新形勢下熱力行業網路安全建設思路論文
摘要:本文分析了未來網路安全的趨勢, 並列舉了熱力行業作為公益性基礎服務事業的網路安全威脅防範和網路安全建設的需求, 提出了熱力行業網路安全規劃新思路、網路安全規劃總體性要求、規劃原則、安全規劃框架、網路安全規劃實施步驟及每階段目標任務, 從而為熱力行業在新形勢下的網路安全建設提供一種思路。
關鍵詞:熱力行業,網路安全,等級保護,基礎設施,基礎防護,智慧管控
一、網路安全形勢
隨著計算機和通訊技術的發展, 網路資訊的安全和保密已成為一個至關重要且急需解決的問題。計算機網路所具有的開放性、互連性和共享性等特徵使網上資訊保安存在著先天不足, 再加上系統軟體中的安全漏洞以及所欠缺的嚴格管理, 致使網路易受攻擊。因此網路安全所採取的措施應能全方位地針對各種不同的威脅, 保障網路資訊的保密性、完整性和可用性。
綜合考量2017年經歷的網路安全事件, 2018年及以後整個網路安全行業的趨勢或將出現如下情況:
(一) 勒索軟體攻擊
勒索攻擊成為網路攻擊的一種新常態, 網路攻擊者將調整目標, 從傳統的目標轉向利潤更高的勒索目標, 其中包括高淨值個人、連線裝置和企業。
(二) 會有更多的殭屍網路物聯網 (Io T) 攻擊
由於製造商安全能力不足和行業監管缺失, 2018年物聯網裝置的安全威脅將愈演愈烈, 對使用者的個人隱私、資金財產乃至人身安全會出現很大問題造成巨大損失。
(三) 針對關鍵基礎設施的網路攻擊升級, 攻防兩端的對抗將加劇
攻擊目標從電力、交通等“命脈”設施, 延伸到公共服務系統、重要工業企業的生產設施、網際網路關鍵基礎設施。
我國相關主管機構也已經組織了多次針對電力、民航等關鍵基礎設施的攻防演習, 從已經實施的《網路安全法》到正在徵求意見的《關鍵資訊基礎設施保護條例》, 都將關鍵基礎設施保護上升到了國家戰略層面, 集中力量、加大投入、創新技術、提升能力將成為保障關鍵基礎設施安全的趨勢和方向。
(四) 個人資料隱私保護將透過法律等技術手段向前推進
隱私保護從爭議話題開始邁向透過法律和技術方案的務實推進。以此應對雲計算、大資料、移動網際網路及跨境資料處理等應用場景所帶來的新挑戰。
目前我國沒有統一的個人資訊保護法, 但是透過“徐玉玉案”等一系列案件給社會帶來的不良影響, 使人們充分意識到了個人資訊洩露和濫用所帶來的嚴重社會危害, 同時也催生個人資訊保護立法落地。
二、熱力行業開展網路安全建設的必要性
城市供熱系統是城市熱力供應的重要組成部分, 是城鎮建設的重要基礎設施之一。供熱行業屬於公益性事業, 與電力、燃氣、水務、交通等行業一樣屬於國家重要城市工業基礎設施, 供熱系統的安全穩定執行也是國民經濟、社會執行的重要基礎。
(一) 熱力行業面臨的主要威脅
對於熱力行業資訊系統的威脅攻擊而言, 無論攻擊者處於何種動機, 攻擊方式和手段如何變化, 都會指向特定的目標, 攻擊成功後將導致熱力企業的業務和聲譽受損, 依據《網路安全法》, 攻擊者甚至面臨法律懲罰。
面對可能的攻擊, 熱力企業需要謹慎思考攻擊路徑、分析威脅和漏洞, 進而勾畫出全面的'風險檢視並制定安全控制措施。可能存在的威脅有:
(1) 破壞供熱系統, 中斷正常供熱;
(2) 內部人員失誤導致業務中斷;
(3) 竊取供熱使用者身份、供熱資訊;
(4) 竊取財務或辦公資訊;
(5) 內部人員非法交易使用者身份、供熱資訊;
(6) 外包人員在程式中安插後門;
(7) 跨國的政治或商業目的資訊竊取
(8) 惡意軟體;
(9) 網路被攻擊、通訊中斷;
(10) 自然災害。
(二) 熱力行業資料安全的需要
熱力行業相關單位的資料格外引人注目, 除了企業內的財務、行政、人力等管理資料外, 更多的敏感資料為供熱使用者資訊等。任何由內外原因疏漏導致的資料洩漏都將使企業遭受重創, 後果會很嚴重。
