近年来,随着国际国内信息化、数字化的迅猛发展,网络安全形势愈发严峻,特别是能源领域,世界能源正在全面推动产业转型,形成能源和工业体系新格局,绿色低碳转型步伐加快,能源产业信息化、智能化水平持续提升助力能源行业高质量发展。
煤炭作为我国重要的传统能源类型,是国民经济的重要组成部分。山西作为煤炭大省,为我国能源保供作出了巨大贡献。山西省煤炭行业持续推进信息化建设、智能化建设,推动信息技术与煤炭产业融合发展,促进煤炭工业高质量发展,将煤矿信息化、智能化建设作为“转型出雏形”主要内容之一。煤炭行业利用现代化的信息手段对核心业务重新构建,提高对煤矿经营、管理及生产过程整体运作的控制能力,信息化不仅对煤矿传统的管理模式进行了革新,更是通过减人增效为煤矿生产安全保驾护航,是煤矿企业完成工业化新型改革和核心竞争力提升的有效途径。
煤炭行业的信息化发展之路经历了数字矿山、感知矿山阶段,目前正向智慧矿山迈进。但信息化的蓬勃发展,离不开网络安全的保驾护航,煤炭行业的网络安全工作相较于电力行业,起步晚、基础薄弱,加之前沿技术发展带来的网络安全新风险逐步凸显,传统网络安全威胁与新型网络安全威胁相互交织,网络安全工作任重而道远。
山西省煤炭行业网络安全发展环境
煤炭行业信息系统基本情况
信息化、数字化发展,是加快推进煤炭行业实现“减、优、绿”的必经之路,2018 年,山西省发布了《DB14/T 1728—2018 煤矿信息化建设要求》(因国家和行业的相关标准、要求发生较大变化,目前该标准正在修订中),指导全省煤炭行业规范开展信息化建设工作。
煤矿企业信息系统主要有矿井通信系统、煤矿监控与自动化系统、生产及安全管理信息系统3 类。矿井通信系统主要包括矿用有线调度通信系统、矿用移动通信系统、煤矿可视化调度系统等;煤矿监控与自动化系统实现煤矿有毒有害气体监测控制、粉尘监测控制、人员井下定位、产量监测控制、视频监控、“采、掘、机、运、通”各部门自动化运行监控等功能;生产及安全管理信息系统实现煤矿生产数据的汇总和分析,为煤矿企业决策、上级部门监管提供支撑,实现各种生产、企业资源的管理。
通过近年来煤矿企业网络安全工作的推动,总体发现,山西全省700 余座生产矿井,信息化发展程度不同,信息系统数量、网络结构也不尽相同。依据煤矿实际情况,总结分析,形成了煤矿网络拓扑图(图1)。
煤矿网络主要包括工业环网、煤炭专网、集团专网、互联网。
工业环网主要分布于井下、井上各生产工作面,承载各类生产采集、监测、控制等业务数据,一般根据数据重要性,将瓦斯数据与其他生产数据分离,采用独立的环网进行传输。
煤炭专网部署了各煤矿系统业务,同时根据业务要求,通过煤炭专网向各监管单位传输数据。
集团专网存在于涉及集团公司的煤矿中,主要用于与集团公司进行各类业务数据交互。
互联网主要用于通过VPN向有关主管部门上传数据。
煤炭行业网络安全政策和标准体系建立情况
(1) 国家层面不断加强能源领域网络安全顶层规划
国家层面网络安全政策体系不断完善,陆续发布实施了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,明确网络安全各项工作职责和权利义务,并在多个顶层规划文件中对能源领域网络安全提出了要求:
《“十四五”国家信息化规划》指出,要提升数据资源的开发利用,完善数据治理基础制度,强化数据安全保障;坚持安全和发展并重,以安全保发展、以发展促安全,统筹提升信息化发展水平和网络安全保障能力。
《“十四五”现代能源体系规划》指出,要提升能源网络安全管控水平。完善电力监控系统安全防控体系,加强电力、油气行业关键信息基础设施安全保护能力建设。推进北斗全球卫星导航系统等在能源行业的应用。加强网络安全关键技术研究,推动建立能源行业、企业网络安全态势感知和监测预警平台,提高风险分析研判和预警能力。
