熱力行業網絡安全建設思路

導語：熱力行業網絡安全建設思路一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

【摘要】本文分析了未來網絡安全的趨勢，并列舉了熱力行業作為公益性基礎服務事業的網絡安全威脅防范和網絡安全建設的需求，提出了熱力行業網絡安全規劃新思路、網路安全規劃總體性要求、規劃原則、安全規劃框架、網絡安全規劃實施步驟及每階段目標任務，從而為熱力行業在新形勢下的網絡安全建設提供一種思路。

【關鍵詞】熱力行業;網絡安全;等級保護;基礎設施;基礎防護;智能管控

一、網絡安全形勢

隨著計算機和通信技術的發展，網絡信息的安全和保密已成為一個至關重要且急需解決的問題。計算機網絡所具有的開放性、互連性和共享性等特征使網上信息安全存在著先天不足，再加上系統軟件中的安全漏洞以及所欠缺的嚴格管理，致使網絡易受攻擊。因此網絡安全所采取的措施應能全方位地針對各種不同的威脅，保障網絡信息的保密性、完整性和可用性。綜合考量2017年經歷的網絡安全事件，2018年及以后整個網絡安全行業的趨勢或將出現如下情況：（一）勒索軟件攻擊。勒索攻擊成為網絡攻擊的一種新常態，網絡攻擊者將調整目標，從傳統的目標轉向利潤更高的勒索目標，其中包括高凈值個人、連接設備和企業。（二）會有更多的僵尸網絡物聯網。（IoT）攻擊由于制造商安全能力不足和行業監管缺失，2018年物聯網設備的安全威脅將愈演愈烈，對用戶的個人隱私、資金財產乃至人身安全會出現很大問題造成巨大損失。（三）針對關鍵基礎設施的網絡攻擊升級，攻防兩端的對抗將加劇。攻擊目標從電力、交通等“命脈”設施，延伸到公共服務系統、重要工業企業的生產設施、互聯網關鍵基礎設施。我國相關主管機構也已經組織了多次針對電力、民航等關鍵基礎設施的攻防演習，從已經實施的《網絡安全法》到正在征求意見的《關鍵信息基礎設施保護條例》，都將關鍵基礎設施保護上升到了國家戰略層面，集中力量、加大投入、創新技術、提升能力將成為保障關鍵基礎設施安全的趨勢和方向。（四）個人數據隱私保護將通過法律等技術手段向前推進。隱私保護從爭議話題開始邁向通過法律和技術方案的務實推進。以此應對云計算、大數據、移動互聯網及跨境數據處理等應用場景所帶來的新挑戰。目前我國沒有統一的個人信息保護法，但是通過“徐玉玉案”等一系列案件給社會帶來的不良影響，使人們充分意識到了個人信息泄露和濫用所帶來的嚴重社會危害，同時也催生個人信息保護立法落地。

