今日頭條
官方微信
官方抖音
資訊頻道當前全球網(wǎng)絡(luò)安全威脅和風險日益突出,并向政治、經(jīng)濟、文化、社會、生態(tài)、國防等領(lǐng)域傳導滲透。石油化工行業(yè)的網(wǎng)絡(luò)信息系統(tǒng)長期以來一直是網(wǎng)絡(luò)攻擊的重要目標,安全運營的要求高、責任大、任務(wù)重。
一、石油化工行業(yè)網(wǎng)絡(luò)安全運營的痛點與難點
石油化工行業(yè)的網(wǎng)絡(luò)安全保障工作有其特殊性。
一是中國石化業(yè)務(wù)應(yīng)用復雜,上中下游、科研、工程、貿(mào)易、金融、電商,相應(yīng)的業(yè)務(wù)信息系統(tǒng)復雜度極高。隨著計算和存儲技術(shù)的快速提升,為了快速響應(yīng)對業(yè)務(wù)的支持和市場的反應(yīng),信息化架構(gòu)從金字塔型模塊化的分層架構(gòu),向容器化的微服務(wù)敏捷架構(gòu)轉(zhuǎn)變。面向需求側(cè),由系統(tǒng)集成向微服務(wù)集成轉(zhuǎn)變,面向供給側(cè),由工業(yè)云向工業(yè)互聯(lián)網(wǎng)生態(tài)轉(zhuǎn)型。未來,中國石化的信息化將走向端、邊、管、云的一體化融合,將給網(wǎng)絡(luò)安全運營帶來新的挑戰(zhàn)。
二是網(wǎng)絡(luò)覆蓋面大、數(shù)據(jù)中心眾多、終端眾多,整體網(wǎng)絡(luò)延伸到5大洲、30余個國家,國內(nèi)32個省自治區(qū)直轄市,150余個企業(yè),涉及用戶數(shù)量達65萬。
三是供應(yīng)鏈復雜、主體建設(shè)運維已經(jīng)自主掌握,由石化盈科和共享服務(wù)公司提供保障,但是面對如此龐大復雜的信息化系統(tǒng),存在著龐雜的供應(yīng)商隊伍。單就總部信息管理部門來說,為其提供軟、硬件產(chǎn)品生產(chǎn)商及產(chǎn)品授權(quán)代理商30余家,提供咨詢、實施、工程、運行維護、軟件開發(fā)、系統(tǒng)集成等服務(wù)的信息技術(shù)服務(wù)商十余家。如何對眾多供應(yīng)商提供的產(chǎn)品以及服務(wù)安全性進行全方位約束和考量不可規(guī)避。
四是新業(yè)態(tài)新技術(shù)的不斷涌現(xiàn)并深化應(yīng)用。中國石化制定了全業(yè)務(wù)應(yīng)用上云戰(zhàn)略,石化智云已經(jīng)全面支撐智能制造、互聯(lián)網(wǎng)應(yīng)用和企業(yè)管理,開通了466個智能制造資源實例,支撐了9個地區(qū)智能工廠、智能油氣田、智能物流、智能研究院的17個重點應(yīng)用,2000多個互聯(lián)網(wǎng)應(yīng)用資源實例,支撐包括易捷、易派客、客戶管理等40多個應(yīng)用系統(tǒng),1600多個企業(yè)應(yīng)用資源實例,支撐共計140多個企業(yè)經(jīng)營管理應(yīng)用,提供基礎(chǔ)設(shè)施層、數(shù)據(jù)庫層、中間件層、網(wǎng)絡(luò)安全、主機安全、計算節(jié)點等各類資源服務(wù),涉及云計算、大數(shù)據(jù)、移動應(yīng)用、電子支付、IoT、信息物理系統(tǒng)(CPS)等各類技術(shù)在流程制造行業(yè)的綜合應(yīng)用。在資產(chǎn)、信息、數(shù)據(jù)和關(guān)系發(fā)生量級增長后,平臺安全、數(shù)據(jù)安全、應(yīng)用安全、支付安全、交易安全、物聯(lián)網(wǎng)智能設(shè)備安全是中國石化實現(xiàn)一體化、全周期安全運營必須重視和攻克的挑戰(zhàn)。
二、中國石化網(wǎng)絡(luò)安全運營的探索與實踐
