山西省關鍵信息基礎設施網絡安全防護現狀淺析

（國家計算機網絡與信息安全管理中心山西分中心，山西 太原 030006）

習近平總書記在網信工作座談會上指出：“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標”，要求“要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改”。

為貫徹落實這一指示精神，2016年，中央網信辦在全國啟動了關鍵信息基礎設施網絡安全檢查工作。在這一工作背景下，山西省委網信辦按照中央和省委要求，在2017年、2018年分別開展了“全省關鍵信息基礎設施網絡安全檢查”工作。筆者在參與檢查工作的過程中，對省內關鍵信息基礎設施單位的網絡安全防護現狀和如何加快構建關鍵信息基礎設施安全保障體系，增強安全保障能力進行了思考和探索。

1 典型案例剖析

本節將選取煤炭、電力2個山西省工業領域的典型代表，就檢查評估情況，對其網絡安全防護情況做簡要剖析。

1.1 某煤炭企業網絡安全防護情況

（1）技術測試情況：對某煤炭企業提供的網站、網絡設備、服務器、數據庫、主機以及網絡安全設備進行了全面風險評估。

通過該企業門戶網站管理系統的漏洞，可以直接進入并控制企業門戶網站。利用該煤炭企業安全生產運營系統的漏洞，可以獲取該企業管理人員和井下工人的個人敏感信息。利用該煤炭企業開放的無線網絡環境，可以通過無線網絡環境進入該企業生產、辦公內網環境。

（2）存在問題分析：

①該企業的網絡安全管理較為松散，沒有進行嚴格的網絡區域劃分，存在內網、外網、無線網互聯互通的高危安全風險。

②該企業未進行網絡安全的日常風險評估和審查審計，核心關鍵系統中存在大量弱口令、弱密碼，威脅信息系統的整體安全。

③該企業在外包第三方開發信息系統的過程中，未對信息系統的源代碼進行安全審計，系統上線前也未開展風險評估，信息系統在開發設計上存在眾多安全風險和隱患。

1.2 某電力企業網絡安全防護情況

（1）技術測試情況：對某電力企業內部電力網絡、服務器、數據庫、主機以及網絡安全設備進行了全面風險評估。

通過該電力企業內部應用系統的漏洞，可以獲取企業內部應用的關鍵信息數據。通過內網Windows主機的安全漏洞可以控制多臺內部主機，由于內網并沒有網絡安全防護設備和安全域劃分，以這些主機為跳板可以滲透到核心生產區域。發現內網存在惡意程序感染和傳播的情況。

（2）存在問題分析：①該企業在信息系統上線前未進行網絡安全風險評估，日常的運行維護中，也未定期開展網絡安全風險評估和漏洞修補和升級工作，一旦被攻擊者突破外部網絡防御，會威脅整個電力生產環境的安全。

②該企業未能建立健全網絡安全管理制度，也沒有成型的安全運維體系和監測手段，日常網絡安全管理措施缺失、系統的備份和恢復、惡意代碼管理、密碼管理方面都缺乏相應的制度。

③該電力企業由于沒有管理介質的制度和措施，已經導致內網主機感染惡意程序的情況出現。

2 防護現狀分析

本節將分別對2017年、2018年山西省關鍵信息基礎設施檢查情況進行總結，并通過對比，分析山西省關鍵信息基礎設施防護情況的變遷。山西省關鍵信息基礎設施網絡安全檢查工作的檢查范圍包括：

