黃均輝，田清清

（中國電建集團(tuán)中南勘測設(shè)計(jì)研究院有限公司，湖南 長沙 410014）

0 引 言

數(shù)字化工程是指運(yùn)用信息化手段，通過三維設(shè)計(jì)平臺(tái)對工程項(xiàng)目進(jìn)行精確設(shè)計(jì)和施工模擬，圍繞施工過程管理，建立互聯(lián)協(xié)同、智能生產(chǎn)、科學(xué)管理的數(shù)字化管理平臺(tái)，集成云計(jì)算、物聯(lián)網(wǎng)和大數(shù)據(jù)應(yīng)用，通過整合工程業(yè)務(wù)數(shù)據(jù)和工程物聯(lián)數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)納管與數(shù)據(jù)應(yīng)用兩大功能，進(jìn)而滿足項(xiàng)目不同場景的、不同來源的和不同類型的數(shù)據(jù)統(tǒng)一管理和有效共享，實(shí)現(xiàn)工程施工可視化智能管理。同時(shí)，數(shù)字化工程應(yīng)用場景復(fù)雜，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)高，近年來，信息安全形勢更加嚴(yán)峻，國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)經(jīng)常遭受大規(guī)模的黑客攻擊和入侵，導(dǎo)致數(shù)據(jù)破壞、數(shù)據(jù)篡改或數(shù)據(jù)泄漏，造成惡劣影響，尤其是能源、工控、基建等行業(yè)更是成為黑客攻擊的重災(zāi)區(qū)，若無配套的網(wǎng)絡(luò)安全體系化解決方案，數(shù)字化工程應(yīng)用及服務(wù)將無從談起。

1 數(shù)字化工程等保保護(hù)實(shí)施指南

1.1 等級(jí)保護(hù)制度概述

等級(jí)保護(hù)制度是對信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，在業(yè)界，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度被譽(yù)為一項(xiàng)偉大創(chuàng)舉，是中國網(wǎng)絡(luò)安全的基石，是維護(hù)國家安全、社會(huì)秩序和公共利益的根本保障。1994年國務(wù)院第147號(hào)令《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的頒布是計(jì)算機(jī)信息系統(tǒng)的等級(jí)保護(hù)工作的規(guī)范性的開端，之后由公安部陸續(xù)頒布并實(shí)施了一系列等級(jí)保護(hù)制度規(guī)范和技術(shù)標(biāo)準(zhǔn)，促進(jìn)計(jì)算機(jī)的應(yīng)用和發(fā)展，算是等級(jí)保護(hù)制度1.0階段。2019年12月1日隨著GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求》（以下簡稱“等保2.0”）的正式頒布實(shí)施，意味著網(wǎng)絡(luò)安全等級(jí)保護(hù)工作進(jìn)入2.0 階段，是具有里程碑意義的一件大事，標(biāo)志著國家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作步入新時(shí)代。

1.2 等保2.0 框架

根據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則，網(wǎng)絡(luò)安全保護(hù)等級(jí)劃分為五個(gè)安全保護(hù)等級(jí)，從低到高依次為：自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、專控保護(hù)級(jí)，各個(gè)等保保護(hù)對象按國家標(biāo)準(zhǔn)嚴(yán)格執(zhí)行各項(xiàng)保護(hù)措施進(jìn)行保護(hù)。等保2.0 技防框架在1.0 的基礎(chǔ)上，在通用安全的基礎(chǔ)上，增加云計(jì)算、移動(dòng)互聯(lián)以及物理網(wǎng)等擴(kuò)展應(yīng)用安全要求，數(shù)字化工程應(yīng)用涉及通用和擴(kuò)展應(yīng)用的各個(gè)方面與等保2.0 框架相契合，安全技術(shù)總體框架從安全物理環(huán)境、安全計(jì)算環(huán)境、安全域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心五個(gè)方面進(jìn)行相應(yīng)的規(guī)范設(shè)計(jì)要求，同時(shí)，不同等級(jí)的保護(hù)對象的技術(shù)防護(hù)要求和防護(hù)力度存在等級(jí)差異。針對具體數(shù)字化工程應(yīng)用在工程管理中的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)等因素，本文按照等保二級(jí)標(biāo)準(zhǔn)的技術(shù)要求建設(shè)技防體系。

