（國家計算機網(wǎng)絡(luò)與信息安全管理中心山西分中心，山西 太原 030006）

習(xí)近平總書記在網(wǎng)信工作座談會上指出：“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點攻擊的目標(biāo)”，要求“要全面加強網(wǎng)絡(luò)安全檢查，摸清家底，認清風(fēng)險，找出漏洞，通報結(jié)果，督促整改”。

為貫徹落實這一指示精神，2016年，中央網(wǎng)信辦在全國啟動了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作。在這一工作背景下，山西省委網(wǎng)信辦按照中央和省委要求，在2017年、2018年分別開展了“全省關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查”工作。筆者在參與檢查工作的過程中，對省內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施單位的網(wǎng)絡(luò)安全防護現(xiàn)狀和如何加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，增強安全保障能力進行了思考和探索。

1 典型案例剖析

本節(jié)將選取煤炭、電力2個山西省工業(yè)領(lǐng)域的典型代表，就檢查評估情況，對其網(wǎng)絡(luò)安全防護情況做簡要剖析。

1.1 某煤炭企業(yè)網(wǎng)絡(luò)安全防護情況

（1）技術(shù)測試情況：對某煤炭企業(yè)提供的網(wǎng)站、網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、主機以及網(wǎng)絡(luò)安全設(shè)備進行了全面風(fēng)險評估。

通過該企業(yè)門戶網(wǎng)站管理系統(tǒng)的漏洞，可以直接進入并控制企業(yè)門戶網(wǎng)站。利用該煤炭企業(yè)安全生產(chǎn)運營系統(tǒng)的漏洞，可以獲取該企業(yè)管理人員和井下工人的個人敏感信息。利用該煤炭企業(yè)開放的無線網(wǎng)絡(luò)環(huán)境，可以通過無線網(wǎng)絡(luò)環(huán)境進入該企業(yè)生產(chǎn)、辦公內(nèi)網(wǎng)環(huán)境。

（2）存在問題分析：

①該企業(yè)的網(wǎng)絡(luò)安全管理較為松散，沒有進行嚴格的網(wǎng)絡(luò)區(qū)域劃分，存在內(nèi)網(wǎng)、外網(wǎng)、無線網(wǎng)互聯(lián)互通的高危安全風(fēng)險。

②該企業(yè)未進行網(wǎng)絡(luò)安全的日常風(fēng)險評估和審查審計，核心關(guān)鍵系統(tǒng)中存在大量弱口令、弱密碼，威脅信息系統(tǒng)的整體安全。

③該企業(yè)在外包第三方開發(fā)信息系統(tǒng)的過程中，未對信息系統(tǒng)的源代碼進行安全審計，系統(tǒng)上線前也未開展風(fēng)險評估，信息系統(tǒng)在開發(fā)設(shè)計上存在眾多安全風(fēng)險和隱患。

1.2 某電力企業(yè)網(wǎng)絡(luò)安全防護情況

（1）技術(shù)測試情況：對某電力企業(yè)內(nèi)部電力網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、主機以及網(wǎng)絡(luò)安全設(shè)備進行了全面風(fēng)險評估。

通過該電力企業(yè)內(nèi)部應(yīng)用系統(tǒng)的漏洞，可以獲取企業(yè)內(nèi)部應(yīng)用的關(guān)鍵信息數(shù)據(jù)。通過內(nèi)網(wǎng)Windows主機的安全漏洞可以控制多臺內(nèi)部主機，由于內(nèi)網(wǎng)并沒有網(wǎng)絡(luò)安全防護設(shè)備和安全域劃分，以這些主機為跳板可以滲透到核心生產(chǎn)區(qū)域。發(fā)現(xiàn)內(nèi)網(wǎng)存在惡意程序感染和傳播的情況。

