網(wǎng)絡(luò)空間并不太平，網(wǎng)絡(luò)安全工作任重道遠。我們要堅定信心、下定決心、保持恒心、找準重心，堅決防止形式主義，強化風(fēng)險意識和危機意識，樹立底線思維，做實各項防護措施，要以技術(shù)對技術(shù)，以技術(shù)管技術(shù)，做到魔高一尺、道高一丈“，努力使關(guān)基保護工作再上新臺階！——靖小偉

　　當前網(wǎng)絡(luò)空間斗爭形勢嚴峻，圍繞網(wǎng)絡(luò)空間主導(dǎo)權(quán)和控制權(quán)的競爭加劇，國家間的網(wǎng)絡(luò)安全博弈日趨激烈，國家關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱關(guān)基）已經(jīng)成為網(wǎng)絡(luò)空間戰(zhàn)略要地。2021年5月7日，美國最大的燃油管道商科洛尼爾管道運輸公司遭到勒索軟件攻擊，被迫關(guān)閉8000多公里輸油管道，全美油氣管道業(yè)務(wù)受到嚴重影響。伴隨新一代信息通信技術(shù)在更廣范圍、更深層次、更高水平與實體經(jīng)濟融合，關(guān)基網(wǎng)絡(luò)安全風(fēng)險和挑戰(zhàn)也不斷滲透、擴散、放大，亟需在工業(yè)互聯(lián)網(wǎng)、區(qū)塊鏈、5G、下一代互聯(lián)網(wǎng)（IPv6）等領(lǐng)域加大安全研究和應(yīng)用力度。研究關(guān)基面臨的合規(guī)性要求、現(xiàn)實風(fēng)險和問題，開展體系化防護頂層設(shè)計具有重要意義。

　　關(guān)基安全保護條例主要內(nèi)容

　　2021年4月，國務(wù)院第133次常務(wù)會議通過《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，自2021年9月1日起施行。條例共六章五十一條?？倓t部分規(guī)定了依據(jù)、概念內(nèi)涵外延、職責(zé)、保護原則、保護內(nèi)容等。第二章”關(guān)鍵信息基礎(chǔ)設(shè)施認定“明確了保護工作部門、認定程序、考慮因素。第三章”運營者責(zé)任義務(wù)“規(guī)定了三同步原則、運營者負總責(zé)、設(shè)立安全管理機構(gòu)、安全管理機構(gòu)八項職責(zé)、安全檢測和風(fēng)險評估、事件報告、產(chǎn)品和服務(wù)采購等內(nèi)容；第四章”保障和促進“規(guī)定了保護工作部門安全規(guī)劃、國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)、保護工作監(jiān)測預(yù)警、應(yīng)急管理、檢查檢測、技術(shù)支持和協(xié)助、信息保護、批準和授權(quán)、安全保衛(wèi)、教育、標準化建設(shè)、機構(gòu)建設(shè)和管理、軍民融合等工作內(nèi)容。第五章”法律責(zé)任“處罰條件和處罰內(nèi)容。關(guān)基安全保護條例為關(guān)基體系化防護頂層設(shè)計奠定了堅實基礎(chǔ)。

　　關(guān)基防護的難點和挑戰(zhàn)

　　傳統(tǒng)的防護方式難以應(yīng)對龐大的關(guān)基系統(tǒng)，在攻防體系化對抗和系統(tǒng)性風(fēng)險長期存在的背景下，關(guān)基防護問題凸現(xiàn)，主要表現(xiàn)在：

　　01 每一個關(guān)基涉及系統(tǒng)數(shù)量多、范圍廣，業(yè)務(wù)資產(chǎn)類型多，條目繁雜，更新變化快

　　與支撐的功能范圍日益擴大對應(yīng)，資產(chǎn)不清、風(fēng)險不清，問題漏洞疏于管理的現(xiàn)象突出，缺乏與業(yè)務(wù)相關(guān)的全局視角的安全關(guān)聯(lián)分析能力，極易顧此失彼，造成一點突破，橫向蔓延，核心系統(tǒng)造成重大損失。

