網(wǎng)絡(luò)空間并不太平,網(wǎng)絡(luò)安全工作任重道遠(yuǎn),。我們要堅(jiān)定信心,、下定決心、保持恒心,、找準(zhǔn)重心,,堅(jiān)決防止形式主義,,強(qiáng)化風(fēng)險(xiǎn)意識(shí)和危機(jī)意識(shí),樹立底線思維,,做實(shí)各項(xiàng)防護(hù)措施,要以技術(shù)對(duì)技術(shù),,以技術(shù)管技術(shù),做到魔高一尺,、道高一丈“,努力使關(guān)基保護(hù)工作再上新臺(tái)階,!——靖小偉
當(dāng)前網(wǎng)絡(luò)空間斗爭形勢(shì)嚴(yán)峻,圍繞網(wǎng)絡(luò)空間主導(dǎo)權(quán)和控制權(quán)的競爭加劇,,國家間的網(wǎng)絡(luò)安全博弈日趨激烈,國家關(guān)鍵信息基礎(chǔ)設(shè)施(以下簡稱關(guān)基)已經(jīng)成為網(wǎng)絡(luò)空間戰(zhàn)略要地,。2021年5月7日,美國最大的燃油管道商科洛尼爾管道運(yùn)輸公司遭到勒索軟件攻擊,,被迫關(guān)閉8000多公里輸油管道,全美油氣管道業(yè)務(wù)受到嚴(yán)重影響,。伴隨新一代信息通信技術(shù)在更廣范圍,、更深層次,、更高水平與實(shí)體經(jīng)濟(jì)融合,,關(guān)基網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)也不斷滲透、擴(kuò)散、放大,,亟需在工業(yè)互聯(lián)網(wǎng)、區(qū)塊鏈,、5G、下一代互聯(lián)網(wǎng)(IPv6)等領(lǐng)域加大安全研究和應(yīng)用力度,。研究關(guān)基面臨的合規(guī)性要求、現(xiàn)實(shí)風(fēng)險(xiǎn)和問題,,開展體系化防護(hù)頂層設(shè)計(jì)具有重要意義。
關(guān)基安全保護(hù)條例主要內(nèi)容
2021年4月,,國務(wù)院第133次常務(wù)會(huì)議通過《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,自2021年9月1日起施行,。條例共六章五十一條??倓t部分規(guī)定了依據(jù)、概念內(nèi)涵外延,、職責(zé)、保護(hù)原則,、保護(hù)內(nèi)容等,。第二章”關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定“明確了保護(hù)工作部門,、認(rèn)定程序,、考慮因素。第三章”運(yùn)營者責(zé)任義務(wù)“規(guī)定了三同步原則,、運(yùn)營者負(fù)總責(zé)、設(shè)立安全管理機(jī)構(gòu),、安全管理機(jī)構(gòu)八項(xiàng)職責(zé),、安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估,、事件報(bào)告、產(chǎn)品和服務(wù)采購等內(nèi)容,;第四章”保障和促進(jìn)“規(guī)定了保護(hù)工作部門安全規(guī)劃、國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào),、保護(hù)工作監(jiān)測(cè)預(yù)警,、應(yīng)急管理、檢查檢測(cè),、技術(shù)支持和協(xié)助、信息保護(hù),、批準(zhǔn)和授權(quán)、安全保衛(wèi),、教育、標(biāo)準(zhǔn)化建設(shè),、機(jī)構(gòu)建設(shè)和管理、軍民融合等工作內(nèi)容,。第五章”法律責(zé)任“處罰條件和處罰內(nèi)容。關(guān)基安全保護(hù)條例為關(guān)基體系化防護(hù)頂層設(shè)計(jì)奠定了堅(jiān)實(shí)基礎(chǔ),。