二、熱力行業開展網絡安全建設的必要性

城市供熱系統是城市熱力供應的重要組成部分，是城鎮建設的重要基礎設施之一。供熱行業屬于公益性事業，與電力、燃氣、水務、交通等行業一樣屬于國家重要城市工業基礎設施，供熱系統的安全穩定運行也是國民經濟、社會運行的重要基礎。（一）熱力行業面臨的主要威脅。對于熱力行業信息系統的威脅攻擊而言，無論攻擊者處于何種動機，攻擊方式和手段如何變化，都會指向特定的目標，攻擊成功后將導致熱力企業的業務和聲譽受損，依據《網絡安全法》，攻擊者甚至面臨法律懲罰。面對可能的攻擊，熱力企業需要謹慎思考攻擊路徑、分析威脅和漏洞，進而勾畫出全面的風險視圖并制定安全控制措施?？赡艽嬖诘耐{有：（1）破壞供熱系統，中斷正常供熱；（2）內部人員失誤導致業務中斷；（3）竊取供熱用戶身份、供熱信息；（4）竊取財務或辦公信息；（5）內部人員非法交易用戶身份、供熱信息；（6）外包人員在程序中安插后門；（7）跨國的政治或商業目的信息竊?。?）惡意軟件；（9）網絡被攻擊、通信中斷；（10）自然災害。（二）熱力行業數據安全的需要。熱力行業相關單位的數據格外引人注目，除了企業內的財務、行政、人力等管理數據外，更多的敏感數據為供熱用戶信息等。任何由內外原因疏漏導致的數據泄漏都將使企業遭受重創，后果會很嚴重。供熱行業的管理趨于數字化，《網絡安全法》及更多法律法規的出臺，可能會加劇企業保護數據安全的負擔。但數據是核心的信息資產，企業必須適應環境的變化，不能消極、退讓、躲避，只有不斷尋求更佳的安全防護體系和措施才是真正的辦法。（三）熱力行業業務安全的需要。安全不僅僅只是保護基礎設施，更要保障業務系統的安全。也就是說，將安全控制融入到業務流程之中，對業務操作中的安全控制點進行同步監測，進而提前做到安全態勢感知，防患于未然，并節省寶貴的事件響應時間。（四）法律的要求《中華人民共和國網絡安全法》第三十一條：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。第二十一條：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。第三十四條：除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；（二）定期對從業人員進行網絡安全教育、技術培訓和技能考核；（三）對重要系統和數據庫進行容災備份；（四）制定網絡安全事件應急預案，并定期進行演練；（五）法律、行政法規規定的其他義務。

