《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 央企安全專家談實戰(zhàn)中關基保護頂層設計的思路與方法

央企安全專家談實戰(zhàn)中關基保護頂層設計的思路與方法

2022-11-07
來源:安全牛
關鍵詞: 關基保護

網(wǎng)絡空間并不太平,,網(wǎng)絡安全工作任重道遠。我們要堅定信心,、下定決心,、保持恒心,、找準重心,堅決防止形式主義,,強化風險意識和危機意識,,樹立底線思維,做實各項防護措施,,要以技術對技術,,以技術管技術,做到魔高一尺,、道高一丈“,,努力使關基保護工作再上新臺階!——靖小偉

  當前網(wǎng)絡空間斗爭形勢嚴峻,,圍繞網(wǎng)絡空間主導權和控制權的競爭加劇,,國家間的網(wǎng)絡安全博弈日趨激烈,國家關鍵信息基礎設施(以下簡稱關基)已經(jīng)成為網(wǎng)絡空間戰(zhàn)略要地,。2021年5月7日,,美國最大的燃油管道商科洛尼爾管道運輸公司遭到勒索軟件攻擊,被迫關閉8000多公里輸油管道,,全美油氣管道業(yè)務受到嚴重影響,。伴隨新一代信息通信技術在更廣范圍、更深層次,、更高水平與實體經(jīng)濟融合,,關基網(wǎng)絡安全風險和挑戰(zhàn)也不斷滲透、擴散,、放大,,亟需在工業(yè)互聯(lián)網(wǎng)、區(qū)塊鏈,、5G,、下一代互聯(lián)網(wǎng)(IPv6)等領域加大安全研究和應用力度,。研究關基面臨的合規(guī)性要求、現(xiàn)實風險和問題,,開展體系化防護頂層設計具有重要意義,。

  關基安全保護條例主要內(nèi)容

  2021年4月,國務院第133次常務會議通過《關鍵信息基礎設施安全保護條例》,,自2021年9月1日起施行,。條例共六章五十一條??倓t部分規(guī)定了依據(jù),、概念內(nèi)涵外延、職責,、保護原則,、保護內(nèi)容等。第二章”關鍵信息基礎設施認定“明確了保護工作部門,、認定程序,、考慮因素。第三章”運營者責任義務“規(guī)定了三同步原則,、運營者負總責,、設立安全管理機構、安全管理機構八項職責,、安全檢測和風險評估,、事件報告、產(chǎn)品和服務采購等內(nèi)容,;第四章”保障和促進“規(guī)定了保護工作部門安全規(guī)劃,、國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)、保護工作監(jiān)測預警,、應急管理,、檢查檢測、技術支持和協(xié)助,、信息保護,、批準和授權、安全保衛(wèi),、教育,、標準化建設、機構建設和管理,、軍民融合等工作內(nèi)容,。第五章”法律責任“處罰條件和處罰內(nèi)容。關基安全保護條例為關基體系化防護頂層設計奠定了堅實基礎,。

  關基防護的難點和挑戰(zhàn)

  傳統(tǒng)的防護方式難以應對龐大的關基系統(tǒng),,在攻防體系化對抗和系統(tǒng)性風險長期存在的背景下,關基防護問題凸現(xiàn),,主要表現(xiàn)在:

  01 每一個關基涉及系統(tǒng)數(shù)量多,、范圍廣,業(yè)務資產(chǎn)類型多,,條目繁雜,,更新變化快

  與支撐的功能范圍日益擴大對應,資產(chǎn)不清,、風險不清,,問題漏洞疏于管理的現(xiàn)象突出,缺乏與業(yè)務相關的全局視角的安全關聯(lián)分析能力,,極易顧此失彼,,造成一點突破,橫向蔓延,,核心系統(tǒng)造成重大損失,。

  02 網(wǎng)絡互聯(lián)互通、系統(tǒng)用戶不固定,、數(shù)據(jù)推送范圍不斷擴大

  安全設計上普遍缺乏平臺統(tǒng)一的操作平臺,,管理上容易造成責任不清,流程不清,,隨意性操作,,缺乏審計管控,工作效率低下,,出現(xiàn)問題容易造成溯源困難,。

  03 供應鏈變化快、系統(tǒng)升級快,、運維人員變化快

  安全管理缺乏統(tǒng)一的科學設計,,重視程度不高,投入不足,。重建設輕運維,,重硬件輕人員的現(xiàn)象普遍存在,制度化,、常態(tài)化的管控能力亟需進一步提高,。

  04 應急處置能力不足

  安全威脅與事件缺乏快速發(fā)現(xiàn)、預警,、處置的閉環(huán)管理,,安全態(tài)勢精準研判與預測體系不足,動態(tài)防御無法做到自動化,、精準化,、一體化,。

