傳統(tǒng)企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)

崔 潔

（北京華科軟科技有限公司，北京 100000）

傳統(tǒng)企業(yè)在推進(jìn)數(shù)字化轉(zhuǎn)型的道路上面臨多重考驗，一方面是新架構(gòu)下關(guān)鍵信息基礎(chǔ)設(shè)施范圍不斷擴(kuò)大，相對應(yīng)的安全防護(hù)技術(shù)也在發(fā)生變化，傳統(tǒng)的硬件防火墻在大多數(shù)情況下已經(jīng)無法應(yīng)對現(xiàn)今的網(wǎng)絡(luò)威脅。另一方面，越來越多的業(yè)務(wù)數(shù)字化，必然會暴露更多的攻擊面，同時由于云計算的普及，網(wǎng)絡(luò)安全邊界不再清晰，企業(yè)信息化管理人員對IT 基礎(chǔ)設(shè)施的管理力度在逐漸下降，面對的網(wǎng)絡(luò)安全問題更加復(fù)雜，進(jìn)而安全風(fēng)險也在加大。再者，自實施制造強(qiáng)國戰(zhàn)略“中國制造2025”以來，由于更開放的業(yè)務(wù)需求，制造領(lǐng)域以工業(yè)控制系統(tǒng)為基本單位的工控網(wǎng)絡(luò)進(jìn)入大眾視野，由舊時完全獨(dú)立的隔離網(wǎng)絡(luò)轉(zhuǎn)變?yōu)殚_放的、廣覆蓋的網(wǎng)絡(luò)生態(tài)，采用新一代信息通信技術(shù)與先進(jìn)制造業(yè)深度融合，謂之工業(yè)互聯(lián)網(wǎng)，在新時代的安全形勢下，企業(yè)既需要平衡信息系統(tǒng)開放和網(wǎng)絡(luò)安全之間的矛盾，又需要解決頂層安全規(guī)則、規(guī)范與項目部終端落地之間的落差。

對于企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)施來講，一定要認(rèn)清四點(diǎn)：一、基礎(chǔ)設(shè)施一定有漏洞；二、一定有已知但未修復(fù)的補(bǔ)??；三、信息系統(tǒng)很可能已經(jīng)被入侵；四、內(nèi)部人員不一定可靠。要深刻理解風(fēng)險是無處不在的，區(qū)別只是能否有效的控制風(fēng)險的范圍及發(fā)生頻率。風(fēng)險本身來自于外界的威脅和自身的脆弱性，關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)既要采用有效手段抵御外界威脅，又需要從內(nèi)部查漏補(bǔ)缺，提升系統(tǒng)的健壯性，優(yōu)化安全管理手段。

2018年11月，公安部發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，正式宣告等保進(jìn)入2.0時代。等保2.0在其保護(hù)的對象范圍上，由網(wǎng)絡(luò)、信息系統(tǒng)等傳統(tǒng)基礎(chǔ)設(shè)施擴(kuò)展到云平臺、工業(yè)控制系統(tǒng)、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新時期技術(shù)手段。而其要求對象也是囊括各地區(qū)、各單位、各企業(yè)、各機(jī)構(gòu)，即對于全社會成員來講都要落實等級保護(hù)制度。通過開展等級保護(hù)相關(guān)工作，督促企業(yè)評測、自查，發(fā)現(xiàn)自身網(wǎng)絡(luò)及信息系統(tǒng)安全防護(hù)能力與國家標(biāo)準(zhǔn)之間的差距，挖掘安全隱患，通過整改提高信息系統(tǒng)安全防護(hù)能力，降低網(wǎng)絡(luò)被攻擊的風(fēng)險。

關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)主要集中在三個方面：數(shù)據(jù)安全、平臺安全以及生產(chǎn)安全。