針對網(wǎng)絡(luò)安全工作,中國石化高度重視,集團公司領(lǐng)導層做出了“集團公司正處于改革發(fā)展的關(guān)鍵時期,面對復雜嚴峻的外部環(huán)境,面對推進全面可持續(xù)發(fā)展的艱巨任務(wù),擁有安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境是至關(guān)重要的”這一戰(zhàn)略判斷。中國石化集團公司董事長、網(wǎng)絡(luò)安全和信息化領(lǐng)導小組組長戴厚良同志,代表集團公司黨組對全系統(tǒng)做出了:“網(wǎng)絡(luò)安全是系統(tǒng)性、全局性的,一旦出現(xiàn)問題將是全局性、災(zāi)難性的,要提高思想認識、壓實各級責任,用比生產(chǎn)裝置安全更高標準、更嚴要求來抓好網(wǎng)絡(luò)安全。”的指示。
在集團公司黨組領(lǐng)導的正確領(lǐng)導下,中國石化近年來不斷加大了網(wǎng)絡(luò)安全財力物力人力投入,持續(xù)加強安全運營保障的各方面能力。
(一)以退為進,收緊戰(zhàn)線——全面收斂集團面向互聯(lián)網(wǎng)的攻擊暴露面
互聯(lián)網(wǎng)暴露面越廣,風險越高,也更容易成為攻擊者的首選目標。近年來,中國石化持續(xù)加強互聯(lián)網(wǎng)出口管控,一是推行互聯(lián)網(wǎng)收口工程,在全國范圍內(nèi)建設(shè)十個互聯(lián)網(wǎng)區(qū)域中心,對下屬49家直屬企業(yè)及100余家二、三級單位互聯(lián)網(wǎng)出口實現(xiàn)統(tǒng)一管控;二是規(guī)范互聯(lián)網(wǎng)訪問方式,VPN全面啟用雙因素認證,清退各類違規(guī)互聯(lián)網(wǎng)訪問、遠程接入賬號;三是建設(shè)統(tǒng)一部署的身份認證及行為監(jiān)測體系,實施全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)準入控制系統(tǒng)、桌面安全管理系統(tǒng)、防病毒系統(tǒng),企業(yè)無死角開啟網(wǎng)絡(luò)準入控制,遵循“準入必合規(guī)”原則,對終端入網(wǎng)實現(xiàn)身份驗證和安全管控;四是形成覆蓋全生命周期的風險發(fā)現(xiàn)與處置機制,系統(tǒng)上線前的安全規(guī)劃及代碼審計、上線時的上線與驗收測評、運行過程中的風險評估與安全檢查均形成常態(tài)化機制,并適時開展如互聯(lián)網(wǎng)安全專項治理工作,平戰(zhàn)結(jié)合,形成長效機制。
(二)摸清家底,全面布控——形成資產(chǎn)管理與態(tài)勢感知相結(jié)合的自動化監(jiān)測能力
在資產(chǎn)管理方面,中國石化集團公司信息資產(chǎn)數(shù)量巨大,防護水平參差不齊,攻擊者通過搜尋防護薄弱、疏于管理以及廢棄老舊資產(chǎn)作為突破口,可實現(xiàn)對重要系統(tǒng)的迂回突破。通過開展資產(chǎn)測繪,排查互聯(lián)網(wǎng)、主干網(wǎng)、外聯(lián)區(qū)等邊界信息,明確資產(chǎn)歸屬,形成臺賬,及時下線廢棄或無主系統(tǒng)。此外,資產(chǎn)管理工作還需要額外關(guān)注互聯(lián)網(wǎng)上泄露的中國石化敏感信息,包括主機、郵箱明文存儲的賬號、口令,以及文庫、github等互聯(lián)網(wǎng)平臺上存在的技術(shù)方案、網(wǎng)絡(luò)拓撲圖、系統(tǒng)源代碼、賬號、口令等。為防止正面防御如同“馬奇諾防線”一樣被繞過,造成重要系統(tǒng)直接暴露在攻擊者面前,持續(xù)開展敏感信息清理工作非常必要。
