文|孟庆军
如何提升石油化工企业网络安全管理现状
文|孟庆军
随着企业的发展,信息技术对企业越来越重要,企业信息化建设不断推进,企业信息安全问题也越来越复杂,2000年前后企业开始逐步重视信息安全。只有信息安全有了保障,企业才能得到稳定发展的根基。2016年习近平总书记提出“加快构建关键信息基础设施安全保障体系”,“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”的重要指示精神,根据中央网信办统一部署,各行各业的信息安全检查陆续开展。作为能源生产单位,石油石化企业为了应对世界范围内的计算机犯罪、病毒、黑客攻击事件的频繁发生, 企业大都建立了有效的网络信息安全防线。笔者分析了石油化工企业网络安全管理现状,并对如何提升石油化工企业网络安全管理现状做了阐述。
(一)网络安全管理现状
1. 虽然许多企业网络设置了VLAN 的隔离,但不同的VLAN 之间没有设置必要的访问控制,任何一个用户在网内嗅探都可以轻松地得到全部网段计算机的 IP 地址和MAC 地址的对应信息。
2. 网络没有按照安全域的保护等级划分和进行访问控制限制, 对于关键网络设备没有限制特定的网段和计算机才能控制, 而仅仅依靠登陆的用户名和密码进行保护。
3. 针对路由配置、没有屏蔽不需要的服务及进行安全配置, 如ARP- PROXY, OSPF 认证, SNMP控制等, 没有抵御协议欺骗和 DDOS 攻击等的处理。
4. SNMP 协议设置不当, 导致黑客可以下载和上传 IOS配置文件, 并通过查看配置文件, 用专业软件, 瞬间就可以破解 TYPE- 7 的加密, 得到超级管理的明文密码, 从而完全控制网络设备; 即使拿到加密后的密码串无法破解, 黑客也可以把下载来的 IOS 文件内的密码清空, 再上传后, 依然可以不用密码登陆设备。
5. 网络上的 HTTP 代理认证信息是明文传输的, 导致它的验证请求能轻松的被嗅探用户截取, 包括什么时间, 什么 IP地址, 通过哪个 WEB 代理服务器, 用的哪个代理用户名和密码, 访问了哪些具体的网站, 而且可以回溯对方浏览过的具体网站信息。
6. 审计和日志分析等策略没有启用, 导致无法审查什么时间什么人登录过服务器, 做了什么操作; 服务器的补丁打得不够及时, 存在被溢出攻击可能性; 为了管理方便, 服务器开启终端服务,但是默认安装, 没有进行任何的加固措施, 一旦被人利用, 对服务器是极大的危险。
7. 为了记忆方便, 用户密码过于简单, 很容易就可以猜测出来或者暴力破解。虽然是普通用户, 但可以通过本地权限提升得到超级用户的权限。
8. 对于注册表和关键的系统文件, 没有进行特别的保护和基准线的建立。一旦发现异常, 也无法快速的找出增加和减少的项目。
9. 对安全记录未做访问授权控制, 一旦被攻击, 日志和必要的回溯信息会被删除或者修改。
10. 对于超级帐号没有进行分权和修改默认名字, 可能会导致暴力破解密码以及高级权力滥用的隐患。
11. 对于不需要的系统服务和启动服务没有做禁止和分权。
(二)信息安全形势分析
1. 内部信息安全威胁:主要是来自于恶意软件下载,有54%的企业发生过由 于恶意软件下载造成的信息安全事件。其次是有47%的企 业存在由于内部员工造成的安全漏洞。其它主要威胁包括软硬件漏洞、员工的不良信息处理行为引发的问题。
2. 外部信息安全威胁:从权威调查结果来看,目前主要来自于恶意软件,有 68%的企业发生过恶意软件攻击。其次是有54%的企业遭 受过网络钓鱼。其它主要威胁包括高级持续性威胁(APT)、 拒绝服务攻击(DDOS)、暴力攻击、零日(0day)攻击等。
(三)信息安全事件
