热力行业网络安全建设思路

【摘要】本文分析了未来网络安全的趋势，并列举了热力行业作为公益性基础服务事业的网络安全威胁防范和网络安全建设的需求，提出了热力行业网络安全规划新思路、网路安全规划总体性要求、规划原则、安全规划框架、网络安全规划实施步骤及每阶段目标任务，从而为热力行业在新形势下的网络安全建设提供一种思路。

【关键词】热力行业;网络安全;等级保护;基础设施;基础防护;智能管控

一、网络安全形势

随着计算机和通信技术的发展，网络信息的安全和保密已成为一个至关重要且急需解决的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足，再加上系统软件中的安全漏洞以及所欠缺的严格管理，致使网络易受攻击。因此网络安全所采取的措施应能全方位地针对各种不同的威胁，保障网络信息的保密性、完整性和可用性。综合考量2017年经历的网络安全事件，2018年及以后整个网络安全行业的趋势或将出现如下情况：（一）勒索软件攻击。勒索攻击成为网络攻击的一种新常态，网络攻击者将调整目标，从传统的目标转向利润更高的勒索目标，其中包括高净值个人、连接设备和企业。（二）会有更多的僵尸网络物联网。（IoT）攻击由于制造商安全能力不足和行业监管缺失，2018年物联网设备的安全威胁将愈演愈烈，对用户的个人隐私、资金财产乃至人身安全会出现很大问题造成巨大损失。（三）针对关键基础设施的网络攻击升级，攻防两端的对抗将加剧。攻击目标从电力、交通等“命脉”设施，延伸到公共服务系统、重要工业企业的生产设施、互联网关键基础设施。我国相关主管机构也已经组织了多次针对电力、民航等关键基础设施的攻防演习，从已经实施的《网络安全法》到正在征求意见的《关键信息基础设施保护条例》，都将关键基础设施保护上升到了国家战略层面，集中力量、加大投入、创新技术、提升能力将成为保障关键基础设施安全的趋势和方向。（四）个人数据隐私保护将通过法律等技术手段向前推进。隐私保护从争议话题开始迈向通过法律和技术方案的务实推进。以此应对云计算、大数据、移动互联网及跨境数据处理等应用场景所带来的新挑战。目前我国没有统一的个人信息保护法，但是通过“徐玉玉案”等一系列案件给社会带来的不良影响，使人们充分意识到了个人信息泄露和滥用所带来的严重社会危害，同时也催生个人信息保护立法落地。

二、热力行业开展网络安全建设的必要性

城市供热系统是城市热力供应的重要组成部分，是城镇建设的重要基础设施之一。供热行业属于公益性事业，与电力、燃气、水务、交通等行业一样属于国家重要城市工业基础设施，供热系统的安全稳定运行也是国民经济、社会运行的重要基础。（一）热力行业面临的主要威胁。对于热力行业信息系统的威胁攻击而言，无论攻击者处于何种动机，攻击方式和手段如何变化，都会指向特定的目标，攻击成功后将导致热力企业的业务和声誉受损，依据《网络安全法》，攻击者甚至面临法律惩罚。面对可能的攻击，热力企业需要谨慎思考攻击路径、分析威胁和漏洞，进而勾画出全面的风险视图并制定安全控制措施。可能存在的威胁有：（1）破坏供热系统，中断正常供热；（2）内部人员失误导致业务中断；（3）窃取供热用户身份、供热信息；（4）窃取财务或办公信息；（5）内部人员非法交易用户身份、供热信息；（6）外包人员在程序中安插后门；（7）跨国的政治或商业目的信息窃取（8）恶意软件；（9）网络被攻击、通信中断；（10）自然灾害。（二）热力行业数据安全的需要。热力行业相关单位的数据格外引人注目，除了企业内的财务、行政、人力等管理数据外，更多的敏感数据为供热用户信息等。任何由内外原因疏漏导致的数据泄漏都将使企业遭受重创，后果会很严重。供热行业的管理趋于数字化，《网络安全法》及更多法律法规的出台，可能会加剧企业保护数据安全的负担。但数据是核心的信息资产，企业必须适应环境的变化，不能消极、退让、躲避，只有不断寻求更佳的安全防护体系和措施才是真正的办法。（三）热力行业业务安全的需要。安全不仅仅只是保护基础设施，更要保障业务系统的安全。也就是说，将安全控制融入到业务流程之中，对业务操作中的安全控制点进行同步监测，进而提前做到安全态势感知，防患于未然，并节省宝贵的事件响应时间。（四）法律的要求《中华人民共和国网络安全法》第三十一条：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十四条：除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。

