今日頭條
官方微信
官方抖音
資訊頻道當前全球網絡安全威脅和風險日益突出,并向政治、經濟、文化、社會、生態、國防等領域傳導滲透。石油化工行業的網絡信息系統長期以來一直是網絡攻擊的重要目標,安全運營的要求高、責任大、任務重。
一、石油化工行業網絡安全運營的痛點與難點
石油化工行業的網絡安全保障工作有其特殊性。
一是中國石化業務應用復雜,上中下游、科研、工程、貿易、金融、電商,相應的業務信息系統復雜度極高。隨著計算和存儲技術的快速提升,為了快速響應對業務的支持和市場的反應,信息化架構從金字塔型模塊化的分層架構,向容器化的微服務敏捷架構轉變。面向需求側,由系統集成向微服務集成轉變,面向供給側,由工業云向工業互聯網生態轉型。未來,中國石化的信息化將走向端、邊、管、云的一體化融合,將給網絡安全運營帶來新的挑戰。
二是網絡覆蓋面大、數據中心眾多、終端眾多,整體網絡延伸到5大洲、30余個國家,國內32個省自治區直轄市,150余個企業,涉及用戶數量達65萬。
三是供應鏈復雜、主體建設運維已經自主掌握,由石化盈科和共享服務公司提供保障,但是面對如此龐大復雜的信息化系統,存在著龐雜的供應商隊伍。單就總部信息管理部門來說,為其提供軟、硬件產品生產商及產品授權代理商30余家,提供咨詢、實施、工程、運行維護、軟件開發、系統集成等服務的信息技術服務商十余家。如何對眾多供應商提供的產品以及服務安全性進行全方位約束和考量不可規避。
四是新業態新技術的不斷涌現并深化應用。中國石化制定了全業務應用上云戰略,石化智云已經全面支撐智能制造、互聯網應用和企業管理,開通了466個智能制造資源實例,支撐了9個地區智能工廠、智能油氣田、智能物流、智能研究院的17個重點應用,2000多個互聯網應用資源實例,支撐包括易捷、易派客、客戶管理等40多個應用系統,1600多個企業應用資源實例,支撐共計140多個企業經營管理應用,提供基礎設施層、數據庫層、中間件層、網絡安全、主機安全、計算節點等各類資源服務,涉及云計算、大數據、移動應用、電子支付、IoT、信息物理系統(CPS)等各類技術在流程制造行業的綜合應用。在資產、信息、數據和關系發生量級增長后,平臺安全、數據安全、應用安全、支付安全、交易安全、物聯網智能設備安全是中國石化實現一體化、全周期安全運營必須重視和攻克的挑戰。
二、中國石化網絡安全運營的探索與實踐
針對網絡安全工作,中國石化高度重視,集團公司領導層做出了“集團公司正處于改革發展的關鍵時期,面對復雜嚴峻的外部環境,面對推進全面可持續發展的艱巨任務,擁有安全穩定的網絡環境是至關重要的”這一戰略判斷。中國石化集團公司董事長、網絡安全和信息化領導小組組長戴厚良同志,代表集團公司黨組對全系統做出了:“網絡安全是系統性、全局性的,一旦出現問題將是全局性、災難性的,要提高思想認識、壓實各級責任,用比生產裝置安全更高標準、更嚴要求來抓好網絡安全。”的指示。
在集團公司黨組領導的正確領導下,中國石化近年來不斷加大了網絡安全財力物力人力投入,持續加強安全運營保障的各方面能力。
(一)以退為進,收緊戰線——全面收斂集團面向互聯網的攻擊暴露面
互聯網暴露面越廣,風險越高,也更容易成為攻擊者的首選目標。近年來,中國石化持續加強互聯網出口管控,一是推行互聯網收口工程,在全國范圍內建設十個互聯網區域中心,對下屬49家直屬企業及100余家二、三級單位互聯網出口實現統一管控;二是規范互聯網訪問方式,VPN全面啟用雙因素認證,清退各類違規互聯網訪問、遠程接入賬號;三是建設統一部署的身份認證及行為監測體系,實施全網統一的網絡準入控制系統、桌面安全管理系統、防病毒系統,企業無死角開啟網絡準入控制,遵循“準入必合規”原則,對終端入網實現身份驗證和安全管控;四是形成覆蓋全生命周期的風險發現與處置機制,系統上線前的安全規劃及代碼審計、上線時的上線與驗收測評、運行過程中的風險評估與安全檢查均形成常態化機制,并適時開展如互聯網安全專項治理工作,平戰結合,形成長效機制。
(二)摸清家底,全面布控——形成資產管理與態勢感知相結合的自動化監測能力
在資產管理方面,中國石化集團公司信息資產數量巨大,防護水平參差不齊,攻擊者通過搜尋防護薄弱、疏于管理以及廢棄老舊資產作為突破口,可實現對重要系統的迂回突破。通過開展資產測繪,排查互聯網、主干網、外聯區等邊界信息,明確資產歸屬,形成臺賬,及時下線廢棄或無主系統。此外,資產管理工作還需要額外關注互聯網上泄露的中國石化敏感信息,包括主機、郵箱明文存儲的賬號、口令,以及文庫、github等互聯網平臺上存在的技術方案、網絡拓撲圖、系統源代碼、賬號、口令等。為防止正面防御如同“馬奇諾防線”一樣被繞過,造成重要系統直接暴露在攻擊者面前,持續開展敏感信息清理工作非常必要。
