1、 20 天 津 科 技第 50 卷 第 2 期第 50 卷 第 2 期2023 年 2 月Vol.50 No.2Feb.2023天 津 科 技 TIANJIN SCIENCE&TECHNOLOGY 应用技术燃气企业信息化网络的安全加固实践戴 绘(天津市赛达燃气有限公司 天津 300385)摘 要:为了阐述网络安全与燃气企业信息化实践的紧密联系,以某燃气公司信息化网络安全加固为例,介绍网络安全加固方案的建立及实践过程。通过双机热备方式在外网出入口部署下一代防火墙、上网行为管理和核心交换设备、全域网络设备安装EDR,在核心网络部署安全态势感知平台 SIP 和安全潜伏威胁探针 STA、增加日志审计系
2、统等方式,保障了网络稳定运行,消除了网络安全隐患,实时监测了网络状况和安全威胁,进而达到了网络全方位加固的目的。关键词:燃气企业信息化 网络安全 安全加固中图分类号:TU996.8 文献标志码:A 文章编号:1006-8945(2023)02-0020-04Research on Practice of Strengthening Information Network Security in Gas Enterprises DAI Hui(Tianjin Saida Gas Co.,Ltd.,Tianjin 300385,China)Abstract:In order to clarify
3、the close relationship between network security and the informatization practice of gas enterprises,taking the informatization network security reinforcement of a gas company as an example,this paper introduces the establishment and practice process of network security reinforcement scheme.By deploy
4、ing the next generation firewall,Internet behavior management and core switching equipment at the entrance and exit of the external network through the dual machine hot standby mode,installing EDR on the global network equipment,deploying the security situation awareness platform SIP and security la
5、tent threat probe STA in the core network,and adding the log audit system,the stable operation of the network is ensured,the hidden dangers of network security are eliminated,and the network status and security threats are monitored in real time,so as to achieve the purpose of all-round reinforcemen
6、t of the network.Key words:informatization of gas enterprises;network security;safety reinforcement收稿日期:2023-02-070 引 言谁掌握了互联网,谁就把握住了时代主动权。党的十八大以来,以习近平同志为核心的党中央重视互联网、发展互联网、治理互联网,走出了一条中国特色治网之道,形成了网络强国战略思想,指引我国网信事业取得历史性成就。在这一重大战略思想的指导下,网络安全成为“十四五”规划中未来中国发展建设工作的重点之一。如今,网络安全法制建设取得初步成就,中华人民共和国数据安全法 中华人民共
7、和国个人信息保护法 关键信息基础设施安全保护条例等重量级法律法规相继发布,网络建设规划、安全防护、安全管理、风险评估等方面内容在全社会得以重视。近年来,伴随着国际国内新形势的不断变化,我国的网络安全局势不容乐观,特别是疫情以来,安全漏洞、勒索病毒、数据泄露、APT 攻击等网络安全威胁日趋严峻1,国内外针对基础设施和重要信息系统的网络入侵事件频发,攻击手段不断升级,网络威胁呈逐年上升趋势,给民众生活、经济生产、社会稳定、国家安全带来巨大风险。1 燃气企业信息化安全现状 燃气企业作为国家重要的能源单位之一,其各项DOI:10.14099/ki.tjkj.2023.02.001 21 2023 年
8、2 月基础设施建设关乎到能源供给稳定及用户敏感信息的安全。由于燃气行业准入门槛低,缺乏相应的信息化人才和建设,使得各企业信息化水平参差不齐,导致业务系统运行的网络时刻遭受各种攻击的威胁。不法分子利用网络漏洞渗透到燃气企业的业务系统中针对性地展开破坏活动,导致各种运行数据和用户敏感数据泄露,进而影响正常生产运行。笔者所在的天津市赛达燃气有限公司机房承载燃气运行中的数据采集与监视控制系统(SCADA)、气量气象预警指挥平台、客户服务系统、抄表系统、巡检系统等系统和数据2,其中燃气管网管线数据和用户的用气数据是公司的涉密数据,但在实际运行过程中用户基本信息和用气数据需要通过外网进行交互,因此形成了网
