国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　煙草行業(yè)網(wǎng)絡(luò)安全監(jiān)管運(yùn)營(yíng)現(xiàn)狀

1.1　網(wǎng)絡(luò)安全體系建設(shè)情況

1.1.1　統(tǒng)一身份認(rèn)證體系

以行業(yè)數(shù)字證書(shū)認(rèn)證中心（Certificate Authority，CA）認(rèn)證體系為基礎(chǔ)，各單位按照行業(yè)統(tǒng)一要求建設(shè)企業(yè)CA中心或數(shù)字證書(shū)注冊(cè)中心（RegistrationAuthority，RA）中心，實(shí)現(xiàn)全行業(yè)的數(shù)字證書(shū)互認(rèn)。結(jié)合統(tǒng)一平臺(tái)建設(shè)和移動(dòng)應(yīng)用，建設(shè)統(tǒng)一身份認(rèn)證體系，完善單點(diǎn)登錄、統(tǒng)一身份認(rèn)證、統(tǒng)一權(quán)限管理、統(tǒng)一行為審計(jì)功能，逐步實(shí)現(xiàn)從系統(tǒng)級(jí)權(quán)限管理向數(shù)據(jù)級(jí)權(quán)限管理轉(zhuǎn)變，實(shí)現(xiàn)網(wǎng)絡(luò)行為全過(guò)程審計(jì)。

1.1.2　安全保密體系

建立數(shù)據(jù)和信息內(nèi)容分類標(biāo)準(zhǔn)，確定保密對(duì)象，采用數(shù)據(jù)加密、電磁防護(hù)、可信計(jì)算、防篡改、網(wǎng)頁(yè)防護(hù)、數(shù)字簽名、文件打印控制、數(shù)據(jù)下載拷貝控制等技術(shù)，對(duì)重要文件、核心技術(shù)資料、敏感信息、客戶信息等實(shí)施保密保護(hù)，防止人為利用合法身份通過(guò)網(wǎng)絡(luò)、計(jì)算機(jī)終端、電子郵件、下載拷貝、文檔打印等渠道泄露保密數(shù)據(jù)和信息。

1.1.3　安全運(yùn)行體系

建設(shè)符合信息系統(tǒng)安全穩(wěn)定運(yùn)行要求的機(jī)房和基礎(chǔ)設(shè)施。采用數(shù)據(jù)采集技術(shù)、安全監(jiān)控技術(shù)、漏洞查找技術(shù)，實(shí)現(xiàn)對(duì)信息系統(tǒng)、人員操作行為、安全狀況的整體監(jiān)控；利用大數(shù)據(jù)分析技術(shù)進(jìn)行關(guān)聯(lián)分析，實(shí)現(xiàn)準(zhǔn)確、及時(shí)告警和集中展現(xiàn)；采用統(tǒng)一標(biāo)準(zhǔn)接口實(shí)現(xiàn)國(guó)家局與行業(yè)各單位監(jiān)控信息的互通，為虛擬資源管理提供支撐。運(yùn)用自動(dòng)化和智能化容災(zāi)備份恢復(fù)技術(shù)，實(shí)現(xiàn)數(shù)據(jù)和應(yīng)用系統(tǒng)自動(dòng)互備。

1.1.4　安全管理體系

健全網(wǎng)絡(luò)安全組織機(jī)構(gòu)，設(shè)置網(wǎng)絡(luò)安全管理崗位并配備專職人員，建立行業(yè)網(wǎng)絡(luò)安全技術(shù)與管理專業(yè)人才隊(duì)伍。完善信息系統(tǒng)建設(shè)開(kāi)發(fā)、運(yùn)行維護(hù)、數(shù)據(jù)應(yīng)用、外包管理等安全制度并納入行業(yè)各單位的質(zhì)量管理體系，實(shí)行全過(guò)程、全要素安全管理。建立覆蓋技術(shù)、管理、運(yùn)維，具備可量化、可操作、可考核特性的網(wǎng)絡(luò)安全管理評(píng)估指標(biāo)，實(shí)現(xiàn)安全量化管理。堅(jiān)持“日查月分季評(píng)”制度，把安全監(jiān)督檢查納入日常安全管理工作，積極采用技術(shù)檢查手段，深入開(kāi)展安全檢查。建立全面梳理、全面診斷、全面加固長(zhǎng)效機(jī)制，利用信息化手段實(shí)現(xiàn)全面梳理實(shí)時(shí)化、自動(dòng)化、信息化，建立全面診斷流程和指標(biāo)，制定全面加固相關(guān)規(guī)范和標(biāo)準(zhǔn)。