2 數(shù)字化工程外防內(nèi)控技防體系建設(shè)實(shí)踐

2.1 數(shù)字化工程網(wǎng)絡(luò)安全需求分析

數(shù)字化工程是運(yùn)用信息化手段，以數(shù)字化管理平臺(tái)為抓手，運(yùn)用先進(jìn)的建筑信息模型BIM 技術(shù)、地理信息GIS 技術(shù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等多種信息化技術(shù)手段，采集物聯(lián)網(wǎng)端設(shè)備數(shù)據(jù)，建立數(shù)字化管理平臺(tái)，研究實(shí)現(xiàn)工程設(shè)計(jì)、施工、設(shè)備安裝、調(diào)試、交接的全生命期數(shù)字化管理的方法，管理范圍覆蓋了工地、營地、監(jiān)理、管理中心以及個(gè)體用戶等應(yīng)用場景。

工地主要連接工地傳感器、視頻監(jiān)控和施工監(jiān)測等物聯(lián)網(wǎng)設(shè)備，實(shí)現(xiàn)工地現(xiàn)場數(shù)據(jù)采集，包括視頻監(jiān)控、人員監(jiān)控、施工設(shè)備監(jiān)控、智能物料管理、智能施工（智能混凝土施工管理）、環(huán)境監(jiān)控、工程安全監(jiān)測等系統(tǒng)的數(shù)據(jù)接入、匯總并形成工程數(shù)據(jù)中心，支撐上層數(shù)字化管理平臺(tái)和上層應(yīng)用，工程數(shù)據(jù)中心主要包括計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源等基礎(chǔ)服務(wù)資源，是數(shù)字化工程的基礎(chǔ)。本文采用公有專屬云部署模式，外防內(nèi)控技防體系重點(diǎn)就是以保障工程數(shù)據(jù)中心的安全為核心，并確保這些數(shù)據(jù)從采集、傳輸及接入數(shù)據(jù)中心的通信傳輸安全。

對于本文中涉及的工地、營地、監(jiān)理、管理中心以及個(gè)體用戶場景而言，則是重點(diǎn)保障所有現(xiàn)地用戶通過VPN 和數(shù)字專網(wǎng)兩種方式訪問數(shù)字化管理平臺(tái)的安全。該場景需要確保接入用戶身份真實(shí)可信，對接設(shè)備安全可信。

2.2 數(shù)字化工程網(wǎng)絡(luò)部署架構(gòu)

以上的網(wǎng)絡(luò)安全需求分析中，整個(gè)工程是采用“云＋管＋端”的工作模式，云端是數(shù)據(jù)匯集的工程數(shù)據(jù)中心，通信管道則是VPN 和數(shù)字專網(wǎng)，端是各個(gè)應(yīng)用終端。

整個(gè)工程融合了工地、現(xiàn)地、監(jiān)理中心、管理中心以及移動(dòng)個(gè)體等應(yīng)用場景，以工程數(shù)據(jù)中心為核心構(gòu)建外防內(nèi)控體系可分為兩條線，對內(nèi)是工程數(shù)據(jù)的安全融合問題，對外則是用戶安全服務(wù)問題，具體到本文實(shí)踐中就是保障數(shù)字化管理平臺(tái)數(shù)據(jù)集成的安全和數(shù)字化管理平臺(tái)服務(wù)兩個(gè)方面安全問題，也構(gòu)成了數(shù)字化工程的內(nèi)外部環(huán)境。因此，一方面數(shù)字化管理平臺(tái)數(shù)據(jù)集成主要保障數(shù)據(jù)采集、數(shù)據(jù)傳輸?shù)綌?shù)據(jù)接入及數(shù)據(jù)融合的安全問題；另一方面則是保障用戶從所在現(xiàn)地安全訪問數(shù)字化管理平臺(tái)的問題。數(shù)字化管理平臺(tái)數(shù)據(jù)集成和數(shù)字化管理平臺(tái)服務(wù)在實(shí)際應(yīng)用場景的系統(tǒng)部署架構(gòu)圖如圖1所示。