三、热力行业网络安全建设规划

（一）网络安全规划新思路。1、全面贯彻落实网络安全等级保护制度《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。从中我们也可以看出国家对于等级保护制度全面贯彻的决心，热力行各业对这一制度应该严格执行。2、对关键信息基础设施实施重点保护《网络安全法》引入了新的监管维度———对关键信息基础设施实施重点保护。热力行业首先要识别当前纳入到关键信息基础设施范围的应用系统，如供热生产监控系统、掌上热力APP、城区供热服务平台等等，对关键信息基础设施重要系统和数据库进行容灾备份。3、个人信息保护提升到一定高度热力行业作为国家重要城市工业基础设施的公共服务行业，会在日常业务办理过程中收集到大量个人信息，随着网上办公便利的同时，个人信息泄露也成为热力行业面临的新挑战。4、建立健全以行业网络安全态势感知为技术基础的监测预警和应急处置体系《网络安全法》第五章专门规定网络安全监测预警和应急处理制度建设，并要求网络运营者应当制定网络安全事件应急预案。5、网络安全人才培养《网络安全法》的出台弥补了网络安全人才领域的法律空白，热力行业要重视网络安全人才培养工作，来保障本行业、本企业的业务系统安全。（二）网络安全规划原则。热力行业网络安全保障规划建设应遵循以下原则：（1）同步建设原则：热力行业信息安全保障体系建设应与热力行业信息化建设同步规划，同步建设，协调发展，要将信息安全保障体系建设融入到热力行业信息化建设的规划、建设、运行和维护的全过程中。（2）综合防范原则：热力行业信息安全保障体系建设要根据热力行业信息系统的安全级别，采用适当的管理和技术措施，降低安全风险，综合提高保障能力。（3）动态调整原则：热力行业信息安全保障体系建设要根据信息资产的变化、技术的进步、管理的发展，结合热力行业信息安全风险评估，动态调整、持续改进信息安全保障体系，贯彻“以安全保发展，在发展中求安全”的精神，保障和促进热力行业业务的发展。（4）符合性原则：热力行业信息安全保障体系建设要符合国家的有关法律法规和政策，以及热力行业有关制度和规定，同时应符合有关国家技术标准，以及热力行业的技术标准和规范。（5）分步实施：热力行业信息安全保障体系不可能一蹴而就，必须总体统筹协调，根据制定的目标、任务以及热力行业信息安全保障体系建设和产业发展对信息安全的需求，分阶段、分步骤实施。只有阶段适当、步骤清晰才能有序地推动规划实施。（6）突出重点：热力行业规划、体系需求广泛，任务繁重。其信息安全保障体系的落实和实施，必须围绕制定的基本任务，重点抓好急需的重要项目实施，把预期目标落到实处。（7）需求主导、支撑发展：以满足热力行业业务数字化发展为目标，以业务需求为主导，坚持专业服从于全局、部门服从于企业，适应热力行业管理需求变化，及时满足热力行业信息化发展的需要。（三）热力行业网络安全规划框架。热力行业网络安全规划框架根据《网络安全法》、国家等级保护安全建设要求，在安全策略的指导下，从技术体系、管理体系、运维体系三大体系入手，进行规划的设计。热力行业网络安全保障框架如下图1所示。热力行业网络安全规划将以安全策略为核心，由管理体系、技术体系和运维体系共同支撑。在安全策略方面，依据国家信息安全战略的方针政策、法律法规、制度，按照行业标准规范要求，结合热力行业企业自身的安全环境，制订完善的信息安全策略体系文件。在管理体系方面，按照《信息安全技术网络安全等级保护基本要求-试行稿》（以下简称试行要求）的要求，组建信息安全组织机构，加强对人员安全的管理，提高全行业的信息安全意识和人员的安全防护能力，形成一支过硬的信息安全人才队伍。在技术体系方面，按照试行要求的要求，通过全面提升信息安全防护、检测、响应和恢复能力，保证信息系统保密性、完整性和可用性等安全目标的实现。在运维体系方面，制订和完善各种流程规范，制订阶段性工作计划，规范产品与服务采购流程，同时坚持做好日常维护管理、应急计划和事件响应等方面的工作，以保证安全管理措施和安全技术措施的有效执行。（四）安全规划实施步骤。热力行业网络安全保障体系建设以5年（2018年-2022年）为建设周期，通过“三大阶段”，实现热力行业整体信息安全水平的提高，围绕热力行业关键信息基础设施的安全需求，形成较为成熟的信息安全总体方针和分项策略，建立较为完善的安全技术体系、安全管理体系、安全运维体系，同时达到信息安全合规性要求。“三大阶段”主要分为：第一阶段：完成基础防护建设从网络安全域规划、边界防护、系统操作配置、数据防泄漏等方面实现热力行业网络的基础安全防护；解决目前信息安全管理体系滞后于技术体系的问题，完成管理体系与技术体系的融合，满足试行要求的基本技术要求和管理要求。第二阶段：实现威胁态势感知在实现第一阶段的基础上，通过信誉库、风险库、资产库的整合，并配合大数据分析、事件关联、趋势分析等技术，实现对热力行业未知威胁的态势感知，提高行业内针对未知威胁的事前主动防御效果。第三阶段：构建智能管控平台构建以下一代安全管理平台以及SIEM信息与事件为主流的集中智能化管控平台，实现对热力企业中全网信息系统的集中管控；最终实现安全防护设备、预警设施、测评以及基线管理协作，充分实现热力行业网络安全事件的事前预警、事中处置以及事后追溯。

四、结束语

总的来说，《网络安全法》、等保2.0时代一方面明确规定了网络空间活动的法律禁区，另一方面对热力行业提出了更高网络安全要求。热力行业理应顺应新时代网络安全发展趋势，及时规范本行业的网络空间行为准则，维护本行业网络空间秩序，引领社会诚信。《网络安全法》的颁布为热力行业网络安全的健康发展指明了方向，为依法治理、管理本行业网络提供了法律依据，为热力行业开展完善的网络安全建设体系以适应关键信息基础设施的安全防护提供强有力的法制保障。

作者:李仲博 孙思维 单位:北京市热力集团有限责任公司供热技术研发中心