我国煤炭企业网络安全现状、问题分析研究与建议
2023-01-03王丹识韩鹏军王荣博许秀莉
王丹识,韩鹏军,王荣博,杨 欧,董 凯,田 欣,许秀莉
(1.中国煤炭工业协会,北京市朝阳区,100013;2.国能信息技术有限公司,北京市东城区,100120;3.华为技术有限公司,广东省深圳市,518129;4.新华三技术有限公司电力能源事业部,北京市海淀区,100083;5.深信服科技股份有限公司能源事业部,北京市海淀区,100089;6.中兴通讯股份有限公司产业数字化方案部,广东省深圳市,518000)
0 引言
党中央、国务院高度重视网络安全工作,习近平总书记强调“没有网络安全就没有国家安全”。2021年3月发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中,有14处提及“网络安全”,涉及数字经济、数字生态、国家安全、能源资源安全等多个领域[1]。同年,《关键信息基础设施安全保护条例》《个人信息保护法》《数据安全法》颁布施行。
国家大力完善网络安全政策体系的同时,能源行业成为重点领域之一。2020年2月,国家发展改革委、国家能源局等八部委共同印发的《关于加快煤矿智能化发展的指导意见》中强调,同步推进网络安全和煤矿智能化发展[2];2021年6月,国家能源局、国家矿山安监局印发《煤矿智能化建设指南(2021年版)》中强调,逐步推进核心装备控制系统国产化安全可信、自主可控[3];同时要求,智能化煤矿应开展网络、信息和系统等安全建设;2021年12月,国务院印发的《“十四五”数字经济发展规划》中强调指出,加快能源领域数字化转型,支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估[4];2022年1月,国家发展改革委、国家能源局印发《“十四五”现代能源体系规划》中明确指出,加强网络安全关键技术研究,推动建立能源行业、企业网络安全态势感知和监测预警平台,提高风险分析研判和预警能力[5]。
煤炭作为我国的主要能源,肩负着保障国家能源安全的重要使命。随着煤炭工业两化融合水平不断深入以及煤炭企业数字化转型加速推进,网络安全问题已成为影响煤炭行业转型发展的重要问题之一[6]。基于此,中国煤炭工业协会信息化分会对部分重点煤炭集团总部网络安全情况进行了专项调查,对当前煤炭企业网络安全现状及问题进行了归纳和分析,并对煤炭企业网络安全建设提出了对策和建议。
1 我国煤炭行业网络安全的特点
1.1 行业影响大
2020年,化石能源在我国一次能源消费占比仍接近85%,其中煤炭消费占比为56.8%。基于我国富煤、贫油、少气的能源资源禀赋,在相当长的时期内,煤炭仍将是我国的主要能源,煤炭的安全稳定供应事关国家能源安全。经过多年的发展,我国煤矿智能化建设已取得长足进步,一些大型骨干矿井和煤层赋存条件较优越的矿区已初步实现了智能化、少人化开采[7-8]。但与此同时,我国煤矿网络安全事件频出,2019-2021年,发生了多起煤矿网络安全事件,影响了煤矿正常的生产秩序,给煤矿生产安全带来了新的威胁。
1.2 防护要求高
《关键信息基础设施安全保护条例》明确,面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统属于关键信息基础设施[9]。根据《煤矿安全规程》《网络安全等级保护基本要求》,煤矿企业须将矿用有线调度通信系统、井下应急广播系统、煤矿安全监控系统、煤矿井下作业人员管理系统、煤矿图像监视系统、煤矿产量监控系统和列入 2021年智能综采(掘)工作面建设的智能化工业控制系统的网络安全等级定为第二级及以上[10];各煤矿企业和上级集团公司或分公司间跨地级市、省或者全国统一联网运行的数据汇聚平台,其网络安全保护等级不低于第三级[11]。
1.3 基础底子薄