供熱行業的管理趨於數字化, 《網路安全法》及更多法律法規的出臺, 可能會加劇企業保護資料安全的負擔。但資料是核心的資訊資產, 企業必須適應環境的變化, 不能消極、退讓、躲避, 只有不斷尋求更佳的安全防護體系和措施才是真正的辦法。
(三) 熱力行業業務安全的需要
安全不僅僅只是保護基礎設施, 更要保障業務系統的安全。也就是說, 將安全控制融入到業務流程之中, 對業務操作中的安全控制點進行同步監測, 進而提前做到安全態勢感知, 防患於未然, 並節省寶貴的事件響應時間。
(四) 法律的要求
《中華人民共和國網路安全法》第三十一條:國家對公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域, 以及其他一旦遭到破壞、喪失功能或者資料洩露, 可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施, 在網路安全等級保護制度的基礎上, 實行重點保護。第二十一條:國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求, 履行下列安全保護義務, 保障網路免受干擾、破壞或者未經授權的訪問, 防止網路資料洩露或者被竊取、篡改。第三十四條:除本法第二十一條的規定外, 關鍵資訊基礎設施的運營者還應當履行下列安全保護義務: (一) 設定專門安全管理機構和安全管理負責人, 並對該負責人和關鍵崗位的人員進行安全背景審查; (二) 定期對從業人員進行網路安全教育、技術培訓和技能考核; (三) 對重要系統和資料庫進行容災備份; (四) 制定網路安全事件應急預案, 並定期進行演練; (五) 法律、行政法規規定的其他義務。
三、熱力行業網路安全建設規劃
(一) 網路安全規劃新思路
1、全面貫徹落實網路安全等級保護制度
《網路安全法》第二十一條規定, 國家實行網路安全等級保護制度。從中我們也可以看出國家對於等級保護制度全面貫徹的決心, 熱力行各業對這一制度應該嚴格執行。
2、對關鍵資訊基礎設施實施重點保護
《網路安全法》引入了新的監管維度———對關鍵資訊基礎設施實施重點保護。熱力行業首先要識別當前納入到關鍵資訊基礎設施範圍的應用系統, 如供熱生產監控系統、掌上熱力APP、城區供熱服務平臺等等, 對關鍵資訊基礎設施重要系統和資料庫進行容災備份。
3、個人資訊保護提升到一定高度
熱力行業作為國家重要城市工業基礎設施的公共服務行業, 會在日常業務辦理過程中收集到大量個人資訊, 隨著網上辦公便利的同時, 個人資訊洩露也成為熱力行業面臨的新挑戰。
4、建立健全以行業網路安全態勢感知為技術基礎的監測預警和應急處置體系
《網路安全法》第五章專門規定網路安全監測預警和應急處理制度建設, 並要求網路運營者應當制定網路安全事件應急預案。
5、網路安全人才培養
《網路安全法》的出臺彌補了網路安全人才領域的法律空白, 熱力行業要重視網路安全人才培養工作, 來保障本行業、本企業的業務系統安全。
(二) 網路安全規劃原則
熱力行業網路安全保障規劃建設應遵循以下原則:
(1) 同步建設原則:熱力行業資訊保安保障體系建設應與熱力行業資訊化建設同步規劃, 同步建設, 協調發展, 要將資訊保安保障體系建設融入到熱力行業資訊化建設的規劃、建設、執行和維護的全過程中。
(2) 綜合防範原則:熱力行業資訊保安保障體系建設要根據熱力行業資訊系統的安全級別, 採用適當的管理和技術措施, 降低安全風險, 綜合提高保障能力。
(3) 動態調整原則:熱力行業資訊保安保障體系建設要根據資訊資產的變化、技術的進步、管理的發展, 結合熱力行業資訊保安風險評估, 動態調整、持續改進資訊保安保障體系, 貫徹“以安全保發展, 在發展中求安全”的精神, 保障和促進熱力行業業務的發展。
(4) 符合性原則:熱力行業資訊保安保障體系建設要符合國家的有關法律法規和政策, 以及熱力行業有關制度和規定, 同時應符合有關國家技術標準, 以及熱力行業的技術標準和規範。