能源行業：電力（電力生產）、煤炭（煤炭開采）；

電信與互聯網行業：數據中心/云服務；

金融行業：銀行運營；

交通行業：民航（機場運行）、公路（路網監測）；

醫療衛生行業：醫院等衛生機構運行；

市政行業：水供應管理；

環境保護行業：環境監測及預警；

水利行業：水利樞紐運行及管控；

工業制造行業：企業運行管理、生產運行管理；

廣播電視行業：電視播出管控、廣播播出管控；

政府部門行業：面向公眾服務、辦公業務系統。

2.1 2017年山西省關鍵信息基礎設施檢查情況

在山西省11個重點行業中選取15個典型單位，對其關鍵業務的運行環境、運維方式、網絡安全管理、安全防護和風險威脅及危害情況進行檢查評估。

主要存在的網絡安全管理問題：

（1）網絡安全管理體系尚未健全；

（2）網絡邊界防護薄弱；

（3）日常網絡安全管理不夠嚴格；

（4）網絡安全風險監測發現能力不足；

（5）未聘請第三方技術機構開展風險評估。

現場技術檢測發現的風險：

（1）系統存在弱口令；

（2）內網主機存在高危安全漏洞；

（3）系統應用存在高危安全漏洞；

（4）能夠通過互聯網對內網進行滲透攻擊。

2.2 2018年山西省關鍵信息基礎設施檢查情況

在山西省11個重點行業中選取11個典型單位，對其關鍵業務的網絡安全管理和網絡安全防護能力進行了全面評估，特別增加了對互聯網+新應用的關注。

主要存在的網絡安全管理問題：

（1）網絡安全審計制度不健全；

（2）網絡安全管理制度落實不到位；

（3）網絡區域劃分不完善；

（4）數據傳輸和存儲不夠安全可靠。

現場技術檢測發現的風險：

（1）系統數據庫存在高危安全漏洞；

（2）內網安全防范不足；

（3）系統應用存在高危安全漏洞；

（4）系統應用信息、數據信息泄露風險較高。

2.3 網絡安全防護情況變遷分析

對比分析2017年、2018兩年山西省關鍵信息基礎設施網絡安全抽查評估情況，關鍵信息基礎設施網絡安全防護現狀發生了變化，主要呈現以下幾個特點：

（1）網絡安全制度逐漸完善；

（2）系統邊界防護能力逐漸加強；

（3）網絡安全風險評估工作受到重視；

（4）網絡安全制度落實仍需完善；

（5）網絡安全審計普遍缺失；

（6）網絡安全專業人才匱乏。

3 工作建議

3.1 提高工作站位，完善網絡安全管理制度建設

要站在貫徹總體國家安全觀的高度，單位管理層充分認識到網絡安全工作的重要性，在此基礎上，完善組織建設和制度建設，強化《網絡安全法》《黨委（黨組）網絡安全工作責任制實施辦法》和網絡安全相關規章制度的學習和執行，建立健全網絡和信息安全管理制度，明確主管領導，成立專門機構，指定專門人員，強化責任，各盡其職。

3.2 筑牢防御堡壘，加強網絡安全防御體系建設

網絡安全防御不能僅僅依靠網絡安全設備的疊加，必須將分散的、獨立的網絡安全防護能力有機結合起來，構建符合關鍵信息基礎設施單位實際的網絡安全防御體系，提升關鍵信息基礎設施的健壯性，強化主動應對網絡攻擊的能力。

構建網絡安全防御體系，重點從三方面入手：

首先，深入分析本單位所面臨的安全威脅，模擬可能的黑客攻擊路徑，對標ISO 27001、PCI-DSS、《網絡安全等級保護》等國內外網絡安全最佳實踐和技術規范構建網絡安全威脅模型。

其次，將網絡安全防御體系覆蓋關鍵信息基礎設施的整個生命周期，深化系統安全漏洞管理，在設計階段，明確安全要求、提前采取安全措施。在開發階段，建立代碼掃描和安全測試機制，降低應用漏洞風險，并進行系統上線前的風險評估；在運維階段，定期進行漏洞掃描和滲透性測試，及時發現安全隱患并積極整改；在下線階段，做好關鍵數據的回收保護，系統建設和運行維護文檔的整理歸檔。

第三，構建網絡安全風險應急響應中心，集中收集各類日志信息，查看網絡安全告警，分析網絡安全設備監測數據，并結合系統流量進行關聯分析，實現威脅監測的一體化集中管理。引入威脅情報、大數據分析等技術，強化對于高級持續性威脅（APT）和精準式網絡攻擊的實時發現及智能化預警處置能力。

3.3 重視審計工作，強化網絡安全監督檢查落實

關鍵信息基礎設施的運行，網絡安全設備的監測和防護，用戶每日的操作都會產生大量的日志記錄，分析并積極采取措施，及時發現違法網絡安全管理制度的行為和存在于日志記錄中的風險隱患顯得尤為重要。

加強網絡安全審計，首先，應當將網絡安全審計提升到傳統意義上對財政、財務收支、經營管理活動審計的同等高度上來，形成常態化具有獨立性的制度和規范。其次，審計工作要全面覆蓋系統日志、應用日志、用戶操作日志和網絡安全設備日志等客觀記錄關鍵信息基礎設施運轉的網絡安全記錄信息。第三，做好審計跟蹤，重現風險事件，評估安全損失、定位產生風險的區域，及時處置風險并進行災難恢復，防止關鍵信息基礎設施可能發生的故障。

3.4 強化能力培訓，提升網絡安全實操技能水平

網絡空間的競爭，歸根結底是人才競爭。關鍵信息基礎設施單位應高度重視網絡安全人才培養和網絡安全隊伍建設，杜絕依賴心理，加強同專業安全機構和知名高校的合作交流，打造自己的網絡安全技術團隊。一是要在人員上保障，設置專門的網絡安全技術崗，定期開展網絡安全技能培訓，確保其具備網絡安全實操能力；二是要做好技能考核，定期對網絡安全技術人員進行技能考核，并通過獎懲機制，敦促其努力學習網絡安全知識和技能；三是要做好交流和演練，通過開展網絡安全實戰演練、第三方攻防對抗實訓、網絡安全沙龍等多樣形式，提高網絡安全實戰技能，提升網絡安全全員意識。

3.5 普查風險隱患，夯實關鍵信息基礎設施根基

關鍵信息基礎設施單位要對照《關鍵信息基礎設施保護條例》《網絡安全等級保護制度》，積極開展日常性的網絡安全風險普查工作。全面梳理關鍵信息基礎設施單位自身存在的不符合項、基本符合項，管理鞏固符合項，做好定期體檢、動態評估和第三方測評工作。