煤炭行业网络安全基础相对薄弱。在2020年八部委出台《关于加快推进煤矿智能化建设的指导意见》以前,煤炭行业信息化、智能化建设长期处于企业各自为战的状态。煤炭行业经历了化解过剩产能的困难时期,信息化整体基础薄弱,水平能力差距巨大[12],导致网络安全意识淡薄,网络安全管理制度和标准体系不健全,网络安全人才和技术力量薄弱,整体缺乏组织和引导,宣传培训教育工作不到位。
1.4 特色限制多
煤炭行业产业链长、中间环节多,煤炭企业管理层级多、产业板块多、煤矿分布散,附属单位形式多样;同时,煤矿井下的特殊性、复杂性以及对安全生产的绝对性要求,都使其网络安全特色性要求更多、更复杂,网络安全防护难度更大。
1.5 转型难度大
随着煤炭行业两化融合深度发展,煤矿智能化建设、煤炭工业互联网平台的建设使煤矿设备连接数量和数据采集数量成倍甚至几何倍数的增长,对网络安全的要求越来越高。煤矿企业应用面临规模“上云”的趋势,多个终端接入一张网络,网络受攻击影响面增大,敏感数据面临更大的外泄风险。同时,国内煤矿自动化、半自动化设备逐步升级为基于ICT技术的智能远控系统,生产安全面临的网络威胁逐步增强[13]。
2 我国煤炭企业网络安全现状
2.1 网络安全投入保持增长
在被调研的20家大型煤炭集团总部(以下均为该口径)信息化投入整体呈现增长态势。2021年,16家投入增长,占比80%。其中,1家投入超10亿元,3家超1亿元;6家投入增幅超过20%。2021年,20家煤炭集团网络安全经费投入同比增长的为18家,占比90%。其中,4家网络安全投入占整体信息化投入的比重超过30%;8家投入超过了1 000万元。
2.2 网络安全防护压力增加
煤炭企业两化融合加速发展,给网络安全工作带了更大的挑战。一方面人、机、物、数据互联互通使信息网络和控制系统深入到企业生产经营的各个方面,为煤矿生产经营、科学决策、安全管理、智能控制、即时通讯、预报预警、应急响应等提供有力的支撑;另一方面也使得网络安全风险由办公延伸到生产、由局部延伸到整体,企业网络安全工作压力大增。2021年,20家煤炭集团总部被各类网络攻击次数较2020年上升的有18家,占比90%。其中,7家被攻击次数超过10万次/a,最高的超过300万次/a,年被攻击次数增幅最高的达到490%。
2.3 网络安全重视程度增强
政府合规要求提升、各类安全事件频发等使得煤炭企业对网络安全的认识和重视程度有所提升。仅2021年,20家煤炭集团总部出台的各类网络安全相关制度多达30项。目前,80%的煤炭集团总部对所属单位信息系统有明确的等级保护要求,20家煤炭集团总部信息系统等级保护备案数量为187个。其中,符合等级保护二级认证标准的系统141个,符合等级保护三级认证标准的系统41个。
2.4 网络核心设备和网络安全软件基本实现国产化
信创产业的快速发展极大地提升了煤炭企业在网络安全方面的自主可控能力,主要软硬件国产化率大幅提升。2021年,20家煤炭集团总部网络核心设备国产化率平均达到92%,其中15家为100%;20家煤炭集团总部网络安全软件使用国产化率平均达到97%,其中17家为100%。
2.5 信息系统“上云”水平整体提升
随着煤炭行业大力发展“新基建”,各大煤炭企业加大信息化基础设施建设投入,企业“上云”水平整体提升,但差异较大。2021年,20家煤炭集团总部主要管理信息系统“上云”比例平均达到64.4%。其中,8家“上云”比例达到100%,占比40%;5家“上云”比例超过70%,占比25%。但另有5家低于10%,其中3家“上云”比例为0。
2.6 网络安全管理制度逐步完善
20家煤炭集团总部中,出台网络安全相关制度的达到18家,占比90%。其中,11家已出台网络安全管理办法(规定),占比55%。同时,企业网络安全相关制度不断深化细化,除基础的网络安全管理办法外,还包括工控系统、等级保护、岗位职责、漏洞检测、突发事件应急响应、教育与培训、信息通报等各类具体内容。
3 我国煤炭企业网络安全存在的主要问题
3.1 网络安全防护意识整体薄弱
煤炭企业网络安全防护意识虽有所提升,但对网络安全危害仍整体认知不足。煤炭企业更加注重对系统建设方面的投资,而对不能直接见效的网络安全支持力度明显不足。对网络安全工作投入不能满足安全防护的要求,导致网络安全管理的各环节存在问题。
