奇安信总裁吴云坤：用“四化”思路应对“十四五”石油石化行业安全挑战

10月22日，在2020中国石油石化企业信息技术交流大会暨数字化转型和智能化发展高峰论坛上，奇安信集团总裁吴云坤在题为《建设内生安全框架体系，保障数字化转型和智能化发展》的主题演讲中指出：“十四五”期间，石油石化行业的数字化转型、智能化发展过程面临六大安全挑战，需要通过落实内生安全框架，推进体系化、规模化、集约化、精细化等网络安全 “四化”建设，提升防护能力、应对安全挑战。

石油石化行业面临六大安全挑战

在“十一五”以来的三个五年计划期间，石油石化行业率先运用EA方法论，指导信息化规划建设，推动业务融合、数字化转型和服务共享，取得丰硕成果；同时构建了基于国际标准的高效运维体系，形成了强大的业务支撑能力。

与此同时，石油石化行业围绕合规要求建成了较完善的网络安全体系，在监管合规的推动下，开展合理规划、落实较大投资、构筑安全防线，具备了较为全面的网络安全防护能力，有力地保障了业务的安全运营。为了适应数字化转型、智能化发展所提出的更高网络安全要求，需要在完备性、体系化、有效性方面取得进一步提升。

吴云坤指出，“十四五”期间，石油石化行业在数字化转型和智能化发展中面临的六大网络安全挑战。

一是数字化、智能化的信息环境带来新的安全威胁。数字化转型和智能化发展过程中部署新的IT基础设施和应用，信息技术与业务融合，带来新的安全威胁，比如新型的数字化业务打破网络边界；数据集中共享带来的数据安全风险；物联网、工业互联网的安全威胁激增；业务上云、智能制造、互联网应用和企业管理等新场景带来的安全威胁，以及供应链复杂化带来的安全威胁。

二是常态化、组织化的网络攻击与威胁愈演愈烈。近年来，石油和天然气等能源领域面临的安全风险不断增加，网络攻击事件频发，国家背景的攻击者将攻击重点转向石油、天然气及相关产业，以实现其影响政治、经济和国家安全的目标。商业利益诉求和恐怖破坏交织，国家级攻击与网络犯罪交错，攻击呈现手法未知性、场景多样化、后果严重化的趋势。

三是满足等保2.0新要求的压力。比如，构建 “一个中心、三重防护”的防护体系，对网络安全建设和运行提出了更高的要求。

四是网络安全监督检查常态化、实战化、体系化和监管法制化的压力。比如，常态化的实网攻防演习、网络安全法、关基保护制度等，对网络安全建设、管理、运行，以及监督检查要求越来越高、越来越严。

五是传统安全建设模式无法支撑数字化业务的安全保障。网络安全建设落后于信息化，传统的单点安全建设是面向控制点的零散部署，缺乏体系化能力支撑下的深度结合全面覆盖，造成安全能力碎片化，安全防护存在短板和薄弱环节。

六是能源行业经营环境的不确定性使网络安全工作必须立足于降本增效。目前全球能源格局正在发生深刻变化。在能源转型加速的大环境下，国内能源化工行业面临油气体制改革、产能过剩等挑战。网络安全工作必须立足于降本增效，以体系化方式整合安全能力，以数据驱动的模式开展安全运营，提升安全有效性，保障业务数字化转型。

网络安全“四化”是应对之路

吴云坤认为，要应对“十四五”期间的安全挑战、提升安全防护能力，石油石化行业应该加强顶层设计，进行合理规划”，为此，需要在网络安全方面进行体系化、规模化、集约化、精细化的“四化”建设。

· 体系化：以体系化模式更合理的规划和建设网络安全。

· 规模化：整合已有资源，盘活已建成的安全系统，降低成本。

· 集约化：统一建设运行，以共享中心的模式提供安全服务。

· 精细化：以数据驱动模式开展安全运行，实现安全的及时性、有效性。

为落实国家的数字化转型和网络强国战略，石油石化行业应该以“十四五”契机，践行安全与信息化同步规划、同步建设、同步运行思想，开展安全规划。建立从顶层设计、部署实施到安全运行的一整套网络安全新模式，使网络安全向面向对抗的实战化运行模式升级。

在网络安全规划和建设中，应该秉承内生安全思想，建立全面覆盖运维、开发、服务全场景的安全防护体系与安全运行流程，形成安全运行的体系化、标准化支撑，建立“人+技术（平台、数据）+流程”协同联动的防御模式。

由此，石油石化行业可以将网络安全“局部整改”模式逐渐升级为体系化规划建设模式，以系统工程方法论来指导网络安全体系的规划、设计和建设工作，以“统一谋划”作为落实“四统一”的起点，在做好“关口前移”的基础上，进一步加强安全与信息化融合。

建设内生安全框架是实现“四化”最佳路径

吴云坤谈到，建设内生安全框架是“体系化、规模化、集约化、精细化”解决思路的最佳实践和路径。

内生安全框架是奇安信基于长期实践提出的新一代网络安全框架，以系统工程方法论结合内生安全理念，能指导不同行业输出符合其特点的体系化、实战化的网络安全架构，通过分解为可落地实施的“十大工程五大任务”，推动工业系统等不同应用场景的安全体系规划、建设和运行，满足数字化转型和智能化升级的信息化保障需求。

内生安全框架落地有三个关键点：

一是盘家底：体系化地梳理、设计出所需的安全能力。梳理时充分考虑所有可能涉及到的问题；设计时根据实际情况挑选、组合和规划。

二是建系统：通过与信息化的融合，实现深度结合、全面覆盖。融合是建设的关键，通过安全能力组件化，合理分配到正确位置，确保安全能力可建设、可落地、可调度；建设过程中，需要全景化技术部署模型。

三是跑得赢：确保安全运行的可持续性，实现管理闭环。缺乏安全运行的安全系统，相当于靠天吃饭。要把管理作为关键，确保安全运行可持续性，实现安全管理闭环。

目前，内生安全框架已经在40多家大型政企机构以及金融、能源等重要行业落地实践。

他最后说，“十四五”期间石油石化行业应该以内生安全框架为指导，构建“实战化、体系化、常态化”的网络安全保障体系，提升“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”六大安全能力，为数字化转型和智能化发展提供有力支撑。

此外，在同期举办“中国石油石化数字化智能化转型技术和成果展览”上，奇安信全面展示奇安信内生安全框架、工控安全产品和石油石化工控网络安全防护方案。