广州石化以信息HSSE“十大风险”管控工作为抓手，落实网络安全主体责任，立足互联网安全、工业控制安全、核心业务系统安全和终端安全等领域，着力打造网络安全五大能力，逐步实现“主动防御、动态管控”的安全体系建设目标，助力公司安稳长满优运营，交出一份广州石化网络安全治理方案。在中国石化2018年信息化工作会议上，广州石化被授予“中国石化2017年度网络安全先进单位”。

构建企业“大安全”管理格局

随着工业互联网的发展，工业生产和网络世界深度联通，网络空间攻击直接影响到工业运行安全，并扩散、渗透到城市安全、人身安全、关键基础设施安全乃至国家安全，网络安全已从“信息安全”时代进入了“大安全”时代。

广州石化一直高度重视网络安全治理，有机结合地将信息安全管理融入HSSE管理体系，成立信息HSSE分委员会，成为广州石化HSSE体系中六大主专业之一，将信息安全管理作为常规议题，列入公司总经理主持的HSSE月度及年度会议，着力构建企业“大安全”管理格局。

“网络安全治理的重点不仅限于技术，需要更多的管理和规范。”在信息HSSE分委员会主任、公司副总经理周峰看来，顶层设计是网络安全管理的重中之重。在他主持下，信息HSSE分委员会每月召开专题会议，分析企业在生产经营中存在的信息安全管理问题、影响因素以及部署企业信息安全管理工作。

建立整套信息安全管理制度体系，发布《广州石化信息安全管理规定》等系列规章制度，作为对出现安全隐患或事件的责任部门，执行经济责任制考核的重要依据。建立信息安全通报机制，2017年发布4期信息安全简报和5次紧急通报，对信息安全隐患坚决“零容忍”。

建立在线化权限矩阵管理机制，明确管理流程，细分部门职责，不相容岗位得到有效落实。持续开展关键岗位人员信息安全审计和信息系统权限清理工作，去年清理总量超万条。通过综合应用中石化统一身份管理平台、IT服务管理平台和堡垒机，建立安全、可控、可审计的运维通道，权限管理得到有效控制。

让信息安全“看得见”网络“信得过”

梳理和识别企业在生产经营中的信息安全风险，是让信息安全“看得见”的基础。广州石化运用安全风险矩阵标准和风险评估工具，识别信息HSSE“十大风险源”并形成清单，制定具体目标/指标/管控措施以及责任人、完成时间，在HSSE委员会月度会议上进行落实情况跟踪。每半年开展回顾工作，年底进行后评估，结合本年度剩余风险滚动评估更新下一年度清单，建成一套完整的信息安全风险管控PDCA模型。2017年，通过信息HSSE“十大风险源”识别与管控，90%以上主要风险源的剩余风险降低至可接受程度。

每个信息系统从它产生到销毁是有生命周期的，广州石化严格依据网络安全“三同步”原则，做好信息系统全生命周期安全管理工作。立项阶段，开展信息系统等级保护定级工作，在可行性研究报告、合同技术附件等技术文档中加入信息安全专篇。项目实施阶段，设置安全监理岗位，监督落实信息安全方案、安全基线。与项目建设单位签订信息安全责任书，明确建设单位信息安全责任和内容。系统上线前，通过代码静态扫描、漏洞扫描等方式开展上线安全检查，落实整改后方可上线。系统验收前，由项目主管部门组织安全复查，通过才允许验收。系统运维阶段，与运维单位签订信息安全责任书，定期组织信息系统安全自查，对发现的安全隐患限期整改或下线处理。目前，广州石化在用的48个关键信息系统，高危漏洞、互联网应用入侵事件均为零，系统应用安全得到有效保障。

技术攻防是网络安全的本质，从去年延续至今年初的系列勒索病毒‘大爆发’，启发了我们深度思考：企业网络安全技术重在感知威胁，进而严密防范。为此，我们建立了多点分层次防御体系，使企业网络通路‘信得过’‘靠得住’。”信息中心技术委员会信息安全控制组负责人张亚堂副主任表示。一方面通过双链路冗余，上网行为管理白名单，VPN访问策略等措施，不断加强网络和基础设施保护。另一方面，使用国产化工控防火墙、防病毒软件和中石化云DMZ区，持续对区域边界实施保护。在计算环境保护方面，网络准入控制、桌面安全、防病毒客户端安装率达100%，为每个应用系统制定安全基线、漏洞扫描计划，定期进行基线配置扫描，问题整改实施看板管理。2017年，信息基础设施、信息系统安全运行，重大信息安全事件均为零。

参考国际通用的IT基础架构最佳实践指南，广州石化经过十余年摸索，创新性地建设了一套可度量的IT服务管理体系，并于2013年通过ISO/IEC 20000体系认证，2016年通过CNAS C003-ITSM认证，成为中国石化内首家获得IT服务管理体系双认证的单位。借鉴可度量的IT服务管理体系建设经验，广州石化应用问题管理流程分析信息安全事故，变更流程和容量管理流程控制信息系统安全运行风险，发布流程进行信息系统上线前安全测试。一系列标准化、流程化的信息安全管理手段，促使企业信息系统可用性达到99%以上，有效保障了公司各业务板块的持续运行。

传统的安全防护模式，更多依靠安全设备的单点防护能力，而广州石化在网络安全防护工作中，嵌入应急预案模块，打造可协同联动的安全防护模式。近年，广州石化通过编制《计算机信息系统损害专项应急预案》，完成了ERP、SMES、视频会议系统等11个重要信息系统的应急处置卡编制工作。2017年，模拟企业到广州区域中心链路中断故障，启动应急预案进行实操演练，系列勒索病毒高发期间，启动防范高危蠕虫病毒的入侵紧急预案，通过网络安全事件发现、报告、研判、应急处置等流程，公司网络安全防护多方协同联动作战水平得到了验证。党的十九大、《财富》全球论坛及全国“两会”前夕，广州石化进一步加强网络安全监控，加强与总部及地方政府沟通，落实领导带班24小时值班，严格执行信息安全保障“零报告”制度，有效应对各类网络安全事件，保障了特殊时期的信息安全。

打造高效的网络安全技术团队

“网络安全竞争归根到底是人才的竞争”信息中心主任高宁波认为，企业网络安全治理需要做好人才储备，建立自己的网络安全技术团队，将被动防御变为主动防护，才能从根本上杜绝发生信息安全事件，企业才能够真正掌握网络安全的主动权。

为了建设一支高素质、懂安全的信息化建设和运维队伍，广州石化坚持推行“持证上岗”，打造有技术有能力的安全管理团队。以集团公司信息安全技术竞赛金牌团队为班底，在信息中心技术委员会之下，设立了信息技术委员会安全控制组，目前成员6人，负责制定广州石化信息安全规划的具体内容和技术路线。成立至今，安全控制组解决了100多项安全管理、技术问题，通过每月召开例会的形式，回顾技术工作成果，并形成月度工作报告向信息HSSE分委员会进行汇报，有效促进了企业信息安全管理及技术水平持续提升。

为保证安全控制组成员的信息安全管理、技术水平达到支撑公司信息安全管理的要求。广州石化每年安排计划要求安全控制组成员参加信息安全培训，并要求组员“持证上岗”参加注册信息安全专业人员（CISP）资格考试，目前安全控制组成员均达到了此要求。

免责声明：文章中操作建议仅代表第三方观点与本平台无关，投资有风险，入市需谨慎。据此交易，风险自担。