文 | 中国石油网络安全专家中心 刘磊 于普漪
2021 年 4 月,国务院第 133 次常务会议通过《关键信息基础设施安全保护条例》(以下简称《条例》),自 2021 年 9 月 1 日起施行。两年来,在《网络安全法》及《条例》等法律法规的指引下,关键信息基础设施(以下简称“关基”)保护进入新的阶段。保护工作部门和行业企业对于关基的认定规则进行了卓有成效的研究,形成了行业领域的关基认定规则,可操作性进一步提高。国家有关机构也加快了对关基保护问题、风险和防护措施的研究,取得了一系列新的成果,包括关基防护技术、体系、保护框架、保护水平评价指标体系、多层次安全防护以及关基领域漏洞管理、监测预警、零信任架构、人工智能、云服务环境等方面。在能源、交通、水利等关键领域,加快了网络安全保护措施的落实。国家还制定实施了或正在制定一系列关基保护相关标准,对关基保护措施的落实具有重要的指导意义。《条例》正式实施的两年,是从法律规定到实际执行的两年,也是关基保护飞速发展的两年。
一、关基保护总体形势
近年来,网络空间对抗加剧,国际上针对关基的网络安全事件呈上升趋势,网络安全事件发生的风险在加大,关基安全形势严峻。行业企业在数字化转型和智能化浪潮推动下,主营业务的发展对关基的依赖程度不断增加,网络安全风险也随之加大。美国众议院通过了《关键基础设施网络事件报告》法案,该法案要求关键基础设施的所有者和运营商在遭受重大网络攻击后的 72 小时内,以及被勒索软件勒索付款后的 24 小时内,向网络安全和基础设施安全局(CISA)报告。美国总统拜登发布了加强美国关键基础设施网络安全的情况说明书,并宣布将“不懈关注”国家关键基础设施防御的改善,建立一套全面的方法来“锁住美国的数字大门”。我国关基在国民经济、社会乃至国家安全中的作用越来越重要,主要体现在用户规模庞大、数据规模海量、覆盖全国乃至全球、涉及领域广泛(从管理延伸到生产生活等各个领域),但防护水平参差不齐,面临广泛的威胁和攻击,存在被攻击的风险不断提高,危害性也随之增大。涉及核心技术和核心数据的机构经常成为攻击的目标。例如,我国西北工业大学遭受了网络攻击、武汉市应急管理局地震监测中心的地震速报数据前端台站采集点的网络设备被植入了后门程序,这些事件表明敌对势力对我国的攻击具有重大的指向性。
二、石油石化行业关基保护的风险和挑战
石油石化行业高度重视关基保护规则,并按照保护工作部门的整体部署,持续推进关基保护工作。已基本完成认定规则的制定,并按照相关标准有序推动各项保护措施落地执行。石油石化行业的关基系统既具有国家关基系统的普遍特点,如数据量大,业务影响大,平台复杂等,又具有行业特殊之处。比如石油石化行业的产业链较长,涉及的业务领域广泛,业务资产类型多样,数据多样化,系统结构复杂,一个大的系统包含多个小的系统,网络结构多样,与生产、管理、用户等方面交织在一起,网络安全边界的防护难度大。系统供应链变化快,系统升级快,运维人员变化快,系统的安全管理尚不规范,不深入,体系化程度不够强,有时存在管理链条中断等问题。此外,应急处置能力不足,监测、预警、响应手段不充分,越往底层,防护越薄弱。与此同时,随着技术的发展,数字化转型和智能化工作逐步深入,新技术、新应用不断出现,关基系统的横向和纵向数据流动加快,对系统和数据管控提出了进一步要求。云计算技术、大数据技术、人工智能和数字孪生等也被应用到关基系统中,这些技术给关基系统的网络安全带来了新的挑战。数字化转型扩大了关基系统的防护边界,大数据技术和人工智能技术在提高数据资产价值的同时,也增加了数据丢失、篡改、误用和滥用等风险概率。
三、石油石化行业关基保护对策和实践
基于关基系统行业的特点,以风险为导向,通过开展关基系统的实战检查、应急演练等多种方式,发现关基保护方面的问题,科学制定保护方案,实施精准防护,并在架构设计、专网和数据安全、态势感知、安全监测和仿真测试等方面取得不少成效。
架构设计。基于石油石化行业业务链长、关基系统涉及的子系统多等特点,石油石化行业将与关基相关的同类型系统整合起来,构建出工业控制、大数据、门户、移动应用、数据中心、云计算、重点生产系统等关基体系,并按属性进行聚类管理,利用专业能力,构建集中防护平台,提高安全防护水平。
专网和数据安全。在网络层面,需要加强专网安全建设,可以从逻辑上将专网划分为生产区、数据区和应用区。生产区将从各个装置采集的数据集中汇总到数据区,并在数据中台应用前进行网络安全审计和处理。在生产专网内部,可以划分安全域,建立网络安全架构,梳理网络边界,并完善安全技术措施。石油石化行业在网络边界防护方面已经积累了丰富的经验,这对于提高关基保护系统具有重要的基础性作用。
态势感知。石油石化行业在推进和落实等级保护工作过程中,加强了态势感知系统的建设,并逐步将其拓展到关基系统的防护中,这包括平台层、数据层和应用层。在平台层,主要涉及数据摄取(采集)、预处理(范式化)和大数据支撑平台等方面。数据层包括网络行为数据(D)、关联信息数据(I)、知识数据(K)和情报数据(I)。而应用层则以大数据安全解析引擎为基础,以工作流引擎为核心进行工作。
