文| 中国石油天然气集团有限公司 靖小伟

靖小伟,计算机系博士学历学位,现任中国石油天然气集团公司数字和信息化管理部副总经理。有近三十年的信息化建设工作经历,全程参与中国石油信息技术总体规划的编制和实施,组织编制并实施了网络安全整体解决方案,组织建设了全球计算机网络、数据中心、能源云计算平台、办公管理、生产管理和经营管理等信息系统。在网络安全方面,组织编制了20余个企业和行业标准,起草并发布了16个安全基线配置规范,组织编制了《企业信息安全管理》、《企业信息基础设施管理》等信息化管理图书。

当前网络空间斗争形势严峻,围绕网络空间主导权和控制权的竞争加剧,国家间的网络安全博弈日趋激烈,国家关键信息基础设施(以下简称关基)已经成为网络空间战略要地。2021年5月7日,美国最大的燃油管道商科洛尼尔管道运输公司遭到勒索软件攻击,被迫关闭8000多公里输油管道,全美油气管道业务受到严重影响。伴随新一代信息通信技术在更广范围、更深层次、更高水平与实体经济融合,关基网络安全风险和挑战也不断渗透、扩散、放大,亟需在工业互联网、区块链、5G、下一代互联网(IPv6)等领域加大安全研究和应用力度。研究关基面临的合规性要求、现实风险和问题,开展体系化防护顶层设计具有重要意义。

关基安全保护条例主要内容

2021年4月,国务院第133次常务会议通过《关键信息基础设施安全保护条例》,自2021年9月1日起施行。条例共六章五十一条。总则部分规定了依据、概念内涵外延、职责、保护原则、保护内容等。第二章“关键信息基础设施认定”明确了保护工作部门、认定程序、考虑因素。第三章“运营者责任义务”规定了三同步原则、运营者负总责、设立安全管理机构、安全管理机构八项职责、安全检测和风险评估、事件报告、产品和服务采购等内容;第四章“保障和促进”规定了保护工作部门安全规划、国家网信部门统筹协调、保护工作监测预警、应急管理、检查检测、技术支持和协助、信息保护、批准和授权、安全保卫、教育、标准化建设、机构建设和管理、军民融合等工作内容。第五章“法律责任”处罚条件和处罚内容。关基安全保护条例为关基体系化防护顶层设计奠定了坚实基础。

关基防护的难点和挑战

传统的防护方式难以应对庞大的关基系统,在攻防体系化对抗和系统性风险长期存在的背景下,关基防护问题凸现,主要表现在:

0每一个关基涉及系统数量多、范围广,业务资产类型多,条目繁杂,更新变化快

与支撑的功能范围日益扩大对应,资产不清、风险不清,问题漏洞疏于管理的现象突出,缺乏与业务相关的全局视角的安全关联分析能力,极易顾此失彼,造成一点突破,横向蔓延,核心系统造成重大损失。

0网络互联互通、系统用户不固定、数据推送范围不断扩大

安全设计上普遍缺乏平台统一的操作平台,管理上容易造成责任不清,流程不清,随意性操作,缺乏审计管控,工作效率低下,出现问题容易造成溯源困难。

0供应链变化快、系统升级快、运维人员变化快

安全管理缺乏统一的科学设计,重视程度不高,投入不足。重建设轻运维,重硬件轻人员的现象普遍存在,制度化、常态化的管控能力亟需进一步提高。

04 应急处置能力不足

安全威胁与事件缺乏快速发现、预警、处置的闭环管理,安全态势精准研判与预测体系不足,动态防御无法做到自动化、精准化、一体化。

0新技术广泛应用带来新的挑战

云计算、大数据等新技术应用改变了信息化和业务环境,带来了新的安全威胁,但很多关键信息基础设施单位采用的还是传统的安全防护手段,缺乏基于数据的威胁分析。

关基防护的体系化设计

由于每一个重保涉及多个信息系统,需要将同类型关基系统进行整合,构建出工业控制、大数据、门户、移动应用、数据中心、云计算、重点生产系统等关基体系,每一个体系构建集中的安全防护平台。图1是网络与系统安全设计示意图,局域网承载了重点生产系统。

图1  网络与系统安全设计示意图

集中整合后的网络系统按照专网设计,逻辑上划分为生产区、数据区和应用区。生产区从装置采集的数据集中汇总到数据区,集中进行网络安全审计和处理后进入数据中台应用。

0基于下一代互联网技术的生产专网防护

利用IPV6技术构建独立的生产专网,对边界进行集中防护,明确网络边界。采用过渡技术使新建的IPv6网络与原有的IPv4网络能够互联互通,最大限度地利用现有资源和服务,同时验证安全方案在IPv6环境中的有效性并优化。利用地址转换技术(IVI)、过渡技术(4over6)可以实现IPv4到IPv6过渡网络。图2是基于IPv6的生产专网地址转换示例。实现专网内部支持多个转换区域,并对部分技术(DNS64、多前缀)进行革新。

图2 基于IPv6的生产专网地址转换示例

0态势感知系统建设

网络运维监控是安全不可缺少的组成部分,但是目前管理部门不清楚各生产单位生产系统风险分布、资产情况、漏洞情况等信息,无法协助各生产单位分析威胁发展与演变趋势,需要建立安全态势感知系统,对来自各生产单位的监测流量精细分析,全面感知生产系统安全态势。图3展示了一种态势感知系统支撑平台应用架构及实现。逻辑上主要包括三个层面,即:平台层、数据层和应用层。平台层以大数据技术为基础,支持各类数据摄取,提供web技术框架。数据层包括接入的数据包括网络行为数据(D)、关联信息数据(I)、知识数据(K)和情报数据(I),其中网络行为数据是类型多而数据量大的一类。应用层以大数据安全解析引擎为基础,以工作流引擎核心,采用插装方式,运行过程开发新的检测方法手段可以及时插装到工作流中,提高了系统可扩展性。

