文│ 中国石油化工集团有限公司 刘远

当前全球网络安全威胁和风险日益突出,并向政治、经济、文化、社会、生态、国防等领域传导渗透。石油化工行业的网络信息系统长期以来一直是网络攻击的重要目标,安全运营的要求高、责任大、任务重。

一、石油化工行业网络安全运营的痛点与难点

石油化工行业的网络安全保障工作有其特殊性。

一是中国石化业务应用复杂,上中下游、科研、工程、贸易、金融、电商,相应的业务信息系统复杂度极高。随着计算和存储技术的快速提升,为了快速响应对业务的支持和市场的反应,信息化架构从金字塔型模块化的分层架构,向容器化的微服务敏捷架构转变。面向需求侧,由系统集成向微服务集成转变,面向供给侧,由工业云向工业互联网生态转型。未来,中国石化的信息化将走向端、边、管、云的一体化融合,将给网络安全运营带来新的挑战。

二是网络覆盖面大、数据中心众多、终端众多,整体网络延伸到5大洲、30余个国家,国内32个省自治区直辖市,150余个企业,涉及用户数量达65万。

三是供应链复杂、主体建设运维已经自主掌握,由石化盈科和共享服务公司提供保障,但是面对如此庞大复杂的信息化系统,存在着庞杂的供应商队伍。单就总部信息管理部门来说,为其提供软、硬件产品生产商及产品授权代理商30余家,提供咨询、实施、工程、运行维护、软件开发、系统集成等服务的信息技术服务商十余家。如何对众多供应商提供的产品以及服务安全性进行全方位约束和考量不可规避。

四是新业态新技术的不断涌现并深化应用。中国石化制定了全业务应用上云战略,石化智云已经全面支撑智能制造、互联网应用和企业管理,开通了466个智能制造资源实例,支撑了9个地区智能工厂、智能油气田、智能物流、智能研究院的17个重点应用,2000多个互联网应用资源实例,支撑包括易捷、易派客、客户管理等40多个应用系统,1600多个企业应用资源实例,支撑共计140多个企业经营管理应用,提供基础设施层、数据库层、中间件层、网络安全、主机安全、计算节点等各类资源服务,涉及云计算、大数据、移动应用、电子支付、IoT、信息物理系统(CPS)等各类技术在流程制造行业的综合应用。在资产、信息、数据和关系发生量级增长后,平台安全、数据安全、应用安全、支付安全、交易安全、物联网智能设备安全是中国石化实现一体化、全周期安全运营必须重视和攻克的挑战。

二、中国石化网络安全运营的探索与实践

针对网络安全工作,中国石化高度重视,集团公司领导层做出了“集团公司正处于改革发展的关键时期,面对复杂严峻的外部环境,面对推进全面可持续发展的艰巨任务,拥有安全稳定的网络环境是至关重要的”这一战略判断。中国石化集团公司董事长、网络安全和信息化领导小组组长戴厚良同志,代表集团公司党组对全系统做出了:“网络安全是系统性、全局性的,一旦出现问题将是全局性、灾难性的,要提高思想认识、压实各级责任,用比生产装置安全更高标准、更严要求来抓好网络安全。”的指示。

在集团公司党组领导的正确领导下,中国石化近年来不断加大了网络安全财力物力人力投入,持续加强安全运营保障的各方面能力。

(一)以退为进,收紧战线——全面收敛集团面向互联网的攻击暴露面

互联网暴露面越广,风险越高,也更容易成为攻击者的首选目标。近年来,中国石化持续加强互联网出口管控,一是推行互联网收口工程,在全国范围内建设十个互联网区域中心,对下属49家直属企业及100余家二、三级单位互联网出口实现统一管控;二是规范互联网访问方式,VPN全面启用双因素认证,清退各类违规互联网访问、远程接入账号;三是建设统一部署的身份认证及行为监测体系,实施全网统一的网络准入控制系统、桌面安全管理系统、防病毒系统,企业无死角开启网络准入控制,遵循“准入必合规”原则,对终端入网实现身份验证和安全管控;四是形成覆盖全生命周期的风险发现与处置机制,系统上线前的安全规划及代码审计、上线时的上线与验收测评、运行过程中的风险评估与安全检查均形成常态化机制,并适时开展如互联网安全专项治理工作,平战结合,形成长效机制。

(二)摸清家底,全面布控——形成资产管理与态势感知相结合的自动化监测能力

在资产管理方面,中国石化集团公司信息资产数量巨大,防护水平参差不齐,攻击者通过搜寻防护薄弱、疏于管理以及废弃老旧资产作为突破口,可实现对重要系统的迂回突破。通过开展资产测绘,排查互联网、主干网、外联区等边界信息,明确资产归属,形成台账,及时下线废弃或无主系统。此外,资产管理工作还需要额外关注互联网上泄露的中国石化敏感信息,包括主机、邮箱明文存储的账号、口令,以及文库、github等互联网平台上存在的技术方案、网络拓扑图、系统源代码、账号、口令等。为防止正面防御如同“马奇诺防线”一样被绕过,造成重要系统直接暴露在攻击者面前,持续开展敏感信息清理工作非常必要。