3.2 网络安全基础保障能力不足
煤炭企业网络安全资金投入整体不足,除几家大型煤炭集团总部网络安全资金投入相对较高外,多数企业投入仍然偏低。煤炭企业整体防控网络安全风险的工作体系、制度、协调机制尚未完善,机构设置和人员配备不足。20家煤炭集团总部除央企均设有网络安全处或其他专门机构外,其他企业相关职能设置在信息化部门下,专职工作人员数量平均不足3人。
3.3 网络安全建设以被动合规为主导
合规需求是过去几年推动我国煤炭企业网络安全建设和产业发展的主要动因。但在政策合规驱动下,煤炭企业用户的安全投入以单点、分散式采购为主,缺少体系化的安全规划和布局。随着各类实战化网络攻防演习行动的逐年增多,单纯依靠合规驱动的工业企业用户往往需要采取临时协调、突击建设等方式来应对,安全投入不足、主体责任落实不到位等问题仍然突出,产业内生需求有待进一步培育壮大。
3.4 网络安全体系效能不能充分发挥
煤炭企业网络安全不仅是投入问题、技术问题,同时更是管理问题。提升网络安全体系效能是网络安全工作的关键所在。但是由于人员不足、手段缺失、流程不清晰等多方面条件限制,造成很多煤炭企业网络安全体系效能发挥受限,如隐藏的安全问题发现不了、发现问题解决不了等,最终造成所建设的安全体系不能充分应对实际安全问题。
3.5 煤矿工业控制系统安全风险高
国内煤矿网络建设普遍采用以太网的环冗余技术,通过调度中心与2个环网进行数据联通,由于系统本身的脆弱性,结合内外部导入的威胁所带来的安全风险,控制网络内缺少入侵检测技术手段,无法及时对黑客入侵、病毒攻击等行为进行报警,攻击行为发生后也无法定位。控制网络中缺少工控检测与审计技术手段,无法对工业流量进行分析。生产网与办公网之间缺少有效的隔离,无法阻止来自办公网的工控网络攻击。
3.6 对安全技术厂商依赖程度高
我国煤炭企业网络安全建设目前以技术应用和产品部署为主,在安全策略、制度、流程等方面普遍考虑不足。由于缺少与安全技术相匹配的人员、流程和管理手段,煤炭企业用户往往无法实现对安全产品效能和服务质量的有效评估,只能依赖市场上各类资质不一、能力参差不齐的安全技术厂商,煤炭企业自身的安全建设水平和保障能力亟待提升。
3.7 终端操作系统和数据库国产化使用率低
20家煤炭集团总部办公终端操作系统平均国产化使用率不足1%。其中最高的接近20%,65%的集团国产化使用率为0。Windows操作系统占据绝对主导,平均使用率为98.3%,其中尚有2%的电脑终端还在使用Windows XP系统。20家煤炭集团总部中,仅6家使用了国产品牌数据库,且使用数量偏低。
3.8 网络安全产品难以满足行业特色需求
技术厂商提供的部分防护类产品和管理类产品与煤矿业务场景结合程度不高,使得煤炭企业对厂商的安全技术认可度不高。但涉足煤炭行业网络安全业务的厂商数量激增,供给市场呈分散化趋势,产业集聚效应不明显,行业规模效应难以实现。
4 关于煤炭企业网络安全建设的对策与建议
网络安全工作是一项系统性的工作,具有基础性、动态性、实战性等特点,并不是简单的投入一定资金、购置安全产品或培养专业人才就能够解决的。煤炭企业要做好网络安全工作,应落实“三化六化”总要求,摒弃以往“重技术轻管理”的固有认识,通过建立健全网络安全治理体系、合理应用网络安全防护技术、加强网络安全运营管理等全方位措施才能得以实现。
4.1 完善企业网络安全治理体系
(1)完善网络安全组织管理体系。煤炭企业主要负责人应是本单位网络安全工作的第一责任人,应按照“谁建设谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实网络安全责任制。企业应成立网络安全和信息化领导小组,负责网络安全管理重大事项决策和协调工作;明确其他成员单位和部门需承担的安全管理责任,同时建立健全从上至下的网络安全工作队伍。
