胡劍杰

摘要：文章先從等保2.0下的等級保護(hù)規(guī)范及其演變進(jìn)行了簡要剖析，并比較了等保溫度系數(shù)與等保2.0之間的不同變化。最后又根據(jù)當(dāng)前網(wǎng)絡(luò)安全工作的進(jìn)展情況，對等保2.0如何在新能源行業(yè)的具體運(yùn)用與實(shí)現(xiàn)展開了探討，并試圖為有關(guān)研究人員提供參考。

關(guān)鍵詞：等保2.0;能源安全;網(wǎng)絡(luò)安全

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）16-0027-02

步入21世紀(jì)后，我國大力推動信息化建設(shè)，這是信息化建設(shè)的重大戰(zhàn)略行為，是貫穿落實(shí)科學(xué)發(fā)展觀，全面建成小康社會，建設(shè)社會主義和諧社會和建設(shè)現(xiàn)代化高素質(zhì)創(chuàng)新型大國的需要和必須抉擇。在新技術(shù)的驅(qū)動下，人們的工作生活方式都發(fā)生了重大的變化，人類從IT時代跨越到了DT 時代。網(wǎng)絡(luò)安全的攻守科技將由靜止、被動、縱深防守，到向動態(tài)、自主、正面防守的APT攻擊轉(zhuǎn)化。

1等保2.0的出現(xiàn)背景

1.1傳統(tǒng)的安全建設(shè)思路難以應(yīng)對新型攻擊

伴隨新一代信息技術(shù)發(fā)展與互聯(lián)網(wǎng)攻守斗爭科技的進(jìn)展，人類在第五空間——互聯(lián)網(wǎng)生存空間中所遇到的合縱挑戰(zhàn)和攻守斗爭，將從微觀層次直接影響到人們?nèi)粘Ｉ畹囊率匙⌒?，從中觀層次直接影響到公司管理、企業(yè)戰(zhàn)略，以及從宏觀層面直接影響到整個國家的經(jīng)濟(jì)健康和發(fā)展水平。以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等為代表的新興信息技術(shù)也正在迅速滲入能源領(lǐng)域，能源企業(yè)的網(wǎng)絡(luò)安全形勢將面臨新挑戰(zhàn)。尤其是由于各類新業(yè)務(wù)、新應(yīng)用、科學(xué)技術(shù)的發(fā)展與創(chuàng)新，傳統(tǒng)等級保護(hù)的技術(shù)方法已不再適合，于是網(wǎng)絡(luò)系統(tǒng)安全等保2.0規(guī)范（等保2.0）便應(yīng)運(yùn)而生以“勒索病毒”為代表的新型威脅席卷世界，使傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)技術(shù)與手段已無法有效地保障網(wǎng)絡(luò)空間安全，因此網(wǎng)絡(luò)安全防護(hù)系統(tǒng)必須全面提升。

1.2新的系統(tǒng)形式和網(wǎng)絡(luò)結(jié)構(gòu)的變化出現(xiàn)

新技術(shù)、新服務(wù)條件下的產(chǎn)品和業(yè)務(wù)創(chuàng)新與提升，云數(shù)據(jù)等新一代的信息技術(shù)應(yīng)用，使安全領(lǐng)域深入擴(kuò)展，要求個人安全的防護(hù)系統(tǒng)水平也將相應(yīng)提升。

1.3對舊有的等保體系進(jìn)行完善

等保1.0相關(guān)系統(tǒng)規(guī)范已經(jīng)使用了幾年時間，為配合新《網(wǎng)絡(luò)安全法》的施行，對原等保系統(tǒng)進(jìn)行了改版，并從適用范圍、工作時效、簡易性、操作功能上更進(jìn)一步提升。

2 等保2.0的變化

2.1等保2.0的特征

相對于級別保護(hù)的溫度系數(shù)來說，可以將級別防護(hù)2.0的溫度變化總結(jié)為二個全覆蓋，三種特點(diǎn)和五種重點(diǎn)變化。兩個全覆蓋特點(diǎn)：1）遍及各區(qū)域、各單位、各機(jī)關(guān)、各企業(yè)、各組織，同時遍及整個社區(qū)。除個人和家庭外自建網(wǎng)絡(luò)的全面覆蓋。2）覆蓋了各種技術(shù)保障對象，包含互聯(lián)網(wǎng)、電子商務(wù)信息系統(tǒng)，或者新型的技術(shù)保障對象，云平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)分析、移動互聯(lián)網(wǎng)，還有各種新興科技應(yīng)用[1]。

