国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　煙草行業(yè)網(wǎng)絡(luò)安全監(jiān)管運營現(xiàn)狀

1.1　網(wǎng)絡(luò)安全體系建設(shè)情況

1.1.1　統(tǒng)一身份認證體系

以行業(yè)數(shù)字證書認證中心（Certificate Authority，CA）認證體系為基礎(chǔ)，各單位按照行業(yè)統(tǒng)一要求建設(shè)企業(yè)CA中心或數(shù)字證書注冊中心（RegistrationAuthority，RA）中心，實現(xiàn)全行業(yè)的數(shù)字證書互認。結(jié)合統(tǒng)一平臺建設(shè)和移動應(yīng)用，建設(shè)統(tǒng)一身份認證體系，完善單點登錄、統(tǒng)一身份認證、統(tǒng)一權(quán)限管理、統(tǒng)一行為審計功能，逐步實現(xiàn)從系統(tǒng)級權(quán)限管理向數(shù)據(jù)級權(quán)限管理轉(zhuǎn)變，實現(xiàn)網(wǎng)絡(luò)行為全過程審計。

1.1.2　安全保密體系

建立數(shù)據(jù)和信息內(nèi)容分類標(biāo)準(zhǔn)，確定保密對象，采用數(shù)據(jù)加密、電磁防護、可信計算、防篡改、網(wǎng)頁防護、數(shù)字簽名、文件打印控制、數(shù)據(jù)下載拷貝控制等技術(shù)，對重要文件、核心技術(shù)資料、敏感信息、客戶信息等實施保密保護，防止人為利用合法身份通過網(wǎng)絡(luò)、計算機終端、電子郵件、下載拷貝、文檔打印等渠道泄露保密數(shù)據(jù)和信息。

1.1.3　安全運行體系

建設(shè)符合信息系統(tǒng)安全穩(wěn)定運行要求的機房和基礎(chǔ)設(shè)施。采用數(shù)據(jù)采集技術(shù)、安全監(jiān)控技術(shù)、漏洞查找技術(shù)，實現(xiàn)對信息系統(tǒng)、人員操作行為、安全狀況的整體監(jiān)控；利用大數(shù)據(jù)分析技術(shù)進行關(guān)聯(lián)分析，實現(xiàn)準(zhǔn)確、及時告警和集中展現(xiàn)；采用統(tǒng)一標(biāo)準(zhǔn)接口實現(xiàn)國家局與行業(yè)各單位監(jiān)控信息的互通，為虛擬資源管理提供支撐。運用自動化和智能化容災(zāi)備份恢復(fù)技術(shù)，實現(xiàn)數(shù)據(jù)和應(yīng)用系統(tǒng)自動互備。

1.1.4　安全管理體系

健全網(wǎng)絡(luò)安全組織機構(gòu)，設(shè)置網(wǎng)絡(luò)安全管理崗位并配備專職人員，建立行業(yè)網(wǎng)絡(luò)安全技術(shù)與管理專業(yè)人才隊伍。完善信息系統(tǒng)建設(shè)開發(fā)、運行維護、數(shù)據(jù)應(yīng)用、外包管理等安全制度并納入行業(yè)各單位的質(zhì)量管理體系，實行全過程、全要素安全管理。建立覆蓋技術(shù)、管理、運維，具備可量化、可操作、可考核特性的網(wǎng)絡(luò)安全管理評估指標(biāo)，實現(xiàn)安全量化管理。堅持“日查月分季評”制度，把安全監(jiān)督檢查納入日常安全管理工作，積極采用技術(shù)檢查手段，深入開展安全檢查。建立全面梳理、全面診斷、全面加固長效機制，利用信息化手段實現(xiàn)全面梳理實時化、自動化、信息化，建立全面診斷流程和指標(biāo)，制定全面加固相關(guān)規(guī)范和標(biāo)準(zhǔn)。