（2）存在問題分析：①該企業(yè)在信息系統(tǒng)上線前未進行網(wǎng)絡(luò)安全風(fēng)險評估，日常的運行維護中，也未定期開展網(wǎng)絡(luò)安全風(fēng)險評估和漏洞修補和升級工作，一旦被攻擊者突破外部網(wǎng)絡(luò)防御，會威脅整個電力生產(chǎn)環(huán)境的安全。

②該企業(yè)未能建立健全網(wǎng)絡(luò)安全管理制度，也沒有成型的安全運維體系和監(jiān)測手段，日常網(wǎng)絡(luò)安全管理措施缺失、系統(tǒng)的備份和恢復(fù)、惡意代碼管理、密碼管理方面都缺乏相應(yīng)的制度。

③該電力企業(yè)由于沒有管理介質(zhì)的制度和措施，已經(jīng)導(dǎo)致內(nèi)網(wǎng)主機感染惡意程序的情況出現(xiàn)。

2 防護現(xiàn)狀分析

本節(jié)將分別對2017年、2018年山西省關(guān)鍵信息基礎(chǔ)設(shè)施檢查情況進行總結(jié)，并通過對比，分析山西省關(guān)鍵信息基礎(chǔ)設(shè)施防護情況的變遷。山西省關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作的檢查范圍包括：

能源行業(yè)：電力（電力生產(chǎn)）、煤炭（煤炭開采）；

電信與互聯(lián)網(wǎng)行業(yè)：數(shù)據(jù)中心/云服務(wù)；

金融行業(yè)：銀行運營；

交通行業(yè)：民航（機場運行）、公路（路網(wǎng)監(jiān)測）；

醫(yī)療衛(wèi)生行業(yè)：醫(yī)院等衛(wèi)生機構(gòu)運行；

市政行業(yè)：水供應(yīng)管理；

環(huán)境保護行業(yè)：環(huán)境監(jiān)測及預(yù)警；

水利行業(yè)：水利樞紐運行及管控；

工業(yè)制造行業(yè)：企業(yè)運行管理、生產(chǎn)運行管理；

廣播電視行業(yè)：電視播出管控、廣播播出管控；

政府部門行業(yè)：面向公眾服務(wù)、辦公業(yè)務(wù)系統(tǒng)。

2.1 2017年山西省關(guān)鍵信息基礎(chǔ)設(shè)施檢查情況

在山西省11個重點行業(yè)中選取15個典型單位，對其關(guān)鍵業(yè)務(wù)的運行環(huán)境、運維方式、網(wǎng)絡(luò)安全管理、安全防護和風(fēng)險威脅及危害情況進行檢查評估。

主要存在的網(wǎng)絡(luò)安全管理問題：

（1）網(wǎng)絡(luò)安全管理體系尚未健全；

（2）網(wǎng)絡(luò)邊界防護薄弱；

（3）日常網(wǎng)絡(luò)安全管理不夠嚴格；

（4）網(wǎng)絡(luò)安全風(fēng)險監(jiān)測發(fā)現(xiàn)能力不足；

（5）未聘請第三方技術(shù)機構(gòu)開展風(fēng)險評估。

現(xiàn)場技術(shù)檢測發(fā)現(xiàn)的風(fēng)險：

（1）系統(tǒng)存在弱口令；

（2）內(nèi)網(wǎng)主機存在高危安全漏洞；

（3）系統(tǒng)應(yīng)用存在高危安全漏洞；

（4）能夠通過互聯(lián)網(wǎng)對內(nèi)網(wǎng)進行滲透攻擊。

2.2 2018年山西省關(guān)鍵信息基礎(chǔ)設(shè)施檢查情況

在山西省11個重點行業(yè)中選取11個典型單位，對其關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全防護能力進行了全面評估，特別增加了對互聯(lián)網(wǎng)+新應(yīng)用的關(guān)注。