三大特征：1）等級防御2.0基礎(chǔ)要求、測試標(biāo)準(zhǔn)、信息安全設(shè)計(jì)技術(shù)標(biāo)準(zhǔn)架構(gòu)整體統(tǒng)一，即：國家信息安全標(biāo)準(zhǔn)管理中心支撐下的三大防御構(gòu)成技術(shù)框架;2）將云計(jì)算技術(shù)、移動互聯(lián)網(wǎng)，以及物聯(lián)網(wǎng)、工業(yè)控制等領(lǐng)域納入標(biāo)準(zhǔn)規(guī)范，形成了通用信息安全標(biāo)準(zhǔn)+新型應(yīng)用安全擴(kuò)展需求;3）將可信驗(yàn)證作為各別領(lǐng)域和各環(huán)節(jié)的關(guān)鍵功能要求。5個重要改變：1）名稱的改變，“等保2.0”將原有的“信息體系安全級別防護(hù)”有關(guān)技術(shù)標(biāo)準(zhǔn)的名字更改為“網(wǎng)絡(luò)安全防護(hù)級別”防護(hù)有關(guān)技術(shù)標(biāo)準(zhǔn)，與《網(wǎng)絡(luò)安全保護(hù)法》相銜接。2）防護(hù)主要對象的變更，分級防護(hù)從“信息體系”到“網(wǎng)絡(luò)系統(tǒng)”方面的變更，也反映了防護(hù)主要對象的擴(kuò)大。防護(hù)主要對象也從以前的網(wǎng)絡(luò)系統(tǒng)，擴(kuò)大到網(wǎng)絡(luò)系統(tǒng)、基于信息網(wǎng)絡(luò)、云大物移工等新型的信息技術(shù)平臺以及信息體系方面;3）技術(shù)安全要求的變更，分級防護(hù)規(guī)定也從以前一種單純的基本規(guī)定，發(fā)展為通用信息安全要求+新型技術(shù)安全擴(kuò)展規(guī)定，將云計(jì)算能力、移動互聯(lián)網(wǎng)技術(shù)、大物聯(lián)網(wǎng)、工業(yè)監(jiān)控系統(tǒng)等方面納入了技術(shù)標(biāo)準(zhǔn)規(guī)范;4）對種類結(jié)構(gòu)調(diào)整進(jìn)行構(gòu)建研究，以充分體現(xiàn)一條中心，三個維護(hù)的思路（和GB/T25070安全設(shè)計(jì)技術(shù)要求保持一致）[2]。等級保護(hù)的基礎(chǔ)條件、評價標(biāo)準(zhǔn)與保護(hù)技術(shù)設(shè)計(jì)技術(shù)要求的框架系統(tǒng)，如：國家安全管理中心支持下的三大保護(hù)結(jié)構(gòu)框架;5）內(nèi)涵的不同，以往分級防護(hù)內(nèi)容有五種規(guī)定動作，即定級、審批、安全建設(shè)、分級評估和監(jiān)督檢驗(yàn)。但在等保2.0中，分級防護(hù)的內(nèi)容增加到安全監(jiān)測、通報警示、緊急處置、危害評價等，其中與安全有關(guān)的研究將被全面融入等保2.0體系中并得到落實(shí)。

等保2.0技術(shù)可以基于工業(yè)控制或網(wǎng)絡(luò)安全基礎(chǔ)，也根據(jù)安全等級及保護(hù)的基本需求，應(yīng)用于云計(jì)算、物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等技術(shù)，從網(wǎng)絡(luò)層、系統(tǒng)層出發(fā)，通過風(fēng)險評估掌握網(wǎng)絡(luò)安全現(xiàn)狀。網(wǎng)絡(luò)安全防御設(shè)計(jì)Defence-In-Depth的防御思路下，并根據(jù)“網(wǎng)絡(luò)安全分層”“業(yè)務(wù)安全分域”原則，實(shí)現(xiàn)終端安全防護(hù)和網(wǎng)絡(luò)邊界防護(hù)。配置異常監(jiān)測以提升工控系統(tǒng)及網(wǎng)絡(luò)的監(jiān)測預(yù)警能力，配置統(tǒng)一安全管理平臺，建設(shè)安全管理專網(wǎng)，加強(qiáng)動態(tài)防御能力。

