等保2.0標(biāo)準(zhǔn)下的能源行業(yè)網(wǎng)絡(luò)安全構(gòu)建研究

胡劍杰

摘要：文章先從等保2.0下的等級(jí)保護(hù)規(guī)范及其演變進(jìn)行了簡(jiǎn)要剖析，并比較了等保溫度系數(shù)與等保2.0之間的不同變化。最后又根據(jù)當(dāng)前網(wǎng)絡(luò)安全工作的進(jìn)展情況，對(duì)等保2.0如何在新能源行業(yè)的具體運(yùn)用與實(shí)現(xiàn)展開(kāi)了探討，并試圖為有關(guān)研究人員提供參考。

關(guān)鍵詞：等保2.0;能源安全;網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）16-0027-02

步入21世紀(jì)后，我國(guó)大力推動(dòng)信息化建設(shè)，這是信息化建設(shè)的重大戰(zhàn)略行為，是貫穿落實(shí)科學(xué)發(fā)展觀，全面建成小康社會(huì)，建設(shè)社會(huì)主義和諧社會(huì)和建設(shè)現(xiàn)代化高素質(zhì)創(chuàng)新型大國(guó)的需要和必須抉擇。在新技術(shù)的驅(qū)動(dòng)下，人們的工作生活方式都發(fā)生了重大的變化，人類(lèi)從IT時(shí)代跨越到了DT 時(shí)代。網(wǎng)絡(luò)安全的攻守科技將由靜止、被動(dòng)、縱深防守，到向動(dòng)態(tài)、自主、正面防守的APT攻擊轉(zhuǎn)化。

1等保2.0的出現(xiàn)背景

1.1傳統(tǒng)的安全建設(shè)思路難以應(yīng)對(duì)新型攻擊

伴隨新一代信息技術(shù)發(fā)展與互聯(lián)網(wǎng)攻守斗爭(zhēng)科技的進(jìn)展，人類(lèi)在第五空間——互聯(lián)網(wǎng)生存空間中所遇到的合縱挑戰(zhàn)和攻守斗爭(zhēng)，將從微觀層次直接影響到人們?nèi)粘Ｉ畹囊率匙⌒校瑥闹杏^層次直接影響到公司管理、企業(yè)戰(zhàn)略，以及從宏觀層面直接影響到整個(gè)國(guó)家的經(jīng)濟(jì)健康和發(fā)展水平。以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等為代表的新興信息技術(shù)也正在迅速滲入能源領(lǐng)域，能源企業(yè)的網(wǎng)絡(luò)安全形勢(shì)將面臨新挑戰(zhàn)。尤其是由于各類(lèi)新業(yè)務(wù)、新應(yīng)用、科學(xué)技術(shù)的發(fā)展與創(chuàng)新，傳統(tǒng)等級(jí)保護(hù)的技術(shù)方法已不再適合，于是網(wǎng)絡(luò)系統(tǒng)安全等保2.0規(guī)范（等保2.0）便應(yīng)運(yùn)而生以“勒索病毒”為代表的新型威脅席卷世界，使傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)技術(shù)與手段已無(wú)法有效地保障網(wǎng)絡(luò)空間安全，因此網(wǎng)絡(luò)安全防護(hù)系統(tǒng)必須全面提升。

1.2新的系統(tǒng)形式和網(wǎng)絡(luò)結(jié)構(gòu)的變化出現(xiàn)

新技術(shù)、新服務(wù)條件下的產(chǎn)品和業(yè)務(wù)創(chuàng)新與提升，云數(shù)據(jù)等新一代的信息技術(shù)應(yīng)用，使安全領(lǐng)域深入擴(kuò)展，要求個(gè)人安全的防護(hù)系統(tǒng)水平也將相應(yīng)提升。

1.3對(duì)舊有的等保體系進(jìn)行完善

等保1.0相關(guān)系統(tǒng)規(guī)范已經(jīng)使用了幾年時(shí)間，為配合新《網(wǎng)絡(luò)安全法》的施行，對(duì)原等保系統(tǒng)進(jìn)行了改版，并從適用范圍、工作時(shí)效、簡(jiǎn)易性、操作功能上更進(jìn)一步提升。

