網絡空間并不太平，網絡安全工作任重道遠。我們要堅定信心、下定決心、保持恒心、找準重心，堅決防止形式主義，強化風險意識和危機意識，樹立底線思維，做實各項防護措施，要以技術對技術，以技術管技術，做到魔高一尺、道高一丈“，努力使關基保護工作再上新臺階！——靖小偉

　　當前網絡空間斗爭形勢嚴峻，圍繞網絡空間主導權和控制權的競爭加劇，國家間的網絡安全博弈日趨激烈，國家關鍵信息基礎設施（以下簡稱關基）已經成為網絡空間戰略要地。2021年5月7日，美國最大的燃油管道商科洛尼爾管道運輸公司遭到勒索軟件攻擊，被迫關閉8000多公里輸油管道，全美油氣管道業務受到嚴重影響。伴隨新一代信息通信技術在更廣范圍、更深層次、更高水平與實體經濟融合，關基網絡安全風險和挑戰也不斷滲透、擴散、放大，亟需在工業互聯網、區塊鏈、5G、下一代互聯網（IPv6）等領域加大安全研究和應用力度。研究關基面臨的合規性要求、現實風險和問題，開展體系化防護頂層設計具有重要意義。

　　關基安全保護條例主要內容

　　2021年4月，國務院第133次常務會議通過《關鍵信息基礎設施安全保護條例》，自2021年9月1日起施行。條例共六章五十一條。總則部分規定了依據、概念內涵外延、職責、保護原則、保護內容等。第二章”關鍵信息基礎設施認定“明確了保護工作部門、認定程序、考慮因素。第三章”運營者責任義務“規定了三同步原則、運營者負總責、設立安全管理機構、安全管理機構八項職責、安全檢測和風險評估、事件報告、產品和服務采購等內容；第四章”保障和促進“規定了保護工作部門安全規劃、國家網信部門統籌協調、保護工作監測預警、應急管理、檢查檢測、技術支持和協助、信息保護、批準和授權、安全保衛、教育、標準化建設、機構建設和管理、軍民融合等工作內容。第五章”法律責任“處罰條件和處罰內容。關基安全保護條例為關基體系化防護頂層設計奠定了堅實基礎。

　　關基防護的難點和挑戰

　　傳統的防護方式難以應對龐大的關基系統，在攻防體系化對抗和系統性風險長期存在的背景下，關基防護問題凸現，主要表現在：

　　01 每一個關基涉及系統數量多、范圍廣，業務資產類型多，條目繁雜，更新變化快

　　與支撐的功能范圍日益擴大對應，資產不清、風險不清，問題漏洞疏于管理的現象突出，缺乏與業務相關的全局視角的安全關聯分析能力，極易顧此失彼，造成一點突破，橫向蔓延，核心系統造成重大損失。

　　02 網絡互聯互通、系統用戶不固定、數據推送范圍不斷擴大

　　安全設計上普遍缺乏平臺統一的操作平臺，管理上容易造成責任不清，流程不清，隨意性操作，缺乏審計管控，工作效率低下，出現問題容易造成溯源困難。

　　03 供應鏈變化快、系統升級快、運維人員變化快

　　安全管理缺乏統一的科學設計，重視程度不高，投入不足。重建設輕運維，重硬件輕人員的現象普遍存在，制度化、常態化的管控能力亟需進一步提高。

　　04 應急處置能力不足

　　安全威脅與事件缺乏快速發現、預警、處置的閉環管理，安全態勢精準研判與預測體系不足，動態防御無法做到自動化、精準化、一體化。

　　05 新技術廣泛應用帶來新的挑戰

　　云計算、大數據等新技術應用改變了信息化和業務環境，帶來了新的安全威脅，但很多關鍵信息基礎設施單位采用的還是傳統的安全防護手段，缺乏基于數據的威脅分析。

　　關基防護體系化設計的思路與方法

　　根據作者的經驗，在實施關基保護時，首先需要對關基保護對象進行整合。由于每一個關基保護對象涉及多個信息系統，需要將同類型關基系統進行匯聚整合，構建出工業控制、大數據、門戶、移動應用、數據中心、云計算、重點生產系統等關基體系，每一個體系構建集中的安全防護平臺。圖1是網絡與系統安全設計示意圖，局域網承載了重點生產系統。