在態(tài)勢感知方面,在總部互聯(lián)網(wǎng)出口、主干網(wǎng)、區(qū)域中心互聯(lián)網(wǎng)出口等關(guān)鍵部位部署態(tài)勢感知系統(tǒng)對網(wǎng)絡(luò)流量進行重點監(jiān)控。通過對攻擊者攻擊方法、攻擊路線、常見套路進行分析與提煉,形成定制策略,精準識別攻擊者掃描踩點、漏洞利用、權(quán)限提升、橫向滲透等行為。同時,在總部和區(qū)域中心互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)攻擊阻斷系統(tǒng),采用大數(shù)據(jù)分析技術(shù),融合匯聚主機防護設(shè)備情報源、企業(yè)威脅情報源、情報聯(lián)盟情報源等多源數(shù)據(jù),開展威脅、情報關(guān)聯(lián)分析與挖掘,對惡意IP的訪問請求進行實時匹配和阻斷,從而實現(xiàn)防護關(guān)口的前移,達到全局共享惡意IP,實現(xiàn)“一點監(jiān)測、全局阻斷”效果。此外,通過日志審計系統(tǒng)在攻擊者探測、控制與命令通道、橫向移動攻擊以及內(nèi)部安全審計等維度,設(shè)置實時關(guān)聯(lián)分析告警規(guī)則進行大廣角的橫向關(guān)聯(lián)和縱深的數(shù)據(jù)挖掘。同時與態(tài)勢感知系統(tǒng)協(xié)同聯(lián)動,可發(fā)現(xiàn)大量掃描、暴力破解、賬號異常、異常通信和服務(wù)器異常操作等行為。
(三)形成縱深,保障要害——創(chuàng)建層次清晰、手段豐富的縱深防御體系
眾所周知,電力行業(yè)早期就形成了諸如“橫向隔離,縱向加密”的網(wǎng)絡(luò)縱深,取得了很好的安全保障效果。中國石化也在打造自身的縱深防御體系。在網(wǎng)絡(luò)層面體現(xiàn)為三道主要防線:一是在總部和區(qū)域中心互聯(lián)網(wǎng)邊界部署IPS、WAF等自動化防護系統(tǒng)并啟用高強度防護策略,阻斷來自互聯(lián)網(wǎng)的自動化攻擊、掃描行為;二是在連接各下屬企業(yè)的主干網(wǎng)通路啟用白名單訪問控制策略,阻斷攻擊者入侵單個企業(yè)后的橫向滲透;三是在數(shù)據(jù)中心重要安全域邊界啟用雙向白名單訪問控制策略,阻斷攻擊者入侵外圍邊界后的縱向深入。
主機層面,在重點業(yè)務(wù)系統(tǒng)上全面部署主機防護設(shè)備進行重點防護。針對SQL注入、暴力破解、任意文件讀取、網(wǎng)站漏洞等入侵行為部署針對性防護策略。同時通過主機防護設(shè)備強化操作系統(tǒng)底層安全,保障其基礎(chǔ)環(huán)境安全。監(jiān)控人員依托主機防護設(shè)備的云中心大數(shù)據(jù)分析平臺,從攔截日志中提取詳細信息,對攻擊行為進行感知、辨識、追溯、取證。此外,在互聯(lián)網(wǎng)區(qū)、內(nèi)網(wǎng)核心區(qū)部署蜜罐,以此在攻擊者攻擊路徑上構(gòu)造陷阱,精確感知攻擊行為,混淆攻擊目標,將攻擊火力引導到蜜罐系統(tǒng),記錄攻擊行為,實現(xiàn)“誘敵深入,精準溯源”效果。
(四)技管結(jié)合,以人為本——打造以高素質(zhì)人才為核心協(xié)同高效運營團隊
檢驗網(wǎng)絡(luò)安全運營是否成熟,本質(zhì)在于是否有一支高素質(zhì)的隊伍。網(wǎng)絡(luò)攻防其實就是人與人之間的攻防,在網(wǎng)絡(luò)安全人才整體短缺的大背景下,不論是突出合規(guī)屬性的管理型人才還是突出技術(shù)屬性的實戰(zhàn)化人才,在數(shù)量以及能力上都嚴重匱乏。中國石化在加強與國家專業(yè)機構(gòu)、產(chǎn)業(yè)公司合作的基礎(chǔ)上加強能力的轉(zhuǎn)移轉(zhuǎn)化,并不斷跟蹤國內(nèi)外網(wǎng)絡(luò)安全新政策、新標準、新技術(shù),在全集團范圍內(nèi)建立形成人才梯隊培育模式并建設(shè)攻防演練實訓靶場,培育行業(yè)隊伍。
