山西省关键信息基础设施网络安全防护现状浅析

（国家计算机网络与信息安全管理中心山西分中心，山西 太原 030006）

习近平总书记在网信工作座谈会上指出：“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标”，要求“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”。

为贯彻落实这一指示精神，2016年，中央网信办在全国启动了关键信息基础设施网络安全检查工作。在这一工作背景下，山西省委网信办按照中央和省委要求，在2017年、2018年分别开展了“全省关键信息基础设施网络安全检查”工作。笔者在参与检查工作的过程中，对省内关键信息基础设施单位的网络安全防护现状和如何加快构建关键信息基础设施安全保障体系，增强安全保障能力进行了思考和探索。

1 典型案例剖析

本节将选取煤炭、电力2个山西省工业领域的典型代表，就检查评估情况，对其网络安全防护情况做简要剖析。

1.1 某煤炭企业网络安全防护情况

（1）技术测试情况：对某煤炭企业提供的网站、网络设备、服务器、数据库、主机以及网络安全设备进行了全面风险评估。

通过该企业门户网站管理系统的漏洞，可以直接进入并控制企业门户网站。利用该煤炭企业安全生产运营系统的漏洞，可以获取该企业管理人员和井下工人的个人敏感信息。利用该煤炭企业开放的无线网络环境，可以通过无线网络环境进入该企业生产、办公内网环境。

（2）存在问题分析：

①该企业的网络安全管理较为松散，没有进行严格的网络区域划分，存在内网、外网、无线网互联互通的高危安全风险。

②该企业未进行网络安全的日常风险评估和审查审计，核心关键系统中存在大量弱口令、弱密码，威胁信息系统的整体安全。

③该企业在外包第三方开发信息系统的过程中，未对信息系统的源代码进行安全审计，系统上线前也未开展风险评估，信息系统在开发设计上存在众多安全风险和隐患。

1.2 某电力企业网络安全防护情况

（1）技术测试情况：对某电力企业内部电力网络、服务器、数据库、主机以及网络安全设备进行了全面风险评估。

通过该电力企业内部应用系统的漏洞，可以获取企业内部应用的关键信息数据。通过内网Windows主机的安全漏洞可以控制多台内部主机，由于内网并没有网络安全防护设备和安全域划分，以这些主机为跳板可以渗透到核心生产区域。发现内网存在恶意程序感染和传播的情况。

（2）存在问题分析：①该企业在信息系统上线前未进行网络安全风险评估，日常的运行维护中，也未定期开展网络安全风险评估和漏洞修补和升级工作，一旦被攻击者突破外部网络防御，会威胁整个电力生产环境的安全。

②该企业未能建立健全网络安全管理制度，也没有成型的安全运维体系和监测手段，日常网络安全管理措施缺失、系统的备份和恢复、恶意代码管理、密码管理方面都缺乏相应的制度。

③该电力企业由于没有管理介质的制度和措施，已经导致内网主机感染恶意程序的情况出现。

2 防护现状分析

本节将分别对2017年、2018年山西省关键信息基础设施检查情况进行总结，并通过对比，分析山西省关键信息基础设施防护情况的变迁。山西省关键信息基础设施网络安全检查工作的检查范围包括：

