燃氣企業信息化網絡的安全加固實踐

戴 繪

（天津市賽達燃氣有限公司 天津 300385）

0 引 言

誰掌握了互聯網，誰就把握住了時代主動權。黨的十八大以來，以習近平同志為核心的黨中央重視互聯網、發展互聯網、治理互聯網，走出了一條中國特色治網之道，形成了網絡強國戰略思想，指引我國網信事業取得歷史性成就。在這一重大戰略思想的指導下，網絡安全成為“十四五”規劃中未來中國發展建設工作的重點之一。如今，網絡安全法制建設取得初步成就，《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等重量級法律法規相繼發布，網絡建設規劃、安全防護、安全管理、風險評估等方面內容在全社會得以重視。

近年來，伴隨著國際國內新形勢的不斷變化，我國的網絡安全局勢不容樂觀，特別是疫情以來，安全漏洞、勒索病毒、數據泄露、APT 攻擊等網絡安全威脅日趨嚴峻［1］，國內外針對基礎設施和重要信息系統的網絡入侵事件頻發，攻擊手段不斷升級，網絡威脅呈逐年上升趨勢，給民眾生活、經濟生產、社會穩定、國家安全帶來巨大風險。

1 燃氣企業信息化安全現狀

燃氣企業作為國家重要的能源單位之一，其各項基礎設施建設關乎到能源供給穩定及用戶敏感信息的安全。由于燃氣行業準入門檻低，缺乏相應的信息化人才和建設，使得各企業信息化水平參差不齊，導致業務系統運行的網絡時刻遭受各種攻擊的威脅。不法分子利用網絡漏洞滲透到燃氣企業的業務系統中針對性地展開破壞活動，導致各種運行數據和用戶敏感數據泄露，進而影響正常生產運行。筆者所在的天津市賽達燃氣有限公司機房承載燃氣運行中的數據采集與監視控制系統（SCADA）、氣量氣象預警指揮平臺、客戶服務系統、抄表系統、巡檢系統等系統和數據［2］，其中燃氣管網管線數據和用戶的用氣數據是公司的涉密數據，但在實際運行過程中用戶基本信息和用氣數據需要通過外網進行交互，因此形成了網絡攻擊重災區，該類服務器和系統近年來多次遭受勒索病毒入侵，影響了公司的正常業務運行。

2 網絡安全風險分析

2.1 公司內部風險

結合燃氣企業的實際發展，燃氣信息化的技術和業務系統也在持續不斷的革新中，但由于有些燃氣公司網絡安全意識不強、行業信息安全標準不統一、燃氣業務工作人員職業素養不強、計算機和網絡安全意識水平不高等原因導致安全漏洞產生，風險得不到有效管理，繼而產生了更大、更多的隱患問題。

2.2 系統軟件風險

目前很多燃氣公司都有客戶服務系統、SCADA、地下管線系統等行業特色業務系統［3］，由于這類管理系統一般涉及區域較大、站點分布較多，需要搭建不同的網絡節點和子系統，這個過程必然導致系統網絡安全風險增加，形成安全漏洞，對企業的網絡和信息安全造成威脅。

2.3 系統邊界、節點風險

各燃氣企業信息化建設中或多或少會應用到網絡安全軟件，但無論哪種網絡安全保護軟件都難以實現全覆蓋、全檢測和安全漏洞修復，其保護和保證大都僅限于系統設置的特定部分，特定部分之外就會很容易遭受攻擊，尤其是站點節點位置，許多惡意代碼正是通過這個侵入整個系統。因此，強化系統邊界和節點的控制是提高安全防護實效的關鍵。

3 網絡安全加固方案設計

按照《中華人民共和國網絡安全法》和《信息安全等級保護管理辦法》等法律法規要求，在多年的研究和運行實踐基礎上，我們設計以安全組織體系、安全管理體系和安全技術體系為三大體系的網絡安全體系架構，如圖1所示。