1.1.5　網(wǎng)絡(luò)邊界防護體系

廣泛采用下一代防火墻、大規(guī)模入侵檢測與防御設(shè)備、網(wǎng)絡(luò)認證技術(shù)、云計算安全查殺工具、桌面虛擬化等網(wǎng)絡(luò)安全新技術(shù)和新設(shè)備，提升互聯(lián)網(wǎng)接入口防入侵能力，實現(xiàn)骨干網(wǎng)、省域網(wǎng)、局域網(wǎng)以及不同安全域之間的可信互聯(lián)，構(gòu)建與移動互聯(lián)、云計算、虛擬化和智能終端等新技術(shù)應(yīng)用相適應(yīng)的網(wǎng)絡(luò)防護措施，推進辦公計算機與互聯(lián)網(wǎng)訪問的隔離。按照《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》（YC/T 494—2014），完善生產(chǎn)網(wǎng)與管理網(wǎng)安全隔離措施；按照國家有關(guān)要求和技術(shù)標(biāo)準(zhǔn)廣泛運用新技術(shù)提高工商企業(yè)工控系統(tǒng)的安全保護能力，加強工業(yè)控制系統(tǒng)的連接管理、組網(wǎng)管理、配置管理、設(shè)備選擇與升級管理、數(shù)據(jù)管理和應(yīng)急管理。

1.2　網(wǎng)信建設(shè)成效

（1）基礎(chǔ)管理持續(xù)加強

以《數(shù)字煙草發(fā)展綱要》（國煙辦〔2005〕632號）為指導(dǎo)，明確了信息化建設(shè)思路，保障了信息化建設(shè)的科學(xué)發(fā)展。根據(jù)《煙草行業(yè)信息化工作管理辦法》（國煙辦〔2011〕529號）加強企業(yè)信息化工作的規(guī)范管理，初步完成了企業(yè)信息化標(biāo)準(zhǔn)體系的建設(shè)。根據(jù)《煙草行業(yè)信息化工作考核辦法》（國煙法〔2004〕675號）發(fā)布的全國煙草行業(yè)信息化工作管理辦法，建立了各單位信息化水平評價體系。強化組織機構(gòu)和人才隊伍建設(shè)，建成總部+各廠、公司聯(lián)動的企業(yè)信息化專業(yè)隊伍。

（2）技術(shù)體系日益完善

建立了以數(shù)據(jù)中心、應(yīng)用平臺為核心內(nèi)容的企業(yè)信息化總體技術(shù)架構(gòu)，深入開展新技術(shù)的研究探索，持續(xù)強化數(shù)據(jù)管理工作，合理布局技術(shù)資源的建設(shè)和使用，資源利用效率有效提升。不斷提高安全技術(shù)能力，企業(yè)建立了比較完備的網(wǎng)絡(luò)安全制度，部署了比較全面的網(wǎng)絡(luò)安全防護措施，搭建了企業(yè)的身份認證基礎(chǔ)環(huán)境，企業(yè)網(wǎng)絡(luò)安全保障能力得到提升。

（3）規(guī)范管理能力明顯提升

四川中煙各級網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)組織機構(gòu)不斷健全，運行機制不斷完善，強化網(wǎng)信工作歸口管理和綜合協(xié)調(diào)，加強統(tǒng)一平臺、數(shù)據(jù)資源、網(wǎng)絡(luò)安全管理。創(chuàng)新信息化項目實施標(biāo)準(zhǔn)作業(yè)流程方法，提高信息化項目進度、質(zhì)量等管理水平，不斷加強網(wǎng)信專業(yè)人才隊伍建設(shè)。

（4）安全保障能力明顯提升

建立網(wǎng)絡(luò)安全責(zé)任機制，以及企業(yè)業(yè)績考核、督查檢查、問責(zé)工作范圍，強化等級保護、風(fēng)險評估和應(yīng)急保障能力，完善信息通報預(yù)警機制，建設(shè)企業(yè)安全運維一體化管控系統(tǒng)，加強統(tǒng)一推廣系統(tǒng)安全防護，推進重要數(shù)據(jù)和個人信息安全保護。

1.3　機遇和挑戰(zhàn)

1.3.1　自主可控生態(tài)

網(wǎng)絡(luò)空間已成為國家主權(quán)第五空間，網(wǎng)絡(luò)安全是數(shù)字經(jīng)濟的基礎(chǔ)。IT設(shè)施日益成為社會和國家基礎(chǔ)設(shè)施，信息安全已成為國家安全的基礎(chǔ)組成部分。信息網(wǎng)絡(luò)已經(jīng)獨立于實體空間而衍生出一個龐大的“網(wǎng)絡(luò)”空間，各行各業(yè)信息的電子化使得網(wǎng)絡(luò)安全問題不再是單純的技術(shù)問題，而是演變?yōu)閺?fù)雜的社會問題，網(wǎng)絡(luò)安全與國土安全、政治安全、經(jīng)濟安全一起成為國家安全的重要組成部分。