2 等保2.0的變化

2.1等保2.0的特征

相對(duì)于級(jí)別保護(hù)的溫度系數(shù)來(lái)說(shuō)，可以將級(jí)別防護(hù)2.0的溫度變化總結(jié)為二個(gè)全覆蓋，三種特點(diǎn)和五種重點(diǎn)變化。兩個(gè)全覆蓋特點(diǎn)：1）遍及各區(qū)域、各單位、各機(jī)關(guān)、各企業(yè)、各組織，同時(shí)遍及整個(gè)社區(qū)。除個(gè)人和家庭外自建網(wǎng)絡(luò)的全面覆蓋。2）覆蓋了各種技術(shù)保障對(duì)象，包含互聯(lián)網(wǎng)、電子商務(wù)信息系統(tǒng)，或者新型的技術(shù)保障對(duì)象，云平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)分析、移動(dòng)互聯(lián)網(wǎng)，還有各種新興科技應(yīng)用[1]。

三大特征：1）等級(jí)防御2.0基礎(chǔ)要求、測(cè)試標(biāo)準(zhǔn)、信息安全設(shè)計(jì)技術(shù)標(biāo)準(zhǔn)架構(gòu)整體統(tǒng)一，即：國(guó)家信息安全標(biāo)準(zhǔn)管理中心支撐下的三大防御構(gòu)成技術(shù)框架;2）將云計(jì)算技術(shù)、移動(dòng)互聯(lián)網(wǎng)，以及物聯(lián)網(wǎng)、工業(yè)控制等領(lǐng)域納入標(biāo)準(zhǔn)規(guī)范，形成了通用信息安全標(biāo)準(zhǔn)+新型應(yīng)用安全擴(kuò)展需求;3）將可信驗(yàn)證作為各別領(lǐng)域和各環(huán)節(jié)的關(guān)鍵功能要求。5個(gè)重要改變：1）名稱(chēng)的改變，“等保2.0”將原有的“信息體系安全級(jí)別防護(hù)”有關(guān)技術(shù)標(biāo)準(zhǔn)的名字更改為“網(wǎng)絡(luò)安全防護(hù)級(jí)別”防護(hù)有關(guān)技術(shù)標(biāo)準(zhǔn)，與《網(wǎng)絡(luò)安全保護(hù)法》相銜接。2）防護(hù)主要對(duì)象的變更，分級(jí)防護(hù)從“信息體系”到“網(wǎng)絡(luò)系統(tǒng)”方面的變更，也反映了防護(hù)主要對(duì)象的擴(kuò)大。防護(hù)主要對(duì)象也從以前的網(wǎng)絡(luò)系統(tǒng)，擴(kuò)大到網(wǎng)絡(luò)系統(tǒng)、基于信息網(wǎng)絡(luò)、云大物移工等新型的信息技術(shù)平臺(tái)以及信息體系方面;3）技術(shù)安全要求的變更，分級(jí)防護(hù)規(guī)定也從以前一種單純的基本規(guī)定，發(fā)展為通用信息安全要求+新型技術(shù)安全擴(kuò)展規(guī)定，將云計(jì)算能力、移動(dòng)互聯(lián)網(wǎng)技術(shù)、大物聯(lián)網(wǎng)、工業(yè)監(jiān)控系統(tǒng)等方面納入了技術(shù)標(biāo)準(zhǔn)規(guī)范;4）對(duì)種類(lèi)結(jié)構(gòu)調(diào)整進(jìn)行構(gòu)建研究，以充分體現(xiàn)一條中心，三個(gè)維護(hù)的思路（和GB/T25070安全設(shè)計(jì)技術(shù)要求保持一致）[2]。等級(jí)保護(hù)的基礎(chǔ)條件、評(píng)價(jià)標(biāo)準(zhǔn)與保護(hù)技術(shù)設(shè)計(jì)技術(shù)要求的框架系統(tǒng)，如：國(guó)家安全管理中心支持下的三大保護(hù)結(jié)構(gòu)框架;5）內(nèi)涵的不同，以往分級(jí)防護(hù)內(nèi)容有五種規(guī)定動(dòng)作，即定級(jí)、審批、安全建設(shè)、分級(jí)評(píng)估和監(jiān)督檢驗(yàn)。但在等保2.0中，分級(jí)防護(hù)的內(nèi)容增加到安全監(jiān)測(cè)、通報(bào)警示、緊急處置、危害評(píng)價(jià)等，其中與安全有關(guān)的研究將被全面融入等保2.0體系中并得到落實(shí)。

