文｜孟慶軍

如何提升石油化工企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀

文｜孟慶軍

隨著企業(yè)的發(fā)展，信息技術(shù)對企業(yè)越來越重要，企業(yè)信息化建設(shè)不斷推進，企業(yè)信息安全問題也越來越復(fù)雜，2000年前后企業(yè)開始逐步重視信息安全。只有信息安全有了保障，企業(yè)才能得到穩(wěn)定發(fā)展的根基。2016年習(xí)近平總書記提出“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”，“全面加強網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險，找出漏洞，通報結(jié)果，督促整改”的重要指示精神，根據(jù)中央網(wǎng)信辦統(tǒng)一部署，各行各業(yè)的信息安全檢查陸續(xù)開展。作為能源生產(chǎn)單位，石油石化企業(yè)為了應(yīng)對世界范圍內(nèi)的計算機犯罪、病毒、黑客攻擊事件的頻繁發(fā)生, 企業(yè)大都建立了有效的網(wǎng)絡(luò)信息安全防線。筆者分析了石油化工企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀,并對如何提升石油化工企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀做了闡述。

一、網(wǎng)絡(luò)安全管理現(xiàn)狀及分析

（一）網(wǎng)絡(luò)安全管理現(xiàn)狀

1. 雖然許多企業(yè)網(wǎng)絡(luò)設(shè)置了VLAN 的隔離,但不同的VLAN 之間沒有設(shè)置必要的訪問控制,任何一個用戶在網(wǎng)內(nèi)嗅探都可以輕松地得到全部網(wǎng)段計算機的 IP 地址和MAC 地址的對應(yīng)信息。

2. 網(wǎng)絡(luò)沒有按照安全域的保護等級劃分和進行訪問控制限制, 對于關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有限制特定的網(wǎng)段和計算機才能控制, 而僅僅依靠登陸的用戶名和密碼進行保護。

3. 針對路由配置、沒有屏蔽不需要的服務(wù)及進行安全配置, 如ARP- PROXY, OSPF 認(rèn)證, SNMP控制等, 沒有抵御協(xié)議欺騙和 DDOS 攻擊等的處理。

4. SNMP 協(xié)議設(shè)置不當(dāng), 導(dǎo)致黑客可以下載和上傳 IOS配置文件, 并通過查看配置文件, 用專業(yè)軟件, 瞬間就可以破解 TYPE- 7 的加密, 得到超級管理的明文密碼, 從而完全控制網(wǎng)絡(luò)設(shè)備; 即使拿到加密后的密碼串無法破解, 黑客也可以把下載來的 IOS 文件內(nèi)的密碼清空, 再上傳后, 依然可以不用密碼登陸設(shè)備。

5. 網(wǎng)絡(luò)上的 HTTP 代理認(rèn)證信息是明文傳輸?shù)? 導(dǎo)致它的驗證請求能輕松的被嗅探用戶截取, 包括什么時間, 什么 IP地址, 通過哪個 WEB 代理服務(wù)器, 用的哪個代理用戶名和密碼, 訪問了哪些具體的網(wǎng)站, 而且可以回溯對方瀏覽過的具體網(wǎng)站信息。

6. 審計和日志分析等策略沒有啟用, 導(dǎo)致無法審查什么時間什么人登錄過服務(wù)器, 做了什么操作; 服務(wù)器的補丁打得不夠及時, 存在被溢出攻擊可能性; 為了管理方便, 服務(wù)器開啟終端服務(wù),但是默認(rèn)安裝, 沒有進行任何的加固措施, 一旦被人利用, 對服務(wù)器是極大的危險。

7. 為了記憶方便, 用戶密碼過于簡單, 很容易就可以猜測出來或者暴力破解。雖然是普通用戶, 但可以通過本地權(quán)限提升得到超級用戶的權(quán)限。

8. 對于注冊表和關(guān)鍵的系統(tǒng)文件, 沒有進行特別的保護和基準(zhǔn)線的建立。一旦發(fā)現(xiàn)異常, 也無法快速的找出增加和減少的項目。

