长扬科技助力关基落地保护工作再启新篇章
作者: 日期:2022年09月06日 阅:2,246

前言

2022年9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)已正式施行一周年,回顾一年来的变化,长扬科技切实感受到国家、行业监管部门、关基运营者、安全支撑企业等多方力量对关基网络安全的重视程度在不断提升。关键信息基础设施作为国家重要的战略资源,关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,保护关键信息基础设施安全是国家网络安全工作的重中之重。

1

《条例》实施一周年

行业变化及取得的成果中央网络安全和信息化领导小组在2014年第一次会议上,正式提出“关键信息基础设施”概念,并于2021年正式发布《条例》,各行业主管部门和有关机构按照要求,积极推进关键信息基础设施的安全保护工作实施落地,并取得阶段性显著成效。
(一)国家层面出台相关配套标准和法规,不断建立健全关键信息基础设施保护标准体系
为更好地指导关键信息基础设施建设工作,明确关键信息基础设施的细化标准、保护对象和保护要求。结合国家安全标准现状,关键信息基础设施安全保护标准体系围绕“分析识别、安全保护、检测评估、监测预警、主动防御和事件处置”六大工作流程逐步制定完善的标准文件,具体包括重要标准、支撑标准、特定领域标准三大类48项细则标准,其中已发布的标准有14项,已经立项的标准20项,具体见图1:关键信息基础设施安全标准体系框架图。橙色模块为已发布的国家标准,绿色模块标准为已立项尚未发布的国家标准,蓝色模块为未立项标准。           

图1:关键信息基础设施安全标准体系框架图

(二)重要行业和领域的主管部门、监管部门制定细化关键信息基础设施识别认定办法
《条例》中明确指出重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。能源、电力、交通等重要行业领域积极履行职责要求,组织业内专家进行行业关键信息基础设施识别认定,同时组织行业内头部示范试点企业进行征求意见收集,高效稳步推进行业关键信息基础设施认定细则编写工作。
(三)关键行业企业建立关基保护意识,从日常保护工作到人才培养已逐步规划落地
关键信息基础设施运营者逐步将关键信息基础设施保护工作纳入企业发展规划当中,同时在人员能力提升方面开始建设工业网络靶场安全产品,通过实战化网络安全攻防竞赛,加强人员实战技术能力;另一方面,通过产教融合创新模式,整合校企教育资源,促进高校、安全企业、培训机构密切协同,共同发力架构“做中学”、“战中训”的新型培养模式,在实践中打造关基网络安全人才,培养一批应用型和实用型人才。

2

深度解析《条例》内容要求的变化历程2014年2月中央网络安全和信息化领导小组第一次会议上正式提出关键信息基础设施这个概念。
2016年11月《中华人民共和国网络安全法》发布,对关键信息基础设施进行定义,并明确国家对关键信息基础设施在等级保护制度的基础上,实行重点保护。同年12月全国信安标委秘书处联合WG7召开关键信息基础设施安全研讨会,研讨《关键信息基础设施网络框架》标准。
2017年4月信安标委正式立项《关键信息基础设施网络安全保护基本要求》国家保准,同年7月第一次就征求意见稿公开征求意见。
2018年6月,全国信安标委就《关键信息基础设施网络安全保护基本要求》进行第二次公开意见征集。
2019年12月全国信安标委秘书处组织召开《信息安全技术  关键信息基础设施网络安全保护基本要求》(报批稿)试点。关于我国关键信息基础设施网络安全保护各环节关系图及变化情况如下图所示:

  图2  关键信息基础设施网络安全保护各环节要求变化情况

结合对我国近年在关键信息基础设施网络安全保护基要求的分析探索,不难发现,关键信息基础设施实行重点保护的方法论逐步趋于完善,最新表述为:在网络安全等级保护制度基础上,着眼分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6大环节,围绕网络安全风险管理,建立网络安全框架。关于具体各环节定义如下:
分析识别:运营者按照相关规定开展关键信息基础设施分析和识别活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、主动防御、事件处置环节工作的基础。
安全防护:运营者根据已识别的关键业务和资产、安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。
检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
监测预警:运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高关键信息基础设施主动防御能力。
主动防御:运营者以对安全行为的监测发现为基础,主动采取诱捕、溯源、干扰和阻断等措施,及时精准预警,实时构建弹性防御体系,避免、转移、降低关键信息基础设施面临的风险的安全措施。提升对网络威胁与攻击行为的认知和应对能力。
事件处置:对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
整体上来看,关键信息基础设施网络安全保护工作指导框架从最开始的三化六防到五大环节,最终形成六个标准动作。整体框架的不断变化和完善,最终向运营者提供了一个对关键信息基础设施安全保护进行持续、动态的风险管理方法,帮助运营者从关基识别认定、有效的安全防护,到对网络安全风险进行动态的全过程闭环管理,将网络安全风险控制在可接受的范围,确保关键信息基础设施业务稳定、持续运行。