關(guān)基防護(hù)的難點(diǎn)和挑戰(zhàn)
傳統(tǒng)的防護(hù)方式難以應(yīng)對(duì)龐大的關(guān)基系統(tǒng),在攻防體系化對(duì)抗和系統(tǒng)性風(fēng)險(xiǎn)長期存在的背景下,,關(guān)基防護(hù)問題凸現(xiàn),主要表現(xiàn)在:
01 每一個(gè)關(guān)基涉及系統(tǒng)數(shù)量多,、范圍廣,業(yè)務(wù)資產(chǎn)類型多,,條目繁雜,,更新變化快
與支撐的功能范圍日益擴(kuò)大對(duì)應(yīng),,資產(chǎn)不清,、風(fēng)險(xiǎn)不清,問題漏洞疏于管理的現(xiàn)象突出,,缺乏與業(yè)務(wù)相關(guān)的全局視角的安全關(guān)聯(lián)分析能力,,極易顧此失彼,造成一點(diǎn)突破,,橫向蔓延,核心系統(tǒng)造成重大損失,。
02 網(wǎng)絡(luò)互聯(lián)互通、系統(tǒng)用戶不固定,、數(shù)據(jù)推送范圍不斷擴(kuò)大
安全設(shè)計(jì)上普遍缺乏平臺(tái)統(tǒng)一的操作平臺(tái),管理上容易造成責(zé)任不清,,流程不清,隨意性操作,,缺乏審計(jì)管控,工作效率低下,,出現(xiàn)問題容易造成溯源困難,。
03 供應(yīng)鏈變化快,、系統(tǒng)升級(jí)快,、運(yùn)維人員變化快
安全管理缺乏統(tǒng)一的科學(xué)設(shè)計(jì),重視程度不高,,投入不足,。重建設(shè)輕運(yùn)維,,重硬件輕人員的現(xiàn)象普遍存在,制度化,、常態(tài)化的管控能力亟需進(jìn)一步提高。
04 應(yīng)急處置能力不足
安全威脅與事件缺乏快速發(fā)現(xiàn),、預(yù)警、處置的閉環(huán)管理,,安全態(tài)勢(shì)精準(zhǔn)研判與預(yù)測(cè)體系不足,動(dòng)態(tài)防御無法做到自動(dòng)化,、精準(zhǔn)化,、一體化。
05 新技術(shù)廣泛應(yīng)用帶來新的挑戰(zhàn)
云計(jì)算,、大數(shù)據(jù)等新技術(shù)應(yīng)用改變了信息化和業(yè)務(wù)環(huán)境,帶來了新的安全威脅,,但很多關(guān)鍵信息基礎(chǔ)設(shè)施單位采用的還是傳統(tǒng)的安全防護(hù)手段,缺乏基于數(shù)據(jù)的威脅分析,。
關(guān)基防護(hù)體系化設(shè)計(jì)的思路與方法
根據(jù)作者的經(jīng)驗(yàn),在實(shí)施關(guān)基保護(hù)時(shí),,首先需要對(duì)關(guān)基保護(hù)對(duì)象進(jìn)行整合。由于每一個(gè)關(guān)基保護(hù)對(duì)象涉及多個(gè)信息系統(tǒng),,需要將同類型關(guān)基系統(tǒng)進(jìn)行匯聚整合,構(gòu)建出工業(yè)控制,、大數(shù)據(jù)、門戶,、移動(dòng)應(yīng)用,、數(shù)據(jù)中心、云計(jì)算,、重點(diǎn)生產(chǎn)系統(tǒng)等關(guān)基體系,每一個(gè)體系構(gòu)建集中的安全防護(hù)平臺(tái),。圖1是網(wǎng)絡(luò)與系統(tǒng)安全設(shè)計(jì)示意圖,局域網(wǎng)承載了重點(diǎn)生產(chǎn)系統(tǒng),。