　　02 網(wǎng)絡(luò)互聯(lián)互通、系統(tǒng)用戶不固定、數(shù)據(jù)推送范圍不斷擴大

　　安全設(shè)計上普遍缺乏平臺統(tǒng)一的操作平臺，管理上容易造成責(zé)任不清，流程不清，隨意性操作，缺乏審計管控，工作效率低下，出現(xiàn)問題容易造成溯源困難。

　　03 供應(yīng)鏈變化快、系統(tǒng)升級快、運維人員變化快

　　安全管理缺乏統(tǒng)一的科學(xué)設(shè)計，重視程度不高，投入不足。重建設(shè)輕運維，重硬件輕人員的現(xiàn)象普遍存在，制度化、常態(tài)化的管控能力亟需進一步提高。

　　04 應(yīng)急處置能力不足

　　安全威脅與事件缺乏快速發(fā)現(xiàn)、預(yù)警、處置的閉環(huán)管理，安全態(tài)勢精準研判與預(yù)測體系不足，動態(tài)防御無法做到自動化、精準化、一體化。

　　05 新技術(shù)廣泛應(yīng)用帶來新的挑戰(zhàn)

　　云計算、大數(shù)據(jù)等新技術(shù)應(yīng)用改變了信息化和業(yè)務(wù)環(huán)境，帶來了新的安全威脅，但很多關(guān)鍵信息基礎(chǔ)設(shè)施單位采用的還是傳統(tǒng)的安全防護手段，缺乏基于數(shù)據(jù)的威脅分析。

　　關(guān)基防護體系化設(shè)計的思路與方法

　　根據(jù)作者的經(jīng)驗，在實施關(guān)基保護時，首先需要對關(guān)基保護對象進行整合。由于每一個關(guān)基保護對象涉及多個信息系統(tǒng)，需要將同類型關(guān)基系統(tǒng)進行匯聚整合，構(gòu)建出工業(yè)控制、大數(shù)據(jù)、門戶、移動應(yīng)用、數(shù)據(jù)中心、云計算、重點生產(chǎn)系統(tǒng)等關(guān)基體系，每一個體系構(gòu)建集中的安全防護平臺。圖1是網(wǎng)絡(luò)與系統(tǒng)安全設(shè)計示意圖，局域網(wǎng)承載了重點生產(chǎn)系統(tǒng)。

　　圖1  網(wǎng)絡(luò)與系統(tǒng)安全設(shè)計示意圖

　　集中整合后的網(wǎng)絡(luò)系統(tǒng)按照專網(wǎng)設(shè)計，邏輯上劃分為生產(chǎn)區(qū)、數(shù)據(jù)區(qū)、中臺區(qū)和應(yīng)用區(qū)。生產(chǎn)區(qū)從裝置采集的數(shù)據(jù)集中匯總到數(shù)據(jù)區(qū)，集中進行網(wǎng)絡(luò)安全審計和處理后進入數(shù)據(jù)中臺和應(yīng)用系統(tǒng)。

　　以下從十個方面來說明大型企業(yè)進行關(guān)基防護體系化設(shè)計的思路與方法。

　　01 基于下一代互聯(lián)網(wǎng)技術(shù)的生產(chǎn)專網(wǎng)防護

　　利用IPV6技術(shù)構(gòu)建獨立的生產(chǎn)專網(wǎng)，對邊界進行集中防護，明確網(wǎng)絡(luò)邊界。采用過渡技術(shù)使新建的IPv6網(wǎng)絡(luò)與原有的IPv4網(wǎng)絡(luò)能夠互聯(lián)互通，最大限度地利用現(xiàn)有資源和服務(wù)，同時驗證安全方案在IPv6環(huán)境中的有效性并優(yōu)化。利用地址轉(zhuǎn)換技術(shù)（IVI）、過渡技術(shù)（4over6）可以實現(xiàn)IPv4到IPv6過渡網(wǎng)絡(luò)。圖2是基于IPv6的生產(chǎn)專網(wǎng)地址轉(zhuǎn)換示例。實現(xiàn)專網(wǎng)內(nèi)部支持多個轉(zhuǎn)換區(qū)域，并對部分技術(shù)（DNS64、多前綴）進行革新。

