上海水务行业关键信息基础设施网络安全管理工作思考

2019-08-09 14:49宗志锋宋亮王骁栋
中国管理信息化 2019年11期
关键词:水务网络安全

宗志锋 宋亮 王骁栋

[摘    要] 随着《国家网络安全法》颁布,关键信息基础设施网络安全保障被提升至法律责任。上海城市用水安全事关社会经济运行和数千万人工作生活,水务关键信息基础设施网络安全问题尤为重要。文章介绍了网络安全工作的背景、梳理了当前水务业务和网络安全现状、分析了网络安全相关需求,并就如何开展水务关键信息基础设施网络安全工作提出了思路与建议。

[关键词] 水务;关键信息基础设施;网络安全

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2019. 11. 062

[中图分类号] F407    [文献标识码]  A      [文章编号]  1673 - 0194(2019)11- 0145- 03

1      背    景

十八大以后,党中央对关键信息基础设施网络安全工作高度重视。早在2016年4月19日,习近平总书记就在中央网信办工作会议讲话中指出“我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护”。2016年7月,中央网信办颁布《关键信息基础设施确定指南》(试行),其中明确提到水利枢纽运行及管控、长距离输水管控、城市水源地管控,市政的水供应管理、污水处理等为关键业务,只要达到一定规模所运行的系统即为关键信息基础设施。2017年6月1日,《中华人民共和国网络安全法》颁布,其中独辟一个章节专门描述关键信息基础设施的运营者法律责任。自此国家层面的法律规章制度已经将关键信息基础设施的网络安全提升到了前所未有的高度。

上海作为全球超大城市,其用水安全事关社会经济运行和数千万人工作生活,重要性不言而喻。随着工业互联网、大数据、云计算等技术的发展与应用,上海水务正在向着智能化和智慧方向发展,这种发展需要水务领域工业控制系统与业务管理系统进行信息交换,从而改变了传统的隔离与专用的工业网络。同时随着各种攻击、渗透技术的不断发展,如针对物联网设置的Botne病毒、WannaCry勒索病毒等,给水务行业关键信息基础设施安全带来了严重威胁。因此无论从政策要求、技术发展还是安全态势,上海水务关键信息基础设施的网络安全工作都势在必行,刻不容缓。

2      现状分析

2.1   水务业务现状

城市水务主要包括原水、制水、给排水和污水处理四大环节。上海水务行业的原水包括青草沙、东风西沙、陈行和金泽四大原水。原水厂负责将原水地水库的水输送到自来水厂。上海市的原水厂多为增压水泵,业务连续性要求较高,一旦中断,将直接影响全市自来水厂供水。上海规模以上自来水厂几十家,属于关键信息基础设施范畴,自动化程度较高。给排水包括全市供水管网和河道闸门泵房的给排水管网控制系统组成。上海市的污水处理包括面向生活污水处理的各区污水处理厂和面向特定工业的专业污水处理厂,污水处理控制系统一旦发生事故,将对环境生态造成严重影响。

从总体看,上海的水务行业企业,因其处于上海这个超大城市,整体规模较大,基本都达到关键信息基础设施确定原则中的影响10万人生活起居的生产业务系统要求。这些企业的控制系统自动化程度高,业务连续性要求较强,一旦发生问题,对上海市的水安全影响较大。

2.2   网络安全现状

经过多年网络安全建设,水务行业网络安全保障能力得到明显提升,同时仍存在一些问题。

(1)网络安全管理体系不完善

涉水企业常年重视生产安全,对工业控制系统安全意识不强,认识薄弱,特别在工业控制系统领域,未形成责任落实体系和有效的工作体系。

(2)国外产品普遍存在0day漏洞

水务行业早期控制系统主要采用西门子等国外控制系统和控制软件,操作系统版本和控制系统常年不更新补丁,导致0day漏洞普遍存在,较易造成攻击。

(3)安全技术防护薄弱

部分工控系统未按照等级保护要求开展网络安全防护工作,控制系统网络边界缺乏防护,网络内部缺乏审计,主机系统无防护,黑客一旦进入控制网络,基本畅行无阻。

(4)网络安全人才缺失

长期以来,水务关键信息基础设施运营单位没有足够重视网络安全工作,在网络安全工作落实上也没有配备专业网络安全人员,多数由其他工作岗位人员兼任,影响网络安全工作实效。

总体來讲,水务关键信息基础设施网络安全管理工作成效逐年提升,但是离既定的目标和要求还有很大的差距,仍需要加倍努力。

3      网络安全需求分析

3.1   合规要求

根据国家法律法规和行业标准,水务关键信息基础设施网络安全管理应符合下列要求。

(1)网络安全法要求

网络安全法用了一整个章节的篇幅,描述了关键信息基础设施运营者的法律义务。要求关键信息基础设施每年开展风险评估工作;按照等级保护要求,进行重点防护;并在网信办指导下,开展应急响应相关工作。

(2)等级保护要求

关键信息基础设施至少应达到等级保护三级以上要求。上海的水务行业企业因其规模多数属于关键信息基础设施,应该按照等级保护要求实施防护措施。技术上建立物理和环境、网络和通信、设备和计算、应用和数据方面的安全技术体系,管理上应建立安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等管理体系。应主动完成等保备案工作,按照等级保护要求,每年开展测评工作,建立长效的等保工作机制。

(3)工业控制系统信息安全应用要求

在具体工作开展过程中,应参考工信部颁布的《工业控制系统信息安全应用指南》、《工业控制系统信息安全防护能力测评标准》等工控实践性较强的标准。认真分析自身的信息安全特点,面向自身实际情况,建立合理调整和裁剪的安全基线,并围绕基线,开展有工控特色的白名单基线管控体系建设。

(4)网络安全审查要求

积极学习关键信息基础设施的安全管理体系,慎选工控信息安全产品和服务提供商,增强网络安全管控体系的自主可控程度。

从合规方面看,水务关键信息基础设施网络安全管理应遵循在网络安全法指导下公安部的等级保护标准体系、工信部主导的重要工业控制系统信息安全保障能力和应用要求、网信办主导的关键信息基础设施审查体系等三大体系的合规要求。

3.2   网络安全保障需求

从网络安全保障能力来看,水务关键信息基础设施运营单位应积极开展有针对性的、具体的风险评估工作。从原理上,遵从《信息安全技术 信息安全风险评估规范》(GB/T 20984-2015),对具体的应用系统,分析威胁、资产、脆弱性和已采取的安全措施,最后形成剩余风险清单,并制定风险处理策略。从实践上,要针对具体的安全事件,如勒索病毒、黑客入侵、内部人员误操作等,在系统中进行推演,从而真正发现威胁利用脆弱性对资产的攻击路径和已采取的安全措施对攻击路径的阻断效果。通过这个方法也可以发现主要问题设备和所有路径中的关键节点,并以关键节点为要点,补强网络安全防护措施。

从网络安全能力建设来看,可参照《信息安全技术 信息系统安全保障评估框架》(GB/T 20274)系列标准,建立控制系统的保护轮廓,即面向控制系统的工作目标、安全假设、工作环境,用形式化语言表述系统的信息安全定义,并根据保护轮廓选择系统应有的安全功能组件和安全保障组件。针对系统,建设网络安全技术保障、管理保障和工程保障体系。

4      网络安全工作思路

为保障上海这个国际性超大城市的用水安全,上海水务行业需进一步加快工控系统网络安全工作,主要采取以下措施。

(1)管理体系建设

关键信息基础设施运营单位应首先树立正确的工控网络安全观,将网络安全提升到企业战略高度,把网络安全与生产安全相融合,建立健全可落实责任的管理体系。按照《网络安全法》、《工业控制系统信息安全防护指南》、《信息安全技术 工业控制系统安全管理基本要求》(GB/T 36323-2018)等法规标准,结合本单位实际情况,制定符合各方要求且操作性强的管理制度,建立工控网络安全制度体系,规范工业控制系统网络安全管理。

作为行业主管部门,可以通过试点工程推进管理制度建设。在梳理国内外法规标准的基础上,选取具有代表性的关键信息基础设施运营单位进行试点,形成行业规范案例,为其他同类型运行单位提供可借鉴的经验。

(2)技术防护体系建设

关键信息基础设施运营单位应根据工控系统实际情况划分物理区域、网络网段和应用权限三个维度的安全区域,按照“安全基线”防护理念开展技术防护体系建设,主要内容包括网络基线(如点对点通信模型、点对点通信协议模型、通信协议的指令模型、指令的参数序列等)、主机基线(如主机可运行进程清单、可安装硬件、可开放端口、可运行服务等)、应用基线(如应用自身完整性、功能访问最小授权等)、数据基线(如数据访问最小授权、数据变更规则等)。针对上述基线,采用工业防火墙、工控网络监控审计系统、工控主机卫士等安全产品,建立基线管控体系,形成工控安全管理中心,一旦发现基线以外的行为,立即采取应急措施,并恢复基线策略。

(3)监督检查

近几年,关键信息基础设施网络安全检查已经逐步形成了常态化和定期化,检查工作也从初期的系统信息内容梳理提升为风险操作檢查,但检查内容正在逐步提高。关键信息基础设施运营单位要在日常管理的基础上定期开展自查,自查内容包括网络安全日常制度执行情况和技术漏洞与风险隐患,并及时落实完善整改工作。作为行业监管部门,应当组建检查队伍,制定常态化的监督检查机制。通过监督检查,一方面将最新的法律法规、政策要求和标准文件进行宣贯和落实,另一方面也反复提醒关键信息基础设施运营单位的网络安全意识,形成网络安全警钟长鸣,安全工作常抓常新的工作态势。

(4)风险评估和应急响应

风险评估是网络安全工作的重要环节,通过对关键信息基础设施的资产、威胁、脆弱性和已采取的安全措施的评估分析,形成关键信息基础设施风险清单,运营单位应根据清单制定网络安全完善措施。对于短时间内无法解决的风险,应该建立关键信息基础设施的网络安全应急预案。在预案中要充分考虑应急处置措施、证据保留和分级通报机制。应急预案形成后,应开展定期的演练,并不断完善。风险评估和应急预案是相辅相成的。这两项工作都需要运营单位长期定期开展。通过定期风险评估,不断结合当前政策要求和技术发展,调整对威胁和脆弱性的认识,不断更新风险清单,并根据风险清单,编制应急预案,通过演练使应急响应团队招之能战,战之能胜。

5      结    语

随着网络安全相关法律法规、标准规范等不断颁布和完善,水务关键信息基础设施网络安全防护的要求越来越高,新技术应用也将带来更多未知风险,因此网络安全保障将是一项长期的、持续的、动态的工作,需要运营单位和监管部门建立长效机制,共同促进水务关键信息基础设施安全、稳定运行,更好支撑水务业务健康发展。

主要参考文献

[1]工业和信息化部.工业控制系统信息安全防护指南[S].2016.

[2]国家标准化管理委员会.GB/T 22239-2008  信息安全技术 信息系统安全等级保护基本要求[S].2008.

[3]王惠莅.切实加强关键信息基础设施网络安全保护 [J].信息技术与标准化,2018(6).

[4]国际标准化组织.ISO/IEC 17799:2005  信息安全管理实施指南[S].2005.

猜你喜欢
水务网络安全
山东创元水务有限公司
网络安全知多少?
智慧水务在大港油田水务供水管网漏损控制方面的运用分析
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
水务智慧巡检的探索与实践
基于NB-IoT的智慧水务建设探讨
水务工程项目设计采购施工总承包管理模式探讨
富阳:启动智能水务