我國在半導(dǎo)體核心技術(shù)（尤其是芯片核心領(lǐng)域）受制于人，一旦受到封鎖將會對國內(nèi)企業(yè)發(fā)展、經(jīng)濟等領(lǐng)域造成嚴(yán)重影響。因此急需研發(fā)出可用乃至好用的核心信息技術(shù)產(chǎn)品，對自主可控的網(wǎng)絡(luò)產(chǎn)品和服務(wù)進行評估、扶持和推廣，進而構(gòu)建良好自主的可控生態(tài)。

1.3.2　新技術(shù)網(wǎng)絡(luò)安全問題

隨著5G、IPv6規(guī)模部署和試點工作逐步推進，關(guān)于5G、IPv6自身的安全問題及衍生的安全問題備受關(guān)注。5G技術(shù)的應(yīng)用代表著增強的移動帶寬、海量的機器通信及超高可靠、低延時的通信，與IPv6技術(shù)應(yīng)用共同發(fā)展，將真正實現(xiàn)萬物互聯(lián)，互聯(lián)網(wǎng)上承載的信息將更為豐富，物聯(lián)網(wǎng)將大規(guī)模發(fā)展。但重要數(shù)據(jù)泄露、物聯(lián)網(wǎng)設(shè)備安全問題目前尚未得到有效解決，物聯(lián)網(wǎng)設(shè)備被大規(guī)模利用發(fā)起網(wǎng)絡(luò)攻擊的問題也更加突出。同時，區(qū)塊鏈技術(shù)也受到國內(nèi)外廣泛關(guān)注并被快速應(yīng)用，從數(shù)字貨幣到智能合約，并逐步向文化娛樂、社會管理、物聯(lián)網(wǎng)等多個領(lǐng)域延伸。隨著區(qū)塊鏈應(yīng)用的范圍和深度逐漸擴大，數(shù)字貨幣被盜和智能合約、錢包、“挖礦”軟件漏洞等安全問題更加凸顯。

1.3.3　網(wǎng)絡(luò)安全領(lǐng)域人才缺口

在嚴(yán)峻的網(wǎng)絡(luò)安全內(nèi)外部形勢下，我國國內(nèi)的網(wǎng)絡(luò)安全制度建設(shè)、標(biāo)準(zhǔn)體系建設(shè)、技術(shù)保障體系建設(shè)步伐加快，網(wǎng)絡(luò)安全人才、安全專職人員作為基礎(chǔ)支撐，在各行業(yè)的人才招聘市場上越顯“緊俏”。內(nèi)部業(yè)務(wù)的數(shù)字化、外部監(jiān)管合規(guī)壓力倍增，都催生四川中煙對網(wǎng)絡(luò)安全人才的需求持續(xù)增長。同時，網(wǎng)絡(luò)空間安全學(xué)科與專業(yè)建設(shè)不能及時跟上，導(dǎo)致網(wǎng)絡(luò)空間安全人才培養(yǎng)模式不成熟、體系不完善等矛盾較為突出。我們要持之以恒抓好四川中煙網(wǎng)絡(luò)安全人才培育，加快推進網(wǎng)絡(luò)安全人才與創(chuàng)新激勵體系建設(shè)，努力形成人才培養(yǎng)、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良好生態(tài)。

1.3.4　網(wǎng)絡(luò)安全工作考核常態(tài)化

近年來國家局根據(jù)行業(yè)網(wǎng)絡(luò)安全建設(shè)實際情況和需要，一方面通過發(fā)布網(wǎng)絡(luò)安全相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范為行業(yè)單位網(wǎng)絡(luò)安全建設(shè)提供指導(dǎo)和統(tǒng)一要求，另一方面通過每年度一次全面網(wǎng)絡(luò)安全檢查和專項網(wǎng)絡(luò)安全檢查，面向全行業(yè)“以查促建、以查促管、以查促改、以查促防”推動行業(yè)整體網(wǎng)絡(luò)安全建設(shè)水平的提高。