　　圖2 基于IPv6的生產(chǎn)專網(wǎng)地址轉(zhuǎn)換示例

　　02 態(tài)勢感知系統(tǒng)建設(shè)

　　網(wǎng)絡(luò)運維監(jiān)控是安全不可缺少的組成部分，但是目前管理部門不清楚各生產(chǎn)單位生產(chǎn)系統(tǒng)風(fēng)險分布、資產(chǎn)情況、漏洞情況等信息，無法協(xié)助各生產(chǎn)單位分析威脅發(fā)展與演變趨勢，需要建立安全態(tài)勢感知系統(tǒng)，對來自各生產(chǎn)單位的監(jiān)測流量精細分析，全面感知生產(chǎn)系統(tǒng)安全態(tài)勢。圖3展示了一種態(tài)勢感知系統(tǒng)支撐平臺應(yīng)用架構(gòu)及實現(xiàn)。邏輯上主要包括三個層面，即：平臺層、數(shù)據(jù)層和應(yīng)用層。平臺層以大數(shù)據(jù)技術(shù)為基礎(chǔ)，支持各類數(shù)據(jù)攝取，提供web技術(shù)框架。數(shù)據(jù)層包括接入的數(shù)據(jù)包括網(wǎng)絡(luò)行為數(shù)據(jù)（D）、關(guān)聯(lián)信息數(shù)據(jù)（I）、知識數(shù)據(jù)（K）和情報數(shù)據(jù)（I），其中網(wǎng)絡(luò)行為數(shù)據(jù)是類型多而數(shù)據(jù)量大的一類。應(yīng)用層以大數(shù)據(jù)安全解析引擎為基礎(chǔ)，以工作流引擎核心，采用插裝方式，運行過程開發(fā)新的檢測方法手段可以及時插裝到工作流中，提高了系統(tǒng)可擴展性。

　　圖3 一種態(tài)勢感知系統(tǒng)支撐平臺應(yīng)用架構(gòu)及實現(xiàn)

　　03 安全監(jiān)測

　　如果生產(chǎn)單位缺乏系統(tǒng)安全監(jiān)控手段，不清楚自己的設(shè)備資產(chǎn)情況，網(wǎng)絡(luò)中出現(xiàn)非授權(quán)設(shè)備接入、異常流量時，沒有基本的監(jiān)測與分析判斷手段，則有效的網(wǎng)絡(luò)安全管理就無從談起。因此，需要在各生產(chǎn)單位建立生產(chǎn)系統(tǒng)安全監(jiān)測系統(tǒng)，滿足資產(chǎn)管理、設(shè)備監(jiān)控、流量分析、風(fēng)險分析、應(yīng)急處理等需求。

　　04 仿真驗證測試

　　生產(chǎn)系統(tǒng)中任何安全措施的實施都有可能影響到生產(chǎn)業(yè)務(wù)，安全設(shè)備部署、安全策略調(diào)整、補丁升級等都需要在離線環(huán)境下經(jīng)過嚴格的仿真測試驗證，同時生產(chǎn)系統(tǒng)安全應(yīng)急演練、人員培訓(xùn)、攻防技術(shù)研究等需要離線仿真環(huán)境，工控新設(shè)備或維修設(shè)備入廠時，可能存在高危漏洞或攜帶木馬、病毒等風(fēng)險，需要建立測試驗證環(huán)境。如：工控系統(tǒng)類型涉及SCADA數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)、DCS集散控制系統(tǒng)、PSC智能化變配電監(jiān)控系統(tǒng)、DSP數(shù)字信號處理系統(tǒng)、PLC可編程邏輯控制系統(tǒng)，主要風(fēng)險包括網(wǎng)絡(luò)結(jié)構(gòu)脆弱、黑客攻擊、計算機病毒感染、系統(tǒng)漏洞、對工業(yè)控制系統(tǒng)和設(shè)備缺乏有效安全管理等，工業(yè)控制系統(tǒng)對穩(wěn)定性、實時性要求極高，工控系統(tǒng)信息安全建設(shè)必須以不影響生產(chǎn)系統(tǒng)的正常運行為前提，分離生產(chǎn)及測試環(huán)境，工控信息安全產(chǎn)品和方案必須在離線工業(yè)控制系統(tǒng)進行充分測試。因此生產(chǎn)系統(tǒng)仿真驗證測試具有重要作用。圖4是油氣生產(chǎn)領(lǐng)域仿真驗證測試邏輯設(shè)計圖。包括設(shè)備層、控制層、監(jiān)控層和管理層。為了有效驗證防護手段的有效性和適應(yīng)性，在仿真環(huán)境的建設(shè)過程中應(yīng)盡量采用真實的工業(yè)控制設(shè)備和控制軟件。為了盡量使檢測評估結(jié)果客觀、充分，同品類的檢測、評估工具應(yīng)當部署至少兩個品牌的工具，用做交叉驗證。