1.1.5　網(wǎng)絡(luò)邊界防護(hù)體系

廣泛采用下一代防火墻、大規(guī)模入侵檢測(cè)與防御設(shè)備、網(wǎng)絡(luò)認(rèn)證技術(shù)、云計(jì)算安全查殺工具、桌面虛擬化等網(wǎng)絡(luò)安全新技術(shù)和新設(shè)備，提升互聯(lián)網(wǎng)接入口防入侵能力，實(shí)現(xiàn)骨干網(wǎng)、省域網(wǎng)、局域網(wǎng)以及不同安全域之間的可信互聯(lián)，構(gòu)建與移動(dòng)互聯(lián)、云計(jì)算、虛擬化和智能終端等新技術(shù)應(yīng)用相適應(yīng)的網(wǎng)絡(luò)防護(hù)措施，推進(jìn)辦公計(jì)算機(jī)與互聯(lián)網(wǎng)訪問(wèn)的隔離。按照《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》（YC/T 494—2014），完善生產(chǎn)網(wǎng)與管理網(wǎng)安全隔離措施；按照國(guó)家有關(guān)要求和技術(shù)標(biāo)準(zhǔn)廣泛運(yùn)用新技術(shù)提高工商企業(yè)工控系統(tǒng)的安全保護(hù)能力，加強(qiáng)工業(yè)控制系統(tǒng)的連接管理、組網(wǎng)管理、配置管理、設(shè)備選擇與升級(jí)管理、數(shù)據(jù)管理和應(yīng)急管理。

1.2　網(wǎng)信建設(shè)成效

（1）基礎(chǔ)管理持續(xù)加強(qiáng)

以《數(shù)字煙草發(fā)展綱要》（國(guó)煙辦〔2005〕632號(hào)）為指導(dǎo)，明確了信息化建設(shè)思路，保障了信息化建設(shè)的科學(xué)發(fā)展。根據(jù)《煙草行業(yè)信息化工作管理辦法》（國(guó)煙辦〔2011〕529號(hào)）加強(qiáng)企業(yè)信息化工作的規(guī)范管理，初步完成了企業(yè)信息化標(biāo)準(zhǔn)體系的建設(shè)。根據(jù)《煙草行業(yè)信息化工作考核辦法》（國(guó)煙法〔2004〕675號(hào)）發(fā)布的全國(guó)煙草行業(yè)信息化工作管理辦法，建立了各單位信息化水平評(píng)價(jià)體系。強(qiáng)化組織機(jī)構(gòu)和人才隊(duì)伍建設(shè)，建成總部+各廠、公司聯(lián)動(dòng)的企業(yè)信息化專業(yè)隊(duì)伍。

（2）技術(shù)體系日益完善

建立了以數(shù)據(jù)中心、應(yīng)用平臺(tái)為核心內(nèi)容的企業(yè)信息化總體技術(shù)架構(gòu)，深入開(kāi)展新技術(shù)的研究探索，持續(xù)強(qiáng)化數(shù)據(jù)管理工作，合理布局技術(shù)資源的建設(shè)和使用，資源利用效率有效提升。不斷提高安全技術(shù)能力，企業(yè)建立了比較完備的網(wǎng)絡(luò)安全制度，部署了比較全面的網(wǎng)絡(luò)安全防護(hù)措施，搭建了企業(yè)的身份認(rèn)證基礎(chǔ)環(huán)境，企業(yè)網(wǎng)絡(luò)安全保障能力得到提升。

（3）規(guī)范管理能力明顯提升

四川中煙各級(jí)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)組織機(jī)構(gòu)不斷健全，運(yùn)行機(jī)制不斷完善，強(qiáng)化網(wǎng)信工作歸口管理和綜合協(xié)調(diào)，加強(qiáng)統(tǒng)一平臺(tái)、數(shù)據(jù)資源、網(wǎng)絡(luò)安全管理。創(chuàng)新信息化項(xiàng)目實(shí)施標(biāo)準(zhǔn)作業(yè)流程方法，提高信息化項(xiàng)目進(jìn)度、質(zhì)量等管理水平，不斷加強(qiáng)網(wǎng)信專業(yè)人才隊(duì)伍建設(shè)。

