上海水務行業關鍵信息基礎設施網絡安全管理工作思考

宗志鋒 宋亮 王驍棟

[摘? ? 要] 隨著《國家網絡安全法》頒布，關鍵信息基礎設施網絡安全保障被提升至法律責任。上海城市用水安全事關社會經濟運行和數千萬人工作生活，水務關鍵信息基礎設施網絡安全問題尤為重要。文章介紹了網絡安全工作的背景、梳理了當前水務業務和網絡安全現狀、分析了網絡安全相關需求，并就如何開展水務關鍵信息基礎設施網絡安全工作提出了思路與建議。

[關鍵詞] 水務;關鍵信息基礎設施;網絡安全

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 11. 062

[中圖分類號] F407? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2019）11- 0145- 03

1? ? ? 背? ? 景

十八大以后，黨中央對關鍵信息基礎設施網絡安全工作高度重視。早在2016年4月19日，習近平總書記就在中央網信辦工作會議講話中指出“我們必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護”。2016年7月，中央網信辦頒布《關鍵信息基礎設施確定指南》（試行），其中明確提到水利樞紐運行及管控、長距離輸水管控、城市水源地管控，市政的水供應管理、污水處理等為關鍵業務，只要達到一定規模所運行的系統即為關鍵信息基礎設施。2017年6月1日，《中華人民共和國網絡安全法》頒布，其中獨辟一個章節專門描述關鍵信息基礎設施的運營者法律責任。自此國家層面的法律規章制度已經將關鍵信息基礎設施的網絡安全提升到了前所未有的高度。

上海作為全球超大城市，其用水安全事關社會經濟運行和數千萬人工作生活，重要性不言而喻。隨著工業互聯網、大數據、云計算等技術的發展與應用，上海水務正在向著智能化和智慧方向發展，這種發展需要水務領域工業控制系統與業務管理系統進行信息交換，從而改變了傳統的隔離與專用的工業網絡。同時隨著各種攻擊、滲透技術的不斷發展，如針對物聯網設置的Botne病毒、WannaCry勒索病毒等，給水務行業關鍵信息基礎設施安全帶來了嚴重威脅。因此無論從政策要求、技術發展還是安全態勢，上海水務關鍵信息基礎設施的網絡安全工作都勢在必行，刻不容緩。

2? ? ? 現狀分析

2.1? ?水務業務現狀

城市水務主要包括原水、制水、給排水和污水處理四大環節。上海水務行業的原水包括青草沙、東風西沙、陳行和金澤四大原水。原水廠負責將原水地水庫的水輸送到自來水廠。上海市的原水廠多為增壓水泵，業務連續性要求較高，一旦中斷，將直接影響全市自來水廠供水。上海規模以上自來水廠幾十家，屬于關鍵信息基礎設施范疇，自動化程度較高。給排水包括全市供水管網和河道閘門泵房的給排水管網控制系統組成。上海市的污水處理包括面向生活污水處理的各區污水處理廠和面向特定工業的專業污水處理廠，污水處理控制系統一旦發生事故，將對環境生態造成嚴重影響。

從總體看，上海的水務行業企業，因其處于上海這個超大城市，整體規模較大，基本都達到關鍵信息基礎設施確定原則中的影響10萬人生活起居的生產業務系統要求。這些企業的控制系統自動化程度高，業務連續性要求較強，一旦發生問題，對上海市的水安全影響較大。

2.2? ?網絡安全現狀

經過多年網絡安全建設，水務行業網絡安全保障能力得到明顯提升，同時仍存在一些問題。

（1）網絡安全管理體系不完善

涉水企業常年重視生產安全，對工業控制系統安全意識不強，認識薄弱，特別在工業控制系統領域，未形成責任落實體系和有效的工作體系。

（2）國外產品普遍存在0day漏洞

水務行業早期控制系統主要采用西門子等國外控制系統和控制軟件，操作系統版本和控制系統常年不更新補丁，導致0day漏洞普遍存在，較易造成攻擊。

（3）安全技術防護薄弱

部分工控系統未按照等級保護要求開展網絡安全防護工作，控制系統網絡邊界缺乏防護，網絡內部缺乏審計，主機系統無防護，黑客一旦進入控制網絡，基本暢行無阻。

（4）網絡安全人才缺失

長期以來，水務關鍵信息基礎設施運營單位沒有足夠重視網絡安全工作，在網絡安全工作落實上也沒有配備專業網絡安全人員，多數由其他工作崗位人員兼任，影響網絡安全工作實效。