圖1 網絡安全體系架構Fig.1 Network security architecture

3.1 網絡安全組織體系

包含網絡安全小組和人員素質提升兩方面內容，建立完善組織架構、明確責任、提升網絡安全人員素質和技能，重視人員在崗的安全，安全指標與人員績效結合。

3.2 網絡安全管理體系

包含安全制度流程和管理體系建設兩方面內容，以安全策略為主線，落實安全制度和流程，強化記錄存檔管理，將網絡安全管理納入到質量管理體系和職業健康安全體系中，實現過程動態、持續改進。包括風險識別、評估、工作計劃制定、項目管理、運行維護監控、安全審計和改進計劃等，將業務平臺的安全建設與安全保障結合。

3.3 網絡安全技術體系

包含運維審計管理和安全檢測防護兩方面內容，不斷地更新技術，包含準備、預防、檢測、保護、響應、監控評價等，對網絡安全設備及技術保持持續的更新、協調并融合運用到實踐中。運維審計管理主要面對上級主管部門要求的周期主動進行安全檢查工作和內網安全審計，對業務平臺系統配置、漏洞進行規范和預防性掃描，對業務系統運維行為、數據庫操作行為和第三方人員行為進行審計，全面記錄網絡中的會話，并對安全事件準確定位，做到運維全程管理。安全檢測及防護主要面對業務系統當前存在的風險和威脅，對核心網和業務平臺內部的網絡入侵行為、木馬病毒等方面實時監控，以建立起實時監測及防護屏障。

4 網絡安全加固實踐

作為國計民生的重要信息系統，燃氣企業信息化系統的安全建設需緊跟時代要求及國家相關政策法規要求。以筆者所在的天津市賽達燃氣有限公司為例，公司核心機房中承載著以客服系統為代表的業務系統平臺，其居民燃氣表數據采集系統服務器曾多次遭到勒索病毒攻擊，給管理運維帶來了挑戰。

4.1 網絡現狀

筆者所在公司的核心網絡現狀如圖2所示。互聯網接入后經過R-路由器、AF-防火墻、AC上網行為管理串聯接入三層核心交換機，再通過部署二層交換網絡分別接入服務器和辦公網絡。該網絡架構缺乏整體安全感知能力，難以及時發現黑客入侵，以至于安全技術保障體系和安全治理管理體系脫節。

圖2 加固前的網絡圖Fig.2 Network diagram before reinforcement

4.2 存在風險

①安全設施建設不夠完善和規范。目前僅在網絡出口串聯部署了一臺傳統防火墻，只能進行ACL控制，內部網絡各區域邊界模糊，攻擊威脅從內部發起會對網絡安全產生重大影響，造成網絡癱瘓的風險較大。

②缺少終端對終端安全監測和防護措施，無法對安全事件作出迅速響應和處置。終端是網絡攻擊的另一突破口，除了做好網絡邊界的防護外，還應對終端進行安全監測及防護。

③缺乏統一分析和統一運營平臺。安全設備相互隔離，不能直觀地展示全網的安全現狀，對安全設備防火墻、全網行為管理和態勢感知之間無法有效聯動，導致防御設備互為孤島，整體網絡缺乏立體化防護措施和完整事件處置記錄。

④無審計類安全產品，無法收集和記錄系統的各種日志、事件和流量信息，未對這些信息進行比較分析、檢查用戶或系統是否按照要求正常運行的工作過程，難以保證高效、安全運維。

4.3 加固實踐

結合以上網絡現狀的分析，擬通過以下方案進行網絡加固，重點關注網絡安全運維管理及審計體系和安全檢測及防護體系兩方面的內容，具體如圖3所示。

圖3 加固后的網絡圖Fig.3 Network diagram after reinforcement

將現有網絡結構劃分為互聯網出口域、核心交換域、運維管理域、核心業務域和終端接入域 5 個部分，并采取以下措施。

①互聯網出口域：在現有網絡設備的基礎上，出口雙機部署下一代防火墻和全網行為管理，以解決設備問題造成的單點故障，提高網絡傳輸可靠性，同時在各區域邊界部署下一代防火墻，為各區域提供橫向安全防護。