（4）安全保障能力明顯提升

建立網(wǎng)絡(luò)安全責(zé)任機(jī)制，以及企業(yè)業(yè)績(jī)考核、督查檢查、問(wèn)責(zé)工作范圍，強(qiáng)化等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和應(yīng)急保障能力，完善信息通報(bào)預(yù)警機(jī)制，建設(shè)企業(yè)安全運(yùn)維一體化管控系統(tǒng)，加強(qiáng)統(tǒng)一推廣系統(tǒng)安全防護(hù)，推進(jìn)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)。

1.3　機(jī)遇和挑戰(zhàn)

1.3.1　自主可控生態(tài)

網(wǎng)絡(luò)空間已成為國(guó)家主權(quán)第五空間，網(wǎng)絡(luò)安全是數(shù)字經(jīng)濟(jì)的基礎(chǔ)。IT設(shè)施日益成為社會(huì)和國(guó)家基礎(chǔ)設(shè)施，信息安全已成為國(guó)家安全的基礎(chǔ)組成部分。信息網(wǎng)絡(luò)已經(jīng)獨(dú)立于實(shí)體空間而衍生出一個(gè)龐大的“網(wǎng)絡(luò)”空間，各行各業(yè)信息的電子化使得網(wǎng)絡(luò)安全問(wèn)題不再是單純的技術(shù)問(wèn)題，而是演變?yōu)閺?fù)雜的社會(huì)問(wèn)題，網(wǎng)絡(luò)安全與國(guó)土安全、政治安全、經(jīng)濟(jì)安全一起成為國(guó)家安全的重要組成部分。

我國(guó)在半導(dǎo)體核心技術(shù)（尤其是芯片核心領(lǐng)域）受制于人，一旦受到封鎖將會(huì)對(duì)國(guó)內(nèi)企業(yè)發(fā)展、經(jīng)濟(jì)等領(lǐng)域造成嚴(yán)重影響。因此急需研發(fā)出可用乃至好用的核心信息技術(shù)產(chǎn)品，對(duì)自主可控的網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行評(píng)估、扶持和推廣，進(jìn)而構(gòu)建良好自主的可控生態(tài)。

1.3.2　新技術(shù)網(wǎng)絡(luò)安全問(wèn)題

隨著5G、IPv6規(guī)模部署和試點(diǎn)工作逐步推進(jìn)，關(guān)于5G、IPv6自身的安全問(wèn)題及衍生的安全問(wèn)題備受關(guān)注。5G技術(shù)的應(yīng)用代表著增強(qiáng)的移動(dòng)帶寬、海量的機(jī)器通信及超高可靠、低延時(shí)的通信，與IPv6技術(shù)應(yīng)用共同發(fā)展，將真正實(shí)現(xiàn)萬(wàn)物互聯(lián)，互聯(lián)網(wǎng)上承載的信息將更為豐富，物聯(lián)網(wǎng)將大規(guī)模發(fā)展。但重要數(shù)據(jù)泄露、物聯(lián)網(wǎng)設(shè)備安全問(wèn)題目前尚未得到有效解決，物聯(lián)網(wǎng)設(shè)備被大規(guī)模利用發(fā)起網(wǎng)絡(luò)攻擊的問(wèn)題也更加突出。同時(shí)，區(qū)塊鏈技術(shù)也受到國(guó)內(nèi)外廣泛關(guān)注并被快速應(yīng)用，從數(shù)字貨幣到智能合約，并逐步向文化娛樂(lè)、社會(huì)管理、物聯(lián)網(wǎng)等多個(gè)領(lǐng)域延伸。隨著區(qū)塊鏈應(yīng)用的范圍和深度逐漸擴(kuò)大，數(shù)字貨幣被盜和智能合約、錢包、“挖礦”軟件漏洞等安全問(wèn)題更加凸顯。

