郵發代號 2-786
征訂熱線:010-82341063
文│國家管網集團北方管道有限責任公司 陳熙 李平陽 袁啟 錢風 張悅健網絡安全是一項系統工程,正如木桶效應一樣,要想保障整體安全,必須在各個環節保障安全受控,因此就要求從管理上不斷提升,從技術上不斷優化,形成完善的網絡安全運行管理體系。油氣儲運企業作為國家能源的大動脈,更應該努力實現網絡安全的常態化運行、體系化建設和實戰化演練,同時瞄準目標逐步把動態防禦、主動防禦、縱深防禦、精準防護、整體防控和聯防聯控的安全機制部署在網絡安全管理實踐基礎上,不斷優化完善「三化六防」的網絡安全運行體系,保障油氣儲運工控以及辦公網絡安全、平穩運行。科洛尼爾輸油管道公司是美國最大的成品油管道公司,2021 年黑客組織針對科洛尼爾管道公司的定向勒索軟件攻擊,導致管道運行受到影響,不得不關閉管道控制系統,致使科洛尼爾幹線管道停輸 6 天,造成美國燃油供應持續緊張。近年來,勒索病毒逐漸從「廣撒網」轉向定點攻擊,表現出更強的針對性,攻擊目標主要是大型高價值機構。同時,網絡攻擊的技術手段也在不斷升級,利用漏洞入侵過程以及內網橫向移動過程呈現出的自動化、集成化、模塊化、組織化等特點愈發明顯。隨着我國《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》等法規條例的頒布和施行,網絡安全頂層設計逐漸成型。作為國家重要的關鍵基礎設施和公用設施,我國油氣儲運管道行業承載着石油、成品油、天然氣的運輸任務,具有易燃易爆炸的特點,其一旦遭受網絡攻擊,將直接影響社會正常運轉及國家安全。(一)信息資產梳理困難
《2018 國家暴露指數報告》顯示,全球端口暴露最嚴重的十個國家中,美國暴露的情況最嚴重,其次為中國。油氣儲運行業信息資產一般十分龐大,目前信息資產收集主要依賴於人工手動統計,誤差較大,無法做到實時更新資產信息。並且部分信息系統負責人對系統不熟悉,填報時也有錯填、漏填等情況,這將導致不能對賬外資產進行專項防護,可能會造成被黑客惡意攻擊利用的情況。在油氣儲運行業中,老舊信息資產仍然占據着一大部分。老舊資產防護較為困難,部分信息系統運行年限較長,僅適配低版本操作系統,無法為操作系統升級或打補丁予以加固。此外,老舊信息資產代碼框架也使用的是舊版本,防護較難,是網絡安全防護的一個薄弱點。隨着信息化技術的飛速發展,油氣管道建設與儲運的關鍵技術及管理模式正在由自動化向數字化、智能化發展新階段加速挺進。數字化轉型將會給企業帶來新型網絡安全風險,隨着油氣儲運行業數字化轉型戰略的實施,越來越多的物聯網設備出現在油氣儲運企業的網絡內,帶來認證與訪問控制和數據安全方面的安全風險。在油氣儲運行業中,部分單位網絡安全意識宣貫不到位,存在部分企業員工在處理問題時網絡安全能力略有欠缺的情況,如不會下載系統補丁等情況;同時部分員工存在對網絡安全不重視的情況,不能意識到網絡安全工作對於安全生產的重要性,網絡安全培訓與安全意識的提高,任重道遠。(一)加快建立國家級網絡安全工作推進與協調機制
未來,國家級的關鍵基礎設施的網絡攻防對抗將更加激烈,網絡環境將更加複雜,建議將油氣管網網絡安全納入國家戰略部署,整體推進。油氣儲運企業應建立常態化運行機制,分析研判安全形勢,制定政策法規,安排部署重大任務。面向油氣管網建立國家級安全防護力量,制定標準規範,開展科研攻關,推動國產化應用。油氣儲運企業普遍存在頂層設計不完善的情況,應總結現有網絡體系架構的優勢和不足,結合未來發展趨勢,構建新一代自主可控的安全架構,集中力量解決突出矛盾,全方位、系統化推進網絡安全建設工作。建立多行業、多機構、多部門間的聯防聯控工作機制,確保油氣管道工控系統和信息系統在遭受網絡攻擊時能夠多措並舉,協同聯動,最大限度保障能源供應,保障能源動脈的安全運行。