关于护网行动对企业网络安全管理水平提升的研究与实践——以中国石油山东销售分公司为例

关于护网行动对企业网络安全管理水平提升的研究与实践——以中国石油山东销售分公司为例

孙鹏

中国石油天然气股份有限公司山东销售分公司 山东 济南 250101

摘要：网络安全作为中石油成品油销售企业数字化转型的保障基石，不仅支撑信息系统平稳运行、业务数据安全存储，而且对提升公司管理运营和客户服务水平方面也有着不可替代的重要作用。本文分析了山东销售分公司目前网络安全管理现状，并结合近年来参加公安部“护网行动”积累的工作经验，提出了强化网络安全管理的主要举措，对进一步提高企业网络安全管理水平具有较强的实际意义。

关键词：成品油销售；护网行动；网络安全；信息工程建设

引言：

随着大数据、物联网、云计算的飞速发展，网络攻击触手已从企业逐渐伸向国家，国家关键信息基础设施建设也面临着无形威胁。在这种严峻的网络安全态势下，公安部会同民航局、国家电网组织开展了“护网2016”网络安全攻防演习活动。同年颁布的《网络安全法》也出台了网络安全演练相关规定，要求关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。自此，“护网行动”进入人们视野，成为网络安全建设重要的一环。作为中石油成品油销售企业，应未雨绸缪，厉兵秣马，主动开展“护网行动”，更加有效地提升网络安全管理水平。

一、目前企业普遍存在的网络安全问题

目前，国内企业网络安全存在诸多漏洞，例如运维类产品、安全类产品、软件类产品、普通硬件、中间件与框架、操作系统类。这些漏洞都对企业网络安全产生了极大威胁。主要问题有以下八点：

一是网络安全职责不明确。企业网络安全管理组织机构不够健全，网络安全岗位职责不明确，对应的网络安全管理制度欠缺等。很多企业重业务轻信息，不重视信息化建设，更勿说网络安全。没有设置单独的信息管理部门，也没有设置专职网络安全管理人员。这就造成一旦出现网络安全问题，没有牵头部门去负责解决问题，加上没有专职岗位人员参与，往往解决效率低下，甚至给企业运营造成严重影响。

二是信息资产掌握不足。对企业所管理的信息资产不清楚，不知道如何对资产进行分析和登记。例如，基础设备类包含服务器、路由器、交换机、防火墙等，外设类包括打印机、扫描仪等，办公终端类包括笔记本电脑、台式机等。软件系统包含企业内网系统、互联网系统、数据库、中间件等。这些资产的IP地址、MAC地址、所属位置、具体功能、操作系统版本、实物管理负责人等信息都应该正确且完整。日常入网设备随意配置IP地址未登记，等到某个IP被上级单位通报出现问题的时候，却迟迟不能定位，根本找不到，更不要提溯源分析等后续处理工作了。

三是网络安全边界不清晰。企业如果私自开通互联网出口，相当于给自己公司网络安全边界撕开了一个大口子，是非常危险的。对于一个关键系统应用来说，能做到什么样的安全防护，是物理隔离还是逻辑隔离？评估什么的边界范围，可能会出现哪些网络安全风险，并针对性的制定网络安全防护措施。例如，部署在公有云上的应用，云服务商应该负责公有云整体环境的网络安全，包括网络接入、操作系统初始化安全、云端整体防护等，系统运维单位应该负责操作系统、具体应用涉及的账号权限、软件等安全性。

四是网络安全风险不清晰。面对企业管理的众多资产，能否分析对应的网络安全风险？什么样的资产可能会出现什么风险，分别带来什么样的影响？只有明确这些内容，才能更好的进行风险评估，有针对性的进行网络安全检查，不断改进措施，降低风险。例如，办公电脑、服务器若不配置安全基线、不安装防病毒软件，随意接入外设，除了造成基本的木马病毒感染之外，还有可能造成数据丢失和恶意加密，或者作为僵尸主机被黑客远程控制发动DDos攻击。网络打印机若不配置必要的访问限制和管理员口令也极有可能会被黑客攻击，导致无法正常工作。