圖1 系統(tǒng)部署架構(gòu)圖

2.3 數(shù)字化工程外防內(nèi)控技防體系建設(shè)

從數(shù)字化工程網(wǎng)絡(luò)安全分析來看，重點(diǎn)是以工程數(shù)據(jù)中心為中心構(gòu)建外防內(nèi)控技防體系，解決應(yīng)用場景中面臨的外部內(nèi)部安全威脅。傳統(tǒng)的局部的、片面的技術(shù)防護(hù)措施已不能滿足實(shí)際需求，本實(shí)踐基于等保2.0 框架，分別從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心構(gòu)建外防內(nèi)控的技防體系。該技防體系覆蓋全場景和全生命周期，針對安全威脅的特點(diǎn)，分別從感知能力建設(shè)、防御能力建設(shè)和審計(jì)能力建設(shè)三個(gè)方面，實(shí)現(xiàn)“事前可感知、事中可防御、事后可追溯”的安全管理目標(biāo)。

2.3.1 網(wǎng)絡(luò)安全態(tài)勢感知能力建設(shè)

建設(shè)技防體系網(wǎng)絡(luò)安全態(tài)勢感知能力是在數(shù)字化工程的大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的所有安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢，并不拘泥于單一的安全要素，態(tài)勢感知體系的技術(shù)防護(hù)大概可分為流量鏡像、態(tài)勢分析、態(tài)勢預(yù)警三個(gè)部分。本實(shí)踐在工程數(shù)據(jù)中心建立臺(tái)式感知系統(tǒng)，通過對全場景的流量鏡像歸集，實(shí)現(xiàn)全工程網(wǎng)絡(luò)流量分析，實(shí)現(xiàn)安全態(tài)勢預(yù)警：

（1）全流量鏡像。為全面掌控全工程場景的流量情況，本文實(shí)踐中在工程數(shù)據(jù)中心的網(wǎng)絡(luò)主干實(shí)現(xiàn)全流量鏡像，感知系統(tǒng)將分別按類歸集所有數(shù)據(jù)流量，包括TCP 流量、UDP 流量、LDAP 行為、WEB 訪問、域名解析以及文件傳送等等，全網(wǎng)流量鏡像如圖2所示。

圖2 全網(wǎng)流量鏡像

（2）流量歸類告警。感知系統(tǒng)通過對全網(wǎng)流量分析，針對流量威脅類型和風(fēng)險(xiǎn)級(jí)別，通過整合歸類實(shí)現(xiàn)流量風(fēng)險(xiǎn)告警，目前已實(shí)現(xiàn)全網(wǎng)流量監(jiān)管，但還需人工分析日志數(shù)據(jù)定位風(fēng)險(xiǎn)，誤報(bào)率較高，在此基礎(chǔ)上進(jìn)一步完善安全感知體系，進(jìn)而與態(tài)勢感知大數(shù)據(jù)平臺(tái)融合分析形成安全威脅的精準(zhǔn)定位，流量歸類告警如圖3所示。

圖3 流量歸類告警

2.3.2 網(wǎng)絡(luò)安全技術(shù)防御能力建設(shè)

安全的風(fēng)險(xiǎn)來自外部也來自內(nèi)部，本實(shí)踐中，以工程數(shù)據(jù)中心為中心，在數(shù)據(jù)側(cè)重點(diǎn)從安全物理環(huán)境、安全通信網(wǎng)絡(luò)和安全計(jì)算環(huán)境加強(qiáng)內(nèi)部安全管控，在服務(wù)側(cè)則重點(diǎn)加強(qiáng)安全網(wǎng)絡(luò)邊界和安全通信網(wǎng)絡(luò)的防護(hù)，形成完善的外防內(nèi)控技術(shù)防御體系：

（1）安全物理環(huán)境保障。物理安全是整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全的前提，本實(shí)踐中數(shù)據(jù)中心采用共有專屬云的方式進(jìn)行部署，通過與云服務(wù)上簽訂合同專項(xiàng)保障條款進(jìn)行約束。具備防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等安全要求，并要要求提供異地?cái)?shù)據(jù)備份。