3

关键信息基础设施安全保护工作

面临的突出问题关键信息基础设施是国家重要的战略资源,关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,保护关键信息基础设施安全是国家网络安全工作的重中之重。在具体落地工作中,还存在着一些现实问题。
(一)关键信息基础设施安全保护法律仍需完善。关基保护要求基于等保但高于等保,对于关基运营者来说,两者要求都要满足,但《条例》细则中的《CII安全保护要求》和《CII安全检查评估指南》仍未发布,运营者进行关基保护落地缺少细化依据;
(二)关基涉及的行业范围广,业务众多,复杂度高。关键信息基础设施涵盖各行业的业务系统众多且复杂度高。目前在各行业关基业务识别认定方面,缺少统一的行业认定标准和规范指引;
(三)关基保护工作开展时间相对较短,运营者自身各方意识有待加强。关基保护涉及到从“纵深防御”到“动态防御、主动防御、联防联控”的转变,运营者自身的安全意识认知、人员技术能力、主动监测能力、安全分析水平、事件处置等软能力方面仍需要进一步加强;
(四)安全方案 和产品“实战”能力不强。关基运营者选用的安全方案和产品缺少在“以攻促防”场景下的实战检验能力,没有发挥真正的防护作用,在公安部组织的HVV行动中,仍有部分企业被攻陷,暴露出明显的安全隐患。

4

关于关键信息基础设施安全

保护工作的思考与建议为了更好地推动和落地关键信息基础设施安全保护工作,长扬科技对于关建信息基础设施安全保护工作提出如下建议:
(一)加大对关键信息基础设施安全保护工作流程的宣贯和传播。关基运营者需要认识到,在等保2.0基础上,围绕识别、防护、检测、预警、响应、处置等环节,针对关键信息基础设施实行重点保护。在《条例》细化标准出台后,尽快形成适合于自身情况的防护措施和体系建设思路;
(二)推动各行业关键信息基础设施在识别认定方面形成最佳实践。关基识别认定工作作为后续开展具体安全保护的基础,需要通过打造行业标杆和最佳实践,实现“以点带面”快速推进行业关基保护的工作的开展。例如针对发电企业的DCS系统、NCS系统、SIS系统等,形成关键业务流程识别、关键资产识别、安全风险识别等具体清单,赋能企业明确重点保护对象;
(三)赋能关基运营者在组织管理和人员能力软能力方面水平提升。关键信息基础设施保护工作重点除了在安全防护和监测运营技术方面的保障,还需要重视的是关基运营者在工控网络安全意识、安全人员能力、安全监测处置闭环管理体系建设等方面的软能力提升。可通过行业协会和媒体组织安全培训、技术交流、安全沙龙等形式,为安全运营者自身的人员能力赋能;
(四)建立健全关基行业安全应急预案库,组织开展应急演练工作。网络安全应急管理体系建设是提升企业整体安全防护能力的重要抓手,有利于对突发事件及时作出响应和处置,有利于避免突发事件扩大或升级,最大限度地减少突发事件造成的损失。自上而下,有利于提高企业的居安思危、积极防范工控网络安全风险的意识。对于保证企业安全生产有重要意义。具体可从应急预案、应急演练、应急流程、支撑工具、保障制度等五个方面,实现对于典型的安全漏洞、安全攻击等风险的应急措施,保障关基企业高质量可持续发展。

