国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　煙草行業網絡安全監管運營現狀

1.1　網絡安全體系建設情況

1.1.1　統一身份認證體系

以行業數字證書認證中心（Certificate Authority，CA）認證體系為基礎，各單位按照行業統一要求建設企業CA中心或數字證書注冊中心（RegistrationAuthority，RA）中心，實現全行業的數字證書互認。結合統一平臺建設和移動應用，建設統一身份認證體系，完善單點登錄、統一身份認證、統一權限管理、統一行為審計功能，逐步實現從系統級權限管理向數據級權限管理轉變，實現網絡行為全過程審計。

1.1.2　安全保密體系

建立數據和信息內容分類標準，確定保密對象，采用數據加密、電磁防護、可信計算、防篡改、網頁防護、數字簽名、文件打印控制、數據下載拷貝控制等技術，對重要文件、核心技術資料、敏感信息、客戶信息等實施保密保護，防止人為利用合法身份通過網絡、計算機終端、電子郵件、下載拷貝、文檔打印等渠道泄露保密數據和信息。

1.1.3　安全運行體系

建設符合信息系統安全穩定運行要求的機房和基礎設施。采用數據采集技術、安全監控技術、漏洞查找技術，實現對信息系統、人員操作行為、安全狀況的整體監控；利用大數據分析技術進行關聯分析，實現準確、及時告警和集中展現；采用統一標準接口實現國家局與行業各單位監控信息的互通，為虛擬資源管理提供支撐。運用自動化和智能化容災備份恢復技術，實現數據和應用系統自動互備。

1.1.4　安全管理體系

健全網絡安全組織機構，設置網絡安全管理崗位并配備專職人員，建立行業網絡安全技術與管理專業人才隊伍。完善信息系統建設開發、運行維護、數據應用、外包管理等安全制度并納入行業各單位的質量管理體系，實行全過程、全要素安全管理。建立覆蓋技術、管理、運維，具備可量化、可操作、可考核特性的網絡安全管理評估指標，實現安全量化管理。堅持“日查月分季評”制度，把安全監督檢查納入日常安全管理工作，積極采用技術檢查手段，深入開展安全檢查。建立全面梳理、全面診斷、全面加固長效機制，利用信息化手段實現全面梳理實時化、自動化、信息化，建立全面診斷流程和指標，制定全面加固相關規范和標準。

1.1.5　網絡邊界防護體系

廣泛采用下一代防火墻、大規模入侵檢測與防御設備、網絡認證技術、云計算安全查殺工具、桌面虛擬化等網絡安全新技術和新設備，提升互聯網接入口防入侵能力，實現骨干網、省域網、局域網以及不同安全域之間的可信互聯，構建與移動互聯、云計算、虛擬化和智能終端等新技術應用相適應的網絡防護措施，推進辦公計算機與互聯網訪問的隔離。按照《煙草工業企業生產網與管理網網絡互聯安全規范》（YC/T 494—2014），完善生產網與管理網安全隔離措施；按照國家有關要求和技術標準廣泛運用新技術提高工商企業工控系統的安全保護能力，加強工業控制系統的連接管理、組網管理、配置管理、設備選擇與升級管理、數據管理和應急管理。

1.2　網信建設成效

（1）基礎管理持續加強

以《數字煙草發展綱要》（國煙辦〔2005〕632號）為指導，明確了信息化建設思路，保障了信息化建設的科學發展。根據《煙草行業信息化工作管理辦法》（國煙辦〔2011〕529號）加強企業信息化工作的規范管理，初步完成了企業信息化標準體系的建設。根據《煙草行業信息化工作考核辦法》（國煙法〔2004〕675號）發布的全國煙草行業信息化工作管理辦法，建立了各單位信息化水平評價體系。強化組織機構和人才隊伍建設，建成總部+各廠、公司聯動的企業信息化專業隊伍。

（2）技術體系日益完善

建立了以數據中心、應用平臺為核心內容的企業信息化總體技術架構，深入開展新技術的研究探索，持續強化數據管理工作，合理布局技術資源的建設和使用，資源利用效率有效提升。不斷提高安全技術能力，企業建立了比較完備的網絡安全制度，部署了比較全面的網絡安全防護措施，搭建了企業的身份認證基礎環境，企業網絡安全保障能力得到提升。

（3）規范管理能力明顯提升

四川中煙各級網絡安全和信息化領導組織機構不斷健全，運行機制不斷完善，強化網信工作歸口管理和綜合協調，加強統一平臺、數據資源、網絡安全管理。創新信息化項目實施標準作業流程方法，提高信息化項目進度、質量等管理水平，不斷加強網信專業人才隊伍建設。