圖1 網(wǎng)絡(luò)與系統(tǒng)安全設(shè)計(jì)示意圖
集中整合后的網(wǎng)絡(luò)系統(tǒng)按照專網(wǎng)設(shè)計(jì),邏輯上劃分為生產(chǎn)區(qū),、數(shù)據(jù)區(qū)、中臺(tái)區(qū)和應(yīng)用區(qū),。生產(chǎn)區(qū)從裝置采集的數(shù)據(jù)集中匯總到數(shù)據(jù)區(qū),集中進(jìn)行網(wǎng)絡(luò)安全審計(jì)和處理后進(jìn)入數(shù)據(jù)中臺(tái)和應(yīng)用系統(tǒng),。
以下從十個(gè)方面來說明大型企業(yè)進(jìn)行關(guān)基防護(hù)體系化設(shè)計(jì)的思路與方法。
01 基于下一代互聯(lián)網(wǎng)技術(shù)的生產(chǎn)專網(wǎng)防護(hù)
利用IPV6技術(shù)構(gòu)建獨(dú)立的生產(chǎn)專網(wǎng),,對(duì)邊界進(jìn)行集中防護(hù),明確網(wǎng)絡(luò)邊界,。采用過渡技術(shù)使新建的IPv6網(wǎng)絡(luò)與原有的IPv4網(wǎng)絡(luò)能夠互聯(lián)互通,最大限度地利用現(xiàn)有資源和服務(wù),,同時(shí)驗(yàn)證安全方案在IPv6環(huán)境中的有效性并優(yōu)化。利用地址轉(zhuǎn)換技術(shù)(IVI),、過渡技術(shù)(4over6)可以實(shí)現(xiàn)IPv4到IPv6過渡網(wǎng)絡(luò)。圖2是基于IPv6的生產(chǎn)專網(wǎng)地址轉(zhuǎn)換示例,。實(shí)現(xiàn)專網(wǎng)內(nèi)部支持多個(gè)轉(zhuǎn)換區(qū)域,,并對(duì)部分技術(shù)(DNS64,、多前綴)進(jìn)行革新。
圖2 基于IPv6的生產(chǎn)專網(wǎng)地址轉(zhuǎn)換示例
02 態(tài)勢(shì)感知系統(tǒng)建設(shè)
網(wǎng)絡(luò)運(yùn)維監(jiān)控是安全不可缺少的組成部分,,但是目前管理部門不清楚各生產(chǎn)單位生產(chǎn)系統(tǒng)風(fēng)險(xiǎn)分布、資產(chǎn)情況,、漏洞情況等信息,無法協(xié)助各生產(chǎn)單位分析威脅發(fā)展與演變趨勢(shì),,需要建立安全態(tài)勢(shì)感知系統(tǒng),,對(duì)來自各生產(chǎn)單位的監(jiān)測(cè)流量精細(xì)分析,,全面感知生產(chǎn)系統(tǒng)安全態(tài)勢(shì)。圖3展示了一種態(tài)勢(shì)感知系統(tǒng)支撐平臺(tái)應(yīng)用架構(gòu)及實(shí)現(xiàn),。邏輯上主要包括三個(gè)層面,即:平臺(tái)層,、數(shù)據(jù)層和應(yīng)用層。平臺(tái)層以大數(shù)據(jù)技術(shù)為基礎(chǔ),,支持各類數(shù)據(jù)攝取,提供web技術(shù)框架,。數(shù)據(jù)層包括接入的數(shù)據(jù)包括網(wǎng)絡(luò)行為數(shù)據(jù)(D),、關(guān)聯(lián)信息數(shù)據(jù)(I)、知識(shí)數(shù)據(jù)(K)和情報(bào)數(shù)據(jù)(I),,其中網(wǎng)絡(luò)行為數(shù)據(jù)是類型多而數(shù)據(jù)量大的一類。應(yīng)用層以大數(shù)據(jù)安全解析引擎為基礎(chǔ),,以工作流引擎核心,采用插裝方式,,運(yùn)行過程開發(fā)新的檢測(cè)方法手段可以及時(shí)插裝到工作流中,,提高了系統(tǒng)可擴(kuò)展性,。