9. 對安全記錄未做訪問授權(quán)控制, 一旦被攻擊, 日志和必要的回溯信息會被刪除或者修改。

10. 對于超級帳號沒有進行分權(quán)和修改默認(rèn)名字, 可能會導(dǎo)致暴力破解密碼以及高級權(quán)力濫用的隱患。

11. 對于不需要的系統(tǒng)服務(wù)和啟動服務(wù)沒有做禁止和分權(quán)。

（二）信息安全形勢分析

1. 內(nèi)部信息安全威脅：主要是來自于惡意軟件下載，有54%的企業(yè)發(fā)生過由 于惡意軟件下載造成的信息安全事件。其次是有47%的企 業(yè)存在由于內(nèi)部員工造成的安全漏洞。其它主要威脅包括軟硬件漏洞、員工的不良信息處理行為引發(fā)的問題。

2. 外部信息安全威脅：從權(quán)威調(diào)查結(jié)果來看，目前主要來自于惡意軟件，有 68%的企業(yè)發(fā)生過惡意軟件攻擊。其次是有54%的企業(yè)遭 受過網(wǎng)絡(luò)釣魚。其它主要威脅包括高級持續(xù)性威脅(APT)、 拒絕服務(wù)攻擊(DDOS)、暴力攻擊、零日（0day）攻擊等。

（三）信息安全事件

烏克蘭電網(wǎng)遭黑客攻擊事件: 2015年12月3日，烏克蘭伊萬諾－弗蘭科夫斯克地區(qū)持續(xù)停電數(shù)小時之久。黑客使用后門程序 BlackEnergy（黑暗力量）攻擊了在發(fā)電站和多家能源公司。攻擊者在微軟Office文件中嵌入了惡意宏文件，并以此作為感染載體來對目標(biāo)系統(tǒng)進行感染。烏克蘭電網(wǎng)系統(tǒng)遭黑客攻擊，數(shù)百戶家庭供電被迫中斷，這是有 史以來首次導(dǎo)致停電的網(wǎng)絡(luò)攻擊，此次針對工控系統(tǒng)的攻擊無疑具有里程碑意義。

二、如何構(gòu)建網(wǎng)絡(luò)信息安全系統(tǒng)

（一）從制度方面

網(wǎng)絡(luò)信息安全管理體系從實質(zhì)上來說，是一種信息安全管理模式，其目的是 為了提高企業(yè)的管理水平，促進企業(yè) 良性發(fā)展，保證企業(yè)各種信息資源的 安全，不給企業(yè)造成負(fù)面影響。信息 安全管理體系借助諸多標(biāo)準(zhǔn)，參考標(biāo)準(zhǔn)實現(xiàn)企業(yè)信息安全管理規(guī)范有序， 使企業(yè)信息安全向科學(xué)合理的方向發(fā) 展。信息安全管理是伴隨著信息技術(shù) 的發(fā)展而發(fā)展的，在信息社會，信息資源已經(jīng)成為一種十足珍貴的資源，具有極高的經(jīng)濟價值。信息安全工作的有效開展與持續(xù)化深入依賴完善的信息安全保障體系。為保護信息系統(tǒng)安全、平穩(wěn)運行，根據(jù)國家和各單位有關(guān)要求以及信息系統(tǒng)現(xiàn)狀，結(jié)合先進的安全技術(shù)與管理理念，在信息安全風(fēng)險評估基礎(chǔ)上，需制定網(wǎng)絡(luò)信息安全整體解決方案。

（二）從技術(shù)方面

1. 定期開展信息安全與合規(guī)性檢查

通過檢查，集梳理本單位網(wǎng)絡(luò)安全工作，排查高危安全漏洞；識別工控系統(tǒng)安全風(fēng)險；核查信息系統(tǒng)定級備案情況等，結(jié)合石油化工企業(yè)實際可組織開展：

（1）信息系統(tǒng)常規(guī)安全檢查；

（2）工業(yè)控制系統(tǒng)安全檢查；

（3）信息系統(tǒng)等級保護合規(guī)性檢查。

2. 開展網(wǎng)絡(luò)安全域建設(shè)

完成本單位的網(wǎng)絡(luò)安全域劃分，將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、專網(wǎng)、專線等部分，設(shè)置不同的訪問規(guī)則，并進行分區(qū)防護。建成統(tǒng)一互聯(lián)網(wǎng)出口，部署安全防護設(shè)備，為各單位內(nèi)部用戶及業(yè)務(wù)系統(tǒng)提供安全可靠的互聯(lián)網(wǎng)訪問服務(wù)。