1.3.3　網(wǎng)絡(luò)安全領(lǐng)域人才缺口

在嚴(yán)峻的網(wǎng)絡(luò)安全內(nèi)外部形勢(shì)下，我國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)安全制度建設(shè)、標(biāo)準(zhǔn)體系建設(shè)、技術(shù)保障體系建設(shè)步伐加快，網(wǎng)絡(luò)安全人才、安全專職人員作為基礎(chǔ)支撐，在各行業(yè)的人才招聘市場(chǎng)上越顯“緊俏”。內(nèi)部業(yè)務(wù)的數(shù)字化、外部監(jiān)管合規(guī)壓力倍增，都催生四川中煙對(duì)網(wǎng)絡(luò)安全人才的需求持續(xù)增長(zhǎng)。同時(shí)，網(wǎng)絡(luò)空間安全學(xué)科與專業(yè)建設(shè)不能及時(shí)跟上，導(dǎo)致網(wǎng)絡(luò)空間安全人才培養(yǎng)模式不成熟、體系不完善等矛盾較為突出。我們要持之以恒抓好四川中煙網(wǎng)絡(luò)安全人才培育，加快推進(jìn)網(wǎng)絡(luò)安全人才與創(chuàng)新激勵(lì)體系建設(shè)，努力形成人才培養(yǎng)、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良好生態(tài)。

1.3.4　網(wǎng)絡(luò)安全工作考核常態(tài)化

近年來(lái)國(guó)家局根據(jù)行業(yè)網(wǎng)絡(luò)安全建設(shè)實(shí)際情況和需要，一方面通過(guò)發(fā)布網(wǎng)絡(luò)安全相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范為行業(yè)單位網(wǎng)絡(luò)安全建設(shè)提供指導(dǎo)和統(tǒng)一要求，另一方面通過(guò)每年度一次全面網(wǎng)絡(luò)安全檢查和專項(xiàng)網(wǎng)絡(luò)安全檢查，面向全行業(yè)“以查促建、以查促管、以查促改、以查促防”推動(dòng)行業(yè)整體網(wǎng)絡(luò)安全建設(shè)水平的提高。

2 　煙草行業(yè)網(wǎng)絡(luò)安全監(jiān)管運(yùn)營(yíng)管理規(guī)劃

2.1　規(guī)劃藍(lán)圖

針對(duì)當(dāng)前已知的被動(dòng)式安全防御體系的短板和網(wǎng)絡(luò)安全攻防博弈不平衡的問(wèn)題，在“十四五”期間，四川中煙網(wǎng)絡(luò)安全建設(shè)將以“中國(guó)制造2025”和“互聯(lián)網(wǎng)+”為發(fā)展方向和總體要求，以兩化深度融合為主線，以“網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺”為模型，圍繞公司“十四五”戰(zhàn)略發(fā)展目標(biāo)，充分繼承和完善既有“十三五”網(wǎng)絡(luò)安全工作建設(shè)成果，提出了“靜態(tài)技術(shù)體系”和“動(dòng)態(tài)運(yùn)營(yíng)體系”相結(jié)合，以技術(shù)支撐運(yùn)營(yíng)、運(yùn)營(yíng)驅(qū)動(dòng)基礎(chǔ)的“12358”智能化安全運(yùn)營(yíng)保障體系。如圖1所示。

圖1 “12358”智能化安全運(yùn)營(yíng)保障體系

（1）12358基本理念

“1”：以安全運(yùn)營(yíng)中心為核心的四川中煙智能化安全運(yùn)營(yíng)保障體系；

“2”：面向四川中煙重要信息系統(tǒng)，積極推動(dòng)兩個(gè)制度（網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度）落實(shí)，以安全“合規(guī)”和“風(fēng)險(xiǎn)”為驅(qū)動(dòng)；

“3”：立足“三位一體”，聚合“人員、流程、技術(shù)”流程，建立智能化安全運(yùn)營(yíng)中心，完善網(wǎng)絡(luò)安全措施；

“5”：以“安全運(yùn)營(yíng)”為核心理念，通過(guò)智能化安全運(yùn)營(yíng)中心開(kāi)展攻防實(shí)戰(zhàn)演練、專項(xiàng)基礎(chǔ)安全、持續(xù)威脅管理和風(fēng)險(xiǎn)管控、應(yīng)急響應(yīng)和協(xié)同指揮、重大活動(dòng)安全保障五個(gè)專項(xiàng)安全保障工作；

“8”：通過(guò)智能化安全運(yùn)營(yíng)保障體系落實(shí)四川中煙及各分廠安全防護(hù)措施，構(gòu)建重要信息系統(tǒng)安全、合規(guī)、穩(wěn)定、高效運(yùn)行所需的八大安全能力，即識(shí)別能力、防護(hù)能力、檢測(cè)能力、分析能力、監(jiān)測(cè)預(yù)警能力、追蹤溯源能力、事件處置能力和安全恢復(fù)能力。

