等保2.0标准下的能源行业网络安全构建研究
2022-05-30胡剑杰
胡剑杰
摘要:文章先从等保2.0下的等级保护规范及其演变进行了简要剖析,并比较了等保温度系数与等保2.0之间的不同变化。最后又根据当前网络安全工作的进展情况,对等保2.0如何在新能源行业的具体运用与实现展开了探讨,并试图为有关研究人员提供参考。
关键词:等保2.0;能源安全;网络安全
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2022)16-0027-02
步入21世纪后,我国大力推动信息化建设,这是信息化建设的重大战略行为,是贯穿落实科学发展观,全面建成小康社会,建设社會主义和谐社会和建设现代化高素质创新型大国的需要和必须抉择。在新技术的驱动下,人们的工作生活方式都发生了重大的变化,人类从IT时代跨越到了DT 时代。网络安全的攻守科技将由静止、被动、纵深防守,到向动态、自主、正面防守的APT攻击转化。
1等保2.0的出现背景
1.1传统的安全建设思路难以应对新型攻击
伴随新一代信息技术发展与互联网攻守斗争科技的进展,人类在第五空间——互联网生存空间中所遇到的合纵挑战和攻守斗争,将从微观层次直接影响到人们日常生活的衣食住行,从中观层次直接影响到公司管理、企业战略,以及从宏观层面直接影响到整个国家的经济健康和发展水平。以云计算、大数据、物联网等为代表的新兴信息技术也正在迅速渗入能源领域,能源企业的网络安全形势将面临新挑战。尤其是由于各类新业务、新应用、科学技术的发展与创新,传统等级保护的技术方法已不再适合,于是网络系统安全等保2.0规范(等保2.0)便应运而生以“勒索病毒”为代表的新型威胁席卷世界,使传统网络安全保护技术与手段已无法有效地保障网络空间安全,因此网络安全防护系统必须全面提升。
1.2新的系统形式和网络结构的变化出现
新技术、新服务条件下的产品和业务创新与提升,云数据等新一代的信息技术应用,使安全领域深入扩展,要求个人安全的防护系统水平也将相应提升。
1.3对旧有的等保体系进行完善
等保1.0相关系统规范已经使用了几年时间,为配合新《网络安全法》的施行,对原等保系统进行了改版,并从适用范围、工作时效、简易性、操作功能上更进一步提升。
2 等保2.0的变化
2.1等保2.0的特征
相对于级别保护的温度系数来说,可以将级别防护2.0的温度变化总结为二个全覆盖,三种特点和五种重点变化。两个全覆盖特点:1)遍及各区域、各单位、各机关、各企业、各组织,同时遍及整个社区。除个人和家庭外自建网络的全面覆盖。2)覆盖了各种技术保障对象,包含互联网、电子商务信息系统,或者新型的技术保障对象,云平台、物联网、工控系统、大数据分析、移动互联网,还有各种新兴科技应用[1]。
三大特征:1)等级防御2.0基础要求、测试标准、信息安全设计技术标准架构整体统一,即:国家信息安全标准管理中心支撑下的三大防御构成技术框架;2)将云计算技术、移动互联网,以及物联网、工业控制等领域纳入标准规范,形成了通用信息安全标准+新型应用安全扩展需求;3)将可信验证作为各别领域和各环节的关键功能要求。5个重要改变:1)名称的改变,“等保2.0”将原有的“信息体系安全级别防护”有关技术标准的名字更改为“网络安全防护级别”防护有关技术标准,与《网络安全保护法》相衔接。2)防护主要对象的变更,分级防护从“信息体系”到“网络系统”方面的变更,也反映了防护主要对象的扩大。防护主要对象也从以前的网络系统,扩大到网络系统、基于信息网络、云大物移工等新型的信息技术平台以及信息体系方面;3)技术安全要求的变更,分级防护规定也从以前一种单纯的基本规定,发展为通用信息安全要求+新型技术安全扩展规定,将云计算能力、移动互联网技术、大物联网、工业监控系统等方面纳入了技术标准规范;4)对种类结构调整进行构建研究,以充分体现一条中心,三个维护的思路(和GB/T25070安全设计技术要求保持一致)[2]。等级保护的基础条件、评价标准与保护技术设计技术要求的框架系统,如:国家安全管理中心支持下的三大保护结构框架;5)内涵的不同,以往分级防护内容有五种规定动作,即定级、审批、安全建设、分级评估和监督检验。但在等保2.0中,分级防护的内容增加到安全监测、通报警示、紧急处置、危害评价等,其中与安全有关的研究将被全面融入等保2.0体系中并得到落实。