3. 網(wǎng)絡(luò)安全新技術(shù)應(yīng)用

網(wǎng)絡(luò)安全設(shè)備的開放化將逐步實現(xiàn)。在傳統(tǒng)的信息安全時代主要采用隔離作為安全的手段，具體分為物理隔離、內(nèi)外網(wǎng)隔離、加密隔離，實踐證明這種隔離手段針對 傳統(tǒng)IT架構(gòu)能起到有效的防護。同時這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司，例如各種防火墻、入侵檢測系 統(tǒng)/入侵防御系統(tǒng)、Web應(yīng)用防火墻、統(tǒng)一威脅管理、SSL網(wǎng)關(guān)、加 密機等。 在這種隔離思想下，并不需要應(yīng)用提供商參與較多信息安全工 作，在典型場景下是由總集成商負(fù)責(zé)應(yīng)用和信息安全之間的集成， 而這導(dǎo)致了長久以來信息安全和應(yīng)用相對獨立的發(fā)展，尤其在國內(nèi) 這兩個領(lǐng)域的圈子交集并不大。結(jié)果，傳統(tǒng)信息安全表現(xiàn)出分散割據(jù)化、對應(yīng)用的封閉化、硬件盒子化的三個特征。 封閉化的安全設(shè)備從某種意義上維護了傳統(tǒng)安全廠商的利益， 但是卻損害了用戶的利益。而從用戶的角度來看，未來安全設(shè)備的 開放化、可編程化是個需要用戶推動的趨勢。

三、結(jié)論

關(guān)于網(wǎng)絡(luò)信息系統(tǒng)安全的課題, 涉及的層面較為廣泛,復(fù)雜程度較高。網(wǎng)絡(luò)安全作為支網(wǎng)絡(luò)及信息系統(tǒng)的重要基礎(chǔ)，需要堅實有力的服務(wù)來支持。要求企業(yè)網(wǎng)絡(luò)技術(shù)人員在掌握網(wǎng)絡(luò)技術(shù)的同時掌握全面網(wǎng)絡(luò)信息安全是不現(xiàn)實的。因此做好企業(yè)的網(wǎng)絡(luò)安全工作,選擇由網(wǎng)絡(luò)安全專家、專業(yè)的網(wǎng)絡(luò)安全工具和安全管理策略組成的安全服務(wù)是必須的。

網(wǎng)絡(luò)安全是一個動態(tài)的管理過程,它只能保障網(wǎng)絡(luò)系統(tǒng)受到攻擊時，能夠提供無漏洞防御的相對安全。網(wǎng)絡(luò)信息系統(tǒng)安全不僅需要動態(tài)的工具和產(chǎn)品, 而且需要持續(xù)跟進的安全服務(wù)。

能夠應(yīng)對突發(fā)網(wǎng)絡(luò)安全應(yīng)急事件。在網(wǎng)絡(luò)信息系統(tǒng)發(fā)生緊急情況時, 有完善可靠的應(yīng)急預(yù)案、應(yīng)急專家隊伍。保障安全專家緊急出動服務(wù)，及時趕到現(xiàn)場, 恢復(fù)系統(tǒng)正常工作, 協(xié)助檢查入侵來源, 提供事故分析報告和安全建議及服務(wù), 為用戶提供及時、全面的安全問題解決方案。

綜上所述, 通過對網(wǎng)絡(luò)安全管理現(xiàn)狀的分析、對如何構(gòu)建網(wǎng)絡(luò)信息安全系統(tǒng)信息系統(tǒng)的探討，得出網(wǎng)絡(luò)安全體系建設(shè)的基本思路: 網(wǎng)絡(luò)信息安全是動態(tài)的，長期的。風(fēng)險的避免和減小需要從管理和技術(shù)兩方面入手，建立完善的安全管理制度和牢固的安全防護措施，并有效地執(zhí)行和使用。才是應(yīng)對不斷出現(xiàn)的新的安全威脅的最行之有效的方法。

作者單位：中國石油寧夏石化公司信息管理部