主要存在的網(wǎng)絡(luò)安全管理問題：

（1）網(wǎng)絡(luò)安全審計制度不健全；

（2）網(wǎng)絡(luò)安全管理制度落實不到位；

（3）網(wǎng)絡(luò)區(qū)域劃分不完善；

（4）數(shù)據(jù)傳輸和存儲不夠安全可靠。

現(xiàn)場技術(shù)檢測發(fā)現(xiàn)的風(fēng)險：

（1）系統(tǒng)數(shù)據(jù)庫存在高危安全漏洞；

（2）內(nèi)網(wǎng)安全防范不足；

（3）系統(tǒng)應(yīng)用存在高危安全漏洞；

（4）系統(tǒng)應(yīng)用信息、數(shù)據(jù)信息泄露風(fēng)險較高。

2.3 網(wǎng)絡(luò)安全防護情況變遷分析

對比分析2017年、2018兩年山西省關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全抽查評估情況，關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護現(xiàn)狀發(fā)生了變化，主要呈現(xiàn)以下幾個特點：

（1）網(wǎng)絡(luò)安全制度逐漸完善；

（2）系統(tǒng)邊界防護能力逐漸加強；

（3）網(wǎng)絡(luò)安全風(fēng)險評估工作受到重視；

（4）網(wǎng)絡(luò)安全制度落實仍需完善；

（5）網(wǎng)絡(luò)安全審計普遍缺失；

（6）網(wǎng)絡(luò)安全專業(yè)人才匱乏。

3 工作建議

3.1 提高工作站位，完善網(wǎng)絡(luò)安全管理制度建設(shè)

要站在貫徹總體國家安全觀的高度，單位管理層充分認識到網(wǎng)絡(luò)安全工作的重要性，在此基礎(chǔ)上，完善組織建設(shè)和制度建設(shè)，強化《網(wǎng)絡(luò)安全法》《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法》和網(wǎng)絡(luò)安全相關(guān)規(guī)章制度的學(xué)習(xí)和執(zhí)行，建立健全網(wǎng)絡(luò)和信息安全管理制度，明確主管領(lǐng)導(dǎo)，成立專門機構(gòu)，指定專門人員，強化責(zé)任，各盡其職。

3.2 筑牢防御堡壘，加強網(wǎng)絡(luò)安全防御體系建設(shè)

網(wǎng)絡(luò)安全防御不能僅僅依靠網(wǎng)絡(luò)安全設(shè)備的疊加，必須將分散的、獨立的網(wǎng)絡(luò)安全防護能力有機結(jié)合起來，構(gòu)建符合關(guān)鍵信息基礎(chǔ)設(shè)施單位實際的網(wǎng)絡(luò)安全防御體系，提升關(guān)鍵信息基礎(chǔ)設(shè)施的健壯性，強化主動應(yīng)對網(wǎng)絡(luò)攻擊的能力。

構(gòu)建網(wǎng)絡(luò)安全防御體系，重點從三方面入手：

首先，深入分析本單位所面臨的安全威脅，模擬可能的黑客攻擊路徑，對標(biāo)ISO 27001、PCI-DSS、《網(wǎng)絡(luò)安全等級保護》等國內(nèi)外網(wǎng)絡(luò)安全最佳實踐和技術(shù)規(guī)范構(gòu)建網(wǎng)絡(luò)安全威脅模型。

其次，將網(wǎng)絡(luò)安全防御體系覆蓋關(guān)鍵信息基礎(chǔ)設(shè)施的整個生命周期，深化系統(tǒng)安全漏洞管理，在設(shè)計階段，明確安全要求、提前采取安全措施。在開發(fā)階段，建立代碼掃描和安全測試機制，降低應(yīng)用漏洞風(fēng)險，并進行系統(tǒng)上線前的風(fēng)險評估；在運維階段，定期進行漏洞掃描和滲透性測試，及時發(fā)現(xiàn)安全隱患并積極整改；在下線階段，做好關(guān)鍵數(shù)據(jù)的回收保護，系統(tǒng)建設(shè)和運行維護文檔的整理歸檔。