五是网络安全事件应急处置流程缺失。在没有专业设备和专业人员的帮助下，除非网络安全事件真的影响到了你，例如系统故障，数据加密等等，否则你估计都不知道曾发生了此类事件。接下来，你能否定位网络安全事件爆发的源头是哪里，影响范围是多少？能立刻切断引起影响范围扩大的有关途径？又或许还不知道该找谁，闹不清是什么设备，在哪里，归谁管。网络安全事件发生后是否要及时汇报上级领导，通报公司相关人员知晓，相关人员又该去做点什么工作来及时挽回损失？这一系列的应急处置工作，需要流程清晰，职责明确，联动有效。

六是网络安全防护措施不全面。任何一个信息系统，从前期的立项阶段就要有对应的网络安全保障方案。后期的建设、上线运维阶段更要有好的保障措施。很多信息系统从最初的设计到后期的运维设置是下线，都没把网络安全考虑在内，只在乎功能是否满足业务需要。网络安全要贯穿信息系统的整个生命周期，方可保障信息系统的长久、平稳运行。例如，对系统的口令、用户如何加密保护，是否保障系统的源代码不被泄露，根据国家等保要求计划定几级？有哪些更好管理和技术手段来确保系统能相对安全的长期稳定运行。如果连基础的账号口令、账号权限都不能有效做好，那么这个系统就是一个毫无安全性可言的失败项目。

七是企业网络安全能力不足。公司高层不重视网络安全工作，不能给与配套的经费，无法部署相关网络安全检测与防护系统，例如态势感知系统、web防火墙、日志审计系统、堡垒机等。这些系统的合理部署与应用不仅可以有效防护内外部网络对公司重要信息资产的攻击，而且可以有效记录运维人员和恶意攻击者的操作痕迹，为溯源取证提供有力证据，最重要的是这些系统的配套已成为公司信息系统进行等保定级的必要因素。另外，公司网络安全专业人员缺乏，也是导致日常网络安全工作不能有效开展的关键原因之一。

八是员工网络安全意识不足。企业内部的电脑、服务器等设备上随意安装软件，随意插U盘；工作文件随意拷贝到个人U盘上，通过QQ、微信等互联网通信工具收发重要的工作文件，尤其是涉及重要工作用信息系统的账号密码甚至是涉密文件；工作用电脑、服务器无开机密码或是弱口令，安全基线不合格；缺乏必要的防病毒软件或病毒库无法及时升级；操作系统和软件漏洞无法修复。

二、企业开展“护网行动”的主要意义和重点目标

2020年，新冠疫情席卷全球，很多传统行业在此期间完成由线下到线上的转型。网络及数字化赋能企业，未来企业在线上市场开拓及平台发展形势将越来越好。同时，面对错综复杂的网络环境，企业也亟需丰富自身应对网络攻击的经验与技能，这也是企业生产及业务量效持续增长的关键。当前，国际关系变化莫测，随着中美贸易摩擦，除了经济，网络安全也经受影响。面对复杂的国际形势，企业应做出更充分的准备，这也是“护网行动”发展进行的原因之一。

我国“护网行动”的具体开展方式，简单来说就是国家组织牵头相关单位开展攻防两方的网络安全演习。进攻方在规定时间内采取不同方式对防守方展开进攻，不管使用任何手段，只要攻破防守方的网络并且留下标记就算成功，就算直接冲到防守方的办公大楼，物理攻破也算成功。

企业“护网行动”重点考察6点目标。一是检验监测发现能力：及时性、有效性、覆盖率以及手段的多样性。二是检验分析研判能力：明确责任单位、责任人、影响范围及手段的有效性。三是检验通报预警能力：准确性、穿透性、有效性。四是检验应急响应能力：抑制能力、根除能力、恢复能力。五是检验协同联动能力：单位各部门之间，与公安机关，与下属单位等的联动。六是检验追踪溯源能力：溯源对攻击者身份的判断（攻击画像、攻击意图）。