2.2等保2.0標(biāo)準(zhǔn)簡析

2.2.1技術(shù)要求

等保2.0的保密信息管理技術(shù)條件增加了數(shù)據(jù)安全監(jiān)督管理技術(shù)條件（由物理保密、網(wǎng)絡(luò)安全、數(shù)據(jù)信息可靠性、使用可靠性、數(shù)據(jù)信息及資料備份，恢復(fù)調(diào)整為數(shù)據(jù)安全物理環(huán)境條件、數(shù)據(jù)安全通信網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)安全區(qū)域邊界、數(shù)據(jù)安全、計(jì)算環(huán)境、信息安全管理中心）。

1）安全的物理?xiàng)l件：重點(diǎn)在防靜電，通過研究增加靜電去除器、佩戴防靜止手環(huán)等，并增加對短時后備電源的需求。

2）安全性通信網(wǎng)絡(luò)：安全性通信網(wǎng)絡(luò)需要對應(yīng)等保1.0技術(shù)下的網(wǎng)絡(luò)安全保護(hù)部分控制要求（結(jié)構(gòu)安全性控制要求）。重要改變包括：①網(wǎng)絡(luò)結(jié)構(gòu)：對適應(yīng)高峰期的重要計(jì)算機(jī)網(wǎng)絡(luò)裝置范圍實(shí)現(xiàn)了拓展，并增加對通信線路、重要網(wǎng)絡(luò)設(shè)備，以及重要計(jì)算裝置的硬件冗余性能要求。②加強(qiáng)對密碼技術(shù)的使用。③增加可信認(rèn)證條件：把可信認(rèn)證作為各類別產(chǎn)品和各環(huán)節(jié)的重點(diǎn)功能要求。用戶在信息安全工程中，可依據(jù)實(shí)際狀況選用可信計(jì)算的產(chǎn)品或技術(shù)手段，運(yùn)用于整體規(guī)劃防護(hù)中[3]。

3）安全區(qū)域界限：安全區(qū)域界限需要對應(yīng)等保1.0技術(shù)標(biāo)準(zhǔn)下的網(wǎng)絡(luò)安全保護(hù)部門控制點(diǎn)（接入管理、安全性審核、邊界完整性檢測、侵入防止、非法代碼防止等）。等保2.0相比于等保1.0，增加了可信驗(yàn)證控制點(diǎn)，并且在其他控制點(diǎn)部分的要求進(jìn)行了加強(qiáng)與創(chuàng)新。

4）安全性軟件：安全性軟件需求，等保2.0針對等保1.0技術(shù)的計(jì)算機(jī)安全性，整體計(jì)劃從控制點(diǎn)利益出發(fā)，新增加了可信認(rèn)證和信息保障二個管理點(diǎn)。

使用等保2.0要達(dá)到的目的是根據(jù)業(yè)務(wù)應(yīng)用特性，對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行了梳理與劃分，配置工業(yè)防火墻，細(xì)化強(qiáng)化通訊策略;針對工業(yè)主機(jī)終端部署可信白名單安全防護(hù)，抵御漏洞風(fēng)險，避免網(wǎng)絡(luò)病毒感染傳播風(fēng)險;部署網(wǎng)絡(luò)監(jiān)測、安全審計(jì)、安全運(yùn)維系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)整體安全態(tài)勢的把控，溯源分析，以及通過安全的通道進(jìn)行運(yùn)維操作。部署的統(tǒng)一安全管理中心，則將單點(diǎn)單方向的安全防護(hù)納入一個集成平臺，進(jìn)行綜合的安全管理控制，提升網(wǎng)絡(luò)安全性。

2.2.2管理要求

將原網(wǎng)絡(luò)安全體制、專業(yè)技術(shù)人員網(wǎng)絡(luò)安全管理工作、系統(tǒng)建設(shè)管理工作、信息系統(tǒng)運(yùn)維服務(wù)調(diào)整為網(wǎng)絡(luò)安全管理工作、信息系統(tǒng)網(wǎng)絡(luò)安全工程建設(shè)運(yùn)營管理、信息系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維服務(wù)。

3 關(guān)于構(gòu)建能源行業(yè)等級保護(hù)的思考

能源行業(yè)一直以來都在嚴(yán)格貫徹落實(shí)中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組相關(guān)規(guī)定，并實(shí)施國家的網(wǎng)絡(luò)安全分級防護(hù)管理體系。在CT-155的發(fā)展藍(lán)圖中，也把網(wǎng)絡(luò)安全視為國家五大保障體系之一。但不管YCIT495-2014還是CT-155，二者都是嚴(yán)格按照等保溫度系數(shù)的有關(guān)規(guī)定進(jìn)行設(shè)計(jì)。所以在等保2.0的年代進(jìn)行等保工作，就必須根據(jù)等保2.0的有關(guān)規(guī)定，對自身的安全結(jié)構(gòu)加以更新改進(jìn)。