(2)完善网络安全制度管理体系。完善的管理制度是确保网络安全的基础保障,煤炭企业网络安全管理制度应由安全策略、管理制度和操作规程等构成。安全策略是企业网络安全工作的总体方针和基础要求;管理制度是网络安全不同领域细化的制度,包括如网络安全、设备安全、系统安全、教育培训、事故处置、应急响应等一系列专项管理制度;操作规程实际上是标准,从实操层面将企业网络安全工作流程、制度要求进行标准化规范。
(3)完善网络安全人员管理体系。维护网络安全关键在人,纠正“网络安全是技术部门和技术人员的事”思想。煤炭企业网络安全不仅涉及的是本专业的管理和技术人员,还包括企业全体员工,从企业最高管理层、中层管理者、重点及敏感岗位人员、网络安全管理(技术)人员乃至最基层的普通矿工,任何一环操作或使用不当,都有可能引发网络安全问题。应建立从上至下、覆盖完善的网络安全队伍体系和教育培训考核体系,面向全员,常态化开展不同层次的网络安全培训和教育。
(4)完善网络安全建设管理体系。网络安全建设管理是煤炭企业网络安全工作的核心内容。要从规划建设、系统建设、系统管理、系统运维、审计管理、安全管理、集中管控、应急管理、检查评估、责任追究等全流程加以管控,系统化实施推进。煤炭企业网络安全管理工作应坚持“同步规划、同步建设、同步运行、同步合规”的原则,确保网络安全设施与信息系统建设项目同步投入使用,并符合安全等级保护等合规性要求。同时还要做好供应链安全管理,加强自主研发能力,加快国产化替代进程,优先部署国产产品。
4.2 合理应用网络安全防护技术
4.2.1 加强煤矿设备安全防护
煤矿设备可按照设备类型和新旧设备有针对性地进行防护,无法升级设备系统软件增强安全的老旧设备,可通过例行资产和暴露面盘点及时关闭高危账户和网络端口,减少对外暴露的设备系统接口和被攻击的几率。新设备按照富资源设备(如控制器和上位机)和资源受限设备(如传感类设备)分别进行技术防护。富资源设备应支持SL2级系统安全要求,通过软件防火墙对控制器类设备上的进程和文件白名单管理。资源受限设备应支持SL1级系统安全要求。
4.2.2 加强煤矿工控系统安全防护
(1)安全分区。煤矿生产单位可按照办公和生产分别划分安全区;井工矿可按照井下控制区和井上控制区划分分区;针对每个生产单位接入相关政府部门系统时,划分外联区。
(2)边界隔离[14]。办公分区与生产分区间,根据实际情况按需设置防火墙或者网闸,白名单机制管控互访连接。生产分区内,控制区与其他分区采用防火墙隔离防护。涉及政府部门的外联边界,应建设外联安全接入区。
(3)网络架构。生产网整体宜采用分层环形组网方式,分为骨干环网和接入环网,部分主干网络建议双节点组网,增强可靠性,网关下沉到接入交换机,减少网络风暴。无互联要求的控制和监控系统通过VLAN或者VPN隔离。
(4)终端防护。终端可安装安全沙箱,对访问生产系统的客户端软件和访问互联网的客户端进行隔离。
(5)协同防护。安全设施和网络设备通过工控安全态势感知协同,收集部署在安全区域内的工业入侵检测系统、工业网络审计类设备、终端安全、日志审计系统产生的日志和流量信息,确保煤炭企业关键工控系统的持续运转。
4.2.3 加强煤炭企业网络安全防护
(1)优化网络架构,按照单位或园区的密集度,设置独立的具有冗余结构的网关设备。
(2)收缩互联网出口,煤炭企业下属多个生产单位时,建议取消生产单位互联网出口,将互联网出口集中在集团总部或者集团所属二级子公司。
(3)网络集中管理,部署网络管理系统对所有单位的网络设备进行集中管理和监控,集中配置网络设备。
(4)网络安全域分区,管理网络和生产网络设置安全域,部署防火墙,原则上安全域策略出方向不限制,入方向按需放通。
(5)统一网络准入,部署自动化程度高的网络准入系统,对所有单位的网络设备和终端设备进行准入管控。
(6)盘点网络资产,部署网络资产盘点系统,对所有的资产和互联关系进行确认入账。
(7)尽量采购同厂安全设施,形成协同防护体系。
4.2.4 加强煤炭企业云安全防护
(1)云平台安全。加强云平台网络边界,平台运维安全防护,加强管理员账号管理。
