网络攻击威胁逐年增加,各类漏洞数量持续攀升,大量信息系统存在漏洞,传统网络安全问题已向工业控制领域延伸⋯⋯
文/陈斯迅
关键词:网络安全 网络安全法 网络安全等级保护制度2.0 漏洞扫描 渗透测试
近年来,随着企业信息化建设水平的逐步提高,OA、ERP、EAM、MES等信息系统的应用大大提高了生产效率,但是,在业务对信息化越来越依赖的情况下,网络安全问题频繁发生。网络攻击威胁逐年增加,大量信息系统存在漏洞,传统网络安全问题已向工业控制领域延伸,加强企业网络安全管理显得更加迫切。
从《网络安全法》颁布到网络安全等级保护制度2.0的出台,都彰显了国家对网络安全的重视。中国石油管道公司根据政策要求,逐步完善了相应网络安全制度,设立专职网络安全岗位,部署了漏洞扫描、防火墙等网络安全设备,每年进行渗透测试,从外部通知整改转变为自查漏洞并整改的网络安全管理模式。公司根据“策略—防护—检测—响应—恢复”模型(PPDRR模型),构建起一套网络安全管理体系。
网络安全总体策略
由于信息系统在企业生产经营中扮演着重要角色,业务部门都会自建和维护本部门的信息系统,如财务处负责FMIS、AMIS等系统的建设和运维,人事处负责人力资源、绩效考核系统的建设和运维⋯⋯这些系统由各业务部门负责,这就给网络安全增加了更大的风险。另外,网络安全工作还涉及工业控制系统的安全、商业信息保密、员工个人隐私等多方面的问题,传统的信息管理部门难以协调解决涉及面如此广泛的问题。基于以上原因,公司成立了网络安全领导小组,由公司总经理任组长,负责公司总体网络安全工作。网络安全领导小组建立了相关的规章制度和操作规范,包括设备管理制度、机房管理制度、安全基线手册、应急预案、漏洞管理制度等,使各项业务有章可循。同时,明确各相关部门的职责,按照谁主管谁负责的原则层层落实网络安全责任。将各个系统的安全需求统筹考虑,统一管理公司网络安全投资,以法律法规和网络安全检查的结论为依据,形成下一年度的投资计划。
信息设备管理
信息设备管理是信息化管理工作的基础,同时也是网络安全工作的基础。几年前,当漏洞被发现时,最大的难题是如何找到IP地址所对应的设备,具体由谁负责。面临这种问题,公司建立了IP地址实名制管理制度,并配套相关系统进行管理,每一个条目中记录了IP地址、对应设备、人员、单位、物理位置、设备中包含的相关软件等信息。建立此类信息一方面可以通过相关设备收集网络信息,另一方面可以通过下发通知、调研等方式,获得IP地址对应的人员信息。公司通过这项管理机制,将网络安全责任根据设备的责任主体落实到部门和人员。
机房和网络保护
在物理安全方面,公司确保机房的建筑防火、耐火等级、耐火极限、安全出口等建设符合国家标准。确保机房温度、湿度、空气含尘浓度、噪声、电磁干扰、振动及静电等指标符合国际相关要求;安装门控系统,只有机房管理员和主要运维人员可以通过指纹识别进入机房。
合理的网络架构是网络安全的基础。公司相关分支机构分布在17个省,以前各个机构和总部的局域网互联互通,每个机构有自建的互联网出口。但是,由于分支机构的安全防护能力不足,经常有安全事件发生。近几年公司关闭了所有分支机构的互联网出口,在总部的互联网出口上部署安全设备,统一防范网络威胁,同时各分支机构的主要服务器都集中在总部机房。对企业局域网进行安全划分,每个分支机构到总部的出口都部署防火墙,防止病毒等攻击行为在局域网内部扩散;为总部每个部门设置VLAN,隔离ARP病毒等数据链路层风险;对于有关生产安全或涉密信息的系统,建立专网与其他网络物理隔离。在服务器区,根据等保定级划分不同安全区域,同时分离出生产区和测试区,测试区的系统只有开发者、管理员以及安全检查人员可以访问。
信息系统基本保护
公司全面部署漏洞补丁和病毒查杀系统,办公电脑方面,安装桌面安全系统,集成补丁自动分发、病毒查杀等多种功能;服务器方面,因为更新补丁会影响服务器正常运行,所以不能自动更新安装,而是部署专门下载各种操作系统以及常见软件补丁的服务器,由信息系统运维人员进行人工补丁安装。公司制定了安全基线,对主流操作系统、数据库、Web服务器制定了明确的安全配置要求和操作步骤,对信息系统起到基本的保护作用。对信息系统进行访问控制管理,任何人员开通账号或增加权限都需要经过审批,同时进行权限互斥检查。在管理员层面,操作系统管理员、数据库管理员、应用系统管理员须由不同人员担任,重要信息系统的权限也要进行互斥检查。如在ERP系统中,价格维护权限要和维护销售订单权限互斥,销售出库权限要和销售发票权限互斥。
面对众多的信息系统账号,如何保证系统信息安全是一个重要问题。石油企业拥有众多员工,应建立企业内部的PKI(公钥基础设施),并为电脑和系统使用人员办理数字证书,作为人员在企业中访问所有信息资源的唯一凭证。通过数字证书对各个信息系统以及办公电脑的映射,可以有效防止人员账号密码被非法使用。同时,在人员离职时可以通过注销数字证书的方法直接取消离职人员的所有访问权限,消除潜在威胁。
