中國石化數字化轉型背景下的數據安全風險和建設策略分析

隨著新技術的不斷應用，傳統能源行業的數字化轉型已經成為必然選擇。能源企業需要整合內外部資源，利用新一代信息化技術，圍繞數據、業務流程、組織機構的互動創新，持續提升企業的核心競爭力，構建可持續的競爭優勢。中國石化已將數字化轉型作為重要發展戰略與經濟驅動力，以石化工業互聯網為支撐，聚焦集團一體化管控能力、板塊創新創效能力、專業化統籌管理能力和新經濟價值創造能力的提升，圍繞全產業鏈開展數字化轉型。

一、中國石化在數字化轉型上取得的主要成果

一是以“互聯網 + 新業態”為發力點，利用新技術建設互聯網應用新平臺。石化智云工業互聯網是面向制造業數字化、網絡化、智能化需求，構建基于海量數據采集、匯聚、分析的服務體系，支撐制造資源泛在連接、彈性供給、高效配置的工業云平臺，也是打造制造企業競爭新優勢的關鍵抓手。加快數字化和工業化深度融合，發揮工業互聯網平臺對數字化轉型的支撐作用，是能源化工行業實現高質量發展的重要途徑和必然選擇。中國石化緊緊圍繞打造世界一流企業發展要求，聚焦“智能制造”和“互聯網 +”兩大主線，信息化建設模式向“數據+平臺+應用”轉變，推進數字技術與石化產業深度融合。作為數字化轉型、智能化發展的戰略基石，石化智云工業互聯網平臺旨在打通信息動脈，強化資源共享、數據賦能，推動生產組織模式、運營管理模式的創新，為實現數字化轉型和高質量發展增添新動能。

二是通過數字技術和實體經濟深度融合加強能源數據治理工作，推進“數據+平臺+應用”新模式縱深落實。中國石化對數據資產進行了全面梳理，制定了數據治理體系設計及工作方案，規范了數據應用流程，初步建立了數據服務運行體系，在總部、事業部和試點企業開展了數據盤點和治理工作；加強經營管理數據服務平臺推廣應用，總計接入 430 多個源系統，形成數據模型 6.7 萬個，發布數據資產 3.5 萬個，支撐了總部、專業公司和企業的財務分析、風險防控、客戶服務等 90 多個數據應用，日訪問量超過 200 萬次。完成了“石化智云”工業互聯網平臺 1.0 建設，建立了“ABCD”運營服務體系，形成了“上云上平臺”系列標準規范，有效支撐了總部及企業 70 多個項目按照“數據 + 平臺 + 應用”新模式建設。

三是以數據的有效保護和合理利用為指引，建設集團數據安全能力，完善數據安全治理體系，逐步實現能源數據的可管可溯可用。第一是全面開展數據安全治理工作完成了數據安全治理體系總體設計，發布了《中國石化經營管理數據管理辦法》，將經營管理數據分為核心重要級、重要級、內部公開級、對外公開級四個級別，并進行開發權限和數據權限管控，實現了數據分類分級管理和防護。按照收集最小化、權限最小化原則，開展個人信息保護，通過內容監測、脫敏等措施，實現重要信息系統敏感信息的監測和防護。同時針對重要信息系統，開展數據安全、個人信息保護風險評估方法研究和工具測試，為后續數據安全風險評估工作奠定基礎。第二是完善數據安全組織和制度建設，成立了集團公司數據治理委員會，明確了對數據架構審定、數據安全使用原則、數據安全責任制的要求。發布《中國石化網絡安全管理辦法》，明確對數據安全、個人信息保護的管理要求。第三是加強數據安全技術的全面落地實施，堅持數據安全與信息系統建設“三同步”原則，在信息系統的全生命周期同步開展數據安全工作。針對大數據平臺、郵件系統、互聯網訪問、內部文檔流轉等應用場景，部署網絡 DLP、文檔安全、上網行為管理等技術防護措施，具備關鍵字和行為基線的攔截、截屏水印威懾、訪問審計等能力，有效控制了內部數據的泄露；對系統特權賬號、運維安全、關鍵數據操作行為進行強認證和權限控制。通過將信息系統的多因子和證書認證、加解密、脫敏、數字簽名等能力納入統一身份、密碼服務平臺管控范圍，實現對數據基礎安全能力的強制納管和數據安全運營。