能源行业：电力（电力生产）、煤炭（煤炭开采）；

电信与互联网行业：数据中心/云服务；

金融行业：银行运营；

交通行业：民航（机场运行）、公路（路网监测）；

医疗卫生行业：医院等卫生机构运行；

市政行业：水供应管理；

环境保护行业：环境监测及预警；

水利行业：水利枢纽运行及管控；

工业制造行业：企业运行管理、生产运行管理；

广播电视行业：电视播出管控、广播播出管控；

政府部门行业：面向公众服务、办公业务系统。

2.1 2017年山西省关键信息基础设施检查情况

在山西省11个重点行业中选取15个典型单位，对其关键业务的运行环境、运维方式、网络安全管理、安全防护和风险威胁及危害情况进行检查评估。

主要存在的网络安全管理问题：

（1）网络安全管理体系尚未健全；

（2）网络边界防护薄弱；

（3）日常网络安全管理不够严格；

（4）网络安全风险监测发现能力不足；

（5）未聘请第三方技术机构开展风险评估。

现场技术检测发现的风险：

（1）系统存在弱口令；

（2）内网主机存在高危安全漏洞；

（3）系统应用存在高危安全漏洞；

（4）能够通过互联网对内网进行渗透攻击。

2.2 2018年山西省关键信息基础设施检查情况

在山西省11个重点行业中选取11个典型单位，对其关键业务的网络安全管理和网络安全防护能力进行了全面评估，特别增加了对互联网+新应用的关注。

主要存在的网络安全管理问题：

（1）网络安全审计制度不健全；

（2）网络安全管理制度落实不到位；

（3）网络区域划分不完善；

（4）数据传输和存储不够安全可靠。

现场技术检测发现的风险：

（1）系统数据库存在高危安全漏洞；

（2）内网安全防范不足；

（3）系统应用存在高危安全漏洞；

（4）系统应用信息、数据信息泄露风险较高。

2.3 网络安全防护情况变迁分析

对比分析2017年、2018两年山西省关键信息基础设施网络安全抽查评估情况，关键信息基础设施网络安全防护现状发生了变化，主要呈现以下几个特点：

（1）网络安全制度逐渐完善；

（2）系统边界防护能力逐渐加强；

（3）网络安全风险评估工作受到重视；

（4）网络安全制度落实仍需完善；

（5）网络安全审计普遍缺失；

（6）网络安全专业人才匮乏。

3 工作建议

3.1 提高工作站位，完善网络安全管理制度建设

要站在贯彻总体国家安全观的高度，单位管理层充分认识到网络安全工作的重要性，在此基础上，完善组织建设和制度建设，强化《网络安全法》《党委（党组）网络安全工作责任制实施办法》和网络安全相关规章制度的学习和执行，建立健全网络和信息安全管理制度，明确主管领导，成立专门机构，指定专门人员，强化责任，各尽其职。

3.2 筑牢防御堡垒，加强网络安全防御体系建设

网络安全防御不能仅仅依靠网络安全设备的叠加，必须将分散的、独立的网络安全防护能力有机结合起来，构建符合关键信息基础设施单位实际的网络安全防御体系，提升关键信息基础设施的健壮性，强化主动应对网络攻击的能力。

构建网络安全防御体系，重点从三方面入手：

首先，深入分析本单位所面临的安全威胁，模拟可能的黑客攻击路径，对标ISO 27001、PCI-DSS、《网络安全等级保护》等国内外网络安全最佳实践和技术规范构建网络安全威胁模型。

其次，将网络安全防御体系覆盖关键信息基础设施的整个生命周期，深化系统安全漏洞管理，在设计阶段，明确安全要求、提前采取安全措施。在开发阶段，建立代码扫描和安全测试机制，降低应用漏洞风险，并进行系统上线前的风险评估；在运维阶段，定期进行漏洞扫描和渗透性测试，及时发现安全隐患并积极整改；在下线阶段，做好关键数据的回收保护，系统建设和运行维护文档的整理归档。

第三，构建网络安全风险应急响应中心，集中收集各类日志信息，查看网络安全告警，分析网络安全设备监测数据，并结合系统流量进行关联分析，实现威胁监测的一体化集中管理。引入威胁情报、大数据分析等技术，强化对于高级持续性威胁（APT）和精准式网络攻击的实时发现及智能化预警处置能力。

3.3 重视审计工作，强化网络安全监督检查落实

关键信息基础设施的运行，网络安全设备的监测和防护，用户每日的操作都会产生大量的日志记录，分析并积极采取措施，及时发现违法网络安全管理制度的行为和存在于日志记录中的风险隐患显得尤为重要。

加强网络安全审计，首先，应当将网络安全审计提升到传统意义上对财政、财务收支、经营管理活动审计的同等高度上来，形成常态化具有独立性的制度和规范。其次，审计工作要全面覆盖系统日志、应用日志、用户操作日志和网络安全设备日志等客观记录关键信息基础设施运转的网络安全记录信息。第三，做好审计跟踪，重现风险事件，评估安全损失、定位产生风险的区域，及时处置风险并进行灾难恢复，防止关键信息基础设施可能发生的故障。

3.4 强化能力培训，提升网络安全实操技能水平

网络空间的竞争，归根结底是人才竞争。关键信息基础设施单位应高度重视网络安全人才培养和网络安全队伍建设，杜绝依赖心理，加强同专业安全机构和知名高校的合作交流，打造自己的网络安全技术团队。一是要在人员上保障，设置专门的网络安全技术岗，定期开展网络安全技能培训，确保其具备网络安全实操能力；二是要做好技能考核，定期对网络安全技术人员进行技能考核，并通过奖惩机制，敦促其努力学习网络安全知识和技能；三是要做好交流和演练，通过开展网络安全实战演练、第三方攻防对抗实训、网络安全沙龙等多样形式，提高网络安全实战技能，提升网络安全全员意识。

3.5 普查风险隐患，夯实关键信息基础设施根基

关键信息基础设施单位要对照《关键信息基础设施保护条例》《网络安全等级保护制度》，积极开展日常性的网络安全风险普查工作。全面梳理关键信息基础设施单位自身存在的不符合项、基本符合项，管理巩固符合项，做好定期体检、动态评估和第三方测评工作。