（2）12358能力對(duì)應(yīng)（如表1所示）

表1 “12358”智能化安全運(yùn)營(yíng)保障體系能力對(duì)應(yīng)表

2.2　靜態(tài)技術(shù)體系概述

規(guī)劃架構(gòu)將靜態(tài)技術(shù)體系定義為被動(dòng)防御，是架構(gòu)中添加的提供持續(xù)威脅防護(hù)和洞察且無(wú)需經(jīng)常人工互動(dòng)的樣本系統(tǒng)，如防火墻、反惡意軟件系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)等傳統(tǒng)安全系統(tǒng)，可提供資產(chǎn)防護(hù)，填補(bǔ)或縮小已知安全缺口，減少與威脅交互的機(jī)會(huì)，并支持威脅洞察分析。

建設(shè)任務(wù)：

· 依托“1+1+N”云架構(gòu)體系，提升云平臺(tái)安全能力；

· 開(kāi)展數(shù)據(jù)安全治理建設(shè)，強(qiáng)化個(gè)人隱私信息保護(hù)；

· 普及行業(yè)數(shù)字認(rèn)證應(yīng)用、推動(dòng)國(guó)密應(yīng)用改造；

· 持續(xù)完善工控安全體系建設(shè)，構(gòu)建工業(yè)互聯(lián)網(wǎng)平臺(tái)；

· 開(kāi)展行業(yè)信創(chuàng)推廣，保障IPv6網(wǎng)絡(luò)改造；

· 圍繞等保、關(guān)保和密評(píng)開(kāi)展合規(guī)性治理；

· 助力新技術(shù)應(yīng)用，打造區(qū)塊鏈業(yè)務(wù)安全模型。

2.3　動(dòng)態(tài)技術(shù)體系概述

規(guī)劃架構(gòu)將動(dòng)態(tài)運(yùn)營(yíng)體系定義為主動(dòng)防御，通過(guò)分析師監(jiān)控、響應(yīng)網(wǎng)絡(luò)內(nèi)部威脅、從中汲取經(jīng)驗(yàn)并將知識(shí)應(yīng)用其中的過(guò)程。承擔(dān)這一任務(wù)的分析師包括事件響應(yīng)人、惡意軟件逆向工程師、威脅分析師、網(wǎng)絡(luò)安全監(jiān)控分析師以及進(jìn)行響應(yīng)的其他人員。主動(dòng)防御定義中的“網(wǎng)絡(luò)內(nèi)部”很重要，進(jìn)一步消除了“反擊”，即“黑回去”的誤解。

建設(shè)任務(wù)：

· 完成安全運(yùn)營(yíng)保障體系頂層設(shè)計(jì)；

· 安全中臺(tái)護(hù)航公司“雙中臺(tái)”建設(shè)；

· 管理體系保障網(wǎng)絡(luò)安全“三化六防”措施落地；

· 建成安全應(yīng)急指揮平臺(tái)，建立應(yīng)急通報(bào)機(jī)制；

· 搭建攻防演練平臺(tái)，加速網(wǎng)絡(luò)安全人才培養(yǎng)。

3　網(wǎng)絡(luò)安全監(jiān)管運(yùn)營(yíng)思考

3.1　安全運(yùn)營(yíng)建設(shè)方法

3.1.1　安全策略

行業(yè)信息網(wǎng)絡(luò)定位為非涉及國(guó)家秘密網(wǎng)絡(luò)，承載行業(yè)業(yè)務(wù)應(yīng)用的行業(yè)業(yè)務(wù)網(wǎng)。本規(guī)劃所指網(wǎng)絡(luò)安全涵蓋基礎(chǔ)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行和信息內(nèi)容安全的各個(gè)方面，包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等內(nèi)容。行業(yè)網(wǎng)絡(luò)安全總體策略是：分級(jí)分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理。

（1）分級(jí)分域

根據(jù)信息系統(tǒng)運(yùn)行安全需求，數(shù)據(jù)和信息內(nèi)容安全需求，以及應(yīng)用范圍，確定信息系統(tǒng)的安全保護(hù)等級(jí)，劃分信息系統(tǒng)運(yùn)行環(huán)境的安全域，針對(duì)不同安全域制定相應(yīng)的分項(xiàng)安全策略，實(shí)行等級(jí)保護(hù)。

