- 相關(guān)推薦
新形勢(shì)下熱力行業(yè)網(wǎng)絡(luò)安全建設(shè)思路論文
摘要:本文分析了未來(lái)網(wǎng)絡(luò)安全的趨勢(shì), 并列舉了熱力行業(yè)作為公益性基礎(chǔ)服務(wù)事業(yè)的網(wǎng)絡(luò)安全威脅防范和網(wǎng)絡(luò)安全建設(shè)的需求, 提出了熱力行業(yè)網(wǎng)絡(luò)安全規(guī)劃新思路、網(wǎng)路安全規(guī)劃總體性要求、規(guī)劃原則、安全規(guī)劃框架、網(wǎng)絡(luò)安全規(guī)劃實(shí)施步驟及每階段目標(biāo)任務(wù), 從而為熱力行業(yè)在新形勢(shì)下的網(wǎng)絡(luò)安全建設(shè)提供一種思路。
關(guān)鍵詞:熱力行業(yè),網(wǎng)絡(luò)安全,等級(jí)保護(hù),基礎(chǔ)設(shè)施,基礎(chǔ)防護(hù),智能管控
一、網(wǎng)絡(luò)安全形勢(shì)
隨著計(jì)算機(jī)和通信技術(shù)的發(fā)展, 網(wǎng)絡(luò)信息的安全和保密已成為一個(gè)至關(guān)重要且急需解決的問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)所具有的開(kāi)放性、互連性和共享性等特征使網(wǎng)上信息安全存在著先天不足, 再加上系統(tǒng)軟件中的安全漏洞以及所欠缺的嚴(yán)格管理, 致使網(wǎng)絡(luò)易受攻擊。因此網(wǎng)絡(luò)安全所采取的措施應(yīng)能全方位地針對(duì)各種不同的威脅, 保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。
綜合考量2017年經(jīng)歷的網(wǎng)絡(luò)安全事件, 2018年及以后整個(gè)網(wǎng)絡(luò)安全行業(yè)的趨勢(shì)或?qū)⒊霈F(xiàn)如下情況:
(一) 勒索軟件攻擊
勒索攻擊成為網(wǎng)絡(luò)攻擊的一種新常態(tài), 網(wǎng)絡(luò)攻擊者將調(diào)整目標(biāo), 從傳統(tǒng)的目標(biāo)轉(zhuǎn)向利潤(rùn)更高的勒索目標(biāo), 其中包括高凈值個(gè)人、連接設(shè)備和企業(yè)。
(二) 會(huì)有更多的僵尸網(wǎng)絡(luò)物聯(lián)網(wǎng) (Io T) 攻擊
由于制造商安全能力不足和行業(yè)監(jiān)管缺失, 2018年物聯(lián)網(wǎng)設(shè)備的安全威脅將愈演愈烈, 對(duì)用戶的個(gè)人隱私、資金財(cái)產(chǎn)乃至人身安全會(huì)出現(xiàn)很大問(wèn)題造成巨大損失。
(三) 針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊升級(jí), 攻防兩端的對(duì)抗將加劇
攻擊目標(biāo)從電力、交通等“命脈”設(shè)施, 延伸到公共服務(wù)系統(tǒng)、重要工業(yè)企業(yè)的生產(chǎn)設(shè)施、互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施。
我國(guó)相關(guān)主管機(jī)構(gòu)也已經(jīng)組織了多次針對(duì)電力、民航等關(guān)鍵基礎(chǔ)設(shè)施的攻防演習(xí), 從已經(jīng)實(shí)施的《網(wǎng)絡(luò)安全法》到正在征求意見(jiàn)的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》, 都將關(guān)鍵基礎(chǔ)設(shè)施保護(hù)上升到了國(guó)家戰(zhàn)略層面, 集中力量、加大投入、創(chuàng)新技術(shù)、提升能力將成為保障關(guān)鍵基礎(chǔ)設(shè)施安全的趨勢(shì)和方向。
(四) 個(gè)人數(shù)據(jù)隱私保護(hù)將通過(guò)法律等技術(shù)手段向前推進(jìn)
隱私保護(hù)從爭(zhēng)議話題開(kāi)始邁向通過(guò)法律和技術(shù)方案的務(wù)實(shí)推進(jìn)。以此應(yīng)對(duì)云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)及跨境數(shù)據(jù)處理等應(yīng)用場(chǎng)景所帶來(lái)的新挑戰(zhàn)。
