摘要:本文在国家及监管单位对网络安全的监管和指导要求与烟草行业网信工作发展规划相结合的背景下,从四川中烟工业有限责任公司(以下简称:四川中烟)全公司网络安全监管运营体系建设的角度,阐述如何通过把各工厂IT环境中的安全设备、重要服务器设备日志、数据进行采集,并上传至公司进行统一配置,实现全面监控、实时告警、流量分析等。从公司统筹规划开展安全运营建设工作,既有效降低企业安全运维成本,又使企业安全事件应急响应效率得到提升。

关键词:烟草行业“十四五”发展规划;烟草行业网络安全运营规划;烟草行业工控安全体系建设

1、烟草行业网络安全监管运营现状

1.1 网络安全体系建设情况

1.1.1 统一身份认证体系

以行业数字证书认证中心(Certificate Authority,CA)认证体系为基础,各单位按照行业统一要求建设企业CA中心或数字证书注册中心(Registration Authority,RA)中心,实现全行业的数字证书互认。结合统一平台建设和移动应用,建设统一身份认证体系,完善单点登录、统一身份认证、统一权限管理、统一行为审计功能,逐步实现从系统级权限管理向数据级权限管理转变,实现网络行为全过程审计。

1.1.2 安全保密体系

建立数据和信息内容分类标准,确定保密对象,采用数据加密、电磁防护、可信计算、防篡改、网页防护、数字签名、文件打印控制、数据下载拷贝控制等技术,对重要文件、核心技术资料、敏感信息、客户信息等实施保密保护,防止人为利用合法身份通过网络、计算机终端、电子邮件、下载拷贝、文档打印等渠道泄露保密数据和信息。

1.1.3 安全运行体系

建设符合信息系统安全稳定运行要求的机房和基础设施。采用数据采集技术、安全监控技术、漏洞查找技术,实现对信息系统、人员操作行为、安全状况的整体监控;利用大数据分析技术进行关联分析,实现准确、及时告警和集中展现;采用统一标准接口实现国家局与行业各单位监控信息的互通,为虚拟资源管理提供支撑。运用自动化和智能化容灾备份恢复技术,实现数据和应用系统自动互备。

1.1.4 安全管理体系

健全网络安全组织机构,设置网络安全管理岗位并配备专职人员,建立行业网络安全技术与管理专业人才队伍。完善信息系统建设开发、运行维护、数据应用、外包管理等安全制度并纳入行业各单位的质量管理体系,实行全过程、全要素安全管理。建立覆盖技术、管理、运维,具备可量化、可操作、可考核特性的网络安全管理评估指标,实现安全量化管理。坚持“日查月分季评”制度,把安全监督检查纳入日常安全管理工作,积极采用技术检查手段,深入开展安全检查。建立全面梳理、全面诊断、全面加固长效机制,利用信息化手段实现全面梳理实时化、自动化、信息化,建立全面诊断流程和指标,制定全面加固相关规范和标准。

1.1.5 网络边界防护体系

广泛采用下一代防火墙、大规模入侵检测与防御设备、网络认证技术、云计算安全查杀工具、桌面虚拟化等网络安全新技术和新设备,提升互联网接入口防入侵能力,实现骨干网、省域网、局域网以及不同安全域之间的可信互联,构建与移动互联、云计算、虚拟化和智能终端等新技术应用相适应的网络防护措施,推进办公计算机与互联网访问的隔离。按照《烟草工业企业生产网与管理网网络互联安全规范》(YC/T 494—2014),完善生产网与管理网安全隔离措施;按照国家有关要求和技术标准广泛运用新技术提高工商企业工控系统的安全保护能力,加强工业控制系统的连接管理、组网管理、配置管理、设备选择与升级管理、数据管理和应急管理。

1.2 网信建设成效

(1)基础管理持续加强

以《数字烟草发展纲要》(国烟办〔2005〕632号)为指导,明确了信息化建设思路,保障了信息化建设的科学发展。根据《烟草行业信息化工作管理办法》(国烟办〔2011〕529号)加强企业信息化工作的规范管理,初步完成了企业信息化标准体系的建设。根据《烟草行业信息化工作考核办法》(国烟法〔2004〕675号)发布的全国烟草行业信息化工作管理办法,建立了各单位信息化水平评价体系。强化组织机构和人才队伍建设,建成总部+各厂、公司联动的企业信息化专业队伍。

(2)技术体系日益完善

建立了以数据中心、应用平台为核心内容的企业信息化总体技术架构,深入开展新技术的研究探索,持续强化数据管理工作,合理布局技术资源的建设和使用,资源利用效率有效提升。不断提高安全技术能力,企业建立了比较完备的网络安全制度,部署了比较全面的网络安全防护措施,搭建了企业的身份认证基础环境,企业网络安全保障能力得到提升。