　　圖4  仿真驗證測試邏輯設(shè)計示意圖

　　05 邊界安全

　　生產(chǎn)系統(tǒng)與辦公網(wǎng)存在必要的信息交互，為生產(chǎn)管理系統(tǒng)提供決策信息，現(xiàn)有的生產(chǎn)環(huán)境往往采用雙網(wǎng)卡或防火墻隔離控制，缺乏整體的安全解決方案，需要解決安全隔離與信息交互之間的矛盾。當前，企業(yè)的生產(chǎn)系統(tǒng)內(nèi)部普遍缺乏有效的隔離與監(jiān)測機制，因此，需要劃分安全域，建立起網(wǎng)絡(luò)安全架構(gòu)，梳理網(wǎng)絡(luò)邊界，完善安全技術(shù)措施，實現(xiàn)不同安全等級邊界之間的安全隔離。

　　06 白環(huán)境建設(shè)

　　病毒和外部侵入是生產(chǎn)系統(tǒng)的直接威脅，目前大多數(shù)生產(chǎn)系統(tǒng)不具備防病毒和入侵防護能力，即使配置殺毒軟件和入侵檢測系統(tǒng)，也由于相對隔離的環(huán)境，沒有升級條件，長期不升級病毒庫和特征庫，系統(tǒng)就失去了效用。同時也由于殺毒軟件存在誤殺可能，會直接影響生產(chǎn)系統(tǒng)正常生產(chǎn)。需要研究行之有效的防護策略，從主機、網(wǎng)絡(luò)、設(shè)備等層面建立白環(huán)境機制，規(guī)范移動存儲介質(zhì)等使用，避免或降低安全風(fēng)險。

　　07 補丁與策略

　　生產(chǎn)系統(tǒng)高危漏洞較多，補丁更新升級比較困難，面臨的網(wǎng)絡(luò)安全壓力很大，需要根據(jù)漏洞庫信息，建立補丁與策略管理機制，對升級補丁測試驗證，制定解決方案，同時通過安全策略調(diào)整和升級，規(guī)避已知安全風(fēng)險被利用。

　　08 業(yè)務(wù)模型安全分析

　　任何基于防火墻、網(wǎng)閘、安全網(wǎng)關(guān)等安全設(shè)備的被動防御措施，防護效果有限，都有被繞過的可能。為了最大限度地提高生產(chǎn)系統(tǒng)安全防護能力，主動發(fā)現(xiàn)威脅，提前預(yù)警風(fēng)險，需要對生產(chǎn)系統(tǒng)中的數(shù)據(jù)進行深度建模分析，建立各類業(yè)務(wù)數(shù)據(jù)的安全狀態(tài)模型，只有業(yè)務(wù)模型處于安全狀態(tài)，其用戶、操作、運維管理等才是合規(guī)的，否則視為非法行為，實施阻斷動作。