(2)租户网络安全。按照应用通信和安全等级划分应用安全组,一个应用安全组对应一个VPC。应用安全组内通过安全组策略保障应用部件间通信安全,应用安全组间通过虚拟防火墙保障跨组通信安全。
(3)租户主机安全。通过安装软件防火墙和服务器EDR软件加强主机安全防护。
(4)云资源池安全。建立物理机房位置分开的主备容灾机制的云资源池。
4.2.5 加强煤炭企业数据安全防护
(1)对数据进行分级分类,明确核心数据、重要数据及一般数据,并对不同等级数据确立不同权限访问及保密性要求。
(2)加强数据安全防护,按照数据采集、传输、存储、使用的全流程实施数据安全防护。加强数据采集源的可信验证和数据质量监测;加强数据传输和存储的保密性防护,防范非法监听或恶意篡改;加强用户身份认证,遵循权限最小环原则;加强数据防泄露机制,涉及企业和个人隐私的数据要求脱敏处理。
(3)加强数据安全监测与审计,定期检查和分析数据库安全漏洞、SQL语句风险、用户访问风险,消除数据安全隐患。
4.2.6 加强煤炭企业应用系统安全防护
(1)应用系统访问控制应实施多因子认证,提升口令复杂度,增强账号破解难度。
(2)应建立多应用系统统一登录认证机制,降低用户保存多账号和口令的难度,减少账号丢失滥用几率。
(3)应部署应用访问代理隐藏应用系统,同时设置精细化用户权限管控,梳理不同用户的访问需求,建立应用权限管理矩阵。
(4)应部署Web防火墙和数据库审计系统,加强Web恶意攻击防御能力。
(5)应按照重要性分类实施部署隔离,避免一个应用被攻破后作为跳板攻击其他应用。
(6)应加强终端侧安全防护和监测,通过终端安全预警机制及时发现终端侧的安全风险。
4.2.7 加强物理环境安全防护
物理环境安全应按照国家及煤炭行业有关标准设计实施,应具备消防报警、安全照明、不间断供电、温湿度控制和防盗防破坏报警,从而以保护系统免受水、火、电、有害气体、雷击、地震等各种不利因素的危害。涉及的安全防护技术可从机房部署、井下信息化设备、室外控制设备3个方面来考虑。因为煤矿井下具有区域相对狭小、照明条件较差、温度高、潮湿、粉尘浓度高等特点,且部分矿井具有瓦斯浓度高、腐蚀性有害气体浓度高等特点,因此应根据不同情况采取相应的物理安全防护措施。
4.3 加强网络安全运营管理
煤炭企业网络安全运营能力建设应坚持“事先防范、事中控制、事后处置”的理念,以安全治理为核心、风险态势为导向、安全合规为基础,结合组织基础安全能力,在人、技术、过程层面不断完善组织网络安全体系,满足安全运营的系统性、动态性和实战性需求,建立健全网络安全运行监控机制,形成一体化的网络安全防御、监测预警和应急处置体系。
(1)坚持统筹谋划,整体推进。统筹煤炭企业生产区、办公区、生活区安全监控重点,统筹资源配置和关键技术管理,构建网络安全监测预警能力,推进各项任务的有序开展。
(2)坚持协同配合,分级管控。整合煤炭企业内部资源,坚持网络安全一盘棋;分层组建网络安全运营监控队伍,明确工作界限,形成分级协同的安全运行监控体系。
(3)坚持面向实战,安全运营。重点突出网络安全运营监控体系的实战能力与保障能力,以安全事件发现、分析研判、通告预警、响应处置、追踪调查为核心,构建面向实战的安全运营体系;将技术、管理、流程进行有机整合支撑业务实战,形成保障业务、促进业务的闭环安全运营。
(4)坚持及时响应,降低影响。建立网络安全运营监测值班机制,确保及时发现网络安全事件,形成网络安全与系统运行协同的一体化监控、应急防护体系,统筹协调事件处置,全力降低安全事件影响范围。
5 结语
从党中央、国务院及相关部门对网络安全的重视程度,到煤炭行业数字化、网络化、智能化发展所面临的网络安全风险形势,都对煤炭企业网络安全工作提出了新的更高要求。煤炭企业近年来在该领域虽然取得了一定进步,但整体仍存在较大差距。
网络安全是一项系统性工作,不能简单地认为投入一定资金、采取一些防护手段或招聘一些专业人员就能够解决,必须落实“三化六防”总要求,通过建立健全网络安全治理体系、合理应用网络安全防护技术、加强网络安全运营管理等全方位措施才能得以实现。