2 　煙草行業(yè)網(wǎng)絡(luò)安全監(jiān)管運營管理規(guī)劃

2.1　規(guī)劃藍圖

針對當(dāng)前已知的被動式安全防御體系的短板和網(wǎng)絡(luò)安全攻防博弈不平衡的問題，在“十四五”期間，四川中煙網(wǎng)絡(luò)安全建設(shè)將以“中國制造2025”和“互聯(lián)網(wǎng)+”為發(fā)展方向和總體要求，以兩化深度融合為主線，以“網(wǎng)絡(luò)安全滑動標(biāo)尺”為模型，圍繞公司“十四五”戰(zhàn)略發(fā)展目標(biāo)，充分繼承和完善既有“十三五”網(wǎng)絡(luò)安全工作建設(shè)成果，提出了“靜態(tài)技術(shù)體系”和“動態(tài)運營體系”相結(jié)合，以技術(shù)支撐運營、運營驅(qū)動基礎(chǔ)的“12358”智能化安全運營保障體系。如圖1所示。

圖1 “12358”智能化安全運營保障體系

（1）12358基本理念

“1”：以安全運營中心為核心的四川中煙智能化安全運營保障體系；

“2”：面向四川中煙重要信息系統(tǒng)，積極推動兩個制度（網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度）落實，以安全“合規(guī)”和“風(fēng)險”為驅(qū)動；

“3”：立足“三位一體”，聚合“人員、流程、技術(shù)”流程，建立智能化安全運營中心，完善網(wǎng)絡(luò)安全措施；

“5”：以“安全運營”為核心理念，通過智能化安全運營中心開展攻防實戰(zhàn)演練、專項基礎(chǔ)安全、持續(xù)威脅管理和風(fēng)險管控、應(yīng)急響應(yīng)和協(xié)同指揮、重大活動安全保障五個專項安全保障工作；

“8”：通過智能化安全運營保障體系落實四川中煙及各分廠安全防護措施，構(gòu)建重要信息系統(tǒng)安全、合規(guī)、穩(wěn)定、高效運行所需的八大安全能力，即識別能力、防護能力、檢測能力、分析能力、監(jiān)測預(yù)警能力、追蹤溯源能力、事件處置能力和安全恢復(fù)能力。

（2）12358能力對應(yīng)（如表1所示）

表1 “12358”智能化安全運營保障體系能力對應(yīng)表

2.2　靜態(tài)技術(shù)體系概述

規(guī)劃架構(gòu)將靜態(tài)技術(shù)體系定義為被動防御，是架構(gòu)中添加的提供持續(xù)威脅防護和洞察且無需經(jīng)常人工互動的樣本系統(tǒng)，如防火墻、反惡意軟件系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、入侵檢測系統(tǒng)等傳統(tǒng)安全系統(tǒng)，可提供資產(chǎn)防護，填補或縮小已知安全缺口，減少與威脅交互的機會，并支持威脅洞察分析。

建設(shè)任務(wù)：

· 依托“1+1+N”云架構(gòu)體系，提升云平臺安全能力；

· 開展數(shù)據(jù)安全治理建設(shè)，強化個人隱私信息保護；

· 普及行業(yè)數(shù)字認證應(yīng)用、推動國密應(yīng)用改造；

· 持續(xù)完善工控安全體系建設(shè)，構(gòu)建工業(yè)互聯(lián)網(wǎng)平臺；

· 開展行業(yè)信創(chuàng)推廣，保障IPv6網(wǎng)絡(luò)改造；

· 圍繞等保、關(guān)保和密評開展合規(guī)性治理；

· 助力新技術(shù)應(yīng)用，打造區(qū)塊鏈業(yè)務(wù)安全模型。

2.3　動態(tài)技術(shù)體系概述

規(guī)劃架構(gòu)將動態(tài)運營體系定義為主動防御，通過分析師監(jiān)控、響應(yīng)網(wǎng)絡(luò)內(nèi)部威脅、從中汲取經(jīng)驗并將知識應(yīng)用其中的過程。承擔(dān)這一任務(wù)的分析師包括事件響應(yīng)人、惡意軟件逆向工程師、威脅分析師、網(wǎng)絡(luò)安全監(jiān)控分析師以及進行響應(yīng)的其他人員。主動防御定義中的“網(wǎng)絡(luò)內(nèi)部”很重要，進一步消除了“反擊”，即“黑回去”的誤解。