　　09 非授權(quán)行為阻斷

　　生產(chǎn)系統(tǒng)中，上位機操作人員訪問互聯(lián)網(wǎng)時，需要建立阻斷機制，防止內(nèi)部高危操作；需要通過設(shè)備接入認證與阻斷機制，保證授權(quán)設(shè)備安全接入，阻斷非法設(shè)備；當外部威脅攻擊時，能夠監(jiān)測并分析攻擊行為，對入侵行為進行阻斷。

　　10 接入與傳輸安全

　　行業(yè)生產(chǎn)系統(tǒng)覆蓋范圍大，無線傳輸方式使用較廣，針對信息采集和生產(chǎn)控制等環(huán)節(jié)的節(jié)點接入驗證、無線傳輸?shù)热狈Π踩珯C制，存在假冒和信息截取風(fēng)險。需要建立有效的設(shè)備接入驗證、無線通信傳輸與加密機制。

　　關(guān)基系統(tǒng)的安全防護除了這十個方面的頂層設(shè)計，還需要根據(jù)生產(chǎn)環(huán)境的實際情況，注意以下幾個方面的防護工作：

　　一是深入分析日常檢查出來的被攻破系統(tǒng)的攻擊路徑選取思路和溯源方法，指導(dǎo)網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)中心收斂互聯(lián)網(wǎng)暴露面，包括互聯(lián)網(wǎng)敏感信息清理、資產(chǎn)梳理、網(wǎng)絡(luò)邊界梳理、出口清查與應(yīng)用縮減等，提高網(wǎng)絡(luò)抗攻擊能力。

　　二是加強管理通報和技術(shù)問題通報，加強防釣魚、防社工和供應(yīng)鏈安全主題教育和網(wǎng)絡(luò)安全實戰(zhàn)技能培訓(xùn)，提升全員網(wǎng)絡(luò)安全意識和基本技能。

　　三是強化溯源分析和調(diào)查取證方法和技術(shù)，增設(shè)專用系統(tǒng)，高度重視外部網(wǎng)絡(luò)安全情報的獲取、甄別、分析和應(yīng)用，提升攻防對抗中的態(tài)勢感知能力。

　　四是落實系統(tǒng)整改措施和安全加固方案，推廣通用措施和手段正面防護，包括梳理專網(wǎng)資產(chǎn)、從部署網(wǎng)絡(luò)空間測繪系統(tǒng)、內(nèi)部橫向攻擊監(jiān)測、專網(wǎng)安全防護以及泛終端安全等方面加強專網(wǎng)管控措施，加強無線網(wǎng)絡(luò)安全監(jiān)測和防護、開發(fā)和測試系統(tǒng)安全、源代碼安全，夯實網(wǎng)絡(luò)安全防御基礎(chǔ)。

　　五是針對專網(wǎng)中重點系統(tǒng)、集權(quán)系統(tǒng)、通訊系統(tǒng)，集中力量重點防御，包括提高漏洞發(fā)現(xiàn)和整改修復(fù)能力，加強主機、終端、數(shù)據(jù)、郵件等方面安全防護能力，加強專網(wǎng)邊界出口內(nèi)容審計、加強身份認證及域控服務(wù)安全，推動防護加固方案落地執(zhí)行。

　　作者介紹

　　靖小偉，計算機系博士學(xué)歷學(xué)位，現(xiàn)任中國石油天然氣集團公司數(shù)字和信息化管理部副總經(jīng)理。有近三十年的信息化建設(shè)工作經(jīng)歷，全程參與中國石油信息技術(shù)總體規(guī)劃的編制和實施，組織編制并實施了網(wǎng)絡(luò)安全整體解決方案，組織建設(shè)了全球計算機網(wǎng)絡(luò)、數(shù)據(jù)中心、能源云計算平臺、辦公管理、生產(chǎn)管理和經(jīng)營管理等信息系統(tǒng)。在網(wǎng)絡(luò)安全方面，組織編制了20余個企業(yè)和行業(yè)標準，起草并發(fā)布了16個安全基線配置規(guī)范，組織編制了《企業(yè)信息安全管理》、《企業(yè)信息基礎(chǔ)設(shè)施管理》等信息化管理圖書。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<