等保2.0技術(shù)可以基于工業(yè)控制或網(wǎng)絡(luò)安全基礎(chǔ)，也根據(jù)安全等級(jí)及保護(hù)的基本需求，應(yīng)用于云計(jì)算、物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等技術(shù)，從網(wǎng)絡(luò)層、系統(tǒng)層出發(fā)，通過(guò)風(fēng)險(xiǎn)評(píng)估掌握網(wǎng)絡(luò)安全現(xiàn)狀。網(wǎng)絡(luò)安全防御設(shè)計(jì)Defence-In-Depth的防御思路下，并根據(jù)“網(wǎng)絡(luò)安全分層”“業(yè)務(wù)安全分域”原則，實(shí)現(xiàn)終端安全防護(hù)和網(wǎng)絡(luò)邊界防護(hù)。配置異常監(jiān)測(cè)以提升工控系統(tǒng)及網(wǎng)絡(luò)的監(jiān)測(cè)預(yù)警能力，配置統(tǒng)一安全管理平臺(tái)，建設(shè)安全管理專(zhuān)網(wǎng)，加強(qiáng)動(dòng)態(tài)防御能力。

2.2等保2.0標(biāo)準(zhǔn)簡(jiǎn)析

2.2.1技術(shù)要求

等保2.0的保密信息管理技術(shù)條件增加了數(shù)據(jù)安全監(jiān)督管理技術(shù)條件（由物理保密、網(wǎng)絡(luò)安全、數(shù)據(jù)信息可靠性、使用可靠性、數(shù)據(jù)信息及資料備份，恢復(fù)調(diào)整為數(shù)據(jù)安全物理環(huán)境條件、數(shù)據(jù)安全通信網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)安全區(qū)域邊界、數(shù)據(jù)安全、計(jì)算環(huán)境、信息安全管理中心）。

1）安全的物理?xiàng)l件：重點(diǎn)在防靜電，通過(guò)研究增加靜電去除器、佩戴防靜止手環(huán)等，并增加對(duì)短時(shí)后備電源的需求。

2）安全性通信網(wǎng)絡(luò)：安全性通信網(wǎng)絡(luò)需要對(duì)應(yīng)等保1.0技術(shù)下的網(wǎng)絡(luò)安全保護(hù)部分控制要求（結(jié)構(gòu)安全性控制要求）。重要改變包括：①網(wǎng)絡(luò)結(jié)構(gòu)：對(duì)適應(yīng)高峰期的重要計(jì)算機(jī)網(wǎng)絡(luò)裝置范圍實(shí)現(xiàn)了拓展，并增加對(duì)通信線路、重要網(wǎng)絡(luò)設(shè)備，以及重要計(jì)算裝置的硬件冗余性能要求。②加強(qiáng)對(duì)密碼技術(shù)的使用。③增加可信認(rèn)證條件：把可信認(rèn)證作為各類(lèi)別產(chǎn)品和各環(huán)節(jié)的重點(diǎn)功能要求。用戶(hù)在信息安全工程中，可依據(jù)實(shí)際狀況選用可信計(jì)算的產(chǎn)品或技術(shù)手段，運(yùn)用于整體規(guī)劃防護(hù)中[3]。