②核心交換域：部署安全潛伏威脅探針 STA，平臺通過人工智能、大數據分析技術進行檢測分析，可視化展現全網安全威脅，同時平臺對接上全網行為管理、下一代防火墻、終端檢測響應平臺設備，實現聯動防御，構建檢測、預警和防御的安全閉環。

③運維管理域：部署安全態勢感知平臺 SIP，本域用于對整體網絡情況進行管理和維護，增加日志審計系統用于收集、記錄系統內的日志、事件和流量信息，對信息進行比較分析。

④核心業務域：部署下一代防火墻（增強級），用于保障核心業務數據和服務器設備（傳統服務器，超融合服務器核心業務集群和云桌面集群）。

⑤終端接入域：部署下一代防火墻（基礎級），將終端接入與核心網絡進行隔離，在局域網內所有終端及服務器部署檢測響應平臺EDR（Endpoint Detection & Response），即端點檢測與響應，解決終端安全問題。

4.3.1 安全運維管理及審計體系建設

針對業務系統平臺提供安全運維管理技術手段，在核心交換域部署安全態勢感知平臺 SIP 和安全潛伏威脅探針 STA，在保證系統正常訪問的前提下實現對網絡中各服務器、網絡設備、終端進行的監測、漏洞管理和配置規范檢查工作，在業務運行過程中提前發現系統配置缺陷及系統漏洞，以避免網絡存在安全隱患。

在管理運維域增加日志審計系統，利用流量鏡像方式將網路流量發送到審計系統中，由審計系統對數據庫操作行為、第三方人員網絡行為等進行檢測、記錄及警示上報工作。

4.3.2 安全檢測及防護體系建設

在核心交換域部署安全潛伏威脅探針 SAT，對緩沖區溢出、SQL 注入、暴力破解、DDOS 攻擊、掃描探測等常見入侵行為進行檢測和上報，加固邊界防護。

在互聯網出口域、核心業務域部署下一代防火墻（增強級），實現入口和業務服務器的貼身式安全防護，有效阻止惡意攻擊手段獲取系統權限、竊取機密敏感數據、傳播木馬病毒等行為。而對于數量眾多且配置標準不一的終端接入域部署下一代防火墻（基礎級），將終端用戶端的安全隱患進行隔離。

4.4 加固效果部分展示

經過 4 個月的運行，一共發生了 561 個安全事件，網絡中被檢測出風險主機 12 個，主要風險包括kasidet木馬遠控、主機對內網發起賬號暴破攻擊、chindo木馬遠控、內網主機遭受互聯網主機發起的Web賬號暴力破解攻擊、主機對內網發起 tcp 端口掃描等，每天發生的事件個數如圖4所示，在11月23日達到最高峰13個。

圖4 安全事件統計圖Fig.4 Statistical chart of safety events

安全事件處置如圖5所示，安全事件逐步減少，有效降低了安全事件發生的概率，成功削減了安全風險的發生，保護了組織信息的機密性、完整性和可用性。

圖5 安全事件處置Fig.5 Safety incident handling diagram

經過以上加固方案的部署和實施，分別針對互聯網出口域、核心交換域、運維管理域、核心業務域和終端接入域5個部分進行加固，建立起了安全檢測及防護體系，使企業整體具備深度防御、持續檢測、快速響應、全天候安全運營特質，構建基于網絡、端點、云端的系統化智能協同聯動防護體系，有效保障了系統運行安全［4］。

5 結 語

①自加固實踐后，公司服務器再未發生勒索病毒的情況，加固效果明顯。加固后能實時全面掌握整個網絡運行情況，出現威脅第一時間響應并處理，保障了業務的連續和穩定。

②為燃氣企業信息化在數據交互、采集和存儲中提供了有力的技術保障，也為保障燃氣供應系統的安全、可靠運行提供了有力的網絡基礎支撐。

③通過本網絡安全加固實踐，替代傳統架構網絡，引入平臺，建立了可視化的網絡安全威脅監控及追查跟蹤機制，輔助以后臺人工分析，保障了業務系統穩定運行，為同行業網絡提供了實踐參考。