三、中石油山东销售公司目前的网络安全管理现状

中石油成品油销售企业直面终端市场，在用的加油站管理信息系统是国家信息基础设施，系统的稳定运行关乎公众利益和社会影响。山东销售公司（以下简称公司）目前拥有近千座加油站和五座油库。此外，还有几家控股、参股公司及其管理的近百余座加油站。从省级到地市级，再到加油站、油库，网络规模大，终端设备众多且分散，系统软硬件配置参差不齐，网络安全管理的难度巨大。公司网络安全防护已覆盖办公终端、服务器、生产终端，基本保障了各层级的重要联网设备的防病毒、操作系统安全基线、漏洞修复等功能有效执行。

中石油作为重点能源央企，自2018年开始参加公安部组织的“护网行动”，通过实战化网络攻防演习，不断提升企业整体网络安全防护能力和被攻击能力。公司作为中石油的下属地区单位，虽然没有作为靶标单位进行重点防护，但在连续四年的“护网行动”中也切身体验到网络安全工作的技术深度和管理难度。通过借鉴“护网行动”的一些管理经验和技术攻防措施，可以更加有效地提升公司的网络安全管理水平。

公司目前执行的网络安全防护措施，主要分为总部统建的网络安全项目和公司自筹项目。总部统建的项目有网络安全运行中心2.0、桌面安全管理、身份管理与认证、网络安全域等。根据总部要求，公司内网的数千台办公终端和生产终端统一部署奇安信天擎防病毒软件，并配置操作系统的安全基线，以降低操作系统安全风险。越来越多的统建信息通过身份认证与管理平台进行单点登录，避免多次输入账号密码和无授权登录等问题发生。公司核心网络区域旁路部署两台北信源VRV网络准入控制系统，用于检测内部办公终端是否安装了对应的安全软件，若未安装就会拦截对应终端的网络流量并引导到安全软件下载页面，确保只有符合要求的终端才能访问内网资源。在总部核心网络区域部署数据泄露防护系统，对内网到外网的数据流量进行实施监控，避免发生敏感信息泄露等事件。

公司还在数据中心部署了下一代防火墙、日志审计系统、堡垒机系统等，用于保护公司自建信息系统的网络安全。结合省、市、库站部署的各级网络设备的访问控制列表、包过滤等功能对常见危险端口、未经授权远程行为和网络地址进行限制。

四、中石油山东销售公司强化网络安全管理的举措和成效

一是严格落实网络安全主体责任。首先，公司编制网络安全管理办法并正式发布，明确提出企业主要负责人是网络安全第一负责人，信息管理部门负责网络安全相关工作。各级单位要按照“谁主管谁负责，谁使用谁负责，谁运营谁负责”的原则做好各自范围内的网络安全工作。从省机关各部门、地市分公司到各个油库、加油站，各单位还要设置专兼职网络安全管理人员，负责有关具体管理和技术工作。这样就从上到下铺设了一张网络安全的大网，让公司全员人人知晓管理网络安全，各单位都有人在维护网络安全，肩负相应的责任。

二是切实强化信息设备资产管理。信息资产是网络安全中重点保障的对象。公司不仅重视把接入网内的笔记本电脑、台式机、网络打印机这些每天使用的设备列入信息资产范畴，而且还把其它不经常关注的接入网内设备：路由器、交换机、网络摄像头、考勤机、视频监控主机等，以及发布到企业内网或是互联网上的各类应用系统（包括微信公众号、小程序等）都归属信息资产。梳理详细这些信息资产的基本特征、详细参数，随时做到摸清信息资产家底，及时更新。

三是更加清晰确定各类网络边界。集团公司明确禁止地区公司自建互联网出口。不管是省机关，还是地市分公司、油库，都不允许开通本地的互联网，更不能与公司内网连接。加油站基于政府机构监管需要用到的互联网接入，也是独立应用于特定系统或是单机的，但坚决不对外使用。对于省公司来说，广域网边界路由器就是省公司与集团之间的网络边界，对于分公司来说，接入路由器就是分公司与省公司之间的网络边界。公司内部各级网络设备上，都部署了必要的网络安全访问策略，用于限制对常见危险端口的访问以及其他一些必要的流量过滤。各级网络安全管理人员知道自己要保护的网络边界在哪，知道能做些什么。不仅是公司内网，在互联网上更加注意。对于公司内部发布的各类互联网应用，必须按照要求在集团数据中心进行部署，进一步提高相关网络边界的安全性。