　　圖1  網絡與系統安全設計示意圖

　　集中整合后的網絡系統按照專網設計，邏輯上劃分為生產區、數據區、中臺區和應用區。生產區從裝置采集的數據集中匯總到數據區，集中進行網絡安全審計和處理后進入數據中臺和應用系統。

　　以下從十個方面來說明大型企業進行關基防護體系化設計的思路與方法。

　　01 基于下一代互聯網技術的生產專網防護

　　利用IPV6技術構建獨立的生產專網，對邊界進行集中防護，明確網絡邊界。采用過渡技術使新建的IPv6網絡與原有的IPv4網絡能夠互聯互通，最大限度地利用現有資源和服務，同時驗證安全方案在IPv6環境中的有效性并優化。利用地址轉換技術（IVI）、過渡技術（4over6）可以實現IPv4到IPv6過渡網絡。圖2是基于IPv6的生產專網地址轉換示例。實現專網內部支持多個轉換區域，并對部分技術（DNS64、多前綴）進行革新。

　　圖2 基于IPv6的生產專網地址轉換示例

　　02 態勢感知系統建設

　　網絡運維監控是安全不可缺少的組成部分，但是目前管理部門不清楚各生產單位生產系統風險分布、資產情況、漏洞情況等信息，無法協助各生產單位分析威脅發展與演變趨勢，需要建立安全態勢感知系統，對來自各生產單位的監測流量精細分析，全面感知生產系統安全態勢。圖3展示了一種態勢感知系統支撐平臺應用架構及實現。邏輯上主要包括三個層面，即：平臺層、數據層和應用層。平臺層以大數據技術為基礎，支持各類數據攝取，提供web技術框架。數據層包括接入的數據包括網絡行為數據（D）、關聯信息數據（I）、知識數據（K）和情報數據（I），其中網絡行為數據是類型多而數據量大的一類。應用層以大數據安全解析引擎為基礎，以工作流引擎核心，采用插裝方式，運行過程開發新的檢測方法手段可以及時插裝到工作流中，提高了系統可擴展性。

　　圖3 一種態勢感知系統支撐平臺應用架構及實現

　　03 安全監測

　　如果生產單位缺乏系統安全監控手段，不清楚自己的設備資產情況，網絡中出現非授權設備接入、異常流量時，沒有基本的監測與分析判斷手段，則有效的網絡安全管理就無從談起。因此，需要在各生產單位建立生產系統安全監測系統，滿足資產管理、設備監控、流量分析、風險分析、應急處理等需求。

　　04 仿真驗證測試

　　生產系統中任何安全措施的實施都有可能影響到生產業務，安全設備部署、安全策略調整、補丁升級等都需要在離線環境下經過嚴格的仿真測試驗證，同時生產系統安全應急演練、人員培訓、攻防技術研究等需要離線仿真環境，工控新設備或維修設備入廠時，可能存在高危漏洞或攜帶木馬、病毒等風險，需要建立測試驗證環境。如：工控系統類型涉及SCADA數據采集與監視控制系統、DCS集散控制系統、PSC智能化變配電監控系統、DSP數字信號處理系統、PLC可編程邏輯控制系統，主要風險包括網絡結構脆弱、黑客攻擊、計算機病毒感染、系統漏洞、對工業控制系統和設備缺乏有效安全管理等，工業控制系統對穩定性、實時性要求極高，工控系統信息安全建設必須以不影響生產系統的正常運行為前提，分離生產及測試環境，工控信息安全產品和方案必須在離線工業控制系統進行充分測試。因此生產系統仿真驗證測試具有重要作用。圖4是油氣生產領域仿真驗證測試邏輯設計圖。包括設備層、控制層、監控層和管理層。為了有效驗證防護手段的有效性和適應性，在仿真環境的建設過程中應盡量采用真實的工業控制設備和控制軟件。為了盡量使檢測評估結果客觀、充分，同品類的檢測、評估工具應當部署至少兩個品牌的工具，用做交叉驗證。

　　圖4  仿真驗證測試邏輯設計示意圖

　　05 邊界安全

　　生產系統與辦公網存在必要的信息交互，為生產管理系統提供決策信息，現有的生產環境往往采用雙網卡或防火墻隔離控制，缺乏整體的安全解決方案，需要解決安全隔離與信息交互之間的矛盾。當前，企業的生產系統內部普遍缺乏有效的隔離與監測機制，因此，需要劃分安全域，建立起網絡安全架構，梳理網絡邊界，完善安全技術措施，實現不同安全等級邊界之間的安全隔離。