安全监测。目前石油石化行业的生产单位对关基系统的网络安全监测能力尚存在不足。一些工控系统的设备和软件老化,使用周期长,与网络安全要求不匹配。此外,数据采集和事件监测的专业化程度不高,生产领域与网络安全之间的对接效率低。非授权设备和异常流量监测难度高。为了解决这些问题,石油石化行业采取了循序渐进的策略。首先,从基本的设备认证入手,对接入的网络设备和安全设备进行认证、授权和访问控制。其次,选取油田生产领域的工业控制系统进行网络安全试点,形成可复制和可推广的安全标准,并逐步向其他油田推广。同时,还组织炼化企业开展监测和认证等措施的研究。
仿真测试。鉴于石油石化行业的关基系统是用于实时生产的,一些网络安全设备部署、安全策略调整、补丁更新等措施在线实施会对生产系统产生安全威胁,需要在离线环境进行仿真测试和验证。为此,石油石化行业与国家有关部委合作建立了专门的大数据和网络安全实验室。该实验室利用真实的数据和软件,对油气生产领域专用系统的安全措施进行仿真验证。这种仿真测试在石油石化行业的关基保护中扮演着重要角色。
四、关基保护工作思考
关于关基的认定。在中央网信办统筹协调下,保护工作部门正在细化相关的认定规则,行业企业将根据这些认定规则,初步认定其所属的关键信息基础设施,由保护工作部门组织认定,并将认定结果报国家主管部门审批。在制定关基认定规则的过程中,一些量化指标的认定实际上是确认业务的重要程度,以及该业务在我国国民经济乃至国家安全中的重要性。这些指标的制定超过了数字化和信息化管理部门的职责或者能力范围,因此,应由业务部门或者更高层级的主管部门来制定。比如,确定炼油装置系统生产多少成品油属于关键基础设施的范畴,应由炼油业务或者炼油业务单位的上级主管单位来明确;而确定管道系统输送多少天然气属于关键基础设施的范畴,应由管理天然气管道的生产单位或管理部门来明确。关基认定,通常归集到关键基础设施的认定上,因此在制定关基认定规则的过程中,还应明确相关组织在其中所扮演的角色和职责。业务部门应发挥更大的作用,以确保关基认定规则的制定符合实际情况。
推动关基保护工作各项措施的落实。关基保护工作部门应发挥管理和监督职责,明确并优化工作流程,建立常态化的工作机制。同时,应充分发挥国家关基保护中的优势能力,统筹协调,为关基保护责任单位提供网络安全监测预警技术、管理、情报和培训等方面的支持。
加强关基保护中的人工智能安全研究和应用。一是使用 AI 攻击技术,以更快、更智能地发现漏洞,研究数据投毒、对抗样本、成员推断、模型萃取等攻击方式,提高对抗能力。二是使用 AI 防护技术,包括恶意代码自主检测、异常流量自主检测、软件漏洞自主挖掘、异常行为自主分析、敏感数据自主保护等。三是研究生成式人工智能应用,同时防范和规避生成式人工智能对信息和数据的非法收集与应用。当前,我国在人工智能领域的技术发展迅速,在算法研究等方面人才资源比较丰富。然而,目前尚需要将人工智能与生产领域和网络安全领域相融合,快速开发软件、硬件和工具,迅速应用到生产和防护一线,并快速形成相关能力。我们甚至可以在一些领域形成强项,实现技术的弯道超车。
加强关基系统的供应链安全。这包括软件、硬件和服务等方面的供应链安全。目前,软件供应链安全问题比较突出,因此要明确软件供应链主要参与方,并切实完善开发过程中的安全措施,尤其是在利用开源软件进行自主开发时,一定要加强开源代码的管理和防护,以防止出现卡脖子的情况。
加强工控系统的安全。工业控制系统的硬件、软件、协议和代码方面受制于人的情况普遍存在。一些成套装置的关键核心软件受到国外的制约。控制设备、编程软件、组态软件以及工业协议等普遍缺乏身份认证、授权和加密等安全措施。一些生产控制设备主机操作系统早已停止漏洞补丁服务,例如一些生产系统工程师站仍在使用 Windows 98 操作系统,工业主机也没有进行补丁更新,继续带病运行。一些控制系统和工业交换机依赖国外进口,一些重要的工控器件存在后门的问题。此外,一些工业控制系统与办公网、互联网违规连接。工业控制系统缺乏监测和预警技术与机制,重应用轻安全情况存在,工业数据安全保护措施薄弱。
加强关基保护制度和标准的建设与宣贯。组织开展专业培训,加强人才队伍的建设。组织开展关基风险评估、监测、预警等技术研究,针对普遍存在的问题,制定有针对性的制度和标准要求,并开发相应的检查规范,以确保要求的可核查性和可度量性。针对普遍存在的问题,形成可复制、可推广且自主可控的技术方案,对有针对性和示范效应的技术,可组织应用和推广。
细化防护目标。在关基保护的具体方向和目标上,一是要防范敌对势力的网络战布局,二是要防范有组织的 APT 攻击,三是要防范有组织的勒索软件攻击。
(本文刊登于《中国信息安全》杂志2023年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。