《国家能源局关于加快推进能源数字化智能化发展的若干意见》指出,推动煤矿构建覆盖业务全生命周期的“预警、监测、响应”动态防御体系,提升油气田工业主机主动防御能力,加强电厂工控系统网络安全防护,推进传统能源厂(站) 信息系统网络安全动态防护、云安全防护、移动安全防护升级,加快实现核心装备控制系统安全可信、自主可控。
(2) 山西省煤炭行业政策标准体系不断完善
在信息化、智能化建设方面,陆续出台了《山西省煤矿企业信息化建设等级评估工作实施方案》《山西省煤矿企业信息化建设等级评估评分细则(试行)》《2022 年度全省深入推进煤矿智能化建设工作方案》《煤矿智能化建设评定管理办法》等规范性文件, 以及《山西省煤矿智能化建设指导手册(2021 版)》等技术标准,并将网络安全保障要求纳入信息化建设等级评估、智能化建设评定的评分指标,通过评价杠杆,推动信息化、智能化建设过程中同步落实网络安全保障措施。在网络安全方面,出台了《煤炭企业网络安全等级保护工作管理办法(试行)》(晋能源信监发〔2021〕92 号)、《煤矿企业贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的工作实施方案》(晋能源信监发〔2021〕94 号),要求各级能源行业主管部门按照国家、行业标准指导煤矿企业开展网络安全工作,落实网络安全主体责任。
截至目前,山西省煤矿企业已开展等级保护的企业约占全部企业的60%。经过近2 年的推动,煤矿企业普遍认识到网络安全的重要性,在经费保障、日常管理、技术措施、网络安全教育培训等方面都有较大的提升,转变了煤矿企业重生产安全和信息化建设,轻网络安全管理的局面,逐步构建起煤矿企业网络安全保障体系。行业监管层面也持续发力,结合国家网络安全有关要求,部署各级能源行业和各能源企业在深入实施网络安全等级保护制度的基础上,全面统筹推进关键信息基础设施安全保护、数据安全保护、个人信息保护、密码应用、供应链安全管理等各项制度的落实。
煤炭行业网络安全防护总体情况
部分煤炭企业尚未树立正确的网络安全观,甚至有的企业认为网络安全是安全产品的简单堆积,或是一次性的静态过程,认为一次投入即可一劳永逸,未能认识到网络安全是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。体现在网络安全工作人、财、物各方面的保障力度不够,安全管理制度、技术防护措施落实不到位。
煤炭企业网络安全资金投入整体不足,除少数大型煤炭集团总部网络安全资金投入相对较高外,多数企业投入仍然偏低,停留在保障“基线安全”的层面。煤炭企业整体防控网络安全风险的工作体系、制度、协调机制尚未完善,机构设置和人员配备不足。在被调研的20 家煤炭集团总部中,除央企均设有网络安全处或其他专门机构外,其他企业相关职能大多设置在信息化部门下,专职网络安全工作人员数量平均不足3 人,不足以应对复杂多变的网络安全形势。
从2022 年煤矿企业测评数据中进行抽样分析(抽取了492 个测评系统),开展网络安全等级保护测评的煤矿企业信息系统,4.27%的系统测评结果为良,95.73%的系统测评结果为中,分数段多集中在70~80分。
合规需求是过去几年推动山西省煤矿企业网络安全建设和产业发展的主要动因,但在政策合规驱动下,煤矿企业用户的安全投入以单点、分散式采购为主,缺少体系化的安全规划和布局。随着各类实战化网络攻防演习行动的逐年增多,单纯依靠合规驱动的企业往往需要采取临时协调、突击建设等方式来应对,安全投入不足、主体责任落实不到位等问题仍然突出,产业内生需求有待进一步培育壮大。煤炭企业网络安全不仅是投入和技术问题,更是管理问题。提升网络安全体系效能是网络安全工作的关键所在。但是由于人员不足、手段缺失、流程不清晰等多方面条件限制,造成很多煤炭企业网络安全体系效能发挥受限,如隐藏的安全问题发现不了、发现问题解决不了等,最终造成所建设的安全体系不能充分应对实际安全问题,网络安全总体防护水平有待进一步提高。