　　06 白環境建設

　　病毒和外部侵入是生產系統的直接威脅，目前大多數生產系統不具備防病毒和入侵防護能力，即使配置殺毒軟件和入侵檢測系統，也由于相對隔離的環境，沒有升級條件，長期不升級病毒庫和特征庫，系統就失去了效用。同時也由于殺毒軟件存在誤殺可能，會直接影響生產系統正常生產。需要研究行之有效的防護策略，從主機、網絡、設備等層面建立白環境機制，規范移動存儲介質等使用，避免或降低安全風險。

　　07 補丁與策略

　　生產系統高危漏洞較多，補丁更新升級比較困難，面臨的網絡安全壓力很大，需要根據漏洞庫信息，建立補丁與策略管理機制，對升級補丁測試驗證，制定解決方案，同時通過安全策略調整和升級，規避已知安全風險被利用。

　　08 業務模型安全分析

　　任何基于防火墻、網閘、安全網關等安全設備的被動防御措施，防護效果有限，都有被繞過的可能。為了最大限度地提高生產系統安全防護能力，主動發現威脅，提前預警風險，需要對生產系統中的數據進行深度建模分析，建立各類業務數據的安全狀態模型，只有業務模型處于安全狀態，其用戶、操作、運維管理等才是合規的，否則視為非法行為，實施阻斷動作。

　　09 非授權行為阻斷

　　生產系統中，上位機操作人員訪問互聯網時，需要建立阻斷機制，防止內部高危操作；需要通過設備接入認證與阻斷機制，保證授權設備安全接入，阻斷非法設備；當外部威脅攻擊時，能夠監測并分析攻擊行為，對入侵行為進行阻斷。

　　10 接入與傳輸安全

　　行業生產系統覆蓋范圍大，無線傳輸方式使用較廣，針對信息采集和生產控制等環節的節點接入驗證、無線傳輸等缺乏安全機制，存在假冒和信息截取風險。需要建立有效的設備接入驗證、無線通信傳輸與加密機制。

　　關基系統的安全防護除了這十個方面的頂層設計，還需要根據生產環境的實際情況，注意以下幾個方面的防護工作：

　　一是深入分析日常檢查出來的被攻破系統的攻擊路徑選取思路和溯源方法，指導網絡、系統、數據中心收斂互聯網暴露面，包括互聯網敏感信息清理、資產梳理、網絡邊界梳理、出口清查與應用縮減等，提高網絡抗攻擊能力。

　　二是加強管理通報和技術問題通報，加強防釣魚、防社工和供應鏈安全主題教育和網絡安全實戰技能培訓，提升全員網絡安全意識和基本技能。

　　三是強化溯源分析和調查取證方法和技術，增設專用系統，高度重視外部網絡安全情報的獲取、甄別、分析和應用，提升攻防對抗中的態勢感知能力。

　　四是落實系統整改措施和安全加固方案，推廣通用措施和手段正面防護，包括梳理專網資產、從部署網絡空間測繪系統、內部橫向攻擊監測、專網安全防護以及泛終端安全等方面加強專網管控措施，加強無線網絡安全監測和防護、開發和測試系統安全、源代碼安全，夯實網絡安全防御基礎。

　　五是針對專網中重點系統、集權系統、通訊系統，集中力量重點防御，包括提高漏洞發現和整改修復能力，加強主機、終端、數據、郵件等方面安全防護能力，加強專網邊界出口內容審計、加強身份認證及域控服務安全，推動防護加固方案落地執行。

　　作者介紹

　　靖小偉，計算機系博士學歷學位，現任中國石油天然氣集團公司數字和信息化管理部副總經理。有近三十年的信息化建設工作經歷，全程參與中國石油信息技術總體規劃的編制和實施，組織編制并實施了網絡安全整體解決方案，組織建設了全球計算機網絡、數據中心、能源云計算平臺、辦公管理、生產管理和經營管理等信息系統。在網絡安全方面，組織編制了20余個企業和行業標準，起草并發布了16個安全基線配置規范，組織編制了《企業信息安全管理》、《企業信息基礎設施管理》等信息化管理圖書。

更多信息可以來這里獲取==>>電子技術應用-AET<<