文｜孟慶軍

如何提升石油化工企業(yè)網(wǎng)絡安全管理現(xiàn)狀

文｜孟慶軍

隨著企業(yè)的發(fā)展，信息技術對企業(yè)越來越重要，企業(yè)信息化建設不斷推進，企業(yè)信息安全問題也越來越復雜，2000年前后企業(yè)開始逐步重視信息安全。只有信息安全有了保障，企業(yè)才能得到穩(wěn)定發(fā)展的根基。2016年習近平總書記提出“加快構建關鍵信息基礎設施安全保障體系”，“全面加強網(wǎng)絡安全檢查，摸清家底，認清風險，找出漏洞，通報結(jié)果，督促整改”的重要指示精神，根據(jù)中央網(wǎng)信辦統(tǒng)一部署，各行各業(yè)的信息安全檢查陸續(xù)開展。作為能源生產(chǎn)單位，石油石化企業(yè)為了應對世界范圍內(nèi)的計算機犯罪、病毒、黑客攻擊事件的頻繁發(fā)生, 企業(yè)大都建立了有效的網(wǎng)絡信息安全防線。筆者分析了石油化工企業(yè)網(wǎng)絡安全管理現(xiàn)狀,并對如何提升石油化工企業(yè)網(wǎng)絡安全管理現(xiàn)狀做了闡述。

一、網(wǎng)絡安全管理現(xiàn)狀及分析

（一）網(wǎng)絡安全管理現(xiàn)狀

1. 雖然許多企業(yè)網(wǎng)絡設置了VLAN 的隔離,但不同的VLAN 之間沒有設置必要的訪問控制,任何一個用戶在網(wǎng)內(nèi)嗅探都可以輕松地得到全部網(wǎng)段計算機的 IP 地址和MAC 地址的對應信息。

2. 網(wǎng)絡沒有按照安全域的保護等級劃分和進行訪問控制限制, 對于關鍵網(wǎng)絡設備沒有限制特定的網(wǎng)段和計算機才能控制, 而僅僅依靠登陸的用戶名和密碼進行保護。

3. 針對路由配置、沒有屏蔽不需要的服務及進行安全配置, 如ARP- PROXY, OSPF 認證, SNMP控制等, 沒有抵御協(xié)議欺騙和 DDOS 攻擊等的處理。

4. SNMP 協(xié)議設置不當, 導致黑客可以下載和上傳 IOS配置文件, 并通過查看配置文件, 用專業(yè)軟件, 瞬間就可以破解 TYPE- 7 的加密, 得到超級管理的明文密碼, 從而完全控制網(wǎng)絡設備; 即使拿到加密后的密碼串無法破解, 黑客也可以把下載來的 IOS 文件內(nèi)的密碼清空, 再上傳后, 依然可以不用密碼登陸設備。

5. 網(wǎng)絡上的 HTTP 代理認證信息是明文傳輸?shù)? 導致它的驗證請求能輕松的被嗅探用戶截取, 包括什么時間, 什么 IP地址, 通過哪個 WEB 代理服務器, 用的哪個代理用戶名和密碼, 訪問了哪些具體的網(wǎng)站, 而且可以回溯對方瀏覽過的具體網(wǎng)站信息。

6. 審計和日志分析等策略沒有啟用, 導致無法審查什么時間什么人登錄過服務器, 做了什么操作; 服務器的補丁打得不夠及時, 存在被溢出攻擊可能性; 為了管理方便, 服務器開啟終端服務,但是默認安裝, 沒有進行任何的加固措施, 一旦被人利用, 對服務器是極大的危險。

7. 為了記憶方便, 用戶密碼過于簡單, 很容易就可以猜測出來或者暴力破解。雖然是普通用戶, 但可以通過本地權限提升得到超級用戶的權限。

8. 對于注冊表和關鍵的系統(tǒng)文件, 沒有進行特別的保護和基準線的建立。一旦發(fā)現(xiàn)異常, 也無法快速的找出增加和減少的項目。

9. 對安全記錄未做訪問授權控制, 一旦被攻擊, 日志和必要的回溯信息會被刪除或者修改。

10. 對于超級帳號沒有進行分權和修改默認名字, 可能會導致暴力破解密碼以及高級權力濫用的隱患。

11. 對于不需要的系統(tǒng)服務和啟動服務沒有做禁止和分權。

（二）信息安全形勢分析

1. 內(nèi)部信息安全威脅：主要是來自于惡意軟件下載，有54%的企業(yè)發(fā)生過由 于惡意軟件下載造成的信息安全事件。其次是有47%的企 業(yè)存在由于內(nèi)部員工造成的安全漏洞。其它主要威脅包括軟硬件漏洞、員工的不良信息處理行為引發(fā)的問題。

2. 外部信息安全威脅：從權威調(diào)查結(jié)果來看，目前主要來自于惡意軟件，有 68%的企業(yè)發(fā)生過惡意軟件攻擊。其次是有54%的企業(yè)遭 受過網(wǎng)絡釣魚。其它主要威脅包括高級持續(xù)性威脅(APT)、 拒絕服務攻擊(DDOS)、暴力攻擊、零日（0day）攻擊等。

（三）信息安全事件

烏克蘭電網(wǎng)遭黑客攻擊事件: 2015年12月3日，烏克蘭伊萬諾－弗蘭科夫斯克地區(qū)持續(xù)停電數(shù)小時之久。黑客使用后門程序 BlackEnergy（黑暗力量）攻擊了在發(fā)電站和多家能源公司。攻擊者在微軟Office文件中嵌入了惡意宏文件，并以此作為感染載體來對目標系統(tǒng)進行感染。烏克蘭電網(wǎng)系統(tǒng)遭黑客攻擊，數(shù)百戶家庭供電被迫中斷，這是有 史以來首次導致停電的網(wǎng)絡攻擊，此次針對工控系統(tǒng)的攻擊無疑具有里程碑意義。