5

长扬科技创新产品和服务体系,

助力企业全面满足《条例》要求

图3:长扬科技创新产品和服务体系

工业安全靶场:根据《条例》第十五条:“组织网络安全教育、培训”、第三十五条“鼓励网络安全专门人才从事关键信息基础设施安全保护工作”等要求,长扬科技研发了工业安全靶场系列产品,赋能企业技术和管理人员深度掌握工控网络安全知识、安全攻防实战技能、安全技术研究,满足关基保护对于人员能力提升和人才建设相关要求。
数据安全管控平台:根据《条例》第六条要求:“保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。”长扬科技研发数据安全管控平台,实现数据资产地图绘制、数据分类分级、敏感数据识别与定位、数据全生命周期安全监测等功能,满足《条例》对数据安全的相关要求。
工业网络安全态势感知平台:根据《条例》第五条要求:“采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁”。长扬科技研发工业网络安全态势感知平台,实现对工控协议攻击指令识别、安全威胁的预警监视、告警事件关联分析、安全设备联动防御、工单闭环处置管理、安全专题分析报告等功能,满足关基对境内外的安全风险和威胁的全过程管理要求。
安全运营中心:根据《关键信息基础设施网络安全保护基本要求》(报批稿)要求:“为网络安全事件处置提供相应资源,指定专门网络安全应急支撑队伍、专家队伍,保障安全事件得到及时有效处置”。长扬科技具备专业的安全运营团队,为企业提供现场或远程的安全运营监测分析服务、并对各类安全设备进行策略优化、深度分析、安全加固,提升企业的安全软能力。
安全应急演练:根据《条例》第二十五条要求:“定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。”长扬科技提供网络安全应急预案、应急演练、应急响应等保障服务,帮助客户建立完整的网络安全应急管理体系。

6

长扬科技落实《条例》的实践案例《条例》发布一年来以、长扬科技在能源(发电、石油、煤炭、化工)、交通(地铁、大铁)、城市基础设施(水务、燃气、管网、热力)等多个行业帮助客户建立安全技术、安全管理、安全运营三位一体保障体系,为关基运营者提供系统化建设方案,为其安全生产保驾护航。
某火电厂安全防护及监测运营一体化项目
客户现状:通过调研,该电厂虽然在生产网和办公网部署了单向隔离网闸,但仍存在以下问题:
(1)生产控制大区内部不同区域之间没有任何防护,东西向流量没有控制,不符合电力行业36号文中对电力监控系统安全防护要求的总体原则;
  (2)生产网和信息网已经安装部分安全设备,但是多品牌设备缺乏统一管理;
 (3)工控系统安全性缺乏、防御工作粗犷、工控安全管理不规范,日志留存期限不达标、人员安全意识薄弱,错误性操作等。
客户核心需求
以重点解决生产控制大区内部不同区域之间的隔离问题,和解决工程师站和操作员站主机加固和防病毒问题为基础,出具一套符合电力行业36号中对电力监控系统安全防护要求的建设方案,同时满足等保2.0三级安全防护要求,并实现实时掌握工控网络整体安全状态和对安全事件及时响应有效处置。长扬科技结合企业需求和生产业务特点开展项目建设工作。
建设方案:长扬科技通过对客户生产网中DCS、NCS系统进风险评估、等保合规差距分析、资产安全漏洞检查,异常行为及流量安全检测,系统模拟评分,发现其存在安全隐患,并输出了专业化的差距分析和评估报告,最终完成关于某火电厂安全防护及监测运营一体化项目解决方案。
项目基于电力行业36号文相关要求,以等保“一个中心、三重防护”为指导思想。通过在厂区部署工业防火墙、工业入侵监测系统,工控主机卫士、安全运维管理平台、日志审计系统、统一安全管理平台等。实现厂区网络安全分区、网络专用、横向隔离、纵向认证。通过在厂侧部署工业互联网安全监测平台、全流量日志分析系统和智能采集器,实现对全厂工业网络安全进行态势可视化和网络安全事件的及时响应。