山西省煤炭行业网络安全问题分析
网络安全问题的重视程度不足
山西省许多煤矿企业在开展信息化和网络安全工作过程中,存在以下思想认识不到位和认识误区的问题:
(1) 没有正确认识信息化和网络安全是一体之两翼、驱动之双轮,是需要统筹推进和发展的关系
认为信息化是业务需求,是能够见效果的工程,需要投入必要的人力财力物力去建设维护,但往往忽视网络安全作为信息化发展的保障作用,导致在信息化建设过程中未能落实同步规划、同步建设、同步使用网络安全保障措施的三同步原则,造成因不满足网络安全要求而重复建设影响经济效益,或是发生网络安全事件影响业务应用,很大程度上制约了信息化、智能化建设以及效用的发挥。
(2) 存在重建设轻应用,内网即安全的认识误区
近年来,能源行业信息化、智能化蓬勃发展,能源企业积极开展信息化建设工作,但许多信息系统建成后,未有效发挥作用,系统利用率不高,信息化建设工作虎头蛇尾,注重“建好”,没有“用好”,后期的应用和维护跟不上。网络安全方面,因能源行业业务的特殊性,往往采用行业专网,许多企业认为其信息系统没有连接互联网,安全风险几乎为零。其实不然,煤矿企业感染勒索病毒、电力监控系统遭受大规模网络攻击的事件屡见不鲜。事实上,攻击者有多种手段突破专网,在对某煤矿企业遭受网络攻击的事件分析过程中发现,攻击者可以通过互联网访问到集团公司的办公OA系统,通过管理员弱口令获取OA应用权限,再通过OA向办公用户发送钓鱼邮件获取办公终端计算机权限,以办公终端作为跳板,横向发现集团公司下属的煤矿企业的信息资产,并获取交换机权限,继而通过内网信息收集发现井下工控系统并通过漏洞获取工控系统权限,从而实施网络攻击。某煤炭集团网络遭受攻击过程示意如图2 所示。
(3) 数据安全意识依然淡薄
随着国家网络安全政策、标准体系的不断完善和监管力度的加强,能源行业网络安全防护意识显著提升。但许多煤矿企业对网络安全的认识还不够全面,仍旧停留在关注网络系统层面的安全,未意识到数据安全的重要性。能源行业是国民经济的基础行业,关系国家经济和社会发展的大局。表面上杂乱无章的能源数据,背后隐含着能源的勘探、开发及生产的规律和关系,攻击者一旦掌握了这些数据,并对这些含有意义的数据进行专业化处理,能够得到的信息及因此造成的危害将是不可估量的。单就目前山西省煤矿企业承担着全国多数省份的能源保供工作来说,其数据价值也是不言而喻的,但目前山西省煤矿企业的数据安全意识、数据分类分级和全生命周期安全保护制度的建立,尚需时日。
网络安全工作管理体系不完善
目前,多数煤矿企业的网络安全管理体系建设都不够健全,基本上在2021 年全省推动煤矿企业网络安全等级保护工作开始,才逐步意识到网络安全管理机构设立的必要性、管理体系健全对推动网络安全保护措施落地的重要性。一方面存在企业网络安全管理机构不健全、人员岗位设置不科学、职责划分不明确的问题,多数企业的网络安全管理机构设立在信息化管理部门,且未设置专职网络安全人员,导致网络安全工作缺乏统一规划、统筹管理,主体责任落实不到位;另一方面,存在网络安全管理制度缺失或缺乏行之有效的制度落实监督机制,导致网络安全防护措施难以有效落实。
网络安全工作保障能力不足
(1) 缺乏专业的网络安全技术及专业人才
多数企业未设立专职网络安全岗位,网络安全日常防护过度依赖第三方技术服务机构,信息化建设完全外包,风险管控措施缺失,供应链安全问题突出,知识产权归属、运行维护的可靠性等问题严重制约能源网络安全工作健康发展;同时,专业人才力量的缺乏,也对企业开展网络安全事件处置带来了极大挑战,一旦发生网络安全事件,不能够及时有效地处置,或将造成严重后果。