在態勢感知方面,在總部互聯網出口、主干網、區域中心互聯網出口等關鍵部位部署態勢感知系統對網絡流量進行重點監控。通過對攻擊者攻擊方法、攻擊路線、常見套路進行分析與提煉,形成定制策略,精準識別攻擊者掃描踩點、漏洞利用、權限提升、橫向滲透等行為。同時,在總部和區域中心互聯網出口部署網絡攻擊阻斷系統,采用大數據分析技術,融合匯聚主機防護設備情報源、企業威脅情報源、情報聯盟情報源等多源數據,開展威脅、情報關聯分析與挖掘,對惡意IP的訪問請求進行實時匹配和阻斷,從而實現防護關口的前移,達到全局共享惡意IP,實現“一點監測、全局阻斷”效果。此外,通過日志審計系統在攻擊者探測、控制與命令通道、橫向移動攻擊以及內部安全審計等維度,設置實時關聯分析告警規則進行大廣角的橫向關聯和縱深的數據挖掘。同時與態勢感知系統協同聯動,可發現大量掃描、暴力破解、賬號異常、異常通信和服務器異常操作等行為。
(三)形成縱深,保障要害——創建層次清晰、手段豐富的縱深防御體系
眾所周知,電力行業早期就形成了諸如“橫向隔離,縱向加密”的網絡縱深,取得了很好的安全保障效果。中國石化也在打造自身的縱深防御體系。在網絡層面體現為三道主要防線:一是在總部和區域中心互聯網邊界部署IPS、WAF等自動化防護系統并啟用高強度防護策略,阻斷來自互聯網的自動化攻擊、掃描行為;二是在連接各下屬企業的主干網通路啟用白名單訪問控制策略,阻斷攻擊者入侵單個企業后的橫向滲透;三是在數據中心重要安全域邊界啟用雙向白名單訪問控制策略,阻斷攻擊者入侵外圍邊界后的縱向深入。
主機層面,在重點業務系統上全面部署主機防護設備進行重點防護。針對SQL注入、暴力破解、任意文件讀取、網站漏洞等入侵行為部署針對性防護策略。同時通過主機防護設備強化操作系統底層安全,保障其基礎環境安全。監控人員依托主機防護設備的云中心大數據分析平臺,從攔截日志中提取詳細信息,對攻擊行為進行感知、辨識、追溯、取證。此外,在互聯網區、內網核心區部署蜜罐,以此在攻擊者攻擊路徑上構造陷阱,精確感知攻擊行為,混淆攻擊目標,將攻擊火力引導到蜜罐系統,記錄攻擊行為,實現“誘敵深入,精準溯源”效果。
(四)技管結合,以人為本——打造以高素質人才為核心協同高效運營團隊
檢驗網絡安全運營是否成熟,本質在于是否有一支高素質的隊伍。網絡攻防其實就是人與人之間的攻防,在網絡安全人才整體短缺的大背景下,不論是突出合規屬性的管理型人才還是突出技術屬性的實戰化人才,在數量以及能力上都嚴重匱乏。中國石化在加強與國家專業機構、產業公司合作的基礎上加強能力的轉移轉化,并不斷跟蹤國內外網絡安全新政策、新標準、新技術,在全集團范圍內建立形成人才梯隊培育模式并建設攻防演練實訓靶場,培育行業隊伍。
檢驗網絡安全運營是否成熟,核心在于日常運營協同是否合理有效。中國石化科學合理配置總部和企業的防護力量,在總部設立網絡安全運營中心,統一調配各專業小組和外圍機動力量,各企業設立分中心,協同進行態勢監控和響應,形成上下一體、協同聯動的運營體系。
檢驗網絡安全運營是否成熟,關鍵在于重大敏感時期或安全事件爆發時的應急處置效率。中國石化以總部網絡安全運營中心為核心,搭建集團內部自上而下的應急響應即時通訊平臺,及時發布安全事件和處置指令,按照監控告警、分析研判、處置響應的工作主線,及既定應急響應流程,采用全網掃描報備、精準感知、態勢研判、關聯分析、自動封禁、快速處置、重點溯源、跟蹤閉環、動態調配等一系列策略開展網絡安全應急響應工作。
三、中國石化下一步網絡安全運營的思考
中國石化的網絡安全運營工作依然任重而道遠,下一步的網絡安全運營將朝著集中化、自動化、智能化方向不斷發展。
一是進一步做實網絡安全責任制,實現從要我安全到我要安全的轉變。一方面要強化考核、壓實責任。加強網絡安全考核力度,針對運營工作中發現的漏洞短板,重點加強攻擊面收斂、敏感信息消除、第三方運維單位安全管控等內容的考核力度。另一方面要出臺網絡安全問責機制,發生安全事件后對主責單位實施問責。
二是狠抓三同步,實現業務系統建設與網絡安全工作的融合發展,確保系統的本質安全。把好源頭關,著力做好信息系統建設過程中的安全規劃設計和實施質量管理,探索項目安全監理制度。
三是網絡安全運營隊伍的專業化。依托集團攻防團隊核心骨干人員建立專業的安全運營隊伍,并根據安全運營的專業需要進一步加強人才隊伍的能力建設,包括專職負責安全研究的專家,主要研究最新的攻擊方法,模擬黑客進行攻擊;還要有安全數據分析專家,主要從海量的數據中找規律、優化算法,力求以最快的速度發現威脅。
四是網絡安全運營系統的集中化,打造總部、區域中心、企業三位一體的安全運營體系,將集團內網及互聯網所有數據進行統一匯總分析,結合內網威脅情報實現對全集團安全態勢的統一管控。同時進一步加強智能分析與處置能力,重點加強安全編排和安全自動化能力,以及響應管理能力,最終整體提升安全運營系統的效能。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號