檢驗網(wǎng)絡(luò)安全運營是否成熟,核心在于日常運營協(xié)同是否合理有效。中國石化科學合理配置總部和企業(yè)的防護力量,在總部設(shè)立網(wǎng)絡(luò)安全運營中心,統(tǒng)一調(diào)配各專業(yè)小組和外圍機動力量,各企業(yè)設(shè)立分中心,協(xié)同進行態(tài)勢監(jiān)控和響應(yīng),形成上下一體、協(xié)同聯(lián)動的運營體系。
檢驗網(wǎng)絡(luò)安全運營是否成熟,關(guān)鍵在于重大敏感時期或安全事件爆發(fā)時的應(yīng)急處置效率。中國石化以總部網(wǎng)絡(luò)安全運營中心為核心,搭建集團內(nèi)部自上而下的應(yīng)急響應(yīng)即時通訊平臺,及時發(fā)布安全事件和處置指令,按照監(jiān)控告警、分析研判、處置響應(yīng)的工作主線,及既定應(yīng)急響應(yīng)流程,采用全網(wǎng)掃描報備、精準感知、態(tài)勢研判、關(guān)聯(lián)分析、自動封禁、快速處置、重點溯源、跟蹤閉環(huán)、動態(tài)調(diào)配等一系列策略開展網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作。
三、中國石化下一步網(wǎng)絡(luò)安全運營的思考
中國石化的網(wǎng)絡(luò)安全運營工作依然任重而道遠,下一步的網(wǎng)絡(luò)安全運營將朝著集中化、自動化、智能化方向不斷發(fā)展。
一是進一步做實網(wǎng)絡(luò)安全責任制,實現(xiàn)從要我安全到我要安全的轉(zhuǎn)變。一方面要強化考核、壓實責任。加強網(wǎng)絡(luò)安全考核力度,針對運營工作中發(fā)現(xiàn)的漏洞短板,重點加強攻擊面收斂、敏感信息消除、第三方運維單位安全管控等內(nèi)容的考核力度。另一方面要出臺網(wǎng)絡(luò)安全問責機制,發(fā)生安全事件后對主責單位實施問責。
二是狠抓三同步,實現(xiàn)業(yè)務(wù)系統(tǒng)建設(shè)與網(wǎng)絡(luò)安全工作的融合發(fā)展,確保系統(tǒng)的本質(zhì)安全。把好源頭關(guān),著力做好信息系統(tǒng)建設(shè)過程中的安全規(guī)劃設(shè)計和實施質(zhì)量管理,探索項目安全監(jiān)理制度。
三是網(wǎng)絡(luò)安全運營隊伍的專業(yè)化。依托集團攻防團隊核心骨干人員建立專業(yè)的安全運營隊伍,并根據(jù)安全運營的專業(yè)需要進一步加強人才隊伍的能力建設(shè),包括專職負責安全研究的專家,主要研究最新的攻擊方法,模擬黑客進行攻擊;還要有安全數(shù)據(jù)分析專家,主要從海量的數(shù)據(jù)中找規(guī)律、優(yōu)化算法,力求以最快的速度發(fā)現(xiàn)威脅。
四是網(wǎng)絡(luò)安全運營系統(tǒng)的集中化,打造總部、區(qū)域中心、企業(yè)三位一體的安全運營體系,將集團內(nèi)網(wǎng)及互聯(lián)網(wǎng)所有數(shù)據(jù)進行統(tǒng)一匯總分析,結(jié)合內(nèi)網(wǎng)威脅情報實現(xiàn)對全集團安全態(tài)勢的統(tǒng)一管控。同時進一步加強智能分析與處置能力,重點加強安全編排和安全自動化能力,以及響應(yīng)管理能力,最終整體提升安全運營系統(tǒng)的效能。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號