第三，構(gòu)建網(wǎng)絡(luò)安全風(fēng)險應(yīng)急響應(yīng)中心，集中收集各類日志信息，查看網(wǎng)絡(luò)安全告警，分析網(wǎng)絡(luò)安全設(shè)備監(jiān)測數(shù)據(jù)，并結(jié)合系統(tǒng)流量進行關(guān)聯(lián)分析，實現(xiàn)威脅監(jiān)測的一體化集中管理。引入威脅情報、大數(shù)據(jù)分析等技術(shù)，強化對于高級持續(xù)性威脅（APT）和精準(zhǔn)式網(wǎng)絡(luò)攻擊的實時發(fā)現(xiàn)及智能化預(yù)警處置能力。

3.3 重視審計工作，強化網(wǎng)絡(luò)安全監(jiān)督檢查落實

關(guān)鍵信息基礎(chǔ)設(shè)施的運行，網(wǎng)絡(luò)安全設(shè)備的監(jiān)測和防護，用戶每日的操作都會產(chǎn)生大量的日志記錄，分析并積極采取措施，及時發(fā)現(xiàn)違法網(wǎng)絡(luò)安全管理制度的行為和存在于日志記錄中的風(fēng)險隱患顯得尤為重要。

加強網(wǎng)絡(luò)安全審計，首先，應(yīng)當(dāng)將網(wǎng)絡(luò)安全審計提升到傳統(tǒng)意義上對財政、財務(wù)收支、經(jīng)營管理活動審計的同等高度上來，形成常態(tài)化具有獨立性的制度和規(guī)范。其次，審計工作要全面覆蓋系統(tǒng)日志、應(yīng)用日志、用戶操作日志和網(wǎng)絡(luò)安全設(shè)備日志等客觀記錄關(guān)鍵信息基礎(chǔ)設(shè)施運轉(zhuǎn)的網(wǎng)絡(luò)安全記錄信息。第三，做好審計跟蹤，重現(xiàn)風(fēng)險事件，評估安全損失、定位產(chǎn)生風(fēng)險的區(qū)域，及時處置風(fēng)險并進行災(zāi)難恢復(fù)，防止關(guān)鍵信息基礎(chǔ)設(shè)施可能發(fā)生的故障。

3.4 強化能力培訓(xùn)，提升網(wǎng)絡(luò)安全實操技能水平

網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭。關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)高度重視網(wǎng)絡(luò)安全人才培養(yǎng)和網(wǎng)絡(luò)安全隊伍建設(shè)，杜絕依賴心理，加強同專業(yè)安全機構(gòu)和知名高校的合作交流，打造自己的網(wǎng)絡(luò)安全技術(shù)團隊。一是要在人員上保障，設(shè)置專門的網(wǎng)絡(luò)安全技術(shù)崗，定期開展網(wǎng)絡(luò)安全技能培訓(xùn)，確保其具備網(wǎng)絡(luò)安全實操能力；二是要做好技能考核，定期對網(wǎng)絡(luò)安全技術(shù)人員進行技能考核，并通過獎懲機制，敦促其努力學(xué)習(xí)網(wǎng)絡(luò)安全知識和技能；三是要做好交流和演練，通過開展網(wǎng)絡(luò)安全實戰(zhàn)演練、第三方攻防對抗實訓(xùn)、網(wǎng)絡(luò)安全沙龍等多樣形式，提高網(wǎng)絡(luò)安全實戰(zhàn)技能，提升網(wǎng)絡(luò)安全全員意識。

3.5 普查風(fēng)險隱患，夯實關(guān)鍵信息基礎(chǔ)設(shè)施根基

關(guān)鍵信息基礎(chǔ)設(shè)施單位要對照《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》《網(wǎng)絡(luò)安全等級保護制度》，積極開展日常性的網(wǎng)絡(luò)安全風(fēng)險普查工作。全面梳理關(guān)鍵信息基礎(chǔ)設(shè)施單位自身存在的不符合項、基本符合項，管理鞏固符合項，做好定期體檢、動態(tài)評估和第三方測評工作。