四是提高网络安全风险识别能力。通过梳理和认识，公司知悉信息资产的相对重要。例如统建系统比自建系统安全性要求更高，服务器比办公电脑安全性更高等。各类信息资产使用的范围，存储的数据各不一样。统建系统是公司重点关注的网络安全风险点，如加油站管理站级系统、卡系统等，公司都严格按照总部有关要求规范操作，并做好对应服务器的安全基线、防病毒以及物理防护等工作。由于公司加油站多、分布广，一旦发生网络安全问题将极大影响公司生产经营，加油站的网络隔离工作尤为重要。加油站不允许连接互联网，只能访问指定的公司办公网和生产网，因此三网隔离是重中之重。公司专门研究加油站的各个型号的站级安全网关设备，并做了详细的配置标准，多次通过现场指导、视频培训等方式帮助地市分公司网络安全管理员进行逐站整改，全省千余座加油站的三网隔离加固工作全面完成，保证了站内以及站内到站外的网络访问受控。

五是常态化开展网络安全检查。公司在经历几次“护网行动”后，对网络安全检查工作越来越重视。公司通过各类管理平台，对办公终端和生产终端的防病毒软件部署、补丁安装情况进行定期统计，重点督查整改安装率过低、病毒库升级异常、高危漏洞未修复等问题。通过集团网络安全检查平台和公司各类检查，以现场和远程等方式，定期持续的对各单位网络环境进行扫描，检查出多种常见的系统漏洞、弱口令等常见问题，并对其信息资产管理、网络安全管理职能落实情况进行常态化检查。

六是不断完善网络安全防护措施。随着网络安全风险的多样性和复杂度不断增加，网络安全防护工具也在不断更新升级。公司部署的安全软件也从单一的防病毒改为防病毒、安全基线加固、端点防护等多功能为一身的综合性软件。公司数据中心引入了下一代防火墙、堡垒机、日志审计系统、网络准入控制系统等设备，对关键信息资产和核心网络进行全天候安全监控与防护。后期，公司将继续申请部署流量控制、上网行为管理、全网态势感知平台等，进一步多角度的武装公司的网络安全防护体系，降低网络安全风险。

七是增强网络安全应急处置能力。企业能参与到国家组织的“护网行动”中，就是一次非常好的网络安全应急处置能力锻炼。公司结合实际情况编制了网络与信息系统应急预案文件，每年至少执行一次自建系统的网络安全故障演练和库站层面的网络安全事件应急演练。通过模拟网络安全事故的发生，将对应的应急处置工作进行实际操作，提高了演练参与人员的快速定位、处置等能力。通过连续几年的演练执行，从原来的纸上谈兵变成了如今的理论与实践相结合的实战行为。

结语：

总之，“护网行动”不仅是国家层面的网络安全实战演练活动，更是对企业网络安全攻防能力的一次全方位检验。企业通过深度参与“护网行动”，进一步锻炼和提升了企业网络安全管理能力。公司作为国有成品油销售企业，虽然说销售额和利润是主要追求目标，但网络安全工作做得好坏，将直接或间接影响销售业务，绝对不能忽视。因此，公司应该更加重视网络安全工作，不仅是拨付足够的资金来部署网络安全防护设备，而且更要创造良好的环境来发展网络安全管理人员数量，提升其管理能力和技术能力，成为企业网络安全攻防兼备的专业人才，有力地保障公司加快推进高质量发展的进程。

参考文献：

[1]谢广超,李莉.结合“护网2018”行动浅析网络和信息安全建设[J].通信管理与技术,2019(3):4.

[2]于佳妍.石油企业网络安全管理及防护策略[J].中国化工贸易,2019,(20):39.

作者简介：孙鹏（1984.2-），男，汉族，籍贯：河南焦作；大学本科学历，工学学士学位；工程师；中国石油天然气股份有限公司山东销售分公司

发展计划部（设备信息部）主管；研究方向：网络安全管理、信息网络管理、信息系统管理。