目前我國(guó)沒(méi)有統(tǒng)一的個(gè)人信息保護(hù)法, 但是通過(guò)“徐玉玉案”等一系列案件給社會(huì)帶來(lái)的不良影響, 使人們充分意識(shí)到了個(gè)人信息泄露和濫用所帶來(lái)的嚴(yán)重社會(huì)危害, 同時(shí)也催生個(gè)人信息保護(hù)立法落地。
二、熱力行業(yè)開(kāi)展網(wǎng)絡(luò)安全建設(shè)的必要性
城市供熱系統(tǒng)是城市熱力供應(yīng)的重要組成部分, 是城鎮(zhèn)建設(shè)的重要基礎(chǔ)設(shè)施之一。供熱行業(yè)屬于公益性事業(yè), 與電力、燃?xì)狻⑺畡?wù)、交通等行業(yè)一樣屬于國(guó)家重要城市工業(yè)基礎(chǔ)設(shè)施, 供熱系統(tǒng)的安全穩(wěn)定運(yùn)行也是國(guó)民經(jīng)濟(jì)、社會(huì)運(yùn)行的重要基礎(chǔ)。
(一) 熱力行業(yè)面臨的主要威脅
對(duì)于熱力行業(yè)信息系統(tǒng)的威脅攻擊而言, 無(wú)論攻擊者處于何種動(dòng)機(jī), 攻擊方式和手段如何變化, 都會(huì)指向特定的目標(biāo), 攻擊成功后將導(dǎo)致熱力企業(yè)的業(yè)務(wù)和聲譽(yù)受損, 依據(jù)《網(wǎng)絡(luò)安全法》, 攻擊者甚至面臨法律懲罰。
面對(duì)可能的攻擊, 熱力企業(yè)需要謹(jǐn)慎思考攻擊路徑、分析威脅和漏洞, 進(jìn)而勾畫(huà)出全面的風(fēng)險(xiǎn)視圖并制定安全控制措施。可能存在的威脅有:
(1) 破壞供熱系統(tǒng), 中斷正常供熱;
(2) 內(nèi)部人員失誤導(dǎo)致業(yè)務(wù)中斷;
(3) 竊取供熱用戶身份、供熱信息;
(4) 竊取財(cái)務(wù)或辦公信息;
(5) 內(nèi)部人員非法交易用戶身份、供熱信息;
(6) 外包人員在程序中安插后門(mén);
(7) 跨國(guó)的政治或商業(yè)目的信息竊取
(8) 惡意軟件;
(9) 網(wǎng)絡(luò)被攻擊、通信中斷;
(10) 自然災(zāi)害。
(二) 熱力行業(yè)數(shù)據(jù)安全的需要
熱力行業(yè)相關(guān)單位的數(shù)據(jù)格外引人注目, 除了企業(yè)內(nèi)的財(cái)務(wù)、行政、人力等管理數(shù)據(jù)外, 更多的敏感數(shù)據(jù)為供熱用戶信息等。任何由內(nèi)外原因疏漏導(dǎo)致的數(shù)據(jù)泄漏都將使企業(yè)遭受重創(chuàng), 后果會(huì)很?chē)?yán)重。
供熱行業(yè)的管理趨于數(shù)字化, 《網(wǎng)絡(luò)安全法》及更多法律法規(guī)的出臺(tái), 可能會(huì)加劇企業(yè)保護(hù)數(shù)據(jù)安全的負(fù)擔(dān)。但數(shù)據(jù)是核心的信息資產(chǎn), 企業(yè)必須適應(yīng)環(huán)境的變化, 不能消極、退讓、躲避, 只有不斷尋求更佳的安全防護(hù)體系和措施才是真正的辦法。
(三) 熱力行業(yè)業(yè)務(wù)安全的需要
安全不僅僅只是保護(hù)基礎(chǔ)設(shè)施, 更要保障業(yè)務(wù)系統(tǒng)的安全。也就是說(shuō), 將安全控制融入到業(yè)務(wù)流程之中, 對(duì)業(yè)務(wù)操作中的安全控制點(diǎn)進(jìn)行同步監(jiān)測(cè), 進(jìn)而提前做到安全態(tài)勢(shì)感知, 防患于未然, 并節(jié)省寶貴的事件響應(yīng)時(shí)間。
(四) 法律的要求
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十一條:國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域, 以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露, 可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施, 在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上, 實(shí)行重點(diǎn)保護(hù)。