(3)规范管理能力明显提升

四川中烟各级网络安全和信息化领导组织机构不断健全,运行机制不断完善,强化网信工作归口管理和综合协调,加强统一平台、数据资源、网络安全管理。创新信息化项目实施标准作业流程方法,提高信息化项目进度、质量等管理水平,不断加强网信专业人才队伍建设。

(4)安全保障能力明显提升

建立网络安全责任机制,以及企业业绩考核、督查检查、问责工作范围,强化等级保护、风险评估和应急保障能力,完善信息通报预警机制,建设企业安全运维一体化管控系统,加强统一推广系统安全防护,推进重要数据和个人信息安全保护。

1.3 机遇和挑战

1.3.1 自主可控生态

网络空间已成为国家主权第五空间,网络安全是数字经济的基础。IT设施日益成为社会和国家基础设施,信息安全已成为国家安全的基础组成部分。信息网络已经独立于实体空间而衍生出一个庞大的“网络”空间,各行各业信息的电子化使得网络安全问题不再是单纯的技术问题,而是演变为复杂的社会问题,网络安全与国土安全、政治安全、经济安全一起成为国家安全的重要组成部分。

我国在半导体核心技术(尤其是芯片核心领域)受制于人,一旦受到封锁将会对国内企业发展、经济等领域造成严重影响。因此急需研发出可用乃至好用的核心信息技术产品,对自主可控的网络产品和服务进行评估、扶持和推广,进而构建良好自主的可控生态。

1.3.2 新技术网络安全问题

随着5G、IPv6规模部署和试点工作逐步推进,关于5G、IPv6自身的安全问题及衍生的安全问题备受关注。5G技术的应用代表着增强的移动带宽、海量的机器通信及超高可靠、低延时的通信,与IPv6技术应用共同发展,将真正实现万物互联,互联网上承载的信息将更为丰富,物联网将大规模发展。但重要数据泄露、物联网设备安全问题目前尚未得到有效解决,物联网设备被大规模利用发起网络攻击的问题也更加突出。同时,区块链技术也受到国内外广泛关注并被快速应用,从数字货币到智能合约,并逐步向文化娱乐、社会管理、物联网等多个领域延伸。随着区块链应用的范围和深度逐渐扩大,数字货币被盗和智能合约、钱包、“挖矿”软件漏洞等安全问题更加凸显。

1.3.3 网络安全领域人才缺口

在严峻的网络安全内外部形势下,我国国内的网络安全制度建设、标准体系建设、技术保障体系建设步伐加快,网络安全人才、安全专职人员作为基础支撑,在各行业的人才招聘市场上越显“紧俏”。内部业务的数字化、外部监管合规压力倍增,都催生四川中烟对网络安全人才的需求持续增长。同时,网络空间安全学科与专业建设不能及时跟上,导致网络空间安全人才培养模式不成熟、体系不完善等矛盾较为突出。我们要持之以恒抓好四川中烟网络安全人才培育,加快推进网络安全人才与创新激励体系建设,努力形成人才培养、技术创新、产业发展的良好生态。

1.3.4 网络安全工作考核常态化

近年来国家局根据行业网络安全建设实际情况和需要,一方面通过发布网络安全相关行业标准规范为行业单位网络安全建设提供指导和统一要求,另一方面通过每年度一次全面网络安全检查和专项网络安全检查,面向全行业“以查促建、以查促管、以查促改、以查促防”推动行业整体网络安全建设水平的提高。

2、烟草行业网络安全监管运营管理规划

2.1 规划蓝图

针对当前已知的被动式安全防御体系的短板和网络安全攻防博弈不平衡的问题,在“十四五”期间,四川中烟网络安全建设将以“中国制造2025”和“互联网+”为发展方向和总体要求,以两化深度融合为主线,以“网络安全滑动标尺”为模型,围绕公司“十四五”战略发展目标,充分继承和完善既有“十三五”网络安全工作建设成果,提出了“静态技术体系”和“动态运营体系”相结合,以技术支撑运营、运营驱动基础的“12358”智能化安全运营保障体系。如图1所示。

图1 “12358”智能化安全运营保障体系

(1)12358基本理念

“1”:以安全运营中心为核心的四川中烟智能化安全运营保障体系;

“2”:面向四川中烟重要信息系统,积极推动两个制度(网络安全等级保护制度和关键信息基础设施安全保护制度)落实,以安全“合规”和“风险”为驱动;

“3”:立足“三位一体”,聚合“人员、流程、技术”流程,建立智能化安全运营中心,完善网络安全措施;