3）安全區(qū)域界限：安全區(qū)域界限需要對(duì)應(yīng)等保1.0技術(shù)標(biāo)準(zhǔn)下的網(wǎng)絡(luò)安全保護(hù)部門(mén)控制點(diǎn)（接入管理、安全性審核、邊界完整性檢測(cè)、侵入防止、非法代碼防止等）。等保2.0相比于等保1.0，增加了可信驗(yàn)證控制點(diǎn)，并且在其他控制點(diǎn)部分的要求進(jìn)行了加強(qiáng)與創(chuàng)新。

4）安全性軟件：安全性軟件需求，等保2.0針對(duì)等保1.0技術(shù)的計(jì)算機(jī)安全性，整體計(jì)劃從控制點(diǎn)利益出發(fā)，新增加了可信認(rèn)證和信息保障二個(gè)管理點(diǎn)。

使用等保2.0要達(dá)到的目的是根據(jù)業(yè)務(wù)應(yīng)用特性，對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行了梳理與劃分，配置工業(yè)防火墻，細(xì)化強(qiáng)化通訊策略;針對(duì)工業(yè)主機(jī)終端部署可信白名單安全防護(hù)，抵御漏洞風(fēng)險(xiǎn)，避免網(wǎng)絡(luò)病毒感染傳播風(fēng)險(xiǎn);部署網(wǎng)絡(luò)監(jiān)測(cè)、安全審計(jì)、安全運(yùn)維系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)整體安全態(tài)勢(shì)的把控，溯源分析，以及通過(guò)安全的通道進(jìn)行運(yùn)維操作。部署的統(tǒng)一安全管理中心，則將單點(diǎn)單方向的安全防護(hù)納入一個(gè)集成平臺(tái)，進(jìn)行綜合的安全管理控制，提升網(wǎng)絡(luò)安全性。

2.2.2管理要求

將原網(wǎng)絡(luò)安全體制、專(zhuān)業(yè)技術(shù)人員網(wǎng)絡(luò)安全管理工作、系統(tǒng)建設(shè)管理工作、信息系統(tǒng)運(yùn)維服務(wù)調(diào)整為網(wǎng)絡(luò)安全管理工作、信息系統(tǒng)網(wǎng)絡(luò)安全工程建設(shè)運(yùn)營(yíng)管理、信息系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維服務(wù)。

3 關(guān)于構(gòu)建能源行業(yè)等級(jí)保護(hù)的思考

能源行業(yè)一直以來(lái)都在嚴(yán)格貫徹落實(shí)中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組相關(guān)規(guī)定，并實(shí)施國(guó)家的網(wǎng)絡(luò)安全分級(jí)防護(hù)管理體系。在CT-155的發(fā)展藍(lán)圖中，也把網(wǎng)絡(luò)安全視為國(guó)家五大保障體系之一。但不管YCIT495-2014還是CT-155，二者都是嚴(yán)格按照等保溫度系數(shù)的有關(guān)規(guī)定進(jìn)行設(shè)計(jì)。所以在等保2.0的年代進(jìn)行等保工作，就必須根據(jù)等保2.0的有關(guān)規(guī)定，對(duì)自身的安全結(jié)構(gòu)加以更新改進(jìn)。

3.1安全通信網(wǎng)絡(luò)

因?yàn)榛ヂ?lián)網(wǎng)上數(shù)據(jù)傳輸時(shí)通常都會(huì)通過(guò)幾個(gè)中間傳送節(jié)點(diǎn)，而且互聯(lián)網(wǎng)協(xié)定往往存在著規(guī)范透明的特性，因此很易產(chǎn)生非法修改行為，而針對(duì)這些情形必須有足夠強(qiáng)度的秘密科技才可以避免非法篡改行為產(chǎn)生，同時(shí)確保了數(shù)據(jù)完整性，所以在數(shù)據(jù)傳輸過(guò)程中必須選擇國(guó)產(chǎn)或商用密鑰技術(shù)加以保護(hù)，提升通信安全。

3.2安全區(qū)域邊界

3.2.1強(qiáng)化訪問(wèn)控制和安全審計(jì)