  05 新技術廣泛應用帶來新的挑戰(zhàn)

  云計算、大數(shù)據(jù)等新技術應用改變了信息化和業(yè)務環(huán)境,,帶來了新的安全威脅,,但很多關鍵信息基礎設施單位采用的還是傳統(tǒng)的安全防護手段,缺乏基于數(shù)據(jù)的威脅分析,。

  關基防護體系化設計的思路與方法

  根據(jù)作者的經(jīng)驗,,在實施關基保護時,首先需要對關基保護對象進行整合,。由于每一個關基保護對象涉及多個信息系統(tǒng),,需要將同類型關基系統(tǒng)進行匯聚整合,構建出工業(yè)控制,、大數(shù)據(jù),、門戶、移動應用,、數(shù)據(jù)中心,、云計算、重點生產(chǎn)系統(tǒng)等關基體系,,每一個體系構建集中的安全防護平臺,。圖1是網(wǎng)絡與系統(tǒng)安全設計示意圖,局域網(wǎng)承載了重點生產(chǎn)系統(tǒng),。

微信圖片_20221107135811.png  

  圖1  網(wǎng)絡與系統(tǒng)安全設計示意圖

  集中整合后的網(wǎng)絡系統(tǒng)按照專網(wǎng)設計,,邏輯上劃分為生產(chǎn)區(qū)、數(shù)據(jù)區(qū),、中臺區(qū)和應用區(qū),。生產(chǎn)區(qū)從裝置采集的數(shù)據(jù)集中匯總到數(shù)據(jù)區(qū),集中進行網(wǎng)絡安全審計和處理后進入數(shù)據(jù)中臺和應用系統(tǒng),。

  以下從十個方面來說明大型企業(yè)進行關基防護體系化設計的思路與方法,。

  01 基于下一代互聯(lián)網(wǎng)技術的生產(chǎn)專網(wǎng)防護

  利用IPV6技術構建獨立的生產(chǎn)專網(wǎng),對邊界進行集中防護,,明確網(wǎng)絡邊界,。采用過渡技術使新建的IPv6網(wǎng)絡與原有的IPv4網(wǎng)絡能夠互聯(lián)互通,最大限度地利用現(xiàn)有資源和服務,,同時驗證安全方案在IPv6環(huán)境中的有效性并優(yōu)化,。利用地址轉(zhuǎn)換技術(IVI)、過渡技術(4over6)可以實現(xiàn)IPv4到IPv6過渡網(wǎng)絡,。圖2是基于IPv6的生產(chǎn)專網(wǎng)地址轉(zhuǎn)換示例,。實現(xiàn)專網(wǎng)內(nèi)部支持多個轉(zhuǎn)換區(qū)域,并對部分技術(DNS64、多前綴)進行革新,。

  微信圖片_20221107135814.png

  圖2 基于IPv6的生產(chǎn)專網(wǎng)地址轉(zhuǎn)換示例

  02 態(tài)勢感知系統(tǒng)建設

  網(wǎng)絡運維監(jiān)控是安全不可缺少的組成部分,,但是目前管理部門不清楚各生產(chǎn)單位生產(chǎn)系統(tǒng)風險分布、資產(chǎn)情況,、漏洞情況等信息,,無法協(xié)助各生產(chǎn)單位分析威脅發(fā)展與演變趨勢,需要建立安全態(tài)勢感知系統(tǒng),,對來自各生產(chǎn)單位的監(jiān)測流量精細分析,全面感知生產(chǎn)系統(tǒng)安全態(tài)勢,。圖3展示了一種態(tài)勢感知系統(tǒng)支撐平臺應用架構及實現(xiàn),。邏輯上主要包括三個層面,即:平臺層,、數(shù)據(jù)層和應用層,。平臺層以大數(shù)據(jù)技術為基礎,支持各類數(shù)據(jù)攝取,,提供web技術框架,。數(shù)據(jù)層包括接入的數(shù)據(jù)包括網(wǎng)絡行為數(shù)據(jù)(D)、關聯(lián)信息數(shù)據(jù)(I),、知識數(shù)據(jù)(K)和情報數(shù)據(jù)(I),,其中網(wǎng)絡行為數(shù)據(jù)是類型多而數(shù)據(jù)量大的一類。應用層以大數(shù)據(jù)安全解析引擎為基礎,,以工作流引擎核心,,采用插裝方式,運行過程開發(fā)新的檢測方法手段可以及時插裝到工作流中,,提高了系統(tǒng)可擴展性,。

  微信圖片_20221107135817.png

  圖3 一種態(tài)勢感知系統(tǒng)支撐平臺應用架構及實現(xiàn)

