安徽石油：構建網絡安全“防火墻”

文 ‖ 楊 琰

安徽石油連續兩年榮獲集團網絡安全水平評價A 級企業稱號。

隨著企業數字化、信息化的加速升級，數字經濟戰略成為國家“十四五”規劃和2035 年遠景目標。以人工智能、大數據、5G、物聯網、區塊鏈等為代表的數字技術全面滲透，為成品油銷售企業業務發展和運營管理提供技術支撐。

中國石化安徽石油不斷夯實網絡安全基礎，構建全方位，多層次、快速有效的網絡安全防護體系，以應對網絡安全威脅，確保重要設施、經營管理系統安全、穩定和可靠運行。2022、2023 年，公司連續兩年榮獲中國石化集團公司網絡安全水平評價A 級企業稱號。

●安徽石油開展常態化網絡安全防控，站在攻擊者視角全盤審視漏洞。 供圖/安徽石油

優化頂層設計,打造制度體系

安徽石油在總部網絡安全管理制度體系的基礎上，修訂完善網絡安全管理制、網絡安全操作規范、網絡接入流程，落實網絡安全相關崗位授權機制，明確工作職責，確保網絡安全工作有章可循。

一是修訂了設備管理維護制度、軟件維護制度、密鑰管理制度、用戶管理制度、計算機終端安全管理制度，以及重要系統和業務的安全操作規范及細則。制定信息安全崗位說明書，明確工作職責、權限和范圍。

二是修訂機房安全管理制度、機房門禁管理制度、機房操作管理、機房安全巡檢制度，完善機房人員出入、設備出入和巡檢表，增加節假日、重保期間安全大檢查，實行7×24 小時值班制度，及時處理突發情況，保障運行安全。

三是落實項目建設安全審查規范。對于新建系統，安徽石油嚴格執行項目安全審查和驗收規范，系統上線前按照網絡安全保護等級進行上線前安全技術檢測。系統驗收按照驗收規范，開展系統安全檢測工作，對第三級及以上系統委托有資質的網絡安全測評機構開展等級測評和密碼應用安全性評估。

夯實基礎管理，提高治理能力

一是建立全面完整信息資產臺賬。安徽石油開展信息資產梳理工作，摸清所有信息資產，并動態及時更新信息。建立企業信息資產臺賬和網絡安全問題清單。根據清單定期進行安全自查，發現隱患及時整改，把風險扼殺在搖籃里，避免更大的網絡安全事件發生。

二是強化互聯網統一出口管控。全面推廣信息安全防控系統，依托準入控制系統，強化入口管控。突出“網絡安全、核心技術、突出設施和重要數據”的安全防護、突出網絡預知預警和應急處置能力建設，堅持問題導向，不斷提升網絡安全事件處置能力，進一步完善“監控、防護、溯源”三位一體的立體化管控體系。

三是加強無線網、遠程接入安全管控。做好終端設備網絡準入控制策略配置和監管工作，第三方開通VPN 賬號對堡壘機、網絡及安全設備、操作系統、數據庫、應用系統等進行運維，按照實際開通的策略內容執行審批流程。做好加油站無線網絡運行、外網實名認證、智能加油機無線路由、廣告牌無線控制及站級物聯網覆蓋等問題梳理，從制度和技術手段上進一步規范，消除基層站庫海量終端存在的網絡安全風險隱患。

四是加強基礎網絡及工控安全防護。做好網絡出口邊界安全防護、工控網與辦公網邊界安全防護、服務器區與辦公區邊界安全防護。同時，推進宣城、蕪湖、合肥、宿州等油庫工控安全建設，優化網閘安全防護策略，實現辦公網與工控網的縱向分層和工控業務間的橫向分區，解決油庫工控網絡風險隱患。

強化常態化監控，提升防控能力

安徽石油牢固樹立網絡安全“實戰化、體系化、常態化”理念，組織省市公司信息人員成立網絡安全專項工作組，與網絡安全頭部企業深入合作，引入新技術構建新能力，對網絡流量開展常態化監控，實現事前威脅預警、事中威脅監測、事后威脅溯源，提升網絡安全的防控能力 。

一是建立網絡安全預警與通報機制，針對預警內容及時研判和內部排查、處置，執行“零日報”制度。同時，根據各市公司網絡安全月報，總結分析共性問題，制定相應解決方案，對于上級單位下發的網絡安全通報聯系相關責任人及時處置并反饋。

二是建立網絡安全隱患排查機制，建立以識別資產、識別風險、及時整改和閉環控制的常態化隱患治理工作模式。同時，積極發揮企業內部攻防團隊力量，建立常態化動態監控機制，站在攻擊者視角全盤審視，聚焦重要網絡、重要系統和核心數據的突出問題和薄弱環節，開展常態化滲透測試和漏洞挖掘工作。

三是終端系統風險防控。一方面做好用戶安全管理。安徽石油注重將應用賬號按照權限最小化、權限不相容規則進行授權，在出現人員退休、離職、崗位變動等情況時，達到同步禁用、刪除或回收應用賬戶權限；另一方面針對涉及用戶個人信息及資金交易的重要敏感系統，安徽石油重點防護，安裝專用防護軟件，主動防御風險，對重要數據進行加密存儲。

細化考核指標，建立考評體系

為了客觀地評價各市公司網絡安全水平，安徽石油建立網絡安全考核評價體系，從安全合規、安全監測、安全事故三方面開展常態化信息安全評價。

一是落實責任制，明確各級領導和相關崗位人員在信息安全方面的職責，建立了獎懲機制。二是對考核落后的地市采取結隊幫扶、專項指導等方式幫助其分析問題和找出原因，并采取有效措施提高信息安全水平。三是對于發生“未備案或安全防護措施不到位，造成嚴重后果被公安機關、國家相關部門通報的；重要業務系統敏感信息和關鍵數據丟失或被竊取、竄改、假冒，對公司生產經營活動構成嚴重威脅”的等重大信息安全事故采取一票否決制。通過開展網絡安全考核評價，安徽石油營造出了信息安全工作比學趕超、取長補短氛圍，實現了信息安全水平的持續提高，筑牢網絡安全防線。

加強網絡安全離不開一支高素質的網絡安全人才隊伍。安徽石油以基礎設施、合規、實戰、信創為四大方向，由市公司信息人員組隊，分類分區管理，培養網絡安全專業團隊，充分發揮集體和個人的智慧，提升團隊的業務能力、協作能力和創新能力。安徽石油網絡安全宣傳推文“網絡安全與法同行”獲得2023 年中國石化網絡安全宣傳周作品三等獎。2023 年，安徽石油網絡安全實戰化監控指標評分在全集團排名12，居銷售企業第一。