圖3 一種態(tài)勢(shì)感知系統(tǒng)支撐平臺(tái)應(yīng)用架構(gòu)及實(shí)現(xiàn)
03 安全監(jiān)測(cè)
如果生產(chǎn)單位缺乏系統(tǒng)安全監(jiān)控手段,,不清楚自己的設(shè)備資產(chǎn)情況,,網(wǎng)絡(luò)中出現(xiàn)非授權(quán)設(shè)備接入,、異常流量時(shí),沒有基本的監(jiān)測(cè)與分析判斷手段,,則有效的網(wǎng)絡(luò)安全管理就無從談起。因此,,需要在各生產(chǎn)單位建立生產(chǎn)系統(tǒng)安全監(jiān)測(cè)系統(tǒng),滿足資產(chǎn)管理,、設(shè)備監(jiān)控,、流量分析,、風(fēng)險(xiǎn)分析、應(yīng)急處理等需求,。
04 仿真驗(yàn)證測(cè)試
生產(chǎn)系統(tǒng)中任何安全措施的實(shí)施都有可能影響到生產(chǎn)業(yè)務(wù),安全設(shè)備部署,、安全策略調(diào)整、補(bǔ)丁升級(jí)等都需要在離線環(huán)境下經(jīng)過嚴(yán)格的仿真測(cè)試驗(yàn)證,,同時(shí)生產(chǎn)系統(tǒng)安全應(yīng)急演練、人員培訓(xùn),、攻防技術(shù)研究等需要離線仿真環(huán)境,工控新設(shè)備或維修設(shè)備入廠時(shí),,可能存在高危漏洞或攜帶木馬,、病毒等風(fēng)險(xiǎn),,需要建立測(cè)試驗(yàn)證環(huán)境。如:工控系統(tǒng)類型涉及SCADA數(shù)據(jù)采集與監(jiān)視控制系統(tǒng),、DCS集散控制系統(tǒng)、PSC智能化變配電監(jiān)控系統(tǒng)、DSP數(shù)字信號(hào)處理系統(tǒng),、PLC可編程邏輯控制系統(tǒng),主要風(fēng)險(xiǎn)包括網(wǎng)絡(luò)結(jié)構(gòu)脆弱,、黑客攻擊,、計(jì)算機(jī)病毒感染,、系統(tǒng)漏洞、對(duì)工業(yè)控制系統(tǒng)和設(shè)備缺乏有效安全管理等,,工業(yè)控制系統(tǒng)對(duì)穩(wěn)定性、實(shí)時(shí)性要求極高,,工控系統(tǒng)信息安全建設(shè)必須以不影響生產(chǎn)系統(tǒng)的正常運(yùn)行為前提,分離生產(chǎn)及測(cè)試環(huán)境,,工控信息安全產(chǎn)品和方案必須在離線工業(yè)控制系統(tǒng)進(jìn)行充分測(cè)試。因此生產(chǎn)系統(tǒng)仿真驗(yàn)證測(cè)試具有重要作用,。圖4是油氣生產(chǎn)領(lǐng)域仿真驗(yàn)證測(cè)試邏輯設(shè)計(jì)圖,。包括設(shè)備層,、控制層、監(jiān)控層和管理層,。為了有效驗(yàn)證防護(hù)手段的有效性和適應(yīng)性,在仿真環(huán)境的建設(shè)過程中應(yīng)盡量采用真實(shí)的工業(yè)控制設(shè)備和控制軟件。為了盡量使檢測(cè)評(píng)估結(jié)果客觀,、充分,,同品類的檢測(cè),、評(píng)估工具應(yīng)當(dāng)部署至少兩個(gè)品牌的工具,,用做交叉驗(yàn)證。
圖4 仿真驗(yàn)證測(cè)試邏輯設(shè)計(jì)示意圖
05 邊界安全