安全區(qū)域邊界包括在安全設(shè)計(jì)決策邊界，以及在安全設(shè)計(jì)決策和安全計(jì)劃通信網(wǎng)絡(luò)之間進(jìn)行連通和執(zhí)行安全設(shè)計(jì)策略的部件，主要是在安全計(jì)劃城市邊境部署防火墻和城市邊境防御過(guò)濾裝置，根據(jù)使用協(xié)定和應(yīng)用規(guī)范的監(jiān)控管理，對(duì)各種數(shù)據(jù)流進(jìn)行檢查，配備網(wǎng)絡(luò)審查裝置，對(duì)進(jìn)入計(jì)算環(huán)境邊界并使用網(wǎng)絡(luò)的使用者的行為實(shí)施有效審查。

3.2.2安全管理中心

按照等級(jí)防護(hù)的有關(guān)規(guī)定，政府應(yīng)當(dāng)設(shè)置安全管理中心，以完成政府對(duì)安全計(jì)算環(huán)境、安全區(qū)域邊界防護(hù)和安全通信網(wǎng)絡(luò)的統(tǒng)籌監(jiān)管，以保障安全運(yùn)作。而安全管理中心則是一種功能集合的概念，核心任務(wù)是完成對(duì)各種安全機(jī)制的統(tǒng)籌集中管理。安全行政中心是安全管理系統(tǒng)平臺(tái)或區(qū)域?qū)崿F(xiàn)，一般有安全系統(tǒng)管理、審計(jì)管控和集中監(jiān)測(cè)等幾個(gè)功能，為整個(gè)體系提供了統(tǒng)一的、集中的、規(guī)范的管理手段和機(jī)制。目前，一般采用了狀態(tài)感知、堡壘機(jī)、日志審計(jì)等設(shè)備和手段完成。