“5”:以“安全运营”为核心理念,通过智能化安全运营中心开展攻防实战演练、专项基础安全、持续威胁管理和风险管控、应急响应和协同指挥、重大活动安全保障五个专项安全保障工作;

“8”:通过智能化安全运营保障体系落实四川中烟及各分厂安全防护措施,构建重要信息系统安全、合规、稳定、高效运行所需的八大安全能力,即识别能力、防护能力、检测能力、分析能力、监测预警能力、追踪溯源能力、事件处置能力和安全恢复能力。

(2)12358能力对应(如表1所示)

表1 “12358”智能化安全运营保障体系能力对应表

2.2 静态技术体系概述

规划架构将静态技术体系定义为被动防御,是架构中添加的提供持续威胁防护和洞察且无需经常人工互动的样本系统,如防火墙、反恶意软件系统、入侵防御系统、防病毒系统、入侵检测系统等传统安全系统,可提供资产防护,填补或缩小已知安全缺口,减少与威胁交互的机会,并支持威胁洞察分析。

建设任务:

  • 依托“1+1+N”云架构体系,提升云平台安全能力;
  • 开展数据安全治理建设,强化个人隐私信息保护;
  • 普及行业数字认证应用、推动国密应用改造;
  • 持续完善工控安全体系建设,构建工业互联网平台;
  • 开展行业信创推广,保障IPv6网络改造;
  • 围绕等保、关保和密评开展合规性治理;
  • 助力新技术应用,打造区块链业务安全模型。

2.3 动态技术体系概述

规划架构将动态运营体系定义为主动防御,通过分析师监控、响应网络内部威胁、从中汲取经验并将知识应用其中的过程。承担这一任务的分析师包括事件响应人、恶意软件逆向工程师、威胁分析师、网络安全监控分析师以及进行响应的其他人员。主动防御定义中的“网络内部”很重要,进一步消除了“反击”,即“黑回去”的误解。

建设任务:

  • 完成安全运营保障体系顶层设计;
  • 安全中台护航公司“双中台”建设;
  • 管理体系保障网络安全“三化六防”措施落地;
  • 建成安全应急指挥平台,建立应急通报机制;
  • 搭建攻防演练平台,加速网络安全人才培养。

3、网络安全监管运营思考

3.1 安全运营建设方法

3.1.1 安全策略

行业信息网络定位为非涉及国家秘密网络,承载行业业务应用的行业业务网。本规划所指网络安全涵盖基础网络、系统运行和信息内容安全的各个方面,包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等内容。行业网络安全总体策略是:分级分域、整体保护、积极预防、动态管理。

(1)分级分域

根据信息系统运行安全需求,数据和信息内容安全需求,以及应用范围,确定信息系统的安全保护等级,划分信息系统运行环境的安全域,针对不同安全域制定相应的分项安全策略,实行等级保护。

(2)整体保护

按照相互关联、相互均衡的原则,在网络以及信息系统运行应用的各环节,全面部署防攻击、防病毒、防篡改、防瘫痪、防窃密等技术安全设施,并按照组件化、平台化、集成化技术路线进行整合,实现协同防御。

(3)积极预防

在信息系统规划设计、开发建设、运行维护和停用废弃等各环节实行安全审核管理;加强对重要信息技术产品的漏洞和后门程序检查,定期开展安全测评、风险评估工作;坚持安全保障和运维保障一体化建设与管理,运用信息化监控手段,全面感知安全状态,提高安全事件预警化能力;完善容灾备份措施,健全应急保障队伍,开展应急演练,增强应急处置能力。

(4)动态管理

紧密跟踪行业信息化发展变化情况与网络安全攻防技术的发展状况,适时调整、完善和创新安全管理方法,持续提升、改进和强化技术防护手段,保证行业网络安全水平与行业信息化发展水平相适应。

3.1.2 技术与管理

安全技术是行业网络安全体系的基础,安全管理是安全技术切实发挥作用的保障。行业网络安全体系采用纵向防护与横向防护相互关联、相互支撑的技术架构。纵向包括终端、网络、应用、系统、物理五个层次,横向包括身份认证、访问控制、数据与内容安全、监控审计、备份恢复五个环节,在纵横之间部署相应的安全技术组件。网络安全技术架构如图2所示。

图2 网络安全技术架构

通过构建和完善网络边界防护体系、统一身份认证体系、安全保密体系、安全运行体系和安全管理体系,形成管理与技术集成联动机制,实现从聚焦安全技术层面向聚焦安全管理和安全战略层面转变,保障行业网络安全与信息化建设协调同步发展。

3.2 烟草行业工控安全体系建设落地难点

3.2.1 管理方面

(1)责任边界不明确

信息化管理部门负责全厂网络安全建设方案的设计规划、建设实施、运维管理的工作任务,而涉及工业自动化的设备管理和系统开发则是由生产部门来管理。

在工控安全体系建设过程中,认责往往会成为信息化部门和生产部门常见问题之一。

(2)生产和安全平衡失调

生产部门对于生产系统的持续性和稳定性的要求要大大高于信息化部门强调的安全性,生产部门不可能接受由于要开展工控安全建设而停机的需求,尤其是在没有现实的网络安全威胁的情况下。信息化部门只能无限期地等待生产车间的计划停产,利用停车检修的窗口期去开展工控安全建设,这势必会影响工控安全项目的整体进度和建设质量。

(3)制度规范落地执行难

由于生产车间环境复杂,人员流动性较大,无论是信息化部门还是生产部门都无法完全按照制度要求规范人员行为、设备操作、系统管理,导致工业控制系统管理制度形如空文,缺乏一定的约束力。

3.2.2 技术方面

(1)现场设备老旧

工业主机防御有很大困难,很多生产车间现场的工业主机系统非常老旧,漏洞非常多,甚至存在很多主机系统运行了超过10年,找不到相应的升级补丁的情况。

(2)系统资源瓶颈

工控系统从设计上不是一个通用计算系统,设计的资源余量很少,除了干工控系统本身的事之外,从主机到网络都很少有冗余的资源进行其他工作。一个简单的漏洞扫描行为都可能导致工控系统的资源枯竭。

(3)系统层次复杂

标准的工业控制系统的5个层级对网络安全的要求不同,同时越往下层走,涉及的工控专有协议、设备私有协议越多。要在底层通过工业防火墙实现PLC级的纵深防御,一方面需要对工控系统的业务逻辑、数据流向、私有协议、控制命令有深度的认识;另一方面对于工业防火墙的适用性有非常高的要求。

(4)以牺牲准确率换取降低误伤率

工控网络通常不允许连接互联网,防病毒、入侵检测等安全产品不具备及时更新病毒库的条件,导致对于新型病毒、威胁特征的识别并不准确,极易在恶意代码查杀和封堵的过程中对工业控制系统产生致命的后果。为了降低误报,很大程度上是以牺牲检出率为代价,所以现在大量工作站和工业网络经常处于无防护状态。

3.2.3 改善举措

  • 通过持续性的网络安全专项培训结合考核,提升生产部门的网络安全意识以及信息化部门的工控安全专业技能;
  • 工控安全建设围绕生产安全运行,对防护方案和建设计划进行调优;
  • 通过搭建工业控制系统仿真环境测试验证漏洞PoC,避免出现过度防御和能力短板的情况;
  • 由生产部门和信息化部门合作基于工业控制系统全资产的漏洞管理体系;
  • 梳理生产逻辑应用,积累行业知识库,解决安全策略下发问题。

3.3 安全运营的思考

安全运营是网络运营者持续不断思考、优化的命题与活动[1]。安全运营是一系列规则、技术和应用的集合,用以保障组织核心业务平稳运行的相关活动;是通过灵活、动态的实施控制以期达到组织和业务需要的整体范围可持续性正常运行。安全运营需要明确安全运营的目标,从系统性、动态性、实战性的角度加强认识。

3.3.1 系统性

一是组织业务自身的系统性和完整性,二是针对防护体系的系统性和完整性。安全运营需要将构成业务系统完整运行的各个要素看成一个整体,防护体系的构建能够完整、有效地梳理并覆盖安全风险,不因遗落或木桶原理造成整体性影响。

3.3.2 动态性

IT技术的飞速发展使得网络攻击和防护水平能力不断提升,安全运营需要在不断迭代中增强管理和技术防护能力。同时,组织面临的网络安全风险层出不穷,除传统的外部攻击威胁,地下黑产驱动的漏洞利用、内部员工主动恶意行为都需要组织业务系统的防护手段和方法与时俱进,安全运营更加具有针对性,并及时调整工作流程和行为规范。

3.3.3 实战性

网络攻击具有突发性、隐蔽性、潜伏性、持续性等特点,安全运营也需要保证良好的网络安全攻防状态,有应对经验和攻防能力储备。安全运营团队应不断进行深入思考与针对练习,提升预警监测、分析研判、处置总结的能力。

因此,网络安全运营能力建设应坚持“事先防范、事中控制、事后处置”的理念,以安全治理为核心、风险态势为导向、安全合规为基础,结合组织基础安全能力,在人、技术、过程层面不断完善组织网络安全体系,满足安全运营的系统性、动态性和实战性的需求,不断提升组织安全防御能力。

参考文献:

1.FreeBuf.网络安全运营能力建设思路(一)[EB/OL].

https://www.freebuf.com/articles/es/253340.html, 2022-1.