第二十一條:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求, 履行下列安全保護(hù)義務(wù), 保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn), 防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十四條:除本法第二十一條的規(guī)定外, 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù): (一) 設(shè)置專(zhuān)門(mén)安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人, 并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查; (二) 定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核; (三) 對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份; (四) 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案, 并定期進(jìn)行演練; (五) 法律、行政法規(guī)規(guī)定的其他義務(wù)。
三、熱力行業(yè)網(wǎng)絡(luò)安全建設(shè)規(guī)劃
(一) 網(wǎng)絡(luò)安全規(guī)劃新思路
1、全面貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度
《網(wǎng)絡(luò)安全法》第二十一條規(guī)定, 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。從中我們也可以看出國(guó)家對(duì)于等級(jí)保護(hù)制度全面貫徹的決心, 熱力行各業(yè)對(duì)這一制度應(yīng)該嚴(yán)格執(zhí)行。
2、對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施重點(diǎn)保護(hù)
《網(wǎng)絡(luò)安全法》引入了新的監(jiān)管維度———對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施重點(diǎn)保護(hù)。熱力行業(yè)首先要識(shí)別當(dāng)前納入到關(guān)鍵信息基礎(chǔ)設(shè)施范圍的應(yīng)用系統(tǒng), 如供熱生產(chǎn)監(jiān)控系統(tǒng)、掌上熱力APP、城區(qū)供熱服務(wù)平臺(tái)等等, 對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份。
3、個(gè)人信息保護(hù)提升到一定高度
熱力行業(yè)作為國(guó)家重要城市工業(yè)基礎(chǔ)設(shè)施的公共服務(wù)行業(yè), 會(huì)在日常業(yè)務(wù)辦理過(guò)程中收集到大量個(gè)人信息, 隨著網(wǎng)上辦公便利的同時(shí), 個(gè)人信息泄露也成為熱力行業(yè)面臨的新挑戰(zhàn)。
4、建立健全以行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知為技術(shù)基礎(chǔ)的監(jiān)測(cè)預(yù)警和應(yīng)急處置體系
《網(wǎng)絡(luò)安全法》第五章專(zhuān)門(mén)規(guī)定網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和應(yīng)急處理制度建設(shè), 并要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。
5、網(wǎng)絡(luò)安全人才培養(yǎng)
《網(wǎng)絡(luò)安全法》的出臺(tái)彌補(bǔ)了網(wǎng)絡(luò)安全人才領(lǐng)域的法律空白, 熱力行業(yè)要重視網(wǎng)絡(luò)安全人才培養(yǎng)工作, 來(lái)保障本行業(yè)、本企業(yè)的業(yè)務(wù)系統(tǒng)安全。
(二) 網(wǎng)絡(luò)安全規(guī)劃原則
熱力行業(yè)網(wǎng)絡(luò)安全保障規(guī)劃建設(shè)應(yīng)遵循以下原則:
(1) 同步建設(shè)原則:熱力行業(yè)信息安全保障體系建設(shè)應(yīng)與熱力行業(yè)信息化建設(shè)同步規(guī)劃, 同步建設(shè), 協(xié)調(diào)發(fā)展, 要將信息安全保障體系建設(shè)融入到熱力行業(yè)信息化建設(shè)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)的全過(guò)程中。
(2) 綜合防范原則:熱力行業(yè)信息安全保障體系建設(shè)要根據(jù)熱力行業(yè)信息系統(tǒng)的安全級(jí)別, 采用適當(dāng)?shù)墓芾砗图夹g(shù)措施, 降低安全風(fēng)險(xiǎn), 綜合提高保障能力。
(3) 動(dòng)態(tài)調(diào)整原則:熱力行業(yè)信息安全保障體系建設(shè)要根據(jù)信息資產(chǎn)的變化、技術(shù)的進(jìn)步、管理的發(fā)展, 結(jié)合熱力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估, 動(dòng)態(tài)調(diào)整、持續(xù)改進(jìn)信息安全保障體系, 貫徹“以安全保發(fā)展, 在發(fā)展中求安全”的精神, 保障和促進(jìn)熱力行業(yè)業(yè)務(wù)的發(fā)展。
(4) 符合性原則:熱力行業(yè)信息安全保障體系建設(shè)要符合國(guó)家的有關(guān)法律法規(guī)和政策, 以及熱力行業(yè)有關(guān)制度和規(guī)定, 同時(shí)應(yīng)符合有關(guān)國(guó)家技術(shù)標(biāo)準(zhǔn), 以及熱力行業(yè)的技術(shù)標(biāo)準(zhǔn)和規(guī)范。
(5) 分步實(shí)施:熱力行業(yè)信息安全保障體系不可能一蹴而就, 必須總體統(tǒng)籌協(xié)調(diào), 根據(jù)制定的目標(biāo)、任務(wù)以及熱力行業(yè)信息安全保障體系建設(shè)和產(chǎn)業(yè)發(fā)展對(duì)信息安全的需求, 分階段、分步驟實(shí)施。只有階段適當(dāng)、步驟清晰才能有序地推動(dòng)規(guī)劃實(shí)施。
(6) 突出重點(diǎn):熱力行業(yè)規(guī)劃、體系需求廣泛, 任務(wù)繁重。其信息安全保障體系的落實(shí)和實(shí)施, 必須圍繞制定的基本任務(wù), 重點(diǎn)抓好急需的重要項(xiàng)目實(shí)施, 把預(yù)期目標(biāo)落到實(shí)處。
(7) 需求主導(dǎo)、支撐發(fā)展:以滿足熱力行業(yè)業(yè)務(wù)數(shù)字化發(fā)展為目標(biāo), 以業(yè)務(wù)需求為主導(dǎo), 堅(jiān)持專(zhuān)業(yè)服從于全局、部門(mén)服從于企業(yè), 適應(yīng)熱力行業(yè)管理需求變化, 及時(shí)滿足熱力行業(yè)信息化發(fā)展的需要。
(三) 熱力行業(yè)網(wǎng)絡(luò)安全規(guī)劃框架
熱力行業(yè)網(wǎng)絡(luò)安全規(guī)劃框架根據(jù)《網(wǎng)絡(luò)安全法》、國(guó)家等級(jí)保護(hù)安全建設(shè)要求, 在安全策略的指導(dǎo)下, 從技術(shù)體系、管理體系、運(yùn)維體系三大體系入手, 進(jìn)行規(guī)劃的設(shè)計(jì)。
熱力行業(yè)網(wǎng)絡(luò)安全保障框架如下圖1所示。
熱力行業(yè)網(wǎng)絡(luò)安全規(guī)劃將以安全策略為核心, 由管理體系、技術(shù)體系和運(yùn)維體系共同支撐。
在安全策略方面, 依據(jù)國(guó)家信息安全戰(zhàn)略的方針政策、法律法規(guī)、制度, 按照行業(yè)標(biāo)準(zhǔn)規(guī)范要求, 結(jié)合熱力行業(yè)企業(yè)自身的安全環(huán)境, 制訂完善的信息安全策略體系文件。
在管理體系方面, 按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求-試行稿》 (以下簡(jiǎn)稱(chēng)試行要求) 的要求, 組建信息安全組織機(jī)構(gòu), 加強(qiáng)對(duì)人員安全的管理, 提高全行業(yè)的信息安全意識(shí)和人員的安全防護(hù)能力, 形成一支過(guò)硬的信息安全人才隊(duì)伍。
在技術(shù)體系方面, 按照試行要求的要求, 通過(guò)全面提升信息安全防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)能力, 保證信息系統(tǒng)保密性、完整性和可用性等安全目標(biāo)的實(shí)現(xiàn)。