生產(chǎn)系統(tǒng)與辦公網(wǎng)存在必要的信息交互,,為生產(chǎn)管理系統(tǒng)提供決策信息,現(xiàn)有的生產(chǎn)環(huán)境往往采用雙網(wǎng)卡或防火墻隔離控制,,缺乏整體的安全解決方案,,需要解決安全隔離與信息交互之間的矛盾,。當(dāng)前,企業(yè)的生產(chǎn)系統(tǒng)內(nèi)部普遍缺乏有效的隔離與監(jiān)測(cè)機(jī)制,,因此,需要?jiǎng)澐职踩?,建立起網(wǎng)絡(luò)安全架構(gòu),梳理網(wǎng)絡(luò)邊界,,完善安全技術(shù)措施,,實(shí)現(xiàn)不同安全等級(jí)邊界之間的安全隔離,。
06 白環(huán)境建設(shè)
病毒和外部侵入是生產(chǎn)系統(tǒng)的直接威脅,,目前大多數(shù)生產(chǎn)系統(tǒng)不具備防病毒和入侵防護(hù)能力,即使配置殺毒軟件和入侵檢測(cè)系統(tǒng),,也由于相對(duì)隔離的環(huán)境,沒有升級(jí)條件,,長期不升級(jí)病毒庫和特征庫,,系統(tǒng)就失去了效用,。同時(shí)也由于殺毒軟件存在誤殺可能,會(huì)直接影響生產(chǎn)系統(tǒng)正常生產(chǎn),。需要研究行之有效的防護(hù)策略,從主機(jī),、網(wǎng)絡(luò)、設(shè)備等層面建立白環(huán)境機(jī)制,規(guī)范移動(dòng)存儲(chǔ)介質(zhì)等使用,,避免或降低安全風(fēng)險(xiǎn),。
07 補(bǔ)丁與策略
生產(chǎn)系統(tǒng)高危漏洞較多,,補(bǔ)丁更新升級(jí)比較困難,面臨的網(wǎng)絡(luò)安全壓力很大,,需要根據(jù)漏洞庫信息,建立補(bǔ)丁與策略管理機(jī)制,,對(duì)升級(jí)補(bǔ)丁測(cè)試驗(yàn)證,,制定解決方案,,同時(shí)通過安全策略調(diào)整和升級(jí),規(guī)避已知安全風(fēng)險(xiǎn)被利用,。
08 業(yè)務(wù)模型安全分析
任何基于防火墻、網(wǎng)閘,、安全網(wǎng)關(guān)等安全設(shè)備的被動(dòng)防御措施,防護(hù)效果有限,,都有被繞過的可能,。為了最大限度地提高生產(chǎn)系統(tǒng)安全防護(hù)能力,,主動(dòng)發(fā)現(xiàn)威脅,提前預(yù)警風(fēng)險(xiǎn),,需要對(duì)生產(chǎn)系統(tǒng)中的數(shù)據(jù)進(jìn)行深度建模分析,建立各類業(yè)務(wù)數(shù)據(jù)的安全狀態(tài)模型,,只有業(yè)務(wù)模型處于安全狀態(tài),其用戶,、操作,、運(yùn)維管理等才是合規(guī)的,否則視為非法行為,實(shí)施阻斷動(dòng)作,。
09 非授權(quán)行為阻斷
生產(chǎn)系統(tǒng)中,上位機(jī)操作人員訪問互聯(lián)網(wǎng)時(shí),,需要建立阻斷機(jī)制,防止內(nèi)部高危操作,;需要通過設(shè)備接入認(rèn)證與阻斷機(jī)制,保證授權(quán)設(shè)備安全接入,,阻斷非法設(shè)備;當(dāng)外部威脅攻擊時(shí),,能夠監(jiān)測(cè)并分析攻擊行為,對(duì)入侵行為進(jìn)行阻斷,。
10 接入與傳輸安全
行業(yè)生產(chǎn)系統(tǒng)覆蓋范圍大,無線傳輸方式使用較廣,,針對(duì)信息采集和生產(chǎn)控制等環(huán)節(jié)的節(jié)點(diǎn)接入驗(yàn)證、無線傳輸?shù)热狈Π踩珯C(jī)制,,存在假冒和信息截取風(fēng)險(xiǎn)。需要建立有效的設(shè)備接入驗(yàn)證,、無線通信傳輸與加密機(jī)制。