（2）整體保護(hù)

按照相互關(guān)聯(lián)、相互均衡的原則，在網(wǎng)絡(luò)以及信息系統(tǒng)運(yùn)行應(yīng)用的各環(huán)節(jié)，全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術(shù)安全設(shè)施，并按照組件化、平臺(tái)化、集成化技術(shù)路線進(jìn)行整合，實(shí)現(xiàn)協(xié)同防御。

（3）積極預(yù)防

在信息系統(tǒng)規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)和停用廢棄等各環(huán)節(jié)實(shí)行安全審核管理；加強(qiáng)對(duì)重要信息技術(shù)產(chǎn)品的漏洞和后門程序檢查，定期開(kāi)展安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估工作；堅(jiān)持安全保障和運(yùn)維保障一體化建設(shè)與管理，運(yùn)用信息化監(jiān)控手段，全面感知安全狀態(tài)，提高安全事件預(yù)警化能力；完善容災(zāi)備份措施，健全應(yīng)急保障隊(duì)伍，開(kāi)展應(yīng)急演練，增強(qiáng)應(yīng)急處置能力。

（4）動(dòng)態(tài)管理

緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡(luò)安全攻防技術(shù)的發(fā)展?fàn)顩r，適時(shí)調(diào)整、完善和創(chuàng)新安全管理方法，持續(xù)提升、改進(jìn)和強(qiáng)化技術(shù)防護(hù)手段，保證行業(yè)網(wǎng)絡(luò)安全水平與行業(yè)信息化發(fā)展水平相適應(yīng)。

3.1.2　技術(shù)與管理

安全技術(shù)是行業(yè)網(wǎng)絡(luò)安全體系的基礎(chǔ)，安全管理是安全技術(shù)切實(shí)發(fā)揮作用的保障。行業(yè)網(wǎng)絡(luò)安全體系采用縱向防護(hù)與橫向防護(hù)相互關(guān)聯(lián)、相互支撐的技術(shù)架構(gòu)。縱向包括終端、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、物理五個(gè)層次，橫向包括身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)與內(nèi)容安全、監(jiān)控審計(jì)、備份恢復(fù)五個(gè)環(huán)節(jié)，在縱橫之間部署相應(yīng)的安全技術(shù)組件。網(wǎng)絡(luò)安全技術(shù)架構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)安全技術(shù)架構(gòu)

通過(guò)構(gòu)建和完善網(wǎng)絡(luò)邊界防護(hù)體系、統(tǒng)一身份認(rèn)證體系、安全保密體系、安全運(yùn)行體系和安全管理體系，形成管理與技術(shù)集成聯(lián)動(dòng)機(jī)制，實(shí)現(xiàn)從聚焦安全技術(shù)層面向聚焦安全管理和安全戰(zhàn)略層面轉(zhuǎn)變，保障行業(yè)網(wǎng)絡(luò)安全與信息化建設(shè)協(xié)調(diào)同步發(fā)展。

3.2　煙草行業(yè)工控安全體系建設(shè)落地難點(diǎn)

3.2.1　管理方面

（1）責(zé)任邊界不明確

信息化管理部門負(fù)責(zé)全廠網(wǎng)絡(luò)安全建設(shè)方案的設(shè)計(jì)規(guī)劃、建設(shè)實(shí)施、運(yùn)維管理的工作任務(wù)，而涉及工業(yè)自動(dòng)化的設(shè)備管理和系統(tǒng)開(kāi)發(fā)則是由生產(chǎn)部門來(lái)管理。

在工控安全體系建設(shè)過(guò)程中，認(rèn)責(zé)往往會(huì)成為信息化部門和生產(chǎn)部門常見(jiàn)問(wèn)題之一。

（2）生產(chǎn)和安全平衡失調(diào)

生產(chǎn)部門對(duì)于生產(chǎn)系統(tǒng)的持續(xù)性和穩(wěn)定性的要求要大大高于信息化部門強(qiáng)調(diào)的安全性，生產(chǎn)部門不可能接受由于要開(kāi)展工控安全建設(shè)而停機(jī)的需求，尤其是在沒(méi)有現(xiàn)實(shí)的網(wǎng)絡(luò)安全威脅的情況下。信息化部門只能無(wú)限期地等待生產(chǎn)車間的計(jì)劃停產(chǎn)，利用停車檢修的窗口期去開(kāi)展工控安全建設(shè)，這勢(shì)必會(huì)影響工控安全項(xiàng)目的整體進(jìn)度和建設(shè)質(zhì)量。