（4）安全保障能力明顯提升

建立網絡安全責任機制，以及企業業績考核、督查檢查、問責工作范圍，強化等級保護、風險評估和應急保障能力，完善信息通報預警機制，建設企業安全運維一體化管控系統，加強統一推廣系統安全防護，推進重要數據和個人信息安全保護。

1.3　機遇和挑戰

1.3.1　自主可控生態

網絡空間已成為國家主權第五空間，網絡安全是數字經濟的基礎。IT設施日益成為社會和國家基礎設施，信息安全已成為國家安全的基礎組成部分。信息網絡已經獨立于實體空間而衍生出一個龐大的“網絡”空間，各行各業信息的電子化使得網絡安全問題不再是單純的技術問題，而是演變為復雜的社會問題，網絡安全與國土安全、政治安全、經濟安全一起成為國家安全的重要組成部分。

我國在半導體核心技術（尤其是芯片核心領域）受制于人，一旦受到封鎖將會對國內企業發展、經濟等領域造成嚴重影響。因此急需研發出可用乃至好用的核心信息技術產品，對自主可控的網絡產品和服務進行評估、扶持和推廣，進而構建良好自主的可控生態。

1.3.2　新技術網絡安全問題

隨著5G、IPv6規模部署和試點工作逐步推進，關于5G、IPv6自身的安全問題及衍生的安全問題備受關注。5G技術的應用代表著增強的移動帶寬、海量的機器通信及超高可靠、低延時的通信，與IPv6技術應用共同發展，將真正實現萬物互聯，互聯網上承載的信息將更為豐富，物聯網將大規模發展。但重要數據泄露、物聯網設備安全問題目前尚未得到有效解決，物聯網設備被大規模利用發起網絡攻擊的問題也更加突出。同時，區塊鏈技術也受到國內外廣泛關注并被快速應用，從數字貨幣到智能合約，并逐步向文化娛樂、社會管理、物聯網等多個領域延伸。隨著區塊鏈應用的范圍和深度逐漸擴大，數字貨幣被盜和智能合約、錢包、“挖礦”軟件漏洞等安全問題更加凸顯。

1.3.3　網絡安全領域人才缺口

在嚴峻的網絡安全內外部形勢下，我國國內的網絡安全制度建設、標準體系建設、技術保障體系建設步伐加快，網絡安全人才、安全專職人員作為基礎支撐，在各行業的人才招聘市場上越顯“緊俏”。內部業務的數字化、外部監管合規壓力倍增，都催生四川中煙對網絡安全人才的需求持續增長。同時，網絡空間安全學科與專業建設不能及時跟上，導致網絡空間安全人才培養模式不成熟、體系不完善等矛盾較為突出。我們要持之以恒抓好四川中煙網絡安全人才培育，加快推進網絡安全人才與創新激勵體系建設，努力形成人才培養、技術創新、產業發展的良好生態。

1.3.4　網絡安全工作考核常態化

近年來國家局根據行業網絡安全建設實際情況和需要，一方面通過發布網絡安全相關行業標準規范為行業單位網絡安全建設提供指導和統一要求，另一方面通過每年度一次全面網絡安全檢查和專項網絡安全檢查，面向全行業“以查促建、以查促管、以查促改、以查促防”推動行業整體網絡安全建設水平的提高。

2 　煙草行業網絡安全監管運營管理規劃

2.1　規劃藍圖

針對當前已知的被動式安全防御體系的短板和網絡安全攻防博弈不平衡的問題，在“十四五”期間，四川中煙網絡安全建設將以“中國制造2025”和“互聯網+”為發展方向和總體要求，以兩化深度融合為主線，以“網絡安全滑動標尺”為模型，圍繞公司“十四五”戰略發展目標，充分繼承和完善既有“十三五”網絡安全工作建設成果，提出了“靜態技術體系”和“動態運營體系”相結合，以技術支撐運營、運營驅動基礎的“12358”智能化安全運營保障體系。如圖1所示。

圖1 “12358”智能化安全運營保障體系

（1）12358基本理念

“1”：以安全運營中心為核心的四川中煙智能化安全運營保障體系；

“2”：面向四川中煙重要信息系統，積極推動兩個制度（網絡安全等級保護制度和關鍵信息基礎設施安全保護制度）落實，以安全“合規”和“風險”為驅動；

“3”：立足“三位一體”，聚合“人員、流程、技術”流程，建立智能化安全運營中心，完善網絡安全措施；

“5”：以“安全運營”為核心理念，通過智能化安全運營中心開展攻防實戰演練、專項基礎安全、持續威脅管理和風險管控、應急響應和協同指揮、重大活動安全保障五個專項安全保障工作；

“8”：通過智能化安全運營保障體系落實四川中煙及各分廠安全防護措施，構建重要信息系統安全、合規、穩定、高效運行所需的八大安全能力，即識別能力、防護能力、檢測能力、分析能力、監測預警能力、追蹤溯源能力、事件處置能力和安全恢復能力。

