàn)。網(wǎng)絡(luò)安全工作必須立足于降本增效，以體系化方式整合安全能力，以數(shù)據(jù)驅(qū)動的模式開展安全運(yùn)營，提升安全有效性，保障業(yè)務(wù)數(shù)字化轉(zhuǎn)型。

網(wǎng)絡(luò)安全“四化”是應(yīng)對之路

吳云坤認(rèn)為，要應(yīng)對“十四五”期間的安全挑戰(zhàn)、提升安全防護(hù)能力，石油石化行業(yè)應(yīng)該加強(qiáng)頂層設(shè)計(jì)，進(jìn)行合理規(guī)劃”，為此，需要在網(wǎng)絡(luò)安全方面進(jìn)行體系化、規(guī)?；⒓s化、精細(xì)化的“四化”建設(shè)。

· 體系化：以體系化模式更合理的規(guī)劃和建設(shè)網(wǎng)絡(luò)安全。

· 規(guī)?；赫弦延匈Y源，盤活已建成的安全系統(tǒng)，降低成本。

· 集約化：統(tǒng)一建設(shè)運(yùn)行，以共享中心的模式提供安全服務(wù)。

· 精細(xì)化：以數(shù)據(jù)驅(qū)動模式開展安全運(yùn)行，實(shí)現(xiàn)安全的及時(shí)性、有效性。

為落實(shí)國家的數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略，石油石化行業(yè)應(yīng)該以“十四五”契機(jī)，踐行安全與信息化同步規(guī)劃、同步建設(shè)、同步運(yùn)行思想，開展安全規(guī)劃。建立從頂層設(shè)計(jì)、部署實(shí)施到安全運(yùn)行的一整套網(wǎng)絡(luò)安全新模式，使網(wǎng)絡(luò)安全向面向?qū)沟膶?shí)戰(zhàn)化運(yùn)行模式升級。

在網(wǎng)絡(luò)安全規(guī)劃和建設(shè)中，應(yīng)該秉承內(nèi)生安全思想，建立全面覆蓋運(yùn)維、開發(fā)、服務(wù)全場景的安全防護(hù)體系與安全運(yùn)行流程，形成安全運(yùn)行的體系化、標(biāo)準(zhǔn)化支撐，建立“人+技術(shù)（平臺、數(shù)據(jù)）+流程”協(xié)同聯(lián)動的防御模式。

由此，石油石化行業(yè)可以將網(wǎng)絡(luò)安全“局部整改”模式逐漸升級為體系化規(guī)劃建設(shè)模式，以系統(tǒng)工程方法論來指導(dǎo)網(wǎng)絡(luò)安全體系的規(guī)劃、設(shè)計(jì)和建設(shè)工作，以“統(tǒng)一謀劃”作為落實(shí)“四統(tǒng)一”的起點(diǎn)，在做好“關(guān)口前移”的基礎(chǔ)上，進(jìn)一步加強(qiáng)安全與信息化融合。

建設(shè)內(nèi)生安全框架是實(shí)現(xiàn)“四化”最佳路徑

吳云坤談到，建設(shè)內(nèi)生安全框架是“體系化、規(guī)?；⒓s化、精細(xì)化”解決思路的最佳實(shí)踐和路徑。

內(nèi)生安全框架是奇安信基于長期實(shí)踐提出的新一代網(wǎng)絡(luò)安全框架，以系統(tǒng)工程方法論結(jié)合內(nèi)生安全理念，能指導(dǎo)不同行業(yè)輸出符合其特點(diǎn)的體系化、實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全架構(gòu)，通過分解為可落地實(shí)施的“十大工程五大任務(wù)”，推動工業(yè)系統(tǒng)等不同應(yīng)用場景的安全體系規(guī)劃、建設(shè)和運(yùn)行，滿足數(shù)字化轉(zhuǎn)型和智能化升級的信息化保障需求。

內(nèi)生安全框架落地有三個(gè)關(guān)鍵點(diǎn)：

一是盤家底：體系化地梳理、設(shè)計(jì)出所需的安全能力。梳理時(shí)充分考慮所有可能涉及到的問題；設(shè)計(jì)時(shí)根據(jù)實(shí)際情況挑選、組合和規(guī)劃。

二是建系統(tǒng)：通過與信息化的融合，實(shí)現(xiàn)深度結(jié)合、全面覆蓋。融合是建設(shè)的關(guān)鍵，通過安全能力組件化，合理分配到正確位置，確保安全能力可建設(shè)、可落地、可調(diào)度；建設(shè)過程中，需要全景化技術(shù)部署模型。

三是跑得贏：確保安全運(yùn)行的可持續(xù)性，實(shí)現(xiàn)管理閉環(huán)。缺乏安全運(yùn)行的安全系統(tǒng)，相當(dāng)于靠天吃飯。要把管理作為關(guān)鍵，確保安全運(yùn)行可持續(xù)性，實(shí)現(xiàn)安全管理閉環(huán)。

目前，內(nèi)生安全框架已經(jīng)在40多家大型政企機(jī)構(gòu)以及金融、能源等重要行業(yè)落地實(shí)踐。

他最后說，“十四五”期間石油石化行業(yè)應(yīng)該以內(nèi)生安全框架為指導(dǎo)，構(gòu)建“實(shí)戰(zhàn)化、體系化、常態(tài)化”的網(wǎng)絡(luò)安全保障體系，提升“動態(tài)防御、主動防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控”六大安全能力，為數(shù)字化轉(zhuǎn)型和智能化發(fā)展提供有力支撐。

此外，在同期舉辦“中國石油石化數(shù)字化智能化轉(zhuǎn)型技術(shù)和成果展覽”上，奇安信全面展示奇安信內(nèi)生安全框架、工控安全產(chǎn)品和石油石化工控網(wǎng)絡(luò)安全防護(hù)方案。