二、中國石化在數據安全上面臨的風險挑戰

一是從國家層面對數據安全提出了最新要求，中國石化需要綜合考慮合規要求和數字化業務發展開展數據安全建設。在過去的兩年里，國家密集出臺了數據安全相關法律法規，如《數據安全法》《個人信息保護法》《關鍵信息基礎設施保護條例》等，從而在數據安全的領域，構建了完整的法律與合規要求。在數字化與數據要素快速發展階段，數據安全治理先行的要求，迫使數據安全工作亟需從合規走向合法，包括管理體系、技術保護體系和運營體系等三個方面。

第一，數據安全管理體系面臨的建設要求和挑戰。法律明確提出建立數據安全組織，要求擁有重要數據的企業應設立數據安全負責人和管理機構，落實數據安全保護責任等等，需要根據法規要求和 19 個業務域的建設情況重新調整布局數據安全組織，并落實各級安全責任。同時還要建立中國石化數據分類分級標準，并在 19 個業務域分別開展分類分級工作。

第二，數據安全技術保護體系面臨的要求和挑戰。作為重要數據和個人信息的處理者，需要識別重要數據，并在重要數據共享、交易、委托處理等各個環節都需要做好保護，并向相關監管部門報備。需要制定個人信息處理規則，完善個人信息同意制度。對重要數據和個人數據需要系統地采取備份、加密、訪問控制等必要措施，保障數據，涉及系統要滿足三級以上網絡安全等級保護，要使用密碼對重要數據和核心數據進行保護。

第三，數據安全運營體系面臨的要求和挑戰。中國石化需要建立數據安全領域的應急處置機制，發生數據安全事件時及時啟動應急響應機制。目前《網絡數據安全管理條例（征求意見）》《重要數據識別指南（征求意見）》都在進行意見征集，后續中國石化也會根據相關標準，調整已經制定的數據安全管理制度體系。

二是能源企業業務數據復雜度較高，對于未來形成統一有效的數據精細化安全管控是挑戰。中國石化產業鏈條長、覆蓋面廣，油氣開采、煉油、化工、銷售、科研工程等都有涉及，各下屬企業情況也不盡相同，可復制性較差，信息化工作復雜度高，各個業務領域也在不斷適應和引入新一代信息技術以加速業務變革和業務效率，與此同時也引入了多重數據安全風險，諸如重要數據泄露風險、數據交換風險等，需要全面考慮新業態下的數據安全保障需求。以油品銷售為例，該業務涉及幾萬個加油站，有大量復雜的業務應用，比如實體卡應用、站級應用、電子錢包應用、加油 App、微信和支付寶小程序等等，各個業務運行在多種復雜的基礎設施上，包括公有云、私有云、加油卡、客戶手機、員工手持終端、加油機等等，同時也處理大量敏感重要的數據，比如客戶信息、員工信息、銀行卡、身份證號、交易數據、商品信息、價格信息、訂單信息、流水信息、發票、車牌等等，如何保護這些運行在復雜業務系統、多個業務應用中的大量數據成為我們數據安全保護工作的最大挑戰。面對類似復雜的業務場景，后續還需要梳理各種業務，識別數據資產和數據流轉使用情況，需要對各個業務領的數據資產進行全面的數據分類分級工作，然后圍繞數據分類分級結果，制定針對性的數據安全制度、流程、技術方案。