在運(yùn)維體系方面, 制訂和完善各種流程規(guī)范, 制訂階段性工作計(jì)劃, 規(guī)范產(chǎn)品與服務(wù)采購(gòu)流程, 同時(shí)堅(jiān)持做好日常維護(hù)管理、應(yīng)急計(jì)劃和事件響應(yīng)等方面的工作, 以保證安全管理措施和安全技術(shù)措施的有效執(zhí)行。
(四) 安全規(guī)劃實(shí)施步驟
熱力行業(yè)網(wǎng)絡(luò)安全保障體系建設(shè)以5年 (2018年-2022年) 為建設(shè)周期, 通過(guò)“三大階段”, 實(shí)現(xiàn)熱力行業(yè)整體信息安全水平的提高, 圍繞熱力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全需求, 形成較為成熟的信息安全總體方針和分項(xiàng)策略, 建立較為完善的安全技術(shù)體系、安全管理體系、安全運(yùn)維體系, 同時(shí)達(dá)到信息安全合規(guī)性要求。
“三大階段”主要分為:
第一階段:完成基礎(chǔ)防護(hù)建設(shè)
從網(wǎng)絡(luò)安全域規(guī)劃、邊界防護(hù)、系統(tǒng)操作配置、數(shù)據(jù)防泄漏等方面實(shí)現(xiàn)熱力行業(yè)網(wǎng)絡(luò)的基礎(chǔ)安全防護(hù);解決目前信息安全管理體系滯后于技術(shù)體系的問(wèn)題, 完成管理體系與技術(shù)體系的融合, 滿足試行要求的基本技術(shù)要求和管理要求。
第二階段:實(shí)現(xiàn)威脅態(tài)勢(shì)感知
在實(shí)現(xiàn)第一階段的基礎(chǔ)上, 通過(guò)信譽(yù)庫(kù)、風(fēng)險(xiǎn)庫(kù)、資產(chǎn)庫(kù)的整合, 并配合大數(shù)據(jù)分析、事件關(guān)聯(lián)、趨勢(shì)分析等技術(shù), 實(shí)現(xiàn)對(duì)熱力行業(yè)未知威脅的態(tài)勢(shì)感知, 提高行業(yè)內(nèi)針對(duì)未知威脅的事前主動(dòng)防御效果。
第三階段:構(gòu)建智能管控平臺(tái)
構(gòu)建以下一代安全管理平臺(tái)以及SIEM信息與事件為主流的集中智能化管控平臺(tái), 實(shí)現(xiàn)對(duì)熱力企業(yè)中全網(wǎng)信息系統(tǒng)的集中管控;最終實(shí)現(xiàn)安全防護(hù)設(shè)備、預(yù)警設(shè)施、測(cè)評(píng)以及基線管理協(xié)作, 充分實(shí)現(xiàn)熱力行業(yè)網(wǎng)絡(luò)安全事件的事前預(yù)警、事中處置以及事后追溯。
四、結(jié)束語(yǔ)
總的來(lái)說(shuō), 《網(wǎng)絡(luò)安全法》、等保2.0時(shí)代一方面明確規(guī)定了網(wǎng)絡(luò)空間活動(dòng)的法律禁區(qū), 另一方面對(duì)熱力行業(yè)提出了更高網(wǎng)絡(luò)安全要求。熱力行業(yè)理應(yīng)順應(yīng)新時(shí)代網(wǎng)絡(luò)安全發(fā)展趨勢(shì), 及時(shí)規(guī)范本行業(yè)的網(wǎng)絡(luò)空間行為準(zhǔn)則, 維護(hù)本行業(yè)網(wǎng)絡(luò)空間秩序, 引領(lǐng)社會(huì)誠(chéng)信。《網(wǎng)絡(luò)安全法》的頒布為熱力行業(yè)網(wǎng)絡(luò)安全的健康發(fā)展指明了方向, 為依法治理、管理本行業(yè)網(wǎng)絡(luò)提供了法律依據(jù), 為熱力行業(yè)開(kāi)展完善的網(wǎng)絡(luò)安全建設(shè)體系以適應(yīng)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)提供強(qiáng)有力的法制保障。
【新形勢(shì)下熱力行業(yè)網(wǎng)絡(luò)安全建設(shè)思路論文】相關(guān)文章:
中職電子技術(shù)課程建設(shè)思路論文(精選7篇)05-13
中學(xué)教育多媒體融入思路論文07-03
淺談解決服裝同質(zhì)化的新思路論文07-03
農(nóng)機(jī)技術(shù)推廣工作發(fā)展思路的論文07-03
戲劇影視課堂教學(xué)革新思路的論文07-03
多媒體教學(xué)模式對(duì)高校教育的新思路的論文07-04