乌克兰电网遭黑客攻击事件: 2015年12月3日,乌克兰伊万诺-弗兰科夫斯克地区持续停电数小时之久。黑客使用后门程序 BlackEnergy(黑暗力量)攻击了在发电站和多家能源公司。攻击者在微软Office文件中嵌入了恶意宏文件,并以此作为感染载体来对目标系统进行感染。乌克兰电网系统遭黑客攻击,数百户家庭供电被迫中断,这是有 史以来首次导致停电的网络攻击,此次针对工控系统的攻击无疑具有里程碑意义。
(一)从制度方面
网络信息安全管理体系从实质上来说,是一种信息安全管理模式,其目的是 为了提高企业的管理水平,促进企业 良性发展,保证企业各种信息资源的 安全,不给企业造成负面影响。信息 安全管理体系借助诸多标准,参考标准实现企业信息安全管理规范有序, 使企业信息安全向科学合理的方向发 展。信息安全管理是伴随着信息技术 的发展而发展的,在信息社会,信息资源已经成为一种十足珍贵的资源,具有极高的经济价值。信息安全工作的有效开展与持续化深入依赖完善的信息安全保障体系。为保护信息系统安全、平稳运行,根据国家和各单位有关要求以及信息系统现状,结合先进的安全技术与管理理念,在信息安全风险评估基础上,需制定网络信息安全整体解决方案。
(二)从技术方面
1. 定期开展信息安全与合规性检查
通过检查,集梳理本单位网络安全工作,排查高危安全漏洞;识别工控系统安全风险;核查信息系统定级备案情况等,结合石油化工企业实际可组织开展:
(1)信息系统常规安全检查;
(2)工业控制系统安全检查;
(3)信息系统等级保护合规性检查。
2. 开展网络安全域建设
完成本单位的网络安全域划分,将网络划分为内网、外网、专网、专线等部分,设置不同的访问规则,并进行分区防护。建成统一互联网出口,部署安全防护设备,为各单位内部用户及业务系统提供安全可靠的互联网访问服务。
3. 网络安全新技术应用
网络安全设备的开放化将逐步实现。在传统的信息安全时代主要采用隔离作为安全的手段,具体分为物理隔离、内外网隔离、加密隔离,实践证明这种隔离手段针对 传统IT架构能起到有效的防护。同时这种隔离为主的安全体系催生了一批以硬件销售为主的安全公司,例如各种防火墙、入侵检测系 统/入侵防御系统、Web应用防火墙、统一威胁管理、SSL网关、加 密机等。 在这种隔离思想下,并不需要应用提供商参与较多信息安全工 作,在典型场景下是由总集成商负责应用和信息安全之间的集成, 而这导致了长久以来信息安全和应用相对独立的发展,尤其在国内 这两个领域的圈子交集并不大。结果,传统信息安全表现出分散割据化、对应用的封闭化、硬件盒子化的三个特征。 封闭化的安全设备从某种意义上维护了传统安全厂商的利益, 但是却损害了用户的利益。而从用户的角度来看,未来安全设备的 开放化、可编程化是个需要用户推动的趋势。
关于网络信息系统安全的课题, 涉及的层面较为广泛,复杂程度较高。网络安全作为支网络及信息系统的重要基础,需要坚实有力的服务来支持。要求企业网络技术人员在掌握网络技术的同时掌握全面网络信息安全是不现实的。因此做好企业的网络安全工作,选择由网络安全专家、专业的网络安全工具和安全管理策略组成的安全服务是必须的。
网络安全是一个动态的管理过程,它只能保障网络系统受到攻击时,能够提供无漏洞防御的相对安全。网络信息系统安全不仅需要动态的工具和产品, 而且需要持续跟进的安全服务。
能够应对突发网络安全应急事件。在网络信息系统发生紧急情况时, 有完善可靠的应急预案、应急专家队伍。保障安全专家紧急出动服务,及时赶到现场, 恢复系统正常工作, 协助检查入侵来源, 提供事故分析报告和安全建议及服务, 为用户提供及时、全面的安全问题解决方案。
综上所述, 通过对网络安全管理现状的分析、对如何构建网络信息安全系统信息系统的探讨,得出网络安全体系建设的基本思路: 网络信息安全是动态的,长期的。风险的避免和减小需要从管理和技术两方面入手,建立完善的安全管理制度和牢固的安全防护措施,并有效地执行和使用。才是应对不断出现的新的安全威胁的最行之有效的方法。
作者单位:中国石油宁夏石化公司信息管理部