9、络攻击重灾区,该类服务器和系统近年来多次遭受勒索病毒入侵,影响了公司的正常业务运行。2 网络安全风险分析2.1 公司内部风险结合燃气企业的实际发展,燃气信息化的技术和业务系统也在持续不断的革新中,但由于有些燃气公司网络安全意识不强、行业信息安全标准不统一、燃气业务工作人员职业素养不强、计算机和网络安全意识水平不高等原因导致安全漏洞产生,风险得不到有效管理,继而产生了更大、更多的隐患问题。2.2 系统软件风险目前很多燃气公司都有客户服务系统、SCADA、地下管线系统等行业特色业务系统3,由于这类管理系统一般涉及区域较大、站点分布较多,需要搭建不同的网络节点和子系统,这个过程必然导致系统网络安全风
10、险增加,形成安全漏洞,对企业的网络和信息安全造成威胁。2.3 系统边界、节点风险各燃气企业信息化建设中或多或少会应用到网络安全软件,但无论哪种网络安全保护软件都难以实现全覆盖、全检测和安全漏洞修复,其保护和保证大都仅限于系统设置的特定部分,特定部分之外就会很容易遭受攻击,尤其是站点节点位置,许多恶意代码正是通过这个侵入整个系统。因此,强化系统边界和节点的控制是提高安全防护实效的关键。3 网络安全加固方案设计按照中华人民共和国网络安全法和信息安全等级保护管理办法等法律法规要求,在多年的研究和运行实践基础上,我们设计以安全组织体系、安全管理体系和安全技术体系为三大体系的网络安全体系架构,如图 1
11、所示。图 1 网络安全体系架构Fig.1 Network security architecture3.1 网络安全组织体系包含网络安全小组和人员素质提升两方面内容,建立完善组织架构、明确责任、提升网络安全人员素质和技能,重视人员在岗的安全,安全指标与人员绩效结合。3.2 网络安全管理体系包含安全制度流程和管理体系建设两方面内容,以安全策略为主线,落实安全制度和流程,强化记录存档管理,将网络安全管理纳入到质量管理体系和职业健康安全体系中,实现过程动态、持续改进。包括风险识别、评估、工作计划制定、项目管理、运行维护监控、安全审计和改进计划等,将业务平台的安全建设与安全保障结合。3.3 网络安全技
12、术体系包含运维审计管理和安全检测防护两方面内容,不断地更新技术,包含准备、预防、检测、保护、响应、监控评价等,对网络安全设备及技术保持持续的更新、协调并融合运用到实践中。运维审计管理主要面对上级主管部门要求的周期主动进行安全检查工作和内网安全审计,对业务平台系统配置、漏洞进行规范和预防性扫描,对业务系统运维行为、数据库操作行为和第三方人员行为进行审计,全面记录网络中的会话,并对安全事件准确定位,做到运维全程管理。安全检测及防护主要面对业务系统当前存在的风险和威胁,对核心网和业务平台内部的网络入侵行为、木马病毒等方面实时监控,以建立起实时监测及防护屏障。4 网络安全加固实践作为国计民生的重要信息
13、系统,燃气企业信息 戴绘:燃气企业信息化网络的安全加固实践 22 天 津 科 技第 50 卷 第 2 期化系统的安全建设需紧跟时代要求及国家相关政策法规要求。以笔者所在的天津市赛达燃气有限公司为例,公司核心机房中承载着以客服系统为代表的业务系统平台,其居民燃气表数据采集系统服务器曾多次遭到勒索病毒攻击,给管理运维带来了挑战。4.1 网络现状笔者所在公司的核心网络现状如图 2 所示。互联网接入后经过R-路由器、AF-防火墙、AC上网行为管理串联接入三层核心交换机,再通过部署二层交换网络分别接入服务器和办公网络。该网络架构缺乏整体安全感知能力,难以及时发现黑客入侵,以至于安全技术保障体系和安全治理
14、管理体系脱节。图 2 加固前的网络图Fig.2 Network diagram before reinforcement4.2 存在风险安全设施建设不够完善和规范。目前仅在网络出口串联部署了一台传统防火墙,只能进行ACL控制,内部网络各区域边界模糊,攻击威胁从内部发起会对网络安全产生重大影响,造成网络瘫痪的风险较大。缺少终端对终端安全监测和防护措施,无法对安全事件作出迅速响应和处置。终端是网络攻击的另一突破口,除了做好网络边界的防护外,还应对终端进行安全监测及防护。缺乏统一分析和统一运营平台。安全设备相互隔离,不能直观地展示全网的安全现状,对安全设备防火墙、全网行为管理和态势感知之间无法有效联
15、动,导致防御设备互为孤岛,整体网络缺乏立体化防护措施和完整事件处置记录。无审计类安全产品,无法收集和记录系统的各种日志、事件和流量信息,未对这些信息进行比较分析、检查用户或系统是否按照要求正常运行的工作过程,难以保证高效、安全运维。4.3 加固实践结合以上网络现状的分析,拟通过以下方案进行网络加固,重点关注网络安全运维管理及审计体系和安全检测及防护体系两方面的内容,具体如图 3 所示。图 3 加固后的网络图Fig.3 Network diagram after reinforcement将现有网络结构划分为互联网出口域、核心交换域、运维管理域、核心业务域和终端接入域 5 个部分,并采取以下措施
16、。互联网出口域:在现有网络设备的基础上,出口双机部署下一代防火墙和全网行为管理,以解决设备问题造成的单点故障,提高网络传输可靠性,同时在各区域边界部署下一代防火墙,为各区域提供横向安全防护。核心交换域:部署安全潜伏威胁探针 STA,平台通过人工智能、大数据分析技术进行检测分析,可视化展现全网安全威胁,同时平台对接上全网行为管理、下一代防火墙、终端检测响应平台设备,实现联动防御,构建检测、预警和防御的安全闭环。运维管理域:部署安全态势感知平台 SIP,本域用于对整体网络情况进行管理和维护,增加日志审计系统用于收集、记录系统内的日志、事件和流量信息,对信息进行比较分析。核心业务域:部署下一代防火墙(增强级),23 2023 年 2 月图 4 安全事件统计图Fig.4 Statistical chart of safety events图 5 安全事件处置Fig.5 Safety incident handling diagram联网出口域、核心交换域、运维管理域、核心业务域和终端接入域 5 个部分进行加固,建立起了安全检测及防护体系,使企业整体具备深度防御、持续检测、快速响应、全天候安全运
