傳統企業關鍵信息基礎設施網絡安全防護

崔 潔

（北京華科軟科技有限公司，北京 100000）

傳統企業在推進數字化轉型的道路上面臨多重考驗，一方面是新架構下關鍵信息基礎設施范圍不斷擴大，相對應的安全防護技術也在發生變化，傳統的硬件防火墻在大多數情況下已經無法應對現今的網絡威脅。另一方面，越來越多的業務數字化，必然會暴露更多的攻擊面，同時由于云計算的普及，網絡安全邊界不再清晰，企業信息化管理人員對IT 基礎設施的管理力度在逐漸下降，面對的網絡安全問題更加復雜，進而安全風險也在加大。再者，自實施制造強國戰略“中國制造2025”以來，由于更開放的業務需求，制造領域以工業控制系統為基本單位的工控網絡進入大眾視野，由舊時完全獨立的隔離網絡轉變為開放的、廣覆蓋的網絡生態，采用新一代信息通信技術與先進制造業深度融合，謂之工業互聯網，在新時代的安全形勢下，企業既需要平衡信息系統開放和網絡安全之間的矛盾，又需要解決頂層安全規則、規范與項目部終端落地之間的落差。

對于企業網絡安全防護設施來講，一定要認清四點：一、基礎設施一定有漏洞；二、一定有已知但未修復的補丁；三、信息系統很可能已經被入侵；四、內部人員不一定可靠。要深刻理解風險是無處不在的，區別只是能否有效的控制風險的范圍及發生頻率。風險本身來自于外界的威脅和自身的脆弱性，關鍵信息基礎設施的網絡安全防護既要采用有效手段抵御外界威脅，又需要從內部查漏補缺，提升系統的健壯性，優化安全管理手段。

2018年11月，公安部發布《信息安全技術網絡安全等級保護基本要求》，正式宣告等保進入2.0時代。等保2.0在其保護的對象范圍上，由網絡、信息系統等傳統基礎設施擴展到云平臺、工業控制系統、大數據、移動互聯網、物聯網等新時期技術手段。而其要求對象也是囊括各地區、各單位、各企業、各機構，即對于全社會成員來講都要落實等級保護制度。通過開展等級保護相關工作，督促企業評測、自查，發現自身網絡及信息系統安全防護能力與國家標準之間的差距，挖掘安全隱患，通過整改提高信息系統安全防護能力，降低網絡被攻擊的風險。

關鍵信息基礎設施網絡安全防護主要集中在三個方面：數據安全、平臺安全以及生產安全。

數據歷來是一家企業的重中之重，由信息技術發展帶來的海量數據，逐漸成為其核心資產，直接涉及到企業的商業秘密，關乎企業的未來發展。同時，只有依托于真實可靠的數據，企業才能完成向智能制造的轉變，通過數據的流通和傳遞，提升全產業鏈的資源利用率以及生產效率。數據安全圍繞著保密性、完整性、可用性分區分域和網絡專用是企業中常見的兩種數據安全保障手法，但是隨著云計算發展帶來的紅利以及工控網絡的開放需求，網絡邊界變得日漸模糊，傳統的防護手段在一定程度上已經影響到了業務的開展。結合以竊取數據為目的的攻擊手法均屬于應用層攻擊，傳統的防火墻及IPS、IDS 很難有效抵御，這就催生了安全態勢感知系統的發展。

平臺是數據流轉的載體，企業在日常運營中經常以“業務不斷”為終極目標，從最開始的同城災備，到兩第三中心，再到業務雙活，不斷提升的需求也為基礎設施建設帶來了極大的壓力。我們不妨在平臺建設時換一個角度去思考，“業務不斷”并不等于“業務不宕機”，而是說基于一個穩定的、可擴展的平臺，使信息化業務系統具備快速復制、生長、應用的能力，在遭受網絡威脅時能夠迅速恢復。同時，平臺的健壯性是由各個業務系統服務器以及計算機終端的健壯性共同決定的，及時對系統打補丁和防病毒是最有效、卻也是最難執行到位的安全防護手段，所以定期執行漏洞掃描測試，并根據測試進行系統加固尤為必要。

生產安全通常被企業劃分在網絡安全防護之外，但在實際應用場景中，我們應該站在一個“大安全”的角度。首先是人員安全，建議在企業范圍內設置專項安全管理部門或是安全管理負責人，并對關鍵崗位人員加強培訓并進行審查。其次是操作安全，在網絡日常的運行維護中，多數故障都是因為人為操作失誤導致的，制訂詳細的操作流程及管理制度可大幅降低運維人員誤操作的風險。最后是設備安全，對于生產設備，應集中存放、集中管控，配備門禁，限制訪問人員；對于終端設備，應限制其接入，避免非授權設備接入網絡帶來的風險。

繼2019年以來，國內外網絡安全形勢日益嚴峻，關鍵信息基礎設施的網絡安全防護工作尤為重要，而作為支撐中國經濟發展的能源、建筑、制造等傳統企業又是重中之重，未來戰爭必將會是能源戰爭以及經濟戰爭為先導，保障好傳統企業的網絡安全，即是維護國家機器的正常運轉及行政安全，必將在未來的發展中不斷前進與革新。