图4:项目整体解决方案网络部署图

建设价值:本方案的成功实施,在满足合规前提的要求下最大限度利用企业现有资源,实现了该客户工控内部网络中“安全计算环境”、“安全区域边界”“安全通信网络”三重防护能力整体水平跨越式提升,以长扬科技强大的安全运营服务能力为基础,实现了该客户系统管理、安全管理、审计管理三个方面集中管控。从单点防护转变到整体防护,从粗放防护转变到精准防护。提升了电厂工控网络安全风险预警能力,提升生产系统的整网安全等级,保障安全生产。
本套项目技术方案贴合电力行业工控系统的技术特点以及电力行业自身的业务特点,从管理到技术都完整地覆盖并落地。在满足监管同时,符合企业未来业务发展的安全保障需要,是行业内优秀的标杆案例之一,为能源电力同类企业起到良好的示范作用
某水务集团纵深防御及态势感知项目
客户现状:该水务集团承担着珠澳两地供水安全的重任,是一家集供水、排水、环境治理、工程建设四大业务于一体的水务环境一体化综合运营服务企业。集团拥有原水取水泵站7座,使用供水水库17座,管理水库8座,建有水厂12座,净化水总供水能力112万立方米/日。特许经营9座水质净化厂,占全市污水处理设计总规模的近72%。近年来,该集团通过对工业控制系统的安全建设工作,其工业控制系统信息安全保障能力得到明显提升,但是还是存在以下问题:
(1)现有防护只是满足传统边界安全防护,尚未建立起纵深防御和监测预警体系,一旦边界防护体系被攻破,将会对生产网络的业务和系统造成严重损害;
(2)内部安全服务商不统一,安全整体联动能力相对较弱,整体防护效果呈割裂状,缺乏全面的防护联动体系,难以实现集中管理和运维。
核心需求:以加强集团和下属各工厂工控网络纵深防御体系建设,提升集团工控网络安全防护和监测运营能力为目标,解决网络安全管理体系不规范不完善、办公网与生产网之间分区隔离措施薄弱、安全技术防护缺失的问题,同时要求实现集团整体工控资产数据的统一采集、资产的风险分析以及工控安全的实时监测感知,增强集团和下属工厂的工控网络安全防护能力、提升集团全网应急处置能力,保障生产控制系统可靠性和安全性。
建设方案:项目通过从边界安全、网络审计、入侵检测、主机安全、管理与运维安全五个角度对企业工业控制信息安全系统进行安全防护设计。构建水务企业工控安全纵深防御体系。
1、边界防护:核心业务系统的分区,在生产管理层和过程控制层边界、各核心业务系统之间部署工业网闸,管理网与控制网、系统与系统间实现隔离;在和下属各区域泵站的互联边界部署工业防火墙,实现边界隔离。
2、网络监测与审计:在现场控制层环网交换机侧旁路部署工业监测审计系统,对工控网络数据、流量及设备日志进行分析和审计,通过态势感知平台实现监测审计事件可视化。
3、入侵检测:在生产管理层的接入交换机侧旁路部署入侵检测系统,对恶意代码、DDOS攻击等入侵行为进行检测及告警。
4、主机安全:在上位机和服务器上部署主机卫士,实现对恶意代码、病毒、木马程序等的防范;在服务器和主机上通过对终端USB等外接设备的控制进行管控。
5、管理与运维:部署集团侧工业网络安全态势感知平台、厂级全流量日志分析系统、智能采集装置对交换机流量、入侵检测、主机卫士等各类工控安全设备的海量日志、流量及安全事件等数据进行大数据分析,可视化呈现整体工控网络安全态势,协助安全人员进行集中分析和闭环处置。

图5:某供水公司部署方案网络拓扑图

建设价值:本项目于2020年上线并完成实施工作。通过本套综合性解决方案,最终实现从集团侧到各厂侧,以及厂区内部的纵深防御。通过建立两级工控安全态势感知平台,对下属各水厂、净水厂等工控网络安全态势实现集中监测,构筑起符合集团特色的区域治理和集中安全态势监控相结合的综合防护体系,从而提升该水务集团整体工控网络安全防护能力、态势感知能力。
项目通过安全防护和安全服务相结合的方式,在满足等保合规要求同时,更为其推动提升全市排水设施的专业化、精细化、信息化管养水平,实现排水“厂网一体化”愿景赋能。至今我司共帮助其完成供水,排水共计十多座水厂的工控安全建设工作,使得客户工控安全综合防护能力迈上新台阶。

7

总结自《条例》发布实施一周年以来,长扬科技持续深入关注相关政策、行业及客户的变化,并不断进行技术创新,研发满足关基保护要求的产品和服务,为各行业关键信息基础设施安全保驾护航。未来,长扬科技将持续以专注、专业、扎实的工作态度,全面增强在关键信息基础设施安全领域的技术能力及服务水平,积极响应习近平总书记《新发展阶段贯彻新发展理念必然要求构建新发展格局》的号召,为建设网络强国筑牢关键信息基础设施安全体系贡献自己的专业力量。

参考资料:

1,《关键信息基础设施安全保护条例》 中华人民共和国国务院令 第 745 号

2,《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)

3,《关键信息基础设施安全保护标准体系解析》 作者:公安部第三研究所评估中心,咨询部副主任,袁静

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章