二、如何構建網(wǎng)絡信息安全系統(tǒng)

（一）從制度方面

網(wǎng)絡信息安全管理體系從實質(zhì)上來說，是一種信息安全管理模式，其目的是 為了提高企業(yè)的管理水平，促進企業(yè) 良性發(fā)展，保證企業(yè)各種信息資源的 安全，不給企業(yè)造成負面影響。信息 安全管理體系借助諸多標準，參考標準實現(xiàn)企業(yè)信息安全管理規(guī)范有序， 使企業(yè)信息安全向科學合理的方向發(fā) 展。信息安全管理是伴隨著信息技術 的發(fā)展而發(fā)展的，在信息社會，信息資源已經(jīng)成為一種十足珍貴的資源，具有極高的經(jīng)濟價值。信息安全工作的有效開展與持續(xù)化深入依賴完善的信息安全保障體系。為保護信息系統(tǒng)安全、平穩(wěn)運行，根據(jù)國家和各單位有關要求以及信息系統(tǒng)現(xiàn)狀，結(jié)合先進的安全技術與管理理念，在信息安全風險評估基礎上，需制定網(wǎng)絡信息安全整體解決方案。

（二）從技術方面

1. 定期開展信息安全與合規(guī)性檢查

通過檢查，集梳理本單位網(wǎng)絡安全工作，排查高危安全漏洞；識別工控系統(tǒng)安全風險；核查信息系統(tǒng)定級備案情況等，結(jié)合石油化工企業(yè)實際可組織開展：

（1）信息系統(tǒng)常規(guī)安全檢查；

（2）工業(yè)控制系統(tǒng)安全檢查；

（3）信息系統(tǒng)等級保護合規(guī)性檢查。

2. 開展網(wǎng)絡安全域建設

完成本單位的網(wǎng)絡安全域劃分，將網(wǎng)絡劃分為內(nèi)網(wǎng)、外網(wǎng)、專網(wǎng)、專線等部分，設置不同的訪問規(guī)則，并進行分區(qū)防護。建成統(tǒng)一互聯(lián)網(wǎng)出口，部署安全防護設備，為各單位內(nèi)部用戶及業(yè)務系統(tǒng)提供安全可靠的互聯(lián)網(wǎng)訪問服務。

3. 網(wǎng)絡安全新技術應用

網(wǎng)絡安全設備的開放化將逐步實現(xiàn)。在傳統(tǒng)的信息安全時代主要采用隔離作為安全的手段，具體分為物理隔離、內(nèi)外網(wǎng)隔離、加密隔離，實踐證明這種隔離手段針對 傳統(tǒng)IT架構能起到有效的防護。同時這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司，例如各種防火墻、入侵檢測系 統(tǒng)/入侵防御系統(tǒng)、Web應用防火墻、統(tǒng)一威脅管理、SSL網(wǎng)關、加 密機等。 在這種隔離思想下，并不需要應用提供商參與較多信息安全工 作，在典型場景下是由總集成商負責應用和信息安全之間的集成， 而這導致了長久以來信息安全和應用相對獨立的發(fā)展，尤其在國內(nèi) 這兩個領域的圈子交集并不大。結(jié)果，傳統(tǒng)信息安全表現(xiàn)出分散割據(jù)化、對應用的封閉化、硬件盒子化的三個特征。 封閉化的安全設備從某種意義上維護了傳統(tǒng)安全廠商的利益， 但是卻損害了用戶的利益。而從用戶的角度來看，未來安全設備的 開放化、可編程化是個需要用戶推動的趨勢。

三、結(jié)論

關于網(wǎng)絡信息系統(tǒng)安全的課題, 涉及的層面較為廣泛,復雜程度較高。網(wǎng)絡安全作為支網(wǎng)絡及信息系統(tǒng)的重要基礎，需要堅實有力的服務來支持。要求企業(yè)網(wǎng)絡技術人員在掌握網(wǎng)絡技術的同時掌握全面網(wǎng)絡信息安全是不現(xiàn)實的。因此做好企業(yè)的網(wǎng)絡安全工作,選擇由網(wǎng)絡安全專家、專業(yè)的網(wǎng)絡安全工具和安全管理策略組成的安全服務是必須的。

網(wǎng)絡安全是一個動態(tài)的管理過程,它只能保障網(wǎng)絡系統(tǒng)受到攻擊時，能夠提供無漏洞防御的相對安全。網(wǎng)絡信息系統(tǒng)安全不僅需要動態(tài)的工具和產(chǎn)品, 而且需要持續(xù)跟進的安全服務。

能夠應對突發(fā)網(wǎng)絡安全應急事件。在網(wǎng)絡信息系統(tǒng)發(fā)生緊急情況時, 有完善可靠的應急預案、應急專家隊伍。保障安全專家緊急出動服務，及時趕到現(xiàn)場, 恢復系統(tǒng)正常工作, 協(xié)助檢查入侵來源, 提供事故分析報告和安全建議及服務, 為用戶提供及時、全面的安全問題解決方案。

綜上所述, 通過對網(wǎng)絡安全管理現(xiàn)狀的分析、對如何構建網(wǎng)絡信息安全系統(tǒng)信息系統(tǒng)的探討，得出網(wǎng)絡安全體系建設的基本思路: 網(wǎng)絡信息安全是動態(tài)的，長期的。風險的避免和減小需要從管理和技術兩方面入手，建立完善的安全管理制度和牢固的安全防護措施，并有效地執(zhí)行和使用。才是應對不斷出現(xiàn)的新的安全威脅的最行之有效的方法。

作者單位：中國石油寧夏石化公司信息管理部