  03 安全監(jiān)測

  如果生產(chǎn)單位缺乏系統(tǒng)安全監(jiān)控手段,不清楚自己的設備資產(chǎn)情況,,網(wǎng)絡中出現(xiàn)非授權設備接入,、異常流量時,沒有基本的監(jiān)測與分析判斷手段,,則有效的網(wǎng)絡安全管理就無從談起,。因此,需要在各生產(chǎn)單位建立生產(chǎn)系統(tǒng)安全監(jiān)測系統(tǒng),,滿足資產(chǎn)管理,、設備監(jiān)控、流量分析,、風險分析,、應急處理等需求。

  04 仿真驗證測試

  生產(chǎn)系統(tǒng)中任何安全措施的實施都有可能影響到生產(chǎn)業(yè)務,,安全設備部署,、安全策略調(diào)整,、補丁升級等都需要在離線環(huán)境下經(jīng)過嚴格的仿真測試驗證,同時生產(chǎn)系統(tǒng)安全應急演練,、人員培訓,、攻防技術研究等需要離線仿真環(huán)境,工控新設備或維修設備入廠時,,可能存在高危漏洞或攜帶木馬,、病毒等風險,需要建立測試驗證環(huán)境,。如:工控系統(tǒng)類型涉及SCADA數(shù)據(jù)采集與監(jiān)視控制系統(tǒng),、DCS集散控制系統(tǒng)、PSC智能化變配電監(jiān)控系統(tǒng),、DSP數(shù)字信號處理系統(tǒng),、PLC可編程邏輯控制系統(tǒng),主要風險包括網(wǎng)絡結(jié)構脆弱,、黑客攻擊,、計算機病毒感染、系統(tǒng)漏洞,、對工業(yè)控制系統(tǒng)和設備缺乏有效安全管理等,,工業(yè)控制系統(tǒng)對穩(wěn)定性、實時性要求極高,,工控系統(tǒng)信息安全建設必須以不影響生產(chǎn)系統(tǒng)的正常運行為前提,,分離生產(chǎn)及測試環(huán)境,工控信息安全產(chǎn)品和方案必須在離線工業(yè)控制系統(tǒng)進行充分測試,。因此生產(chǎn)系統(tǒng)仿真驗證測試具有重要作用,。圖4是油氣生產(chǎn)領域仿真驗證測試邏輯設計圖。包括設備層,、控制層,、監(jiān)控層和管理層。為了有效驗證防護手段的有效性和適應性,,在仿真環(huán)境的建設過程中應盡量采用真實的工業(yè)控制設備和控制軟件,。為了盡量使檢測評估結(jié)果客觀、充分,,同品類的檢測,、評估工具應當部署至少兩個品牌的工具,用做交叉驗證,。

  微信圖片_20221107135820.png

  圖4  仿真驗證測試邏輯設計示意圖

  05 邊界安全

  生產(chǎn)系統(tǒng)與辦公網(wǎng)存在必要的信息交互,,為生產(chǎn)管理系統(tǒng)提供決策信息,現(xiàn)有的生產(chǎn)環(huán)境往往采用雙網(wǎng)卡或防火墻隔離控制,缺乏整體的安全解決方案,,需要解決安全隔離與信息交互之間的矛盾,。當前,企業(yè)的生產(chǎn)系統(tǒng)內(nèi)部普遍缺乏有效的隔離與監(jiān)測機制,,因此,,需要劃分安全域,建立起網(wǎng)絡安全架構,,梳理網(wǎng)絡邊界,,完善安全技術措施,實現(xiàn)不同安全等級邊界之間的安全隔離,。

  06 白環(huán)境建設

  病毒和外部侵入是生產(chǎn)系統(tǒng)的直接威脅,,目前大多數(shù)生產(chǎn)系統(tǒng)不具備防病毒和入侵防護能力,即使配置殺毒軟件和入侵檢測系統(tǒng),,也由于相對隔離的環(huán)境,,沒有升級條件,,長期不升級病毒庫和特征庫,,系統(tǒng)就失去了效用。同時也由于殺毒軟件存在誤殺可能,,會直接影響生產(chǎn)系統(tǒng)正常生產(chǎn),。需要研究行之有效的防護策略,從主機,、網(wǎng)絡,、設備等層面建立白環(huán)境機制,規(guī)范移動存儲介質(zhì)等使用,,避免或降低安全風險,。

  07 補丁與策略

  生產(chǎn)系統(tǒng)高危漏洞較多,補丁更新升級比較困難,,面臨的網(wǎng)絡安全壓力很大,,需要根據(jù)漏洞庫信息,建立補丁與策略管理機制,,對升級補丁測試驗證,,制定解決方案,同時通過安全策略調(diào)整和升級,,規(guī)避已知安全風險被利用,。