信息系统安全保护,不仅需要定期安全检查,在系统开发时期就需要实施安全开发。当前,公司由于人员和技术力量的原因,尚未建立全面的安全开发措施,主要工作是建立起一套安全代码开发规范,指导开发人员编写程序,同时严格执行上线前的安全检查。在合规性方面,要求所有系统必须通过等级保护的定级、备案和测评,才允许系统部署在测试区。在测试区,技术人员对系统进行漏洞扫描和渗透测试,作为系统验收的重要部分,开发人员对系统完成整改并通过验证后才能部署到生产区。
漏洞管理机制
信息系统漏洞的检查和整改一直以来都是公司网络安全的重点工作。对于共有漏洞,部署漏洞扫描设备,定期对公司进行全网扫描;对于自建信息系统的私有漏洞,需要通过渗透测试的方法发现漏洞。一方面需要专业的队伍才能有效发现漏洞,另一方面自建系统往往涉及公司主要业务和相关机密信息,相关工作全部委托给外部人员安全风险较大,而且相比漏洞扫描来说,渗透测试工作主观性较强,评估外部人员的完成情况需要有较强的技术基础。
面对以上问题,公司采取了委托外部机构和培养内部技术力量相结合的方式,每年定期委托外部专业机构对公司信息系统进行渗透测试,内部技术人员负责对漏洞进行验证和整改,公司授予内部技术人员查看系统源代码的权利,并建立奖励机制鼓励内部技术人员随时挖掘漏洞。2018年以来,公司共通过代码审计和渗透测试发现私有漏洞5类31项。发现漏洞的目的是修复漏洞,私有漏洞总体数量较少,而且通常可以修改系统源代码,修复相对容易;共有漏洞数量庞大,如2017年进行了全网扫描,漏洞达到11405项,虽然通过补丁分发以及安全基线配置等措施,2019年漏洞数量仍然达到3104项。由于漏洞整改需要相关厂商提供补丁,如果补丁无法正常安装,则漏洞很难完成整改。例如,公司发现多个HP打印机有SSLTLS受戒礼漏洞,但厂商没有提供相关补丁或者系统升级服务。
根据上述问题,公司对漏洞采取分级管理的方法,对于共有漏洞,漏洞扫描设备中会给出漏洞的相关评分,该评分是根据CVE等国内外权威机构给出的标准,同时根据信息系统和相关设备的重要程度、当前存在的主要威胁,对每个漏洞进行打分,满分为10分。对于分值在6分以下的漏洞,只通知其使用或运维人员,不要求其反馈;对于6分至9分的漏洞,必须反馈整改结果并对其验证;对于9分以上的漏洞,服务器立即从生产区转移到测试区,检验其完成整改后才能恢复正常运行。对于评估分数较低的漏洞采取只通知不要求反馈的措施,在企业体系审核的过程中经常被提出质疑,认为缺乏闭环管理。然而,这项措施是根据企业实际情况提出,一方面网络安全管理人员严重缺乏,另一方面部分漏洞的整改耗费大量资金和时间,但这些漏洞造成的风险并不大,虽然只通知不反馈,但由于广大员工安全意识较高,在下一轮的漏洞扫描中,发现有一半以上漏洞被整改。
网络安全检测
网络安全风险评估中的三个基本要素是资产、威胁、脆弱性,网络安全保护主要工作是通过事前的各种安全措施,降低各种资产的脆弱性。对于内外部威胁,公司也采取了相关检测措施。
物理检测方面,在重点区域部署摄像头并存储现场视频,对发现的可疑人员进行审查;每隔2小时对机房进行巡检,通知系统管理员对不正常运行的服务器进行处理。
情报获取方面,每天对国内外主流网站、政府主管部门等发布的最新威胁情报进行分析,针对企业信息设备情况进行自查和防范。
网络检测方面,部署态势感知系统,全面分析网络状态和入侵威胁,及时阻断具有威胁的外部IP地址。如果发现向外部发起攻击的内部IP地址,现场或远程查看其相应设备,对其进行行为分析和病毒查杀。
在安全审计方面,要求服务器的Web日志、操作系统日志、数据库日志都要保持半年以上,定期检查并处置异常行为。
事件响应和恢复
尽管开展了各方面的网络安全保护和检测工作,通过事前和事中的管控避免对网络和信息系统造成损失,但是安全事件的事后应对工作也是不可或缺的一个方面。公司建立网络安全应急预案,设立突发事件应急领导小组,明确小组成员以及工作职责,对安全事件进行分级分类管理;设立安全事件处置流程,和相关厂商签订协议,确保其对安全事件应急的技术支持。对信息系统、网络链路、数据、相关设备采取冗余备份措施。每年对安全应急预案进行应急演练,并根据演练结果不断优化应急预案。
网络安全培训
由于网络安全工作具有特殊性,一方面与每一位员工的工作都密不可分,另一方面涉及计算机、信息学科的各个领域,知识面广泛,技术更新快,需要定期对信息技术人员进行专业培训。基于此,公司网络安全培训分为三个方向:一是面向全体员工的培训,提升其网络安全意识,并讲授计算机使用时安全防御的基本操作技能;二是面向各分支机构信息管理员的培训,主要讲授公司网络安全管理制度,配置安全基线、整改相关漏洞等基础操作技术;三是面向网络安全技术人员以及信息系统开发人员的培训,通过聘请专业机构进行技术培训,包括渗透测试、源代码审计、系统安全运维等方面,同时鼓励技术人员参加网络安全比赛和考取相关证书,提高技术水平。■
作者单位 中国石油管道公司
|