在态势感知方面,在总部互联网出口、主干网、区域中心互联网出口等关键部位部署态势感知系统对网络流量进行重点监控。通过对攻击者攻击方法、攻击路线、常见套路进行分析与提炼,形成定制策略,精准识别攻击者扫描踩点、漏洞利用、权限提升、横向渗透等行为。同时,在总部和区域中心互联网出口部署网络攻击阻断系统,采用大数据分析技术,融合汇聚主机防护设备情报源、企业威胁情报源、情报联盟情报源等多源数据,开展威胁、情报关联分析与挖掘,对恶意IP的访问请求进行实时匹配和阻断,从而实现防护关口的前移,达到全局共享恶意IP,实现“一点监测、全局阻断”效果。此外,通过日志审计系统在攻击者探测、控制与命令通道、横向移动攻击以及内部安全审计等维度,设置实时关联分析告警规则进行大广角的横向关联和纵深的数据挖掘。同时与态势感知系统协同联动,可发现大量扫描、暴力破解、账号异常、异常通信和服务器异常操作等行为。

(三)形成纵深,保障要害——创建层次清晰、手段丰富的纵深防御体系

众所周知,电力行业早期就形成了诸如“横向隔离,纵向加密”的网络纵深,取得了很好的安全保障效果。中国石化也在打造自身的纵深防御体系。在网络层面体现为三道主要防线:一是在总部和区域中心互联网边界部署IPS、WAF等自动化防护系统并启用高强度防护策略,阻断来自互联网的自动化攻击、扫描行为;二是在连接各下属企业的主干网通路启用白名单访问控制策略,阻断攻击者入侵单个企业后的横向渗透;三是在数据中心重要安全域边界启用双向白名单访问控制策略,阻断攻击者入侵外围边界后的纵向深入。

主机层面,在重点业务系统上全面部署主机防护设备进行重点防护。针对SQL注入、暴力破解、任意文件读取、网站漏洞等入侵行为部署针对性防护策略。同时通过主机防护设备强化操作系统底层安全,保障其基础环境安全。监控人员依托主机防护设备的云中心大数据分析平台,从拦截日志中提取详细信息,对攻击行为进行感知、辨识、追溯、取证。此外,在互联网区、内网核心区部署蜜罐,以此在攻击者攻击路径上构造陷阱,精确感知攻击行为,混淆攻击目标,将攻击火力引导到蜜罐系统,记录攻击行为,实现“诱敌深入,精准溯源”效果。

(四)技管结合,以人为本——打造以高素质人才为核心协同高效运营团队

检验网络安全运营是否成熟,本质在于是否有一支高素质的队伍。网络攻防其实就是人与人之间的攻防,在网络安全人才整体短缺的大背景下,不论是突出合规属性的管理型人才还是突出技术属性的实战化人才,在数量以及能力上都严重匮乏。中国石化在加强与国家专业机构、产业公司合作的基础上加强能力的转移转化,并不断跟踪国内外网络安全新政策、新标准、新技术,在全集团范围内建立形成人才梯队培育模式并建设攻防演练实训靶场,培育行业队伍。

检验网络安全运营是否成熟,核心在于日常运营协同是否合理有效。中国石化科学合理配置总部和企业的防护力量,在总部设立网络安全运营中心,统一调配各专业小组和外围机动力量,各企业设立分中心,协同进行态势监控和响应,形成上下一体、协同联动的运营体系。

检验网络安全运营是否成熟,关键在于重大敏感时期或安全事件爆发时的应急处置效率。中国石化以总部网络安全运营中心为核心,搭建集团内部自上而下的应急响应即时通讯平台,及时发布安全事件和处置指令,按照监控告警、分析研判、处置响应的工作主线,及既定应急响应流程,采用全网扫描报备、精准感知、态势研判、关联分析、自动封禁、快速处置、重点溯源、跟踪闭环、动态调配等一系列策略开展网络安全应急响应工作。

三、中国石化下一步网络安全运营的思考

中国石化的网络安全运营工作依然任重而道远,下一步的网络安全运营将朝着集中化、自动化、智能化方向不断发展。

一是进一步做实网络安全责任制,实现从要我安全到我要安全的转变。一方面要强化考核、压实责任。加强网络安全考核力度,针对运营工作中发现的漏洞短板,重点加强攻击面收敛、敏感信息消除、第三方运维单位安全管控等内容的考核力度。另一方面要出台网络安全问责机制,发生安全事件后对主责单位实施问责。

二是狠抓三同步,实现业务系统建设与网络安全工作的融合发展,确保系统的本质安全。把好源头关,着力做好信息系统建设过程中的安全规划设计和实施质量管理,探索项目安全监理制度。

三是网络安全运营队伍的专业化。依托集团攻防团队核心骨干人员建立专业的安全运营队伍,并根据安全运营的专业需要进一步加强人才队伍的能力建设,包括专职负责安全研究的专家,主要研究最新的攻击方法,模拟黑客进行攻击;还要有安全数据分析专家,主要从海量的数据中找规律、优化算法,力求以最快的速度发现威胁。

四是网络安全运营系统的集中化,打造总部、区域中心、企业三位一体的安全运营体系,将集团内网及互联网所有数据进行统一汇总分析,结合内网威胁情报实现对全集团安全态势的统一管控。同时进一步加强智能分析与处置能力,重点加强安全编排和安全自动化能力,以及响应管理能力,最终整体提升安全运营系统的效能。

(本文刊登于《中国信息安全》杂志2019年第8期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。