（3）制度規(guī)范落地執(zhí)行難

由于生產(chǎn)車間環(huán)境復(fù)雜，人員流動(dòng)性較大，無(wú)論是信息化部門還是生產(chǎn)部門都無(wú)法完全按照制度要求規(guī)范人員行為、設(shè)備操作、系統(tǒng)管理，導(dǎo)致工業(yè)控制系統(tǒng)管理制度形如空文，缺乏一定的約束力。

3.2.2　技術(shù)方面

（1）現(xiàn)場(chǎng)設(shè)備老舊

工業(yè)主機(jī)防御有很大困難，很多生產(chǎn)車間現(xiàn)場(chǎng)的工業(yè)主機(jī)系統(tǒng)非常老舊，漏洞非常多，甚至存在很多主機(jī)系統(tǒng)運(yùn)行了超過(guò)10年，找不到相應(yīng)的升級(jí)補(bǔ)丁的情況。

（2）系統(tǒng)資源瓶頸

工控系統(tǒng)從設(shè)計(jì)上不是一個(gè)通用計(jì)算系統(tǒng)，設(shè)計(jì)的資源余量很少，除了干工控系統(tǒng)本身的事之外，從主機(jī)到網(wǎng)絡(luò)都很少有冗余的資源進(jìn)行其他工作。一個(gè)簡(jiǎn)單的漏洞掃描行為都可能導(dǎo)致工控系統(tǒng)的資源枯竭。

（3）系統(tǒng)層次復(fù)雜

標(biāo)準(zhǔn)的工業(yè)控制系統(tǒng)的5個(gè)層級(jí)對(duì)網(wǎng)絡(luò)安全的要求不同，同時(shí)越往下層走，涉及的工控專有協(xié)議、設(shè)備私有協(xié)議越多。要在底層通過(guò)工業(yè)防火墻實(shí)現(xiàn)PLC級(jí)的縱深防御，一方面需要對(duì)工控系統(tǒng)的業(yè)務(wù)邏輯、數(shù)據(jù)流向、私有協(xié)議、控制命令有深度的認(rèn)識(shí)；另一方面對(duì)于工業(yè)防火墻的適用性有非常高的要求。

（4）以犧牲準(zhǔn)確率換取降低誤傷率

工控網(wǎng)絡(luò)通常不允許連接互聯(lián)網(wǎng)，防病毒、入侵檢測(cè)等安全產(chǎn)品不具備及時(shí)更新病毒庫(kù)的條件，導(dǎo)致對(duì)于新型病毒、威脅特征的識(shí)別并不準(zhǔn)確，極易在惡意代碼查殺和封堵的過(guò)程中對(duì)工業(yè)控制系統(tǒng)產(chǎn)生致命的后果。為了降低誤報(bào)，很大程度上是以犧牲檢出率為代價(jià)，所以現(xiàn)在大量工作站和工業(yè)網(wǎng)絡(luò)經(jīng)常處于無(wú)防護(hù)狀態(tài)。

3.2.3　改善舉措

· 通過(guò)持續(xù)性的網(wǎng)絡(luò)安全專項(xiàng)培訓(xùn)結(jié)合考核，提升生產(chǎn)部門的網(wǎng)絡(luò)安全意識(shí)以及信息化部門的工控安全專業(yè)技能；

· 工控安全建設(shè)圍繞生產(chǎn)安全運(yùn)行，對(duì)防護(hù)方案和建設(shè)計(jì)劃進(jìn)行調(diào)優(yōu)；

· 通過(guò)搭建工業(yè)控制系統(tǒng)仿真環(huán)境測(cè)試驗(yàn)證漏洞PoC，避免出現(xiàn)過(guò)度防御和能力短板的情況；