3.1安全通信網(wǎng)絡(luò)

因?yàn)榛ヂ?lián)網(wǎng)上數(shù)據(jù)傳輸時通常都會通過幾個中間傳送節(jié)點(diǎn)，而且互聯(lián)網(wǎng)協(xié)定往往存在著規(guī)范透明的特性，因此很易產(chǎn)生非法修改行為，而針對這些情形必須有足夠強(qiáng)度的秘密科技才可以避免非法篡改行為產(chǎn)生，同時確保了數(shù)據(jù)完整性，所以在數(shù)據(jù)傳輸過程中必須選擇國產(chǎn)或商用密鑰技術(shù)加以保護(hù)，提升通信安全。

3.2安全區(qū)域邊界

3.2.1強(qiáng)化訪問控制和安全審計(jì)

安全區(qū)域邊界包括在安全設(shè)計(jì)決策邊界，以及在安全設(shè)計(jì)決策和安全計(jì)劃通信網(wǎng)絡(luò)之間進(jìn)行連通和執(zhí)行安全設(shè)計(jì)策略的部件，主要是在安全計(jì)劃城市邊境部署防火墻和城市邊境防御過濾裝置，根據(jù)使用協(xié)定和應(yīng)用規(guī)范的監(jiān)控管理，對各種數(shù)據(jù)流進(jìn)行檢查，配備網(wǎng)絡(luò)審查裝置，對進(jìn)入計(jì)算環(huán)境邊界并使用網(wǎng)絡(luò)的使用者的行為實(shí)施有效審查。

3.2.2安全管理中心

按照等級防護(hù)的有關(guān)規(guī)定，政府應(yīng)當(dāng)設(shè)置安全管理中心，以完成政府對安全計(jì)算環(huán)境、安全區(qū)域邊界防護(hù)和安全通信網(wǎng)絡(luò)的統(tǒng)籌監(jiān)管，以保障安全運(yùn)作。而安全管理中心則是一種功能集合的概念，核心任務(wù)是完成對各種安全機(jī)制的統(tǒng)籌集中管理。安全行政中心是安全管理系統(tǒng)平臺或區(qū)域?qū)崿F(xiàn)，一般有安全系統(tǒng)管理、審計(jì)管控和集中監(jiān)測等幾個功能，為整個體系提供了統(tǒng)一的、集中的、規(guī)范的管理手段和機(jī)制。目前，一般采用了狀態(tài)感知、堡壘機(jī)、日志審計(jì)等設(shè)備和手段完成。