建設(shè)任務(wù)：

· 完成安全運營保障體系頂層設(shè)計；

· 安全中臺護航公司“雙中臺”建設(shè)；

· 管理體系保障網(wǎng)絡(luò)安全“三化六防”措施落地；

· 建成安全應(yīng)急指揮平臺，建立應(yīng)急通報機制；

· 搭建攻防演練平臺，加速網(wǎng)絡(luò)安全人才培養(yǎng)。

3　網(wǎng)絡(luò)安全監(jiān)管運營思考

3.1　安全運營建設(shè)方法

3.1.1　安全策略

行業(yè)信息網(wǎng)絡(luò)定位為非涉及國家秘密網(wǎng)絡(luò)，承載行業(yè)業(yè)務(wù)應(yīng)用的行業(yè)業(yè)務(wù)網(wǎng)。本規(guī)劃所指網(wǎng)絡(luò)安全涵蓋基礎(chǔ)網(wǎng)絡(luò)、系統(tǒng)運行和信息內(nèi)容安全的各個方面，包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等內(nèi)容。行業(yè)網(wǎng)絡(luò)安全總體策略是：分級分域、整體保護、積極預(yù)防、動態(tài)管理。

（1）分級分域

根據(jù)信息系統(tǒng)運行安全需求，數(shù)據(jù)和信息內(nèi)容安全需求，以及應(yīng)用范圍，確定信息系統(tǒng)的安全保護等級，劃分信息系統(tǒng)運行環(huán)境的安全域，針對不同安全域制定相應(yīng)的分項安全策略，實行等級保護。

（2）整體保護

按照相互關(guān)聯(lián)、相互均衡的原則，在網(wǎng)絡(luò)以及信息系統(tǒng)運行應(yīng)用的各環(huán)節(jié)，全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術(shù)安全設(shè)施，并按照組件化、平臺化、集成化技術(shù)路線進行整合，實現(xiàn)協(xié)同防御。

（3）積極預(yù)防

在信息系統(tǒng)規(guī)劃設(shè)計、開發(fā)建設(shè)、運行維護和停用廢棄等各環(huán)節(jié)實行安全審核管理；加強對重要信息技術(shù)產(chǎn)品的漏洞和后門程序檢查，定期開展安全測評、風(fēng)險評估工作；堅持安全保障和運維保障一體化建設(shè)與管理，運用信息化監(jiān)控手段，全面感知安全狀態(tài)，提高安全事件預(yù)警化能力；完善容災(zāi)備份措施，健全應(yīng)急保障隊伍，開展應(yīng)急演練，增強應(yīng)急處置能力。

（4）動態(tài)管理

緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡(luò)安全攻防技術(shù)的發(fā)展?fàn)顩r，適時調(diào)整、完善和創(chuàng)新安全管理方法，持續(xù)提升、改進和強化技術(shù)防護手段，保證行業(yè)網(wǎng)絡(luò)安全水平與行業(yè)信息化發(fā)展水平相適應(yīng)。

3.1.2　技術(shù)與管理

安全技術(shù)是行業(yè)網(wǎng)絡(luò)安全體系的基礎(chǔ)，安全管理是安全技術(shù)切實發(fā)揮作用的保障。行業(yè)網(wǎng)絡(luò)安全體系采用縱向防護與橫向防護相互關(guān)聯(lián)、相互支撐的技術(shù)架構(gòu)?？v向包括終端、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、物理五個層次，橫向包括身份認證、訪問控制、數(shù)據(jù)與內(nèi)容安全、監(jiān)控審計、備份恢復(fù)五個環(huán)節(jié)，在縱橫之間部署相應(yīng)的安全技術(shù)組件。網(wǎng)絡(luò)安全技術(shù)架構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)安全技術(shù)架構(gòu)