總體來講，水務關鍵信息基礎設施網絡安全管理工作成效逐年提升，但是離既定的目標和要求還有很大的差距，仍需要加倍努力。

3? ? ? 網絡安全需求分析

3.1? ?合規要求

根據國家法律法規和行業標準，水務關鍵信息基礎設施網絡安全管理應符合下列要求。

（1）網絡安全法要求

網絡安全法用了一整個章節的篇幅，描述了關鍵信息基礎設施運營者的法律義務。要求關鍵信息基礎設施每年開展風險評估工作;按照等級保護要求，進行重點防護;并在網信辦指導下，開展應急響應相關工作。

（2）等級保護要求

關鍵信息基礎設施至少應達到等級保護三級以上要求。上海的水務行業企業因其規模多數屬于關鍵信息基礎設施，應該按照等級保護要求實施防護措施。技術上建立物理和環境、網絡和通信、設備和計算、應用和數據方面的安全技術體系，管理上應建立安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理等管理體系。應主動完成等保備案工作，按照等級保護要求，每年開展測評工作，建立長效的等保工作機制。

（3）工業控制系統信息安全應用要求

在具體工作開展過程中，應參考工信部頒布的《工業控制系統信息安全應用指南》、《工業控制系統信息安全防護能力測評標準》等工控實踐性較強的標準。認真分析自身的信息安全特點，面向自身實際情況，建立合理調整和裁剪的安全基線，并圍繞基線，開展有工控特色的白名單基線管控體系建設。

（4）網絡安全審查要求

積極學習關鍵信息基礎設施的安全管理體系，慎選工控信息安全產品和服務提供商，增強網絡安全管控體系的自主可控程度。

從合規方面看，水務關鍵信息基礎設施網絡安全管理應遵循在網絡安全法指導下公安部的等級保護標準體系、工信部主導的重要工業控制系統信息安全保障能力和應用要求、網信辦主導的關鍵信息基礎設施審查體系等三大體系的合規要求。

3.2? ?網絡安全保障需求

從網絡安全保障能力來看，水務關鍵信息基礎設施運營單位應積極開展有針對性的、具體的風險評估工作。從原理上，遵從《信息安全技術 信息安全風險評估規范》（GB/T 20984-2015），對具體的應用系統，分析威脅、資產、脆弱性和已采取的安全措施，最后形成剩余風險清單，并制定風險處理策略。從實踐上，要針對具體的安全事件，如勒索病毒、黑客入侵、內部人員誤操作等，在系統中進行推演，從而真正發現威脅利用脆弱性對資產的攻擊路徑和已采取的安全措施對攻擊路徑的阻斷效果。通過這個方法也可以發現主要問題設備和所有路徑中的關鍵節點，并以關鍵節點為要點，補強網絡安全防護措施。

從網絡安全能力建設來看，可參照《信息安全技術 信息系統安全保障評估框架》（GB/T 20274）系列標準，建立控制系統的保護輪廓，即面向控制系統的工作目標、安全假設、工作環境，用形式化語言表述系統的信息安全定義，并根據保護輪廓選擇系統應有的安全功能組件和安全保障組件。針對系統，建設網絡安全技術保障、管理保障和工程保障體系。