關(guān)基系統(tǒng)的安全防護(hù)除了這十個(gè)方面的頂層設(shè)計(jì),,還需要根據(jù)生產(chǎn)環(huán)境的實(shí)際情況,注意以下幾個(gè)方面的防護(hù)工作:
一是深入分析日常檢查出來的被攻破系統(tǒng)的攻擊路徑選取思路和溯源方法,,指導(dǎo)網(wǎng)絡(luò)、系統(tǒng),、數(shù)據(jù)中心收斂互聯(lián)網(wǎng)暴露面,包括互聯(lián)網(wǎng)敏感信息清理,、資產(chǎn)梳理,、網(wǎng)絡(luò)邊界梳理,、出口清查與應(yīng)用縮減等,提高網(wǎng)絡(luò)抗攻擊能力,。
二是加強(qiáng)管理通報(bào)和技術(shù)問題通報(bào),加強(qiáng)防釣魚,、防社工和供應(yīng)鏈安全主題教育和網(wǎng)絡(luò)安全實(shí)戰(zhàn)技能培訓(xùn),提升全員網(wǎng)絡(luò)安全意識(shí)和基本技能,。
三是強(qiáng)化溯源分析和調(diào)查取證方法和技術(shù),增設(shè)專用系統(tǒng),,高度重視外部網(wǎng)絡(luò)安全情報(bào)的獲取,、甄別,、分析和應(yīng)用,提升攻防對(duì)抗中的態(tài)勢(shì)感知能力,。
四是落實(shí)系統(tǒng)整改措施和安全加固方案,推廣通用措施和手段正面防護(hù),,包括梳理專網(wǎng)資產(chǎn)、從部署網(wǎng)絡(luò)空間測(cè)繪系統(tǒng),、內(nèi)部橫向攻擊監(jiān)測(cè)、專網(wǎng)安全防護(hù)以及泛終端安全等方面加強(qiáng)專網(wǎng)管控措施,,加強(qiáng)無線網(wǎng)絡(luò)安全監(jiān)測(cè)和防護(hù)、開發(fā)和測(cè)試系統(tǒng)安全,、源代碼安全,夯實(shí)網(wǎng)絡(luò)安全防御基礎(chǔ),。
五是針對(duì)專網(wǎng)中重點(diǎn)系統(tǒng)、集權(quán)系統(tǒng),、通訊系統(tǒng),,集中力量重點(diǎn)防御,包括提高漏洞發(fā)現(xiàn)和整改修復(fù)能力,加強(qiáng)主機(jī),、終端,、數(shù)據(jù),、郵件等方面安全防護(hù)能力,加強(qiáng)專網(wǎng)邊界出口內(nèi)容審計(jì),、加強(qiáng)身份認(rèn)證及域控服務(wù)安全,推動(dòng)防護(hù)加固方案落地執(zhí)行,。
作者介紹
靖小偉,計(jì)算機(jī)系博士學(xué)歷學(xué)位,,現(xiàn)任中國石油天然氣集團(tuán)公司數(shù)字和信息化管理部副總經(jīng)理。有近三十年的信息化建設(shè)工作經(jīng)歷,,全程參與中國石油信息技術(shù)總體規(guī)劃的編制和實(shí)施,組織編制并實(shí)施了網(wǎng)絡(luò)安全整體解決方案,,組織建設(shè)了全球計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)中心,、能源云計(jì)算平臺(tái)、辦公管理,、生產(chǎn)管理和經(jīng)營管理等信息系統(tǒng),。在網(wǎng)絡(luò)安全方面,,組織編制了20余個(gè)企業(yè)和行業(yè)標(biāo)準(zhǔn),起草并發(fā)布了16個(gè)安全基線配置規(guī)范,,組織編制了《企業(yè)信息安全管理》、《企業(yè)信息基礎(chǔ)設(shè)施管理》等信息化管理圖書,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<