图3 一种态势感知系统支撑平台应用架构及实现

0安全监测

各生产单位缺乏系统安全监控手段,不清楚自己的设备资产情况,网络中出现非授权设备接入、异常流量时,没有基本的监测与分析判断手段。需要在各生产单位建立生产系统安全监测系统,满足资产管理、设备监控、流量分析、风险分析、应急处理等需求。

04 仿真验证测试

生产系统中任何安全措施的实施都有可能影响到生产业务,安全设备部署、安全策略调整、补丁升级等都需要在离线环境下经过严格的仿真测试验证,同时生产系统安全应急演练、人员培训、攻防技术研究等需要离线仿真环境,工控新设备或维修设备入厂时,可能存在高危漏洞或携带木马、病毒等风险,需要建立测试验证环境。如:工控系统类型涉及SCADA数据采集与监视控制系统、DCS集散控制系统、PSC智能化变配电监控系统、DSP数字信号处理系统、PLC可编程逻辑控制系统,主要风险包括网络结构脆弱、黑客攻击、计算机病毒感染、系统漏洞、对工业控制系统和设备缺乏有效安全管理等,工业控制系统对稳定性、实时性要求极高,工控系统信息安全建设必须以不影响生产系统的正常运行为前提,分离生产及测试环境,工控信息安全产品和方案必须在离线工业控制系统进行充分测试。因此生产系统仿真验证测试具有重要作用。图4是油气生产领域仿真验证测试逻辑设计图。包括设备层、控制层、监控层和管理层。为了有效验证防护手段的有效性和适应性,在仿真环境的建设过程中应尽量采用真实的工业控制设备和控制软件。为了尽量使检测评估结果客观、充分,同品类的检测、评估工具应当部署至少两个品牌的工具,用做交叉验证。

图4  仿真验证测试逻辑设计示意图

0边界安全

生产系统与办公网存在必要的信息交互,为生产管理系统提供决策信息,现有的生产环境往往采用双网卡或防火墙隔离控制,缺乏整体的安全解决方案,需要解决安全隔离与信息交互之间的矛盾。生产系统内部缺乏有效的隔离与监测机制,需要划分安全域,建立起网络安全架构,梳理网络边界,完善安全技术措施。

0白环境建设

病毒和外部侵入是生产系统的直接威胁,目前大多数生产系统不具备防病毒和入侵防护能力,即使配置杀毒软件和入侵检测系统,也由于相对隔离的环境,没有升级条件,长期不升级病毒库和特征库,系统就失去了效用。同时也由于杀毒软件存在误杀可能,会直接影响生产系统正常生产。需要研究行之有效的防护策略,从主机、网络、设备等层面建立白环境机制,规范移动存储介质等使用,避免或降低安全风险。

0补丁与策略

生产系统高危漏洞较多,补丁更新升级比较困难,面临的网络安全压力很大,需要根据漏洞库信息,建立补丁与策略管理机制,对升级补丁测试验证,制定解决方案,同时通过安全策略调整和升级,规避已知安全风险被利用。

0业务模型安全分析

任何基于防火墙、网闸、安全网关等安全设备的被动防御措施,防护效果有限,都有被绕过的可能。为了最大限度地提高生产系统安全防护能力,主动发现威胁,提前预警风险,需要对生产系统中的数据进行深度建模分析,建立各类业务数据的安全状态模型,只有业务模型处于安全状态,其用户、操作、运维管理等才是合规的,否则视为非法行为,实施阻断动作。

0非授权行为阻断

生产系统中,上位机操作人员访问互联网时,需要建立阻断机制,防止内部高危操作;需要通过设备接入认证与阻断机制,保证授权设备安全接入,阻断非法设备;当外部威胁攻击时,能够监测并分析攻击行为,对入侵行为进行阻断。

1接入与传输安全

行业生产系统覆盖范围大,无线传输方式使用较广,针对信息采集和生产控制等环节的节点接入验证、无线传输等缺乏安全机制,存在假冒和信息截取风险。需要建立有效的设备接入验证、无线通信传输与加密机制。

关基系统的安全防护除了这十个方面的顶层设计,还需要根据生产环境的实际情况,注意以下几个方面的防护工作:

一是深入分析日常检查出来的被攻破系统的攻击路径选取思路和溯源方法,指导网络、系统、数据中心收敛互联网暴露面,包括互联网敏感信息清理、资产梳理、网络边界梳理、出口清查与应用缩减等,提高网络抗攻击能力。

二是加强管理通报和技术问题通报,加强防钓鱼、防社工和供应链安全主题教育和网络安全实战技能培训,提升全员网络安全意识和基本技能。

三是强化溯源分析和调查取证方法和技术,增设专用系统,高度重视外部网络安全情报的获取、甄别、分析和应用,提升攻防对抗中的态势感知能力。

四是落实系统整改措施和安全加固方案,推广通用措施和手段正面防护,包括梳理专网资产、从部署网络空间测绘系统、内部横向攻击监测、专网安全防护以及泛终端安全等方面加强专网管控措施,加强无线网络安全监测和防护、开发和测试系统安全、源代码安全,夯实网络安全防御基础。

五是针对专网中重点系统、集权系统、神经系统,集中力量重点防御,包括提高漏洞发现和整改修复能力,加强主机、终端、数据、邮件等方面安全防护能力,加强专网边界出口内容审计、加强身份认证及域控服务安全,推动防护加固方案落地执行。

声明:本文来自关键信息基础设施安全保护联盟筹,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。