三、熱力行業網絡安全建設規劃

（一）網絡安全規劃新思路。1、全面貫徹落實網絡安全等級保護制度《網絡安全法》第二十一條規定，國家實行網絡安全等級保護制度。從中我們也可以看出國家對于等級保護制度全面貫徹的決心，熱力行各業對這一制度應該嚴格執行。2、對關鍵信息基礎設施實施重點保護《網絡安全法》引入了新的監管維度———對關鍵信息基礎設施實施重點保護。熱力行業首先要識別當前納入到關鍵信息基礎設施范圍的應用系統，如供熱生產監控系統、掌上熱力APP、城區供熱服務平臺等等，對關鍵信息基礎設施重要系統和數據庫進行容災備份。3、個人信息保護提升到一定高度熱力行業作為國家重要城市工業基礎設施的公共服務行業，會在日常業務辦理過程中收集到大量個人信息，隨著網上辦公便利的同時，個人信息泄露也成為熱力行業面臨的新挑戰。4、建立健全以行業網絡安全態勢感知為技術基礎的監測預警和應急處置體系《網絡安全法》第五章專門規定網絡安全監測預警和應急處理制度建設，并要求網絡運營者應當制定網絡安全事件應急預案。5、網絡安全人才培養《網絡安全法》的出臺彌補了網絡安全人才領域的法律空白，熱力行業要重視網絡安全人才培養工作，來保障本行業、本企業的業務系統安全。（二）網絡安全規劃原則。熱力行業網絡安全保障規劃建設應遵循以下原則：（1）同步建設原則：熱力行業信息安全保障體系建設應與熱力行業信息化建設同步規劃，同步建設，協調發展，要將信息安全保障體系建設融入到熱力行業信息化建設的規劃、建設、運行和維護的全過程中。（2）綜合防范原則：熱力行業信息安全保障體系建設要根據熱力行業信息系統的安全級別，采用適當的管理和技術措施，降低安全風險，綜合提高保障能力。（3）動態調整原則：熱力行業信息安全保障體系建設要根據信息資產的變化、技術的進步、管理的發展，結合熱力行業信息安全風險評估，動態調整、持續改進信息安全保障體系，貫徹“以安全保發展，在發展中求安全”的精神，保障和促進熱力行業業務的發展。（4）符合性原則：熱力行業信息安全保障體系建設要符合國家的有關法律法規和政策，以及熱力行業有關制度和規定，同時應符合有關國家技術標準，以及熱力行業的技術標準和規范。（5）分步實施：熱力行業信息安全保障體系不可能一蹴而就，必須總體統籌協調，根據制定的目標、任務以及熱力行業信息安全保障體系建設和產業發展對信息安全的需求，分階段、分步驟實施。只有階段適當、步驟清晰才能有序地推動規劃實施。（6）突出重點：熱力行業規劃、體系需求廣泛，任務繁重。其信息安全保障體系的落實和實施，必須圍繞制定的基本任務，重點抓好急需的重要項目實施，把預期目標落到實處。（7）需求主導、支撐發展：以滿足熱力行業業務數字化發展為目標，以業務需求為主導，堅持專業服從于全局、部門服從于企業，適應熱力行業管理需求變化，及時滿足熱力行業信息化發展的需要。（三）熱力行業網絡安全規劃框架。熱力行業網絡安全規劃框架根據《網絡安全法》、國家等級保護安全建設要求，在安全策略的指導下，從技術體系、管理體系、運維體系三大體系入手，進行規劃的設計。熱力行業網絡安全保障框架如下圖1所示。熱力行業網絡安全規劃將以安全策略為核心，由管理體系、技術體系和運維體系共同支撐。在安全策略方面，依據國家信息安全戰略的方針政策、法律法規、制度，按照行業標準規范要求，結合熱力行業企業自身的安全環境，制訂完善的信息安全策略體系文件。在管理體系方面，按照《信息安全技術網絡安全等級保護基本要求-試行稿》（以下簡稱試行要求）的要求，組建信息安全組織機構，加強對人員安全的管理，提高全行業的信息安全意識和人員的安全防護能力，形成一支過硬的信息安全人才隊伍。在技術體系方面，按照試行要求的要求，通過全面提升信息安全防護、檢測、響應和恢復能力，保證信息系統保密性、完整性和可用性等安全目標的實現。在運維體系方面，制訂和完善各種流程規范，制訂階段性工作計劃，規范產品與服務采購流程，同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作，以保證安全管理措施和安全技術措施的有效執行。（四）安全規劃實施步驟。熱力行業網絡安全保障體系建設以5年（2018年-2022年）為建設周期，通過“三大階段”，實現熱力行業整體信息安全水平的提高，圍繞熱力行業關鍵信息基礎設施的安全需求，形成較為成熟的信息安全總體方針和分項策略，建立較為完善的安全技術體系、安全管理體系、安全運維體系，同時達到信息安全合規性要求?！叭箅A段”主要分為：第一階段：完成基礎防護建設從網絡安全域規劃、邊界防護、系統操作配置、數據防泄漏等方面實現熱力行業網絡的基礎安全防護；解決目前信息安全管理體系滯后于技術體系的問題，完成管理體系與技術體系的融合，滿足試行要求的基本技術要求和管理要求。第二階段：實現威脅態勢感知在實現第一階段的基礎上，通過信譽庫、風險庫、資產庫的整合，并配合大數據分析、事件關聯、趨勢分析等技術，實現對熱力行業未知威脅的態勢感知，提高行業內針對未知威脅的事前主動防御效果。第三階段：構建智能管控平臺構建以下一代安全管理平臺以及SIEM信息與事件為主流的集中智能化管控平臺，實現對熱力企業中全網信息系統的集中管控；最終實現安全防護設備、預警設施、測評以及基線管理協作，充分實現熱力行業網絡安全事件的事前預警、事中處置以及事后追溯。

四、結束語

總的來說，《網絡安全法》、等保2.0時代一方面明確規定了網絡空間活動的法律禁區，另一方面對熱力行業提出了更高網絡安全要求。熱力行業理應順應新時代網絡安全發展趨勢，及時規范本行業的網絡空間行為準則，維護本行業網絡空間秩序，引領社會誠信?！毒W絡安全法》的頒布為熱力行業網絡安全的健康發展指明了方向，為依法治理、管理本行業網絡提供了法律依據，為熱力行業開展完善的網絡安全建設體系以適應關鍵信息基礎設施的安全防護提供強有力的法制保障。

作者:李仲博 孫思維 單位:北京市熱力集團有限責任公司供熱技術研發中心