綜上所述，在安全分級(jí)防護(hù)機(jī)制和重要信息安全基礎(chǔ)設(shè)施保障機(jī)制下，本方案從終端安全防護(hù)、安全監(jiān)測(cè)、安全審計(jì)、統(tǒng)一管理等不同功能方向，結(jié)合采用功能安全與信息安全生命周期安全防護(hù)，應(yīng)用不同層次、不同方面管控網(wǎng)絡(luò)和安全防護(hù)。具體建設(shè)實(shí)施內(nèi)容包括：1）網(wǎng)絡(luò)安全分層分區(qū)通過(guò)工業(yè)防火墻實(shí)現(xiàn)管理網(wǎng)與生產(chǎn)網(wǎng)的隔離，并保證數(shù)據(jù)傳輸需求;根據(jù)業(yè)務(wù)劃分安全區(qū)域，對(duì)跨裝置之間存在操作站互聯(lián)的情況，在操作站之間加裝工業(yè)防火墻，實(shí)現(xiàn)安全域之間的安全通信;通過(guò)防火墻對(duì)控制系統(tǒng)進(jìn)行防護(hù)，保護(hù)下裝控制器的數(shù)據(jù)在傳輸中不被病毒篡改及刪除，防止控制網(wǎng)中節(jié)點(diǎn)感染病毒。2）主機(jī)可信安全工控主機(jī)（服務(wù)器、工程師站、操作站）配置了主機(jī)安全防御白名單軟件，白名單防護(hù)方法是指通過(guò)對(duì)工控上位機(jī)和服務(wù)器的安裝，配置主機(jī)安全防護(hù)平臺(tái)并對(duì)其進(jìn)行全面的安全保護(hù)，包括計(jì)算機(jī)進(jìn)程管理、可信特征庫(kù)生成、主機(jī)USB接口管理、控制策略配置、白名單運(yùn)行控制、自身完整性保護(hù)等功能。3）網(wǎng)絡(luò)安全監(jiān)控、審核和運(yùn)維，利用異常監(jiān)測(cè)系統(tǒng)實(shí)現(xiàn)互聯(lián)網(wǎng)上非法操作、非正常事件、外部入侵，并進(jìn)行及時(shí)報(bào)警;利用審計(jì)系統(tǒng)可以對(duì)工程網(wǎng)絡(luò)應(yīng)用中出現(xiàn)的各種活動(dòng)，進(jìn)行合同審計(jì)、行為審計(jì)、信息審計(jì)、流量審計(jì);利用運(yùn)維管理系統(tǒng)，可以截?cái)噙\(yùn)維終端用戶(hù)對(duì)工程網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)資源的實(shí)時(shí)使用，并利用合同代理的方法，構(gòu)建具有唯一性身份標(biāo)識(shí)的全域網(wǎng)絡(luò)實(shí)名制用戶(hù)管理系統(tǒng)，構(gòu)建集中拜訪與控制的細(xì)粒度的命令級(jí)授權(quán)手段，進(jìn)行集中有序的運(yùn)維工作安全管控，對(duì)客戶(hù)系統(tǒng)從注冊(cè)到退出的全程使用活動(dòng)實(shí)施審計(jì)，以加強(qiáng)對(duì)工程系統(tǒng)和設(shè)施遠(yuǎn)程保護(hù)的安全管控。4）數(shù)據(jù)備份系統(tǒng)針對(duì)生產(chǎn)數(shù)據(jù)、文件以及系統(tǒng)進(jìn)行保護(hù)，定期備份。在災(zāi)難事件發(fā)生時(shí)，可將數(shù)據(jù)以及操作系統(tǒng)恢復(fù)至最新備份時(shí)間點(diǎn)，以保證生產(chǎn)業(yè)務(wù)的快速恢復(fù)。并可為后期實(shí)施數(shù)據(jù)中心建立基礎(chǔ)。5）建立工業(yè)安全管理系統(tǒng)專(zhuān)網(wǎng)，建立統(tǒng)一安全信息管理平臺(tái)，統(tǒng)一集中管理工業(yè)自動(dòng)化的系統(tǒng)設(shè)備、安全設(shè)備信息和日志數(shù)據(jù)，對(duì)各個(gè)設(shè)備日志數(shù)據(jù)關(guān)聯(lián)分析，對(duì)整個(gè)工業(yè)工控安全設(shè)備的情況統(tǒng)一顯示和分析[4]。這是等保2.0安全管理中心的具體體現(xiàn)。6）構(gòu)建安全管理制度，健全制度規(guī)范按安全分級(jí)防護(hù)要求，本次項(xiàng)目在完成技術(shù)防護(hù)基礎(chǔ)上，配合企業(yè)，建立了安全管理體系，應(yīng)用了安全管理制度，包括組織人員、物理及環(huán)境、應(yīng)急預(yù)案、運(yùn)維管理等，以保障安全管理制度對(duì)運(yùn)維工作的可靠性[5]。

4 結(jié)束語(yǔ)

綜上所述，隨著能源行業(yè)現(xiàn)代化程度的日益提升，能源行業(yè)面對(duì)的安全風(fēng)險(xiǎn)越來(lái)越嚴(yán)峻。等保2.0系統(tǒng)要求的實(shí)施與運(yùn)用，為能源行業(yè)網(wǎng)絡(luò)安全性提出了有效的評(píng)估方法與依據(jù)。

參考文獻(xiàn)：

[1] 傅鈺.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0下的安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（8）：13，16.

[2] 馬力，陳廣勇，祝國(guó)邦.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0國(guó)家標(biāo)準(zhǔn)解讀[J].保密科學(xué)技術(shù)，2019（7）：14-19.

[3] 徐震.網(wǎng)絡(luò)安全等級(jí)保護(hù)：從1.0到2.0[J].保密工作，2019（7）：63-64.

[4] 周元德，龍?jiān)疲瑮顣员螅?勘察設(shè)計(jì)集團(tuán)企業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的建設(shè)[J].電子技術(shù)與軟件工程，2018（5）：221-222.

[5] 侯振堂，申康，崔鑫，等.等保2.0標(biāo)準(zhǔn)下的能源行業(yè)網(wǎng)絡(luò)安全工作的探究[J].通訊世界，2019，26（12）：75-76.

【通聯(lián)編輯：謝媛媛】