綜上所述，在安全分級防護(hù)機(jī)制和重要信息安全基礎(chǔ)設(shè)施保障機(jī)制下，本方案從終端安全防護(hù)、安全監(jiān)測、安全審計(jì)、統(tǒng)一管理等不同功能方向，結(jié)合采用功能安全與信息安全生命周期安全防護(hù)，應(yīng)用不同層次、不同方面管控網(wǎng)絡(luò)和安全防護(hù)。具體建設(shè)實(shí)施內(nèi)容包括：1）網(wǎng)絡(luò)安全分層分區(qū)通過工業(yè)防火墻實(shí)現(xiàn)管理網(wǎng)與生產(chǎn)網(wǎng)的隔離，并保證數(shù)據(jù)傳輸需求;根據(jù)業(yè)務(wù)劃分安全區(qū)域，對跨裝置之間存在操作站互聯(lián)的情況，在操作站之間加裝工業(yè)防火墻，實(shí)現(xiàn)安全域之間的安全通信;通過防火墻對控制系統(tǒng)進(jìn)行防護(hù)，保護(hù)下裝控制器的數(shù)據(jù)在傳輸中不被病毒篡改及刪除，防止控制網(wǎng)中節(jié)點(diǎn)感染病毒。2）主機(jī)可信安全工控主機(jī)（服務(wù)器、工程師站、操作站）配置了主機(jī)安全防御白名單軟件，白名單防護(hù)方法是指通過對工控上位機(jī)和服務(wù)器的安裝，配置主機(jī)安全防護(hù)平臺并對其進(jìn)行全面的安全保護(hù)，包括計(jì)算機(jī)進(jìn)程管理、可信特征庫生成、主機(jī)USB接口管理、控制策略配置、白名單運(yùn)行控制、自身完整性保護(hù)等功能。3）網(wǎng)絡(luò)安全監(jiān)控、審核和運(yùn)維，利用異常監(jiān)測系統(tǒng)實(shí)現(xiàn)互聯(lián)網(wǎng)上非法操作、非正常事件、外部入侵，并進(jìn)行及時報警;利用審計(jì)系統(tǒng)可以對工程網(wǎng)絡(luò)應(yīng)用中出現(xiàn)的各種活動，進(jìn)行合同審計(jì)、行為審計(jì)、信息審計(jì)、流量審計(jì);利用運(yùn)維管理系統(tǒng)，可以截?cái)噙\(yùn)維終端用戶對工程網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)資源的實(shí)時使用，并利用合同代理的方法，構(gòu)建具有唯一性身份標(biāo)識的全域網(wǎng)絡(luò)實(shí)名制用戶管理系統(tǒng)，構(gòu)建集中拜訪與控制的細(xì)粒度的命令級授權(quán)手段，進(jìn)行集中有序的運(yùn)維工作安全管控，對客戶系統(tǒng)從注冊到退出的全程使用活動實(shí)施審計(jì)，以加強(qiáng)對工程系統(tǒng)和設(shè)施遠(yuǎn)程保護(hù)的安全管控。4）數(shù)據(jù)備份系統(tǒng)針對生產(chǎn)數(shù)據(jù)、文件以及系統(tǒng)進(jìn)行保護(hù)，定期備份。在災(zāi)難事件發(fā)生時，可將數(shù)據(jù)以及操作系統(tǒng)恢復(fù)至最新備份時間點(diǎn)，以保證生產(chǎn)業(yè)務(wù)的快速恢復(fù)。并可為后期實(shí)施數(shù)據(jù)中心建立基礎(chǔ)。5）建立工業(yè)安全管理系統(tǒng)專網(wǎng)，建立統(tǒng)一安全信息管理平臺，統(tǒng)一集中管理工業(yè)自動化的系統(tǒng)設(shè)備、安全設(shè)備信息和日志數(shù)據(jù)，對各個設(shè)備日志數(shù)據(jù)關(guān)聯(lián)分析，對整個工業(yè)工控安全設(shè)備的情況統(tǒng)一顯示和分析[4]。這是等保2.0安全管理中心的具體體現(xiàn)。6）構(gòu)建安全管理制度，健全制度規(guī)范按安全分級防護(hù)要求，本次項(xiàng)目在完成技術(shù)防護(hù)基礎(chǔ)上，配合企業(yè)，建立了安全管理體系，應(yīng)用了安全管理制度，包括組織人員、物理及環(huán)境、應(yīng)急預(yù)案、運(yùn)維管理等，以保障安全管理制度對運(yùn)維工作的可靠性[5]。

4 結(jié)束語

綜上所述，隨著能源行業(yè)現(xiàn)代化程度的日益提升，能源行業(yè)面對的安全風(fēng)險越來越嚴(yán)峻。等保2.0系統(tǒng)要求的實(shí)施與運(yùn)用，為能源行業(yè)網(wǎng)絡(luò)安全性提出了有效的評估方法與依據(jù)。

參考文獻(xiàn)：

[1] 傅鈺.網(wǎng)絡(luò)安全等級保護(hù)2.0下的安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（8）：13，16.

[2] 馬力，陳廣勇，祝國邦.網(wǎng)絡(luò)安全等級保護(hù)2.0國家標(biāo)準(zhǔn)解讀[J].保密科學(xué)技術(shù)，2019（7）：14-19.

[3] 徐震.網(wǎng)絡(luò)安全等級保護(hù)：從1.0到2.0[J].保密工作，2019（7）：63-64.

[4] 周元德，龍?jiān)疲瑮顣员?，?勘察設(shè)計(jì)集團(tuán)企業(yè)網(wǎng)絡(luò)安全等級保護(hù)制度的建設(shè)[J].電子技術(shù)與軟件工程，2018（5）：221-222.

[5] 侯振堂，申康，崔鑫，等.等保2.0標(biāo)準(zhǔn)下的能源行業(yè)網(wǎng)絡(luò)安全工作的探究[J].通訊世界，2019，26（12）：75-76.

【通聯(lián)編輯：謝媛媛】