（2）12358能力對應（如表1所示）

表1 “12358”智能化安全運營保障體系能力對應表

2.2　靜態技術體系概述

規劃架構將靜態技術體系定義為被動防御，是架構中添加的提供持續威脅防護和洞察且無需經常人工互動的樣本系統，如防火墻、反惡意軟件系統、入侵防御系統、防病毒系統、入侵檢測系統等傳統安全系統，可提供資產防護，填補或縮小已知安全缺口，減少與威脅交互的機會，并支持威脅洞察分析。

建設任務：

· 依托“1+1+N”云架構體系，提升云平臺安全能力；

· 開展數據安全治理建設，強化個人隱私信息保護；

· 普及行業數字認證應用、推動國密應用改造；

· 持續完善工控安全體系建設，構建工業互聯網平臺；

· 開展行業信創推廣，保障IPv6網絡改造；

· 圍繞等保、關保和密評開展合規性治理；

· 助力新技術應用，打造區塊鏈業務安全模型。

2.3　動態技術體系概述

規劃架構將動態運營體系定義為主動防御，通過分析師監控、響應網絡內部威脅、從中汲取經驗并將知識應用其中的過程。承擔這一任務的分析師包括事件響應人、惡意軟件逆向工程師、威脅分析師、網絡安全監控分析師以及進行響應的其他人員。主動防御定義中的“網絡內部”很重要，進一步消除了“反擊”，即“黑回去”的誤解。

建設任務：

· 完成安全運營保障體系頂層設計；

· 安全中臺護航公司“雙中臺”建設；

· 管理體系保障網絡安全“三化六防”措施落地；

· 建成安全應急指揮平臺，建立應急通報機制；

· 搭建攻防演練平臺，加速網絡安全人才培養。

3　網絡安全監管運營思考

3.1　安全運營建設方法

3.1.1　安全策略

行業信息網絡定位為非涉及國家秘密網絡，承載行業業務應用的行業業務網。本規劃所指網絡安全涵蓋基礎網絡、系統運行和信息內容安全的各個方面，包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等內容。行業網絡安全總體策略是：分級分域、整體保護、積極預防、動態管理。

（1）分級分域

根據信息系統運行安全需求，數據和信息內容安全需求，以及應用范圍，確定信息系統的安全保護等級，劃分信息系統運行環境的安全域，針對不同安全域制定相應的分項安全策略，實行等級保護。

（2）整體保護

按照相互關聯、相互均衡的原則，在網絡以及信息系統運行應用的各環節，全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術安全設施，并按照組件化、平臺化、集成化技術路線進行整合，實現協同防御。

（3）積極預防

在信息系統規劃設計、開發建設、運行維護和停用廢棄等各環節實行安全審核管理；加強對重要信息技術產品的漏洞和后門程序檢查，定期開展安全測評、風險評估工作；堅持安全保障和運維保障一體化建設與管理，運用信息化監控手段，全面感知安全狀態，提高安全事件預警化能力；完善容災備份措施，健全應急保障隊伍，開展應急演練，增強應急處置能力。

（4）動態管理

緊密跟蹤行業信息化發展變化情況與網絡安全攻防技術的發展狀況，適時調整、完善和創新安全管理方法，持續提升、改進和強化技術防護手段，保證行業網絡安全水平與行業信息化發展水平相適應。

3.1.2　技術與管理

安全技術是行業網絡安全體系的基礎，安全管理是安全技術切實發揮作用的保障。行業網絡安全體系采用縱向防護與橫向防護相互關聯、相互支撐的技術架構?？v向包括終端、網絡、應用、系統、物理五個層次，橫向包括身份認證、訪問控制、數據與內容安全、監控審計、備份恢復五個環節，在縱橫之間部署相應的安全技術組件。網絡安全技術架構如圖2所示。

圖2 網絡安全技術架構

通過構建和完善網絡邊界防護體系、統一身份認證體系、安全保密體系、安全運行體系和安全管理體系，形成管理與技術集成聯動機制，實現從聚焦安全技術層面向聚焦安全管理和安全戰略層面轉變，保障行業網絡安全與信息化建設協調同步發展。

3.2　煙草行業工控安全體系建設落地難點

3.2.1　管理方面

（1）責任邊界不明確

信息化管理部門負責全廠網絡安全建設方案的設計規劃、建設實施、運維管理的工作任務，而涉及工業自動化的設備管理和系統開發則是由生產部門來管理。

在工控安全體系建設過程中，認責往往會成為信息化部門和生產部門常見問題之一。

（2）生產和安全平衡失調

生產部門對于生產系統的持續性和穩定性的要求要大大高于信息化部門強調的安全性，生產部門不可能接受由于要開展工控安全建設而停機的需求，尤其是在沒有現實的網絡安全威脅的情況下。信息化部門只能無限期地等待生產車間的計劃停產，利用停車檢修的窗口期去開展工控安全建設，這勢必會影響工控安全項目的整體進度和建設質量。