4? ? ? 網絡安全工作思路

為保障上海這個國際性超大城市的用水安全，上海水務行業需進一步加快工控系統網絡安全工作，主要采取以下措施。

（1）管理體系建設

關鍵信息基礎設施運營單位應首先樹立正確的工控網絡安全觀，將網絡安全提升到企業戰略高度，把網絡安全與生產安全相融合，建立健全可落實責任的管理體系。按照《網絡安全法》、《工業控制系統信息安全防護指南》、《信息安全技術 工業控制系統安全管理基本要求》（GB/T 36323-2018）等法規標準，結合本單位實際情況，制定符合各方要求且操作性強的管理制度，建立工控網絡安全制度體系，規范工業控制系統網絡安全管理。

作為行業主管部門，可以通過試點工程推進管理制度建設。在梳理國內外法規標準的基礎上，選取具有代表性的關鍵信息基礎設施運營單位進行試點，形成行業規范案例，為其他同類型運行單位提供可借鑒的經驗。

（2）技術防護體系建設

關鍵信息基礎設施運營單位應根據工控系統實際情況劃分物理區域、網絡網段和應用權限三個維度的安全區域，按照“安全基線”防護理念開展技術防護體系建設，主要內容包括網絡基線（如點對點通信模型、點對點通信協議模型、通信協議的指令模型、指令的參數序列等）、主機基線（如主機可運行進程清單、可安裝硬件、可開放端口、可運行服務等）、應用基線（如應用自身完整性、功能訪問最小授權等）、數據基線（如數據訪問最小授權、數據變更規則等）。針對上述基線，采用工業防火墻、工控網絡監控審計系統、工控主機衛士等安全產品，建立基線管控體系，形成工控安全管理中心，一旦發現基線以外的行為，立即采取應急措施，并恢復基線策略。

（3）監督檢查

近幾年，關鍵信息基礎設施網絡安全檢查已經逐步形成了常態化和定期化，檢查工作也從初期的系統信息內容梳理提升為風險操作檢查，但檢查內容正在逐步提高。關鍵信息基礎設施運營單位要在日常管理的基礎上定期開展自查，自查內容包括網絡安全日常制度執行情況和技術漏洞與風險隱患，并及時落實完善整改工作。作為行業監管部門，應當組建檢查隊伍，制定常態化的監督檢查機制。通過監督檢查，一方面將最新的法律法規、政策要求和標準文件進行宣貫和落實，另一方面也反復提醒關鍵信息基礎設施運營單位的網絡安全意識，形成網絡安全警鐘長鳴，安全工作常抓常新的工作態勢。

（4）風險評估和應急響應

風險評估是網絡安全工作的重要環節，通過對關鍵信息基礎設施的資產、威脅、脆弱性和已采取的安全措施的評估分析，形成關鍵信息基礎設施風險清單，運營單位應根據清單制定網絡安全完善措施。對于短時間內無法解決的風險，應該建立關鍵信息基礎設施的網絡安全應急預案。在預案中要充分考慮應急處置措施、證據保留和分級通報機制。應急預案形成后，應開展定期的演練，并不斷完善。風險評估和應急預案是相輔相成的。這兩項工作都需要運營單位長期定期開展。通過定期風險評估，不斷結合當前政策要求和技術發展，調整對威脅和脆弱性的認識，不斷更新風險清單，并根據風險清單，編制應急預案，通過演練使應急響應團隊招之能戰，戰之能勝。

5? ? ? 結? ? 語

隨著網絡安全相關法律法規、標準規范等不斷頒布和完善，水務關鍵信息基礎設施網絡安全防護的要求越來越高，新技術應用也將帶來更多未知風險，因此網絡安全保障將是一項長期的、持續的、動態的工作，需要運營單位和監管部門建立長效機制，共同促進水務關鍵信息基礎設施安全、穩定運行，更好支撐水務業務健康發展。

主要參考文獻

[1]工業和信息化部.工業控制系統信息安全防護指南[S].2016.

[2]國家標準化管理委員會.GB/T 22239-2008? 信息安全技術 信息系統安全等級保護基本要求[S].2008.

[3]王惠蒞.切實加強關鍵信息基礎設施網絡安全保護 [J].信息技術與標準化，2018（6）.

[4]國際標準化組織.ISO/IEC 17799：2005? 信息安全管理實施指南[S].2005.