數(shù)據(jù)歷來是一家企業(yè)的重中之重，由信息技術(shù)發(fā)展帶來的海量數(shù)據(jù)，逐漸成為其核心資產(chǎn)，直接涉及到企業(yè)的商業(yè)秘密，關(guān)乎企業(yè)的未來發(fā)展。同時，只有依托于真實可靠的數(shù)據(jù)，企業(yè)才能完成向智能制造的轉(zhuǎn)變，通過數(shù)據(jù)的流通和傳遞，提升全產(chǎn)業(yè)鏈的資源利用率以及生產(chǎn)效率。數(shù)據(jù)安全圍繞著保密性、完整性、可用性分區(qū)分域和網(wǎng)絡(luò)專用是企業(yè)中常見的兩種數(shù)據(jù)安全保障手法，但是隨著云計算發(fā)展帶來的紅利以及工控網(wǎng)絡(luò)的開放需求，網(wǎng)絡(luò)邊界變得日漸模糊，傳統(tǒng)的防護(hù)手段在一定程度上已經(jīng)影響到了業(yè)務(wù)的開展。結(jié)合以竊取數(shù)據(jù)為目的的攻擊手法均屬于應(yīng)用層攻擊，傳統(tǒng)的防火墻及IPS、IDS 很難有效抵御，這就催生了安全態(tài)勢感知系統(tǒng)的發(fā)展。

平臺是數(shù)據(jù)流轉(zhuǎn)的載體，企業(yè)在日常運(yùn)營中經(jīng)常以“業(yè)務(wù)不斷”為終極目標(biāo)，從最開始的同城災(zāi)備，到兩第三中心，再到業(yè)務(wù)雙活，不斷提升的需求也為基礎(chǔ)設(shè)施建設(shè)帶來了極大的壓力。我們不妨在平臺建設(shè)時換一個角度去思考，“業(yè)務(wù)不斷”并不等于“業(yè)務(wù)不宕機(jī)”，而是說基于一個穩(wěn)定的、可擴(kuò)展的平臺，使信息化業(yè)務(wù)系統(tǒng)具備快速復(fù)制、生長、應(yīng)用的能力，在遭受網(wǎng)絡(luò)威脅時能夠迅速恢復(fù)。同時，平臺的健壯性是由各個業(yè)務(wù)系統(tǒng)服務(wù)器以及計算機(jī)終端的健壯性共同決定的，及時對系統(tǒng)打補(bǔ)丁和防病毒是最有效、卻也是最難執(zhí)行到位的安全防護(hù)手段，所以定期執(zhí)行漏洞掃描測試，并根據(jù)測試進(jìn)行系統(tǒng)加固尤為必要。

生產(chǎn)安全通常被企業(yè)劃分在網(wǎng)絡(luò)安全防護(hù)之外，但在實際應(yīng)用場景中，我們應(yīng)該站在一個“大安全”的角度。首先是人員安全，建議在企業(yè)范圍內(nèi)設(shè)置專項安全管理部門或是安全管理負(fù)責(zé)人，并對關(guān)鍵崗位人員加強(qiáng)培訓(xùn)并進(jìn)行審查。其次是操作安全，在網(wǎng)絡(luò)日常的運(yùn)行維護(hù)中，多數(shù)故障都是因為人為操作失誤導(dǎo)致的，制訂詳細(xì)的操作流程及管理制度可大幅降低運(yùn)維人員誤操作的風(fēng)險。最后是設(shè)備安全，對于生產(chǎn)設(shè)備，應(yīng)集中存放、集中管控，配備門禁，限制訪問人員；對于終端設(shè)備，應(yīng)限制其接入，避免非授權(quán)設(shè)備接入網(wǎng)絡(luò)帶來的風(fēng)險。

繼2019年以來，國內(nèi)外網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)工作尤為重要，而作為支撐中國經(jīng)濟(jì)發(fā)展的能源、建筑、制造等傳統(tǒng)企業(yè)又是重中之重，未來戰(zhàn)爭必將會是能源戰(zhàn)爭以及經(jīng)濟(jì)戰(zhàn)爭為先導(dǎo)，保障好傳統(tǒng)企業(yè)的網(wǎng)絡(luò)安全，即是維護(hù)國家機(jī)器的正常運(yùn)轉(zhuǎn)及行政安全，必將在未來的發(fā)展中不斷前進(jìn)與革新。