（3）制度規范落地執行難

由于生產車間環境復雜，人員流動性較大，無論是信息化部門還是生產部門都無法完全按照制度要求規范人員行為、設備操作、系統管理，導致工業控制系統管理制度形如空文，缺乏一定的約束力。

3.2.2　技術方面

（1）現場設備老舊

工業主機防御有很大困難，很多生產車間現場的工業主機系統非常老舊，漏洞非常多，甚至存在很多主機系統運行了超過10年，找不到相應的升級補丁的情況。

（2）系統資源瓶頸

工控系統從設計上不是一個通用計算系統，設計的資源余量很少，除了干工控系統本身的事之外，從主機到網絡都很少有冗余的資源進行其他工作。一個簡單的漏洞掃描行為都可能導致工控系統的資源枯竭。

（3）系統層次復雜

標準的工業控制系統的5個層級對網絡安全的要求不同，同時越往下層走，涉及的工控專有協議、設備私有協議越多。要在底層通過工業防火墻實現PLC級的縱深防御，一方面需要對工控系統的業務邏輯、數據流向、私有協議、控制命令有深度的認識；另一方面對于工業防火墻的適用性有非常高的要求。

（4）以犧牲準確率換取降低誤傷率

工控網絡通常不允許連接互聯網，防病毒、入侵檢測等安全產品不具備及時更新病毒庫的條件，導致對于新型病毒、威脅特征的識別并不準確，極易在惡意代碼查殺和封堵的過程中對工業控制系統產生致命的后果。為了降低誤報，很大程度上是以犧牲檢出率為代價，所以現在大量工作站和工業網絡經常處于無防護狀態。

3.2.3　改善舉措

· 通過持續性的網絡安全專項培訓結合考核，提升生產部門的網絡安全意識以及信息化部門的工控安全專業技能；

· 工控安全建設圍繞生產安全運行，對防護方案和建設計劃進行調優；

· 通過搭建工業控制系統仿真環境測試驗證漏洞PoC，避免出現過度防御和能力短板的情況；

· 由生產部門和信息化部門合作基于工業控制系統全資產的漏洞管理體系；

· 梳理生產邏輯應用，積累行業知識庫，解決安全策略下發問題。

3.3　安全運營的思考

安全運營是網絡運營者持續不斷思考、優化的命題與活動[1]。安全運營是一系列規則、技術和應用的集合，用以保障組織核心業務平穩運行的相關活動；是通過靈活、動態的實施控制以期達到組織和業務需要的整體范圍可持續性正常運行。安全運營需要明確安全運營的目標，從系統性、動態性、實戰性的角度加強認識。

3.3.1　系統性

一是組織業務自身的系統性和完整性，二是針對防護體系的系統性和完整性。安全運營需要將構成業務系統完整運行的各個要素看成一個整體，防護體系的構建能夠完整、有效地梳理并覆蓋安全風險，不因遺落或木桶原理造成整體性影響。

3.3.2　動態性

IT技術的飛速發展使得網絡攻擊和防護水平能力不斷提升，安全運營需要在不斷迭代中增強管理和技術防護能力。同時，組織面臨的網絡安全風險層出不窮，除傳統的外部攻擊威脅，地下黑產驅動的漏洞利用、內部員工主動惡意行為都需要組織業務系統的防護手段和方法與時俱進，安全運營更加具有針對性，并及時調整工作流程和行為規范。

3.3.3　實戰性

網絡攻擊具有突發性、隱蔽性、潛伏性、持續性等特點，安全運營也需要保證良好的網絡安全攻防狀態，有應對經驗和攻防能力儲備。安全運營團隊應不斷進行深入思考與針對練習，提升預警監測、分析研判、處置總結的能力。

因此，網絡安全運營能力建設應堅持“事先防范、事中控制、事后處置”的理念，以安全治理為核心、風險態勢為導向、安全合規為基礎，結合組織基礎安全能力，在人、技術、過程層面不斷完善組織網絡安全體系，滿足安全運營的系統性、動態性和實戰性的需求，不斷提升組織安全防御能力。AP

作者簡介

石　潔（1982-），女，四川成都人，工程師，碩士，現就職于四川中煙工業有限責任公司信息中心，主要研究方向為網絡系統、信息安全系統等基礎設施類項目技術方案制定與項目實施，基礎設施系統運行維護與技術支持。

參考文獻：

[1] FreeBuf. 網絡安全運營能力建設思路 (一) [EB/OL]. https://www.freebuf.com/articles/es/253340.html, 2022-1.

摘自《自動化博覽》2022年1月刊暨《工業控制系統信息安全?？ǖ诎溯嫞?/span>