  08 業(yè)務模型安全分析

  任何基于防火墻、網(wǎng)閘,、安全網(wǎng)關等安全設備的被動防御措施,,防護效果有限,都有被繞過的可能。為了最大限度地提高生產(chǎn)系統(tǒng)安全防護能力,,主動發(fā)現(xiàn)威脅,,提前預警風險,需要對生產(chǎn)系統(tǒng)中的數(shù)據(jù)進行深度建模分析,,建立各類業(yè)務數(shù)據(jù)的安全狀態(tài)模型,,只有業(yè)務模型處于安全狀態(tài),其用戶,、操作,、運維管理等才是合規(guī)的,否則視為非法行為,,實施阻斷動作,。

  09 非授權行為阻斷

  生產(chǎn)系統(tǒng)中,上位機操作人員訪問互聯(lián)網(wǎng)時,,需要建立阻斷機制,,防止內(nèi)部高危操作;需要通過設備接入認證與阻斷機制,,保證授權設備安全接入,,阻斷非法設備;當外部威脅攻擊時,,能夠監(jiān)測并分析攻擊行為,,對入侵行為進行阻斷。

  10 接入與傳輸安全

  行業(yè)生產(chǎn)系統(tǒng)覆蓋范圍大,,無線傳輸方式使用較廣,,針對信息采集和生產(chǎn)控制等環(huán)節(jié)的節(jié)點接入驗證、無線傳輸?shù)热狈Π踩珯C制,,存在假冒和信息截取風險,。需要建立有效的設備接入驗證、無線通信傳輸與加密機制,。

  關基系統(tǒng)的安全防護除了這十個方面的頂層設計,,還需要根據(jù)生產(chǎn)環(huán)境的實際情況,注意以下幾個方面的防護工作:

  一是深入分析日常檢查出來的被攻破系統(tǒng)的攻擊路徑選取思路和溯源方法,,指導網(wǎng)絡,、系統(tǒng)、數(shù)據(jù)中心收斂互聯(lián)網(wǎng)暴露面,,包括互聯(lián)網(wǎng)敏感信息清理,、資產(chǎn)梳理、網(wǎng)絡邊界梳理,、出口清查與應用縮減等,,提高網(wǎng)絡抗攻擊能力,。

  二是加強管理通報和技術問題通報,加強防釣魚,、防社工和供應鏈安全主題教育和網(wǎng)絡安全實戰(zhàn)技能培訓,,提升全員網(wǎng)絡安全意識和基本技能。

  三是強化溯源分析和調(diào)查取證方法和技術,,增設專用系統(tǒng),,高度重視外部網(wǎng)絡安全情報的獲取、甄別,、分析和應用,,提升攻防對抗中的態(tài)勢感知能力。

  四是落實系統(tǒng)整改措施和安全加固方案,,推廣通用措施和手段正面防護,,包括梳理專網(wǎng)資產(chǎn)、從部署網(wǎng)絡空間測繪系統(tǒng),、內(nèi)部橫向攻擊監(jiān)測,、專網(wǎng)安全防護以及泛終端安全等方面加強專網(wǎng)管控措施,加強無線網(wǎng)絡安全監(jiān)測和防護,、開發(fā)和測試系統(tǒng)安全,、源代碼安全,夯實網(wǎng)絡安全防御基礎,。

  五是針對專網(wǎng)中重點系統(tǒng),、集權系統(tǒng),、通訊系統(tǒng),,集中力量重點防御,包括提高漏洞發(fā)現(xiàn)和整改修復能力,,加強主機,、終端、數(shù)據(jù),、郵件等方面安全防護能力,,加強專網(wǎng)邊界出口內(nèi)容審計、加強身份認證及域控服務安全,,推動防護加固方案落地執(zhí)行,。

  作者介紹

  靖小偉,計算機系博士學歷學位,,現(xiàn)任中國石油天然氣集團公司數(shù)字和信息化管理部副總經(jīng)理,。有近三十年的信息化建設工作經(jīng)歷,全程參與中國石油信息技術總體規(guī)劃的編制和實施,,組織編制并實施了網(wǎng)絡安全整體解決方案,,組織建設了全球計算機網(wǎng)絡,、數(shù)據(jù)中心、能源云計算平臺,、辦公管理,、生產(chǎn)管理和經(jīng)營管理等信息系統(tǒng)。在網(wǎng)絡安全方面,,組織編制了20余個企業(yè)和行業(yè)標準,,起草并發(fā)布了16個安全基線配置規(guī)范,組織編制了《企業(yè)信息安全管理》,、《企業(yè)信息基礎設施管理》等信息化管理圖書,。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。