（2）安全通信網(wǎng)絡(luò)保障。本文實(shí)踐主要采用兩種接入方式，一種是租用運(yùn)營商的數(shù)字專網(wǎng)，在數(shù)字專網(wǎng)的基礎(chǔ)上通過IPSECVPN 加密技術(shù)實(shí)現(xiàn)數(shù)據(jù)加密傳輸。在移動(dòng)VPN網(wǎng)絡(luò)方面則采用SSLVPN 動(dòng)態(tài)撥號(hào)計(jì)入，在整個(gè)傳輸鏈路上都有相關(guān)的傳輸加密的整體設(shè)計(jì)，符合等保二級(jí)對于通信傳輸加密的安全要求。

（3）安全計(jì)算環(huán)境保障。在工程數(shù)據(jù)中心內(nèi)部署一套云安全管理平臺(tái)，建立云安全資源池，為數(shù)據(jù)中心內(nèi)的各類云服務(wù)業(yè)務(wù)提供完整的安全服務(wù)，幫助業(yè)務(wù)快速滿足等保合規(guī)的要求，云安全管理平臺(tái)整體搭建在獨(dú)立硬件環(huán)境上與已有的業(yè)務(wù)云平臺(tái)完全解耦。本文采用公有專屬云，實(shí)現(xiàn)資源獨(dú)享，云設(shè)備資源主要包括云邊界VBR、專有網(wǎng)絡(luò)VPC、云服務(wù)器ECS 和云安全等基礎(chǔ)設(shè)施設(shè)備。用戶可按需定制專屬虛擬專用網(wǎng)絡(luò)、帶寬資源、云服務(wù)器ECS 資源和云存儲(chǔ)資源。通過VBR 實(shí)現(xiàn)云上云下數(shù)據(jù)互聯(lián)互通。在云端選配云盾、云監(jiān)控、流量清洗等安全措施，抵御IP/MAC 偽造、ARP 欺騙、DDOS 和Web 漏洞等網(wǎng)絡(luò)攻擊，針對WEB 服務(wù)，采用IPS 和云WAF 加強(qiáng)防護(hù)，整體安全技術(shù)防護(hù)覆蓋從遠(yuǎn)程接入、邊界防護(hù)、入侵防護(hù)、病毒過濾、終端防護(hù)、堡壘機(jī)、日志審計(jì)等全面的安全能力。

（4）安全區(qū)域邊界保障。本文以工程數(shù)據(jù)中心為中心，建立網(wǎng)絡(luò)安全邊界，建立可信連接，對數(shù)字專網(wǎng)建立可信地址白名單，只有白名單的用戶才能接入訪問，在移動(dòng)用戶訪問則采用VPN 雙因子接入訪問，規(guī)避非法用戶訪問風(fēng)險(xiǎn)。

2.3.3 網(wǎng)絡(luò)安全審計(jì)能力建設(shè)

傳統(tǒng)的安全運(yùn)維是重點(diǎn)保障設(shè)備正常運(yùn)轉(zhuǎn)，而很多潛伏的安全威脅和事件卻并不影響系統(tǒng)正常運(yùn)行，存在安全防護(hù)的盲區(qū)，數(shù)字化管理平臺(tái)上線運(yùn)行后，建立安全管理中心，逐步實(shí)現(xiàn)對全網(wǎng)設(shè)備管理和全網(wǎng)用戶行為的審計(jì)能力，對所有違法行為和安全事件形成追溯懲戒威懾，是網(wǎng)絡(luò)安全技術(shù)防護(hù)體系最后一道防線。

3 結(jié) 論

數(shù)字化工程的安全關(guān)乎產(chǎn)業(yè)發(fā)展和民生保障，在數(shù)字化工程應(yīng)用中保障正常運(yùn)營和數(shù)據(jù)安全是實(shí)現(xiàn)數(shù)字化管理的基礎(chǔ)，本文僅從技術(shù)防護(hù)角度出發(fā)，基于等保2.0 框架的初步探索，完整的防控體系離不開制度支撐，以管理制度為指導(dǎo)，探討數(shù)字化工程管理提質(zhì)增效的同時(shí)，形成數(shù)字化工程領(lǐng)域的安全解決方案，也是同等重要的課題。