· 由生產(chǎn)部門和信息化部門合作基于工業(yè)控制系統(tǒng)全資產(chǎn)的漏洞管理體系；

· 梳理生產(chǎn)邏輯應(yīng)用，積累行業(yè)知識(shí)庫(kù)，解決安全策略下發(fā)問(wèn)題。

3.3　安全運(yùn)營(yíng)的思考

安全運(yùn)營(yíng)是網(wǎng)絡(luò)運(yùn)營(yíng)者持續(xù)不斷思考、優(yōu)化的命題與活動(dòng)[1]。安全運(yùn)營(yíng)是一系列規(guī)則、技術(shù)和應(yīng)用的集合，用以保障組織核心業(yè)務(wù)平穩(wěn)運(yùn)行的相關(guān)活動(dòng)；是通過(guò)靈活、動(dòng)態(tài)的實(shí)施控制以期達(dá)到組織和業(yè)務(wù)需要的整體范圍可持續(xù)性正常運(yùn)行。安全運(yùn)營(yíng)需要明確安全運(yùn)營(yíng)的目標(biāo)，從系統(tǒng)性、動(dòng)態(tài)性、實(shí)戰(zhàn)性的角度加強(qiáng)認(rèn)識(shí)。

3.3.1　系統(tǒng)性

一是組織業(yè)務(wù)自身的系統(tǒng)性和完整性，二是針對(duì)防護(hù)體系的系統(tǒng)性和完整性。安全運(yùn)營(yíng)需要將構(gòu)成業(yè)務(wù)系統(tǒng)完整運(yùn)行的各個(gè)要素看成一個(gè)整體，防護(hù)體系的構(gòu)建能夠完整、有效地梳理并覆蓋安全風(fēng)險(xiǎn)，不因遺落或木桶原理造成整體性影響。

3.3.2　動(dòng)態(tài)性

IT技術(shù)的飛速發(fā)展使得網(wǎng)絡(luò)攻擊和防護(hù)水平能力不斷提升，安全運(yùn)營(yíng)需要在不斷迭代中增強(qiáng)管理和技術(shù)防護(hù)能力。同時(shí)，組織面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)層出不窮，除傳統(tǒng)的外部攻擊威脅，地下黑產(chǎn)驅(qū)動(dòng)的漏洞利用、內(nèi)部員工主動(dòng)惡意行為都需要組織業(yè)務(wù)系統(tǒng)的防護(hù)手段和方法與時(shí)俱進(jìn)，安全運(yùn)營(yíng)更加具有針對(duì)性，并及時(shí)調(diào)整工作流程和行為規(guī)范。

3.3.3　實(shí)戰(zhàn)性

網(wǎng)絡(luò)攻擊具有突發(fā)性、隱蔽性、潛伏性、持續(xù)性等特點(diǎn)，安全運(yùn)營(yíng)也需要保證良好的網(wǎng)絡(luò)安全攻防狀態(tài)，有應(yīng)對(duì)經(jīng)驗(yàn)和攻防能力儲(chǔ)備。安全運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)不斷進(jìn)行深入思考與針對(duì)練習(xí)，提升預(yù)警監(jiān)測(cè)、分析研判、處置總結(jié)的能力。

因此，網(wǎng)絡(luò)安全運(yùn)營(yíng)能力建設(shè)應(yīng)堅(jiān)持“事先防范、事中控制、事后處置”的理念，以安全治理為核心、風(fēng)險(xiǎn)態(tài)勢(shì)為導(dǎo)向、安全合規(guī)為基礎(chǔ)，結(jié)合組織基礎(chǔ)安全能力，在人、技術(shù)、過(guò)程層面不斷完善組織網(wǎng)絡(luò)安全體系，滿足安全運(yùn)營(yíng)的系統(tǒng)性、動(dòng)態(tài)性和實(shí)戰(zhàn)性的需求，不斷提升組織安全防御能力。AP

作者簡(jiǎn)介

石　潔（1982-），女，四川成都人，工程師，碩士，現(xiàn)就職于四川中煙工業(yè)有限責(zé)任公司信息中心，主要研究方向?yàn)榫W(wǎng)絡(luò)系統(tǒng)、信息安全系統(tǒng)等基礎(chǔ)設(shè)施類項(xiàng)目技術(shù)方案制定與項(xiàng)目實(shí)施，基礎(chǔ)設(shè)施系統(tǒng)運(yùn)行維護(hù)與技術(shù)支持。

參考文獻(xiàn)：

[1] FreeBuf. 網(wǎng)絡(luò)安全運(yùn)營(yíng)能力建設(shè)思路 (一) [EB/OL]. https://www.freebuf.com/articles/es/253340.html, 2022-1.

摘自《自動(dòng)化博覽》2022年1月刊暨《工業(yè)控制系統(tǒng)信息安全?？ǖ诎溯嫞?/span>