通過構(gòu)建和完善網(wǎng)絡(luò)邊界防護體系、統(tǒng)一身份認證體系、安全保密體系、安全運行體系和安全管理體系，形成管理與技術(shù)集成聯(lián)動機制，實現(xiàn)從聚焦安全技術(shù)層面向聚焦安全管理和安全戰(zhàn)略層面轉(zhuǎn)變，保障行業(yè)網(wǎng)絡(luò)安全與信息化建設(shè)協(xié)調(diào)同步發(fā)展。

3.2　煙草行業(yè)工控安全體系建設(shè)落地難點

3.2.1　管理方面

（1）責(zé)任邊界不明確

信息化管理部門負責(zé)全廠網(wǎng)絡(luò)安全建設(shè)方案的設(shè)計規(guī)劃、建設(shè)實施、運維管理的工作任務(wù)，而涉及工業(yè)自動化的設(shè)備管理和系統(tǒng)開發(fā)則是由生產(chǎn)部門來管理。

在工控安全體系建設(shè)過程中，認責(zé)往往會成為信息化部門和生產(chǎn)部門常見問題之一。

（2）生產(chǎn)和安全平衡失調(diào)

生產(chǎn)部門對于生產(chǎn)系統(tǒng)的持續(xù)性和穩(wěn)定性的要求要大大高于信息化部門強調(diào)的安全性，生產(chǎn)部門不可能接受由于要開展工控安全建設(shè)而停機的需求，尤其是在沒有現(xiàn)實的網(wǎng)絡(luò)安全威脅的情況下。信息化部門只能無限期地等待生產(chǎn)車間的計劃停產(chǎn)，利用停車檢修的窗口期去開展工控安全建設(shè)，這勢必會影響工控安全項目的整體進度和建設(shè)質(zhì)量。

（3）制度規(guī)范落地執(zhí)行難

由于生產(chǎn)車間環(huán)境復(fù)雜，人員流動性較大，無論是信息化部門還是生產(chǎn)部門都無法完全按照制度要求規(guī)范人員行為、設(shè)備操作、系統(tǒng)管理，導(dǎo)致工業(yè)控制系統(tǒng)管理制度形如空文，缺乏一定的約束力。

3.2.2　技術(shù)方面

（1）現(xiàn)場設(shè)備老舊

工業(yè)主機防御有很大困難，很多生產(chǎn)車間現(xiàn)場的工業(yè)主機系統(tǒng)非常老舊，漏洞非常多，甚至存在很多主機系統(tǒng)運行了超過10年，找不到相應(yīng)的升級補丁的情況。

（2）系統(tǒng)資源瓶頸

工控系統(tǒng)從設(shè)計上不是一個通用計算系統(tǒng)，設(shè)計的資源余量很少，除了干工控系統(tǒng)本身的事之外，從主機到網(wǎng)絡(luò)都很少有冗余的資源進行其他工作。一個簡單的漏洞掃描行為都可能導(dǎo)致工控系統(tǒng)的資源枯竭。

（3）系統(tǒng)層次復(fù)雜

標(biāo)準(zhǔn)的工業(yè)控制系統(tǒng)的5個層級對網(wǎng)絡(luò)安全的要求不同，同時越往下層走，涉及的工控專有協(xié)議、設(shè)備私有協(xié)議越多。要在底層通過工業(yè)防火墻實現(xiàn)PLC級的縱深防御，一方面需要對工控系統(tǒng)的業(yè)務(wù)邏輯、數(shù)據(jù)流向、私有協(xié)議、控制命令有深度的認識；另一方面對于工業(yè)防火墻的適用性有非常高的要求。

（4）以犧牲準(zhǔn)確率換取降低誤傷率

工控網(wǎng)絡(luò)通常不允許連接互聯(lián)網(wǎng)，防病毒、入侵檢測等安全產(chǎn)品不具備及時更新病毒庫的條件，導(dǎo)致對于新型病毒、威脅特征的識別并不準(zhǔn)確，極易在惡意代碼查殺和封堵的過程中對工業(yè)控制系統(tǒng)產(chǎn)生致命的后果。為了降低誤報，很大程度上是以犧牲檢出率為代價，所以現(xiàn)在大量工作站和工業(yè)網(wǎng)絡(luò)經(jīng)常處于無防護狀態(tài)。

3.2.3　改善舉措

· 通過持續(xù)性的網(wǎng)絡(luò)安全專項培訓(xùn)結(jié)合考核，提升生產(chǎn)部門的網(wǎng)絡(luò)安全意識以及信息化部門的工控安全專業(yè)技能；

