奇安信總裁吳雲坤:用“四化”思路應對“十四五”石油石化行業安全挑戰
釋出日期:2020-10-22 作者:奇安信
10月22日,在2020中國石油石化企業信息技術交流大會暨數字化轉型和智能化發展高峯論壇上,奇安信集團總裁吳雲坤在題為《建設內生安全框架體系,保障數字化轉型和智能化發展》的主題演講中指出:“十四五”期間,石油石化行業的數字化轉型、智能化發展過程面臨六大安全挑戰,需要通過落實內生安全框架,推進體系化、規模化、集約化、精細化等網絡安全 “四化”建設,提升防護能力、應對安全挑戰。
石油石化行業面臨六大安全挑戰
在“十一五”以來的三個五年計劃期間,石油石化行業率先運用EA方法論,指導信息化規劃建設,推動業務融合、數字化轉型和服務共享,取得豐碩成果;同時構建了基於國際標準的高效運維體系,形成了強大的業務支撐能力。
與此同時,石油石化行業圍繞合規要求建成了較完善的網絡安全體系,在監管合規的推動下,開展合理規劃、落實較大投資、構築安全防線,具備了較為全面的網絡安全防護能力,有力地保障了業務的安全運營。為了適應數字化轉型、智能化發展所提出的更高網絡安全要求,需要在完備性、體系化、有效性方面取得進一步提升。
吳雲坤認為,“十四五”期間,石油石化行業在數字化轉型和智能化發展中面臨的六大網絡安全挑戰。
一是數字化、智能化的信息環境帶來新的安全威脅。
數字化轉型和智能化發展過程中部署新的IT基礎設施和應用,信息技術與業務融合,帶來新的安全威脅,比如新型的數字化業務打破網絡邊界;數據集中共享帶來的數據安全風險;物聯網、工業互聯網的安全威脅激增;業務上雲、智能製造、互聯網應用和企業管理等新場景帶來的安全威脅,以及供應鏈複雜化帶來的安全威脅。
二是常態化、組織化的網絡攻擊與威脅愈演愈烈。
近年來,石油和天然氣等能源領域面臨的安全風險不斷增加,網絡攻擊事件頻發,國家背景的攻擊者將攻擊重點轉向石油、天然氣及相關產業,以實現其影響政治、經濟和國家安全的目標。商業利益訴求和恐怖破壞交織,國家級攻擊與網絡犯罪交錯,攻擊呈現手法未知性、場景多樣化、後果嚴重化的趨勢。
三是滿足等保2.0新要求的壓力。
比如,構建 “一箇中心、三重防護”的防護體系,對網絡安全建設和運行提出了更高的要求。
四是網絡安全監督檢查常態化、實戰化、體系化和監管法制化的壓力。
比如,常態化的實網攻防演習、網絡安全法、關基保護制度等,對網絡安全建設、管理、運行,以及監督檢查要求越來越高、越來越嚴。
五是傳統安全建設模式無法支撐數字化業務的安全保障。
網絡安全建設落後於信息化,傳統的單點安全建設是面向控制點的零散部署,缺乏體系化能力支撐下的深度結合全面覆蓋,造成安全能力碎片化,安全防護存在短板和薄弱環節。
六是能源行業經營環境的不確定性使網絡安全工作必須立足於降本增效。
目前全球能源格局正在發生深刻變化。在能源轉型加速的大環境下,國內能源化工行業面臨油氣體制改革、產能過剩等挑戰。網絡安全工作必須立足於降本增效,以體系化方式整合安全能力,以數據驅動的模式開展安全運營,提升安全有效性,保障業務數字化轉型。
網絡安全“四化”是應對之路
吳雲坤提到,要應對“十四五”期間的安全挑戰、提升安全防護能力,石油石化行業應該加強頂層設計,進行合理規劃”,為此,需要在網絡安全方面進行體系化、規模化、集約化、精細化的“四化”建設。
體系化:以體系化模式更合理的規劃和建設網絡安全。
規模化:整合已有資源,盤活已建成的安全系統,降低成本。
集約化:統一建設運行,以共享中心的模式提供安全服務。
精細化:以數據驅動模式開展安全運行,實現安全的及時性、有效性。
為落實國家的數字化轉型和網絡強國戰略,石油石化行業應該以“十四五”契機,踐行安全與信息化同步規劃、同步建設、同步運行思想,開展安全規劃。建立從頂層設計、部署實施到安全運行的一整套網絡安全新模式,使網絡安全向面向對抗的實戰化運行模式升級。
在網絡安全規劃和建設中,應該秉承內生安全思想,建立全面覆蓋運維、開發、服務全場景的安全防護體系與安全運行流程,形成安全運行的體系化、標準化支撐,建立“人+技術(平台、數據)+流程”協同聯動的防禦模式。
由此,石油石化行業可以將網絡安全“局部整改”模式逐漸升級為體系化規劃建設模式,以系統工程方法論來指導網絡安全體系的規劃、設計和建設工作,以“統一謀劃”作為落實“四統一”的起點,在做好“關口前移”的基礎上,進一步加強安全與信息化融合。
建設內生安全框架是實現“四化”最佳路徑
吳雲坤認為,建設內生安全框架是“體系化、規模化、集約化、精細化”解決思路的最佳實踐和路徑。
內生安全框架是奇安信基於長期實踐提出的新一代網絡安全框架,以系統工程方法論結合內生安全理念,能指導不同行業輸出符合其特點的體系化、實戰化的網絡安全架構,通過分解為可落地實施的“十大工程五大任務”,推動工業系統等不同應用場景的安全體系規劃、建設和運行,滿足數字化轉型和智能化升級的信息化保障需求。
內生安全框架落地有三個關鍵點:
一是盤家底:體系化地梳理、設計出所需的安全能力。梳理時充分考慮所有可能涉及到的問題;設計時根據實際情況挑選、組合和規劃。
二是建系統:通過與信息化的融合,實現深度結合、全面覆蓋。融合是建設的關鍵,通過安全能力組件化,合理分配到正確位置,確保安全能力可建設、可落地、可調度;建設過程中,需要全景化技術部署模型。
三是跑得贏:確保安全運行的可持續性,實現管理閉環。缺乏安全運行的安全系統,相當於靠天吃飯。要把管理作為關鍵,確保安全運行可持續性,實現安全管理閉環。
目前,內生安全框架已經在40多家大型政企機構以及金融、能源等重要行業落地實踐。
吳雲坤最後表示,“十四五”期間石油石化行業應該以內生安全框架為指導,構建“實戰化、體系化、常態化”的網絡安全保障體系,提升“動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控”六大安全能力,為數字化轉型和智能化發展提供有力支撐。
此外,在同期舉辦“中國石油石化數字化智能化轉型技術和成果展覽”上,奇安信全面展示奇安信內生安全框架、工控安全產品和石油石化工控網絡安全防護方案。