(5) 分步實施:熱力行業資訊保安保障體系不可能一蹴而就, 必須總體統籌協調, 根據制定的目標、任務以及熱力行業資訊保安保障體系建設和產業發展對資訊保安的需求, 分階段、分步驟實施。只有階段適當、步驟清晰才能有序地推動規劃實施。
(6) 突出重點:熱力行業規劃、體系需求廣泛, 任務繁重。其資訊保安保障體系的落實和實施, 必須圍繞制定的基本任務, 重點抓好急需的重要專案實施, 把預期目標落到實處。
(7) 需求主導、支撐發展:以滿足熱力行業業務數字化發展為目標, 以業務需求為主導, 堅持專業服從於全域性、部門服從於企業, 適應熱力行業管理需求變化, 及時滿足熱力行業資訊化發展的需要。
(三) 熱力行業網路安全規劃框架
熱力行業網路安全規劃框架根據《網路安全法》、國家等級保護安全建設要求, 在安全策略的指導下, 從技術體系、管理體系、運維體系三大體系入手, 進行規劃的設計。
熱力行業網路安全保障框架如下圖1所示。
熱力行業網路安全規劃將以安全策略為核心, 由管理體系、技術體系和運維體系共同支撐。
在安全策略方面, 依據國家資訊保安戰略的方針政策、法律法規、制度, 按照行業標準規範要求, 結合熱力行業企業自身的安全環境, 制訂完善的資訊保安策略體系檔案。
在管理體系方面, 按照《資訊保安技術網路安全等級保護基本要求-試行稿》 (以下簡稱試行要求) 的要求, 組建資訊保安組織機構, 加強對人員安全的管理, 提高全行業的資訊保安意識和人員的安全防護能力, 形成一支過硬的資訊保安人才隊伍。
在技術體系方面, 按照試行要求的要求, 透過全面提升資訊保安防護、檢測、響應和恢復能力, 保證資訊系統保密性、完整性和可用性等安全目標的實現。
在運維體系方面, 制訂和完善各種流程規範, 制訂階段性工作計劃, 規範產品與服務採購流程, 同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作, 以保證安全管理措施和安全技術措施的有效執行。
(四) 安全規劃實施步驟
熱力行業網路安全保障體系建設以5年 (2018年-2022年) 為建設週期, 透過“三大階段”, 實現熱力行業整體資訊保安水平的提高, 圍繞熱力行業關鍵資訊基礎設施的安全需求, 形成較為成熟的資訊保安總體方針和分項策略, 建立較為完善的安全技術體系、安全管理體系、安全運維體系, 同時達到資訊保安合規性要求。
“三大階段”主要分為:
第一階段:完成基礎防護建設
從網路安全域規劃、邊界防護、系統操作配置、資料防洩漏等方面實現熱力行業網路的基礎安全防護;解決目前資訊保安管理體系滯後於技術體系的問題, 完成管理體系與技術體系的融合, 滿足試行要求的基本技術要求和管理要求。
第二階段:實現威脅態勢感知
在實現第一階段的基礎上, 透過信譽庫、風險庫、資產庫的整合, 並配合大資料分析、事件關聯、趨勢分析等技術, 實現對熱力行業未知威脅的態勢感知, 提高行業內針對未知威脅的事前主動防禦效果。
第三階段:構建智慧管控平臺
構建以下一代安全管理平臺以及SIEM資訊與事件為主流的集中智慧化管控平臺, 實現對熱力企業中全網資訊系統的集中管控;最終實現安全防護裝置、預警設施、測評以及基線管理協作, 充分實現熱力行業網路安全事件的事前預警、事中處置以及事後追溯。
四、結束語
總的來說, 《網路安全法》、等保2.0時代一方面明確規定了網路空間活動的法律禁區, 另一方面對熱力行業提出了更高網路安全要求。熱力行業理應順應新時代網路安全發展趨勢, 及時規範本行業的網路空間行為準則, 維護本行業網路空間秩序, 引領社會誠信。《網路安全法》的頒佈為熱力行業網路安全的健康發展指明瞭方向, 為依法治理、管理本行業網路提供了法律依據, 為熱力行業開展完善的網路安全建設體系以適應關鍵資訊基礎設施的安全防護提供強有力的法制保障。
【新形勢下熱力行業網路安全建設思路論文】相關文章: