文｜孟慶軍

如何提升石油化工企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀

文｜孟慶軍

隨著企業(yè)的發(fā)展，信息技術(shù)對(duì)企業(yè)越來(lái)越重要，企業(yè)信息化建設(shè)不斷推進(jìn)，企業(yè)信息安全問(wèn)題也越來(lái)越復(fù)雜，2000年前后企業(yè)開(kāi)始逐步重視信息安全。只有信息安全有了保障，企業(yè)才能得到穩(wěn)定發(fā)展的根基。2016年習(xí)近平總書(shū)記提出“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”，“全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改”的重要指示精神，根據(jù)中央網(wǎng)信辦統(tǒng)一部署，各行各業(yè)的信息安全檢查陸續(xù)開(kāi)展。作為能源生產(chǎn)單位，石油石化企業(yè)為了應(yīng)對(duì)世界范圍內(nèi)的計(jì)算機(jī)犯罪、病毒、黑客攻擊事件的頻繁發(fā)生, 企業(yè)大都建立了有效的網(wǎng)絡(luò)信息安全防線(xiàn)。筆者分析了石油化工企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀,并對(duì)如何提升石油化工企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀做了闡述。

一、網(wǎng)絡(luò)安全管理現(xiàn)狀及分析

（一）網(wǎng)絡(luò)安全管理現(xiàn)狀

1. 雖然許多企業(yè)網(wǎng)絡(luò)設(shè)置了VLAN 的隔離,但不同的VLAN 之間沒(méi)有設(shè)置必要的訪(fǎng)問(wèn)控制,任何一個(gè)用戶(hù)在網(wǎng)內(nèi)嗅探都可以輕松地得到全部網(wǎng)段計(jì)算機(jī)的 IP 地址和MAC 地址的對(duì)應(yīng)信息。

2. 網(wǎng)絡(luò)沒(méi)有按照安全域的保護(hù)等級(jí)劃分和進(jìn)行訪(fǎng)問(wèn)控制限制, 對(duì)于關(guān)鍵網(wǎng)絡(luò)設(shè)備沒(méi)有限制特定的網(wǎng)段和計(jì)算機(jī)才能控制, 而僅僅依靠登陸的用戶(hù)名和密碼進(jìn)行保護(hù)。

3. 針對(duì)路由配置、沒(méi)有屏蔽不需要的服務(wù)及進(jìn)行安全配置, 如ARP- PROXY, OSPF 認(rèn)證, SNMP控制等, 沒(méi)有抵御協(xié)議欺騙和 DDOS 攻擊等的處理。

4. SNMP 協(xié)議設(shè)置不當(dāng), 導(dǎo)致黑客可以下載和上傳 IOS配置文件, 并通過(guò)查看配置文件, 用專(zhuān)業(yè)軟件, 瞬間就可以破解 TYPE- 7 的加密, 得到超級(jí)管理的明文密碼, 從而完全控制網(wǎng)絡(luò)設(shè)備; 即使拿到加密后的密碼串無(wú)法破解, 黑客也可以把下載來(lái)的 IOS 文件內(nèi)的密碼清空, 再上傳后, 依然可以不用密碼登陸設(shè)備。

5. 網(wǎng)絡(luò)上的 HTTP 代理認(rèn)證信息是明文傳輸?shù)? 導(dǎo)致它的驗(yàn)證請(qǐng)求能輕松的被嗅探用戶(hù)截取, 包括什么時(shí)間, 什么 IP地址, 通過(guò)哪個(gè) WEB 代理服務(wù)器, 用的哪個(gè)代理用戶(hù)名和密碼, 訪(fǎng)問(wèn)了哪些具體的網(wǎng)站, 而且可以回溯對(duì)方瀏覽過(guò)的具體網(wǎng)站信息。

6. 審計(jì)和日志分析等策略沒(méi)有啟用, 導(dǎo)致無(wú)法審查什么時(shí)間什么人登錄過(guò)服務(wù)器, 做了什么操作; 服務(wù)器的補(bǔ)丁打得不夠及時(shí), 存在被溢出攻擊可能性; 為了管理方便, 服務(wù)器開(kāi)啟終端服務(wù),但是默認(rèn)安裝, 沒(méi)有進(jìn)行任何的加固措施, 一旦被人利用, 對(duì)服務(wù)器是極大的危險(xiǎn)。

7. 為了記憶方便, 用戶(hù)密碼過(guò)于簡(jiǎn)單, 很容易就可以猜測(cè)出來(lái)或者暴力破解。雖然是普通用戶(hù), 但可以通過(guò)本地權(quán)限提升得到超級(jí)用戶(hù)的權(quán)限。

8. 對(duì)于注冊(cè)表和關(guān)鍵的系統(tǒng)文件, 沒(méi)有進(jìn)行特別的保護(hù)和基準(zhǔn)線(xiàn)的建立。一旦發(fā)現(xiàn)異常, 也無(wú)法快速的找出增加和減少的項(xiàng)目。

9. 對(duì)安全記錄未做訪(fǎng)問(wèn)授權(quán)控制, 一旦被攻擊, 日志和必要的回溯信息會(huì)被刪除或者修改。

10. 對(duì)于超級(jí)帳號(hào)沒(méi)有進(jìn)行分權(quán)和修改默認(rèn)名字, 可能會(huì)導(dǎo)致暴力破解密碼以及高級(jí)權(quán)力濫用的隱患。

11. 對(duì)于不需要的系統(tǒng)服務(wù)和啟動(dòng)服務(wù)沒(méi)有做禁止和分權(quán)。

（二）信息安全形勢(shì)分析

1. 內(nèi)部信息安全威脅：主要是來(lái)自于惡意軟件下載，有54%的企業(yè)發(fā)生過(guò)由 于惡意軟件下載造成的信息安全事件。其次是有47%的企 業(yè)存在由于內(nèi)部員工造成的安全漏洞。其它主要威脅包括軟硬件漏洞、員工的不良信息處理行為引發(fā)的問(wèn)題。

2. 外部信息安全威脅：從權(quán)威調(diào)查結(jié)果來(lái)看，目前主要來(lái)自于惡意軟件，有 68%的企業(yè)發(fā)生過(guò)惡意軟件攻擊。其次是有54%的企業(yè)遭 受過(guò)網(wǎng)絡(luò)釣魚(yú)。其它主要威脅包括高級(jí)持續(xù)性威脅(APT)、 拒絕服務(wù)攻擊(DDOS)、暴力攻擊、零日（0day）攻擊等。

（三）信息安全事件

烏克蘭電網(wǎng)遭黑客攻擊事件: 2015年12月3日，烏克蘭伊萬(wàn)諾－弗蘭科夫斯克地區(qū)持續(xù)停電數(shù)小時(shí)之久。黑客使用后門(mén)程序 BlackEnergy（黑暗力量）攻擊了在發(fā)電站和多家能源公司。攻擊者在微軟Office文件中嵌入了惡意宏文件，并以此作為感染載體來(lái)對(duì)目標(biāo)系統(tǒng)進(jìn)行感染。烏克蘭電網(wǎng)系統(tǒng)遭黑客攻擊，數(shù)百戶(hù)家庭供電被迫中斷，這是有 史以來(lái)首次導(dǎo)致停電的網(wǎng)絡(luò)攻擊，此次針對(duì)工控系統(tǒng)的攻擊無(wú)疑具有里程碑意義。

二、如何構(gòu)建網(wǎng)絡(luò)信息安全系統(tǒng)

（一）從制度方面

網(wǎng)絡(luò)信息安全管理體系從實(shí)質(zhì)上來(lái)說(shuō)，是一種信息安全管理模式，其目的是 為了提高企業(yè)的管理水平，促進(jìn)企業(yè) 良性發(fā)展，保證企業(yè)各種信息資源的 安全，不給企業(yè)造成負(fù)面影響。信息 安全管理體系借助諸多標(biāo)準(zhǔn)，參考標(biāo)準(zhǔn)實(shí)現(xiàn)企業(yè)信息安全管理規(guī)范有序， 使企業(yè)信息安全向科學(xué)合理的方向發(fā) 展。信息安全管理是伴隨著信息技術(shù) 的發(fā)展而發(fā)展的，在信息社會(huì)，信息資源已經(jīng)成為一種十足珍貴的資源，具有極高的經(jīng)濟(jì)價(jià)值。信息安全工作的有效開(kāi)展與持續(xù)化深入依賴(lài)完善的信息安全保障體系。為保護(hù)信息系統(tǒng)安全、平穩(wěn)運(yùn)行，根據(jù)國(guó)家和各單位有關(guān)要求以及信息系統(tǒng)現(xiàn)狀，結(jié)合先進(jìn)的安全技術(shù)與管理理念，在信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上，需制定網(wǎng)絡(luò)信息安全整體解決方案。

（二）從技術(shù)方面

1. 定期開(kāi)展信息安全與合規(guī)性檢查

通過(guò)檢查，集梳理本單位網(wǎng)絡(luò)安全工作，排查高危安全漏洞；識(shí)別工控系統(tǒng)安全風(fēng)險(xiǎn)；核查信息系統(tǒng)定級(jí)備案情況等，結(jié)合石油化工企業(yè)實(shí)際可組織開(kāi)展：

（1）信息系統(tǒng)常規(guī)安全檢查；

（2）工業(yè)控制系統(tǒng)安全檢查；

（3）信息系統(tǒng)等級(jí)保護(hù)合規(guī)性檢查。

2. 開(kāi)展網(wǎng)絡(luò)安全域建設(shè)

完成本單位的網(wǎng)絡(luò)安全域劃分，將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、專(zhuān)網(wǎng)、專(zhuān)線(xiàn)等部分，設(shè)置不同的訪(fǎng)問(wèn)規(guī)則，并進(jìn)行分區(qū)防護(hù)。建成統(tǒng)一互聯(lián)網(wǎng)出口，部署安全防護(hù)設(shè)備，為各單位內(nèi)部用戶(hù)及業(yè)務(wù)系統(tǒng)提供安全可靠的互聯(lián)網(wǎng)訪(fǎng)問(wèn)服務(wù)。

3. 網(wǎng)絡(luò)安全新技術(shù)應(yīng)用

網(wǎng)絡(luò)安全設(shè)備的開(kāi)放化將逐步實(shí)現(xiàn)。在傳統(tǒng)的信息安全時(shí)代主要采用隔離作為安全的手段，具體分為物理隔離、內(nèi)外網(wǎng)隔離、加密隔離，實(shí)踐證明這種隔離手段針對(duì) 傳統(tǒng)IT架構(gòu)能起到有效的防護(hù)。同時(shí)這種隔離為主的安全體系催生了一批以硬件銷(xiāo)售為主的安全公司，例如各種防火墻、入侵檢測(cè)系 統(tǒng)/入侵防御系統(tǒng)、Web應(yīng)用防火墻、統(tǒng)一威脅管理、SSL網(wǎng)關(guān)、加 密機(jī)等。 在這種隔離思想下，并不需要應(yīng)用提供商參與較多信息安全工 作，在典型場(chǎng)景下是由總集成商負(fù)責(zé)應(yīng)用和信息安全之間的集成， 而這導(dǎo)致了長(zhǎng)久以來(lái)信息安全和應(yīng)用相對(duì)獨(dú)立的發(fā)展，尤其在國(guó)內(nèi) 這兩個(gè)領(lǐng)域的圈子交集并不大。結(jié)果，傳統(tǒng)信息安全表現(xiàn)出分散割據(jù)化、對(duì)應(yīng)用的封閉化、硬件盒子化的三個(gè)特征。 封閉化的安全設(shè)備從某種意義上維護(hù)了傳統(tǒng)安全廠商的利益， 但是卻損害了用戶(hù)的利益。而從用戶(hù)的角度來(lái)看，未來(lái)安全設(shè)備的 開(kāi)放化、可編程化是個(gè)需要用戶(hù)推動(dòng)的趨勢(shì)。

三、結(jié)論

關(guān)于網(wǎng)絡(luò)信息系統(tǒng)安全的課題, 涉及的層面較為廣泛,復(fù)雜程度較高。網(wǎng)絡(luò)安全作為支網(wǎng)絡(luò)及信息系統(tǒng)的重要基礎(chǔ)，需要堅(jiān)實(shí)有力的服務(wù)來(lái)支持。要求企業(yè)網(wǎng)絡(luò)技術(shù)人員在掌握網(wǎng)絡(luò)技術(shù)的同時(shí)掌握全面網(wǎng)絡(luò)信息安全是不現(xiàn)實(shí)的。因此做好企業(yè)的網(wǎng)絡(luò)安全工作,選擇由網(wǎng)絡(luò)安全專(zhuān)家、專(zhuān)業(yè)的網(wǎng)絡(luò)安全工具和安全管理策略組成的安全服務(wù)是必須的。

網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的管理過(guò)程,它只能保障網(wǎng)絡(luò)系統(tǒng)受到攻擊時(shí)，能夠提供無(wú)漏洞防御的相對(duì)安全。網(wǎng)絡(luò)信息系統(tǒng)安全不僅需要?jiǎng)討B(tài)的工具和產(chǎn)品, 而且需要持續(xù)跟進(jìn)的安全服務(wù)。

能夠應(yīng)對(duì)突發(fā)網(wǎng)絡(luò)安全應(yīng)急事件。在網(wǎng)絡(luò)信息系統(tǒng)發(fā)生緊急情況時(shí), 有完善可靠的應(yīng)急預(yù)案、應(yīng)急專(zhuān)家隊(duì)伍。保障安全專(zhuān)家緊急出動(dòng)服務(wù)，及時(shí)趕到現(xiàn)場(chǎng), 恢復(fù)系統(tǒng)正常工作, 協(xié)助檢查入侵來(lái)源, 提供事故分析報(bào)告和安全建議及服務(wù), 為用戶(hù)提供及時(shí)、全面的安全問(wèn)題解決方案。

綜上所述, 通過(guò)對(duì)網(wǎng)絡(luò)安全管理現(xiàn)狀的分析、對(duì)如何構(gòu)建網(wǎng)絡(luò)信息安全系統(tǒng)信息系統(tǒng)的探討，得出網(wǎng)絡(luò)安全體系建設(shè)的基本思路: 網(wǎng)絡(luò)信息安全是動(dòng)態(tài)的，長(zhǎng)期的。風(fēng)險(xiǎn)的避免和減小需要從管理和技術(shù)兩方面入手，建立完善的安全管理制度和牢固的安全防護(hù)措施，并有效地執(zhí)行和使用。才是應(yīng)對(duì)不斷出現(xiàn)的新的安全威脅的最行之有效的方法。

作者單位：中國(guó)石油寧夏石化公司信息管理部