油氣儲運企業應帶頭貫徹落實國家網絡安全工作部署,不折不扣落實「三化六防四新」要求,強化網絡安全意識,加快推進常態化網絡安全在保障油氣儲運行業運營能力方面的建設。油氣儲運企業應落實合規管理,進一步明確管理職責與界面,強化風險控制,構建常態化的網絡安全運營機制,形成動態的、系統的、全員參與的、制度化的、以主動防禦為主的網絡安全管理方式。網絡邊界尤其重要,要想網絡平穩運行,首先要做好網絡出口邊界安全防護、工控網與辦公網邊界安全防護。對網絡出口實施集中統一管理,實現關鍵節點網絡全流量採集和行為分析,結合信息資產畫像搭建網絡安全威脅模型。應用極早期可疑流量分析、結構化特徵匹配、全局化資產可視等技術手段,以全局視角對整網安全態勢進行整體評價,感知網絡資產脆弱性和外部威脅。油氣儲運行業應加快開展管道工控系統軟件研發工作,積極推進在役油氣管道工控系統國產化替代,進一步強化國產化可編程邏輯控制器、遠程終端單元、控制軟件在新建工程項目的應用力度。依託科研及工程項目,推動國內相關廠商技術水平和安全防護能力穩步提升,努力實現工控系統全面自主可控。油氣儲運行業應研究組建內部運行維護隊伍,實現關鍵核心業務自主受控。儘快組建或者依託實力雄厚的網絡安全廠商組建一支技術過硬的藍軍隊伍,集中開展網絡安全技術技能培訓,以點帶面滲透宣貫,確保全員覆蓋。在網絡安全工作中實施主動防禦,不斷提升溯源反制和應急處置能力,建設與業務規模相適應,與數字油氣管網、智慧油氣管網相匹配的網絡空間防護力量,銳意進取、勇於擔當,全面助力油氣儲運行業成為世界一流能源基礎設施運營商。對於油氣儲運行業,數據採集與監視控制系統、關鍵設備一鍵啟停系統、智能視頻監控等關鍵系統至關重要,任何一處發生中斷都有可能發生安全生產事故,產生嚴重社會影響。因此,必須採取措施對重要的工控系統和信息系統實施遠程異地備份,積極探索異地雙活的系統架構,定期組織備份恢復演練工作,提高應對突發事件能力,保障工控系統與信息系統在極端條件下的及時高效恢復。梳理可編程邏輯控制器、遠程終端單元等設備及配套軟件安全防控技術要求,進一步修訂完善自控及通信相關設計與技術標準,嚴格控制接入工控系統的設備聯網功能,持續強化工控網絡安全設計與技術要求。採取各種手段進行整網漏洞掃描與脆弱性分析,全面、及時審視網絡安全問題,準確、客觀評估安全風險等級,精確、有效處理網絡安全隱患,儘可能將網絡風險遏制在萌芽中,避免安全生產事故的發生。(一)構建特色情報中心
目前網絡空間威脅正在向泛化和複雜化發展,各類網絡攻擊也更加具有持續性和隱蔽性。威脅情報這一技術可以大大加強網絡安全主動防禦能力,完善縱深防禦體系。在將來,可以考慮致力於打造具有油氣儲運行業特色的威脅情報中心,結合油氣儲運行業的企業網絡安全體系,收集日常業務運行數據,集成到大數據平台,形成威脅情報全生命周期閉環,有效應對攻擊各種環節,為企業網絡安全運維提供數據支撐,用數據賦能業務。人工智能在網絡防護、信息審查、智能安防以及輿情監測等方面擁有廣闊的應用前景。人工智能算法可以發現超出正常模式的不正常網絡行為,並以此識別可疑用戶和個人,這將為油氣儲運行業網絡安全賦能,為遠程辦公、協同辦公等應用提供有效防護。在此過程中,人工智能技術需要結合威脅情報數據,綜合安全日誌對攻擊事件信息進行大數據挖掘分析,洞悉網絡安全態勢,應對新型複雜的威脅及未知多變的風險。僅僅依靠安全軟件和硬件並不足以抵禦目前最先進的攻擊,網絡安全人才隊伍的培養才是真正保證企業網絡安全的根本途徑。攻防訓練平台將整合油氣儲運行業各企業、各機構員工對網絡安全的需求,推出集學、練、賽為一體的攻防實訓平台,提供完備的網絡安全知識技能培養體系,定製實戰場景,貼合油氣儲運行業現狀,有針對性地對油氣儲運行業安全人員進行培訓,滿足油氣儲運行業安全人員仿真演練的需要在實戰中提升網絡安全人才素質和技術能力。(本文刊登於《中國信息安全》雜誌2022年第7期)
鑽石舞台 發表在 痞客邦 留言(0) 人氣()
留言列表
留言列表