等保2.0技术可以基于工业控制或网络安全基础,也根据安全等级及保护的基本需求,应用于云计算、物联网、人工智能、大数据等技术,从网络层、系统层出发,通过风险评估掌握网络安全现状。网络安全防御设计Defence-In-Depth的防御思路下,并根据“网络安全分层”“业务安全分域”原则,实现终端安全防护和网络边界防护。配置异常监测以提升工控系统及网络的监测预警能力,配置统一安全管理平台,建设安全管理专网,加强动态防御能力。
2.2等保2.0标准简析
2.2.1技术要求
等保2.0的保密信息管理技术条件增加了数据安全监督管理技术条件(由物理保密、网络安全、数据信息可靠性、使用可靠性、数据信息及资料备份,恢复调整为数据安全物理环境条件、数据安全通信网络系统、数据安全区域边界、数据安全、计算环境、信息安全管理中心)。
1)安全的物理条件:重点在防静电,通过研究增加静电去除器、佩戴防静止手环等,并增加对短时后备电源的需求。
2)安全性通信网络:安全性通信网络需要对应等保1.0技术下的网络安全保护部分控制要求(结构安全性控制要求)。重要改变包括:①网络结构:对适应高峰期的重要计算机网络装置范围实现了拓展,并增加对通信线路、重要网络设备,以及重要计算装置的硬件冗余性能要求。②加强对密码技术的使用。③增加可信认证条件:把可信认证作为各类别产品和各环节的重点功能要求。用户在信息安全工程中,可依据实际状况选用可信计算的产品或技术手段,运用于整体规划防护中[3]。
3)安全区域界限:安全区域界限需要对应等保1.0技术标准下的网络安全保护部门控制点(接入管理、安全性审核、边界完整性检测、侵入防止、非法代码防止等)。等保2.0相比于等保1.0,增加了可信验证控制点,并且在其他控制点部分的要求进行了加强与创新。
4)安全性软件:安全性软件需求,等保2.0针对等保1.0技术的计算机安全性,整体计划从控制点利益出发,新增加了可信认证和信息保障二个管理点。
使用等保2.0要达到的目的是根据业务应用特性,对工业控制系统网络进行了梳理与划分,配置工业防火墙,细化强化通讯策略;针对工业主机终端部署可信白名单安全防护,抵御漏洞风险,避免网络病毒感染传播风险;部署网络监测、安全审计、安全运维系统,实现网络整体安全态势的把控,溯源分析,以及通过安全的通道进行运维操作。部署的统一安全管理中心,则将单点单方向的安全防护纳入一个集成平台,进行综合的安全管理控制,提升网络安全性。
2.2.2管理要求
将原网络安全体制、专业技术人员网络安全管理工作、系统建设管理工作、信息系统运维服务调整为网络安全管理工作、信息系统网络安全工程建设运营管理、信息系统网络安全运维服务。
3 关于构建能源行业等级保护的思考
能源行业一直以来都在严格贯彻落实中央网络安全与信息化领导小组相关规定,并实施国家的网络安全分级防护管理体系。在CT-155的发展蓝图中,也把网络安全视为国家五大保障体系之一。但不管YCIT495-2014还是CT-155,二者都是严格按照等保温度系数的有关规定进行设计。所以在等保2.0的年代进行等保工作,就必须根据等保2.0的有关规定,对自身的安全结构加以更新改进。
3.1安全通信网络
因为互联网上数据传输时通常都会通过几个中间传送节点,而且互联网协定往往存在着规范透明的特性,因此很易产生非法修改行为,而针对这些情形必须有足够强度的秘密科技才可以避免非法篡改行为产生,同时确保了数据完整性,所以在数据传输过程中必须选择国产或商用密钥技术加以保护,提升通信安全。
3.2安全区域边界
3.2.1强化访问控制和安全审计
安全区域边界包括在安全设计决策边界,以及在安全设计决策和安全计划通信网络之间进行连通和执行安全设计策略的部件,主要是在安全计划城市边境部署防火墙和城市边境防御过滤装置,根据使用协定和应用规范的监控管理,对各种数据流进行检查,配备网络审查装置,对进入计算环境边界并使用网络的使用者的行为实施有效审查。
3.2.2安全管理中心
按照等级防护的有关规定,政府应当设置安全管理中心,以完成政府对安全计算环境、安全区域边界防护和安全通信网络的统筹监管,以保障安全运作。而安全管理中心则是一种功能集合的概念,核心任务是完成对各种安全机制的统筹集中管理。安全行政中心是安全管理系统平台或区域实现,一般有安全系统管理、审计管控和集中监测等几个功能,为整个体系提供了统一的、集中的、规范的管理手段和机制。目前,一般采用了状态感知、堡垒机、日志审计等设备和手段完成。
综上所述,在安全分级防护机制和重要信息安全基础设施保障机制下,本方案从终端安全防护、安全监测、安全审计、统一管理等不同功能方向,结合采用功能安全与信息安全生命周期安全防护,应用不同层次、不同方面管控网络和安全防护。具体建设实施内容包括:1)网络安全分层分区通过工业防火墙实现管理网与生产网的隔离,并保证数据传输需求;根据业务划分安全区域,对跨装置之间存在操作站互联的情况,在操作站之间加装工业防火墙,实现安全域之间的安全通信;通过防火墙对控制系统进行防护,保护下装控制器的数据在传输中不被病毒篡改及删除,防止控制网中节点感染病毒。2)主机可信安全工控主机(服务器、工程师站、操作站)配置了主机安全防御白名单软件,白名单防护方法是指通过对工控上位机和服务器的安装,配置主机安全防护平台并对其进行全面的安全保护,包括计算机进程管理、可信特征库生成、主机USB接口管理、控制策略配置、白名单运行控制、自身完整性保护等功能。3)网络安全监控、审核和运维,利用异常监测系统实现互联网上非法操作、非正常事件、外部入侵,并进行及时报警;利用审计系统可以对工程网络应用中出现的各种活动,进行合同审计、行为审计、信息审计、流量审计;利用运维管理系统,可以截断运维终端用户对工程網络设备以及网络资源的实时使用,并利用合同代理的方法,构建具有唯一性身份标识的全域网络实名制用户管理系统,构建集中拜访与控制的细粒度的命令级授权手段,进行集中有序的运维工作安全管控,对客户系统从注册到退出的全程使用活动实施审计,以加强对工程系统和设施远程保护的安全管控。4)数据备份系统针对生产数据、文件以及系统进行保护,定期备份。在灾难事件发生时,可将数据以及操作系统恢复至最新备份时间点,以保证生产业务的快速恢复。并可为后期实施数据中心建立基础。5)建立工业安全管理系统专网,建立统一安全信息管理平台,统一集中管理工业自动化的系统设备、安全设备信息和日志数据,对各个设备日志数据关联分析,对整个工业工控安全设备的情况统一显示和分析[4]。这是等保2.0安全管理中心的具体体现。6)构建安全管理制度,健全制度规范按安全分级防护要求,本次项目在完成技术防护基础上,配合企业,建立了安全管理体系,应用了安全管理制度,包括组织人员、物理及环境、应急预案、运维管理等,以保障安全管理制度对运维工作的可靠性[5]。
4 结束语
综上所述,随着能源行业现代化程度的日益提升,能源行业面对的安全风险越来越严峻。等保2.0系统要求的实施与运用,为能源行业网络安全性提出了有效的评估方法与依据。
参考文献:
[1] 傅钰.网络安全等级保护2.0下的安全体系建设[J].网络安全技术与应用,2018(8):13,16.
[2] 马力,陈广勇,祝国邦.网络安全等级保护2.0国家标准解读[J].保密科学技术,2019(7):14-19.
[3] 徐震.网络安全等级保护:从1.0到2.0[J].保密工作,2019(7):63-64.
[4] 周元德,龙云,杨晓斌,等.勘察设计集团企业网络安全等级保护制度的建设[J].电子技术与软件工程,2018(5):221-222.
[5] 侯振堂,申康,崔鑫,等.等保2.0标准下的能源行业网络安全工作的探究[J].通讯世界,2019,26(12):75-76.
【通联编辑:谢媛媛】