· 工控安全建設(shè)圍繞生產(chǎn)安全運行，對防護方案和建設(shè)計劃進行調(diào)優(yōu)；

· 通過搭建工業(yè)控制系統(tǒng)仿真環(huán)境測試驗證漏洞PoC，避免出現(xiàn)過度防御和能力短板的情況；

· 由生產(chǎn)部門和信息化部門合作基于工業(yè)控制系統(tǒng)全資產(chǎn)的漏洞管理體系；

· 梳理生產(chǎn)邏輯應(yīng)用，積累行業(yè)知識庫，解決安全策略下發(fā)問題。

3.3　安全運營的思考

安全運營是網(wǎng)絡(luò)運營者持續(xù)不斷思考、優(yōu)化的命題與活動[1]。安全運營是一系列規(guī)則、技術(shù)和應(yīng)用的集合，用以保障組織核心業(yè)務(wù)平穩(wěn)運行的相關(guān)活動；是通過靈活、動態(tài)的實施控制以期達到組織和業(yè)務(wù)需要的整體范圍可持續(xù)性正常運行。安全運營需要明確安全運營的目標(biāo)，從系統(tǒng)性、動態(tài)性、實戰(zhàn)性的角度加強認識。

3.3.1　系統(tǒng)性

一是組織業(yè)務(wù)自身的系統(tǒng)性和完整性，二是針對防護體系的系統(tǒng)性和完整性。安全運營需要將構(gòu)成業(yè)務(wù)系統(tǒng)完整運行的各個要素看成一個整體，防護體系的構(gòu)建能夠完整、有效地梳理并覆蓋安全風(fēng)險，不因遺落或木桶原理造成整體性影響。

3.3.2　動態(tài)性

IT技術(shù)的飛速發(fā)展使得網(wǎng)絡(luò)攻擊和防護水平能力不斷提升，安全運營需要在不斷迭代中增強管理和技術(shù)防護能力。同時，組織面臨的網(wǎng)絡(luò)安全風(fēng)險層出不窮，除傳統(tǒng)的外部攻擊威脅，地下黑產(chǎn)驅(qū)動的漏洞利用、內(nèi)部員工主動惡意行為都需要組織業(yè)務(wù)系統(tǒng)的防護手段和方法與時俱進，安全運營更加具有針對性，并及時調(diào)整工作流程和行為規(guī)范。

3.3.3　實戰(zhàn)性

網(wǎng)絡(luò)攻擊具有突發(fā)性、隱蔽性、潛伏性、持續(xù)性等特點，安全運營也需要保證良好的網(wǎng)絡(luò)安全攻防狀態(tài)，有應(yīng)對經(jīng)驗和攻防能力儲備。安全運營團隊?wèi)?yīng)不斷進行深入思考與針對練習(xí)，提升預(yù)警監(jiān)測、分析研判、處置總結(jié)的能力。

因此，網(wǎng)絡(luò)安全運營能力建設(shè)應(yīng)堅持“事先防范、事中控制、事后處置”的理念，以安全治理為核心、風(fēng)險態(tài)勢為導(dǎo)向、安全合規(guī)為基礎(chǔ)，結(jié)合組織基礎(chǔ)安全能力，在人、技術(shù)、過程層面不斷完善組織網(wǎng)絡(luò)安全體系，滿足安全運營的系統(tǒng)性、動態(tài)性和實戰(zhàn)性的需求，不斷提升組織安全防御能力。AP

作者簡介

石　潔（1982-），女，四川成都人，工程師，碩士，現(xiàn)就職于四川中煙工業(yè)有限責(zé)任公司信息中心，主要研究方向為網(wǎng)絡(luò)系統(tǒng)、信息安全系統(tǒng)等基礎(chǔ)設(shè)施類項目技術(shù)方案制定與項目實施，基礎(chǔ)設(shè)施系統(tǒng)運行維護與技術(shù)支持。

參考文獻：

[1] FreeBuf. 網(wǎng)絡(luò)安全運營能力建設(shè)思路 (一) [EB/OL]. https://www.freebuf.com/articles/es/253340.html, 2022-1.

摘自《自動化博覽》2022年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第八輯）》