三是數據安全整體保障體系尚未健全，風險隱患較多，我們面臨著全面的數據安全治理挑戰。中國石化信息化建設按照“六統一”原則，建成了經營管理、生產營運、客戶服務、技術支撐四大平臺，公司信息化水平顯著提升，促進了改革發展、管理創新和提質增效。但是由于數據安全體系尚未健全、數據治理也剛剛起步的狀態下，信息系統層面依然存在數據權限擴展濫用、數據存儲不合規、數據任意流轉、監控審計和追蹤溯源技術手段不足等問題。具體表現在，其一是數據采集設備眾多復雜，各種采集終端、物理邊界等網絡接入設備存在企業商業數據、個人數據泄露風險；其二是數據存儲環境復雜多樣，中國石化業務龐雜，企業數量、合資、控股、關聯公司數量較多，數據散布在各個企業或者關聯公司相關信息系統存儲，同時也有部分應用系統部署在公有云石化專區，其數據安全的防護能力依賴于對公有云提供商的安全要求，受限于云提供商的安全防護能力；其三是數據使用風險，中國石化業務復雜，內部用戶安全意識等導致數據使用風險大量發生，同時隨著數字化轉型的不斷深入，企業業務云化成為趨勢，業務用戶使用云權限管理體系所導致的數據權限過大風險、云上數據泄露無法溯源風險；其四是數據出入境安全風險，隨著我國“一帶一路”建設向縱深發展，中國石化企業海外油氣勘探開發持續增長，煉化項目向綜合一體化方向發展，國際工程收入持續增長，國際貿易收益斐然，境外科研基地成果頻出，形成“走出去”提升國際產能合作深度和廣度的態勢。但新的數據安全挑戰也隨之而來：境外經營的依法合規是我們開展生產經營的紅線，相應的信息系統依法合規必須高度重視；境外生產經營場所情況復雜，對當地信息系統的安全防護帶來了極大威脅；境內外數據互通的安全方面尚屬空白，急需填補，比如比較境外雇員的個人信息是否可以提供給境內系統的問題等等；境外網絡信息建設的安全規范也不健全，人員身份管理、網絡接入要求需要標準支撐等等。

四是數據供應鏈風險加劇，成為數字化轉型企業生態系統中薄弱環節之一。隨著數字化進程不斷推進，數字紅利不斷挖掘與釋放，數據作為組織發展基礎原動力，推動中國石化業務多樣且深入發展，在開放協同合作的要求下，數據需要更加融合開放、交易、交換，數據的流轉的場景更加多元，數據鏈更加漫長。同時，數據在流轉鏈條過程中的安全風險問題頻發，比如，供應商有可能接觸到敏感數據，當有人利用外部伙伴或供應商竊取數據時，就有可能發生供應鏈攻擊，這也擴大了數字化轉型之前傳統 IT 模式的攻擊面，其導致道數據安全風險可能會蔓延到數據流轉的各個環節。中國石化需要構建數據供應鏈安全機制以滿足數據供應關系合規和安全，通過資源和過程將需方、供方相互關聯。通過加強中國石化的數據供應鏈安全管理，防范業務上下游的數據供應過程中的安全風險，強化系統平臺供應商準入，保障應用的安全開發，保障供應鏈安全事件的及時有效處置，保障中國石化數據合法利用和持續可控。

三、中國石化在數字化轉型上的數據安全體系建設策略

(一）堅持“數據流轉管控與數據分級防護相結合”的數據安全體系建設原則

一是堅持“體系規劃、急用先行”思路，構建數據安全快速實效的管控與防護體系。中國石化業務體系龐雜，數據海量、場景復雜多樣，需要用系統工程的方法論做體系化的安全規劃，數據安全的建設路徑采取分階段、有序建設并優先圍繞“關鍵業務、關鍵數據、關鍵場景”，解決現狀最迫切需要解決的數據安全風險的思路。通過梳理關鍵業務，識別關鍵數據資產和數據使用關系，繪制業務數據流，進行數據安全風險建模，全面識別業務數據面臨的數據安全風險，設計合適的安全能力緩解相應的數據安全風險，從而梳理出應對關鍵風險的安全舉措或方案，快速達成數據安全風險應對措施的落地實施。“急用先行”迅速彌補了數據安全的風險敞口的最短板，確保關鍵數據資產不外泄，為進一步的“精細化”數據安全治理和數據安全體系建設打下堅實基礎。

二是堅持以數據分類分級為基礎，構建數據安全分級管控與防護體系。《數據安全法》等法律法規明確要求企業開展數據分類分級，要求對重要數據和個人信息進行重點安全管控。其一是在數據治理過程中，加強和落實安全層面的數據分類分級工作，其二是圍繞數據分類分級的結果進行數據安全的制度建設、流程建設、技術體系建設、數據安全運營體系建設等，其三是通過分類分級機制，形成重點圍繞個人數據、重要數據構建數據安全體系，從而符合國家法律法規的數據安全合法性要求。

三是基于業務全流程與數據全生命周期相結合為思路，構建數據安全系統化管控與防護體系。中國石化業務規模龐大復雜，通過圍繞“石化智云”的關鍵業務場景，綜合考慮業務場景和法律法規、數據安全風險的關系，基于關鍵業務場景構建數據安全體系，從而確保建設目標聚焦和落地，數據安全建設實施的效率和可控。其一是對中國石化 19 個關鍵業務域進行業務初步分析，劃分重點業務域，形成具備輕重緩急的業務分析計劃，梳理業務場景和業務原理，梳理業務數據在業務中流轉采集、使用、存儲、傳輸等情況，基于這些分析結果，逐步完成各個業務域的數據安全體系建設。其二是通過業務分析和法律法規分析，總結出常見的關鍵數據安全場景，比如數據跨境安全，數據交易安全等等，然后構建和完善這些關鍵場景的數據安全治理和體系建設。

四是堅持以數據流轉管控為思路，構建數據安全動態化細粒度管控與防護體系。在中國石化的數據流轉和使用過程中，基于零信任架構，結合數據應用場景，基于訪問主體（數字身份），對數據使用進行動態細粒度授權及訪問控制，實現對應用、服務，API 接口、數據庫行、列等級別的大數據平臺的精準管控。并對數據使用進行記錄留痕。對重要數據存儲加密，敏感數據和個人數據進行脫敏、去標識化，圍繞數據庫的訪問控制和安全防護、以及對重要數據的庫表加密、操作審計，對不同安全等級網絡間的數據隔離和交換做好管控，做到大數據場景下的數據不失控，不被盜用，不被誤用，不被濫用。

(二）逐步形成體系化、科學化的數據安全體系建設思路

中國石化業務繁多復雜，為了能有效達成數據安全建設的規劃、設計和實施落地，需要體系化、科學化的開展數據安全建設。

一是構建“常態化”的數據安全治理體系。構建數據安全治理體系的目標是：識別數據資產并進行分類分級，發現數據安全問題和風險，構建日常的數據安全策略。通過構建“常態化”的數據安全治理體系，確保數據安全治理活動融入企業常態化的業務治理體系中。

二是構建“內生化”的數據安全技術能力體系。遵循“三同步”原則，通過體系化的數據安全技術防護體系建設，將數據安全技術防護措施同步融入業務建設過程中，實現對數據安全全生命周期的安全保護。

三是構建“智能化”的數據安全運營體系。建立數據安全運營和事件處置應急響應機制，實現對數據安全的預警、監測、管控、應急等閉環管理，確保數據安全運營運行效率和常態化。

四是構建“制度化”的數據安全管理能力體系。通過將管理手段融入數據安全保護的各個場景，健全數據安全管理組織，優化數據安全管理制度及流程，從而實現對數據安全的強管控。

五是圍繞關鍵數據安全場景明確數據安全建設的關鍵目標，支撐中國石化復雜業務環境的數據安全建設。數據共享保護場景，解決企業內部跨區域、跨組織等數據共享風險，防止數據流轉后的數據泄露問題；數據開放保護場景，建立中國石化數據開放機制，滿足數據可用不可見、數據不動程序動和分享價值不分享數據的需求；數據流轉管控場景，保護數據在中國石化企業內部的安全流轉，防止惡意攻擊和惡意泄露；數據跨境保護場景，主要解決境內外進行數據流轉的合規性和安全性問題。

四、小結

數字化轉型推動了石油石化產業發展新格局，新藍圖已經繪就，新征程任重道遠。當前中國石化正處在數字化轉型的關鍵時期，集團上下都在按照“十四五”規劃的總體部署，加快推進世界一流企業建設。要全力打造世界領先潔凈能源化工公司，離不開安全、穩定、可控的信息化環境支撐，中國石化以習近平總書記關于網絡強國的重要思想為指導，深入學習貫徹黨的十九屆五中全會精神，進一步增強責任感、使命感和緊迫感，通過內聚外聯、規模創新，牢牢抓住科技革命和工業革命帶來的廣闊需求空間，雖然目前數據安全體系建設工作剛剛起步，但任重而道遠，我們將不斷探索，緊跟時代發展趨勢，踔厲奮發、篤行不怠，奮力開創公司數字化轉型智能化發展新局面，為集團公司可持續、高質量發展保駕護航。