由于缺少与安全技术相匹配的人员、流程和管理手段,煤矿企业用户往往无法实现对安全产品效能和服务质量的有效评估,只能依赖市场上各类资质不一、能力参差不齐的安全技术厂商,煤炭企业自身的安全建设水平和保障能力亟待提升。20 家煤炭集团总部办公终端操作系统平均国产化使用率不足1%。其中最高的接近20%,65%的集团总部国产化使用率为0。Windows 操作系统占据绝对主导,平均使用率为98.3%,其中尚有2%的电脑终端还在使用Windows XP系统。20 家煤炭集团总部中,仅6家使用了国产品牌数据库,且使用数量偏低。技术厂商提供的部分防护类产品和管理类产品与煤矿业务场景结合程度不高,使得煤炭企业对厂商的安全技术认可度不高。但涉足煤炭行业网络安全业务的厂商数量激增,供给市场呈分散化趋势,产业集聚效应不明显,行业规模效应难以实现。
(2) 网络安全经费保障不足
近年来,在网络安全相关法规要求严格和网络威胁骤增的双重压力下,企业安全需求增多,对于网络安全的经费保障有所提升,但在煤炭行业,存在应对法定要求、检查要求、应对网络安全突发事项的情况,缺乏等级测评、风险评估、密码应用安全性检测、演练竞赛、安全建设整改、安全保护平台建设、运行维护、监督检查、教育培训等必要的经费保障制度和经费投入,难以发挥网络安全对信息化、智能化发展的保障作用。
(3) 安全设施升级维护不及时
随着信息化、智能化建设的推进,煤矿企业经常面临系统的升级改造,但存在网络设备更新与维护不及时的情况。许多煤矿企业采购的网络安全设备、服务没有定期维护更新,安全“脱保”现象时有发生,或是系统功能老旧影响业务运行甚至引发网络安全事故,亟待加强网络系统、设备改造升级经费的保障。
对网络安全相关规范标准理解不深
煤矿企业普遍存在对国家、行业出台的网络安全政策法规、管理规范、技术标准学习不够、理解不深、把握不准的现象,导致不能准确掌握网络安全发展的规律,影响科学决策、精准落地。多数煤矿企业因对网络安全内涵、工作要求理解不深入,导致网络安全规划不全面,网络安全保障措施和工作推动滞后于国家、行业的政策要求,不能满足网络安全的基本要求,面对网络安全突发情况,难以及时有效应对。
网络安全技术防护能力薄弱
分析目前山西省煤矿企业网络安全现状,煤炭本身的强行业属性导致其信息化建设的行业属性明显,也为网络安全管理带来一些问题。同时,一部分煤矿企业对网络安全支持力度远远不够,对网络安全领域的管理和投入不能满足于安全防范的需求,没有形成完善、规范、积极的应对意识,导致其网络监控、防治、防护等方面都亟需加强和完善。部分煤矿企业网络安全防护措施过于简单,其设备配置的性能有待提升,并且很多网络系统没有设置安全防火墙,导致监视系统过于简单和粗略,这对于网络系统安全的监测呈现消极影响。甚至很多操作系统老化,也没有定期更换密码的习惯,其内部网络及邮件程序会因为系统安全保护能力弱的原因遭到入侵,从而破坏整个系统的安全性。此外,从目前我国厂商发布补丁或者是软件升级的效果来看,很多煤矿企业并未重视与之相关的安全管理效果,在一定程度上导致系统性能、数据等不能进行同步管理和升级。内部网络系统缺乏固定的安全管理防护手段,导致无论对信息还是网络均存在一系列的安全隐患。
等级保护制度落实情况仍需进一步深化
自1994 年《计算机信息系统安全保护条例》提出计算机信息系统分等级保护的概念以来,等级保护制度逐步演进为信息安全等级保护,直至2017 年《中华人民共和国网络安全法》颁布以来,发展为网络安全等级保护,已有近30 年的发展历史,通过深入实施网络安全等级保护制度,整改了一大批安全问题和隐患,显著提升了我国整体网络安全防护水平。但目前山西省煤矿企业的等级保护工作,还需进一步推进,部分煤矿企业尚未开展等级保护定级备案工作,有的企业备案后未做过等级保护测评,而做过等级保护测评的企业中,有相当比例的企业存在一些测评指标不达标,存在中低风险问题,且煤矿企业整体测评分数不够高。煤炭行业仍需持续推进等级保护制度的落实,进一步梳理运营使用的信息系统,开展等级保护测评和建设整改工作。
山西省煤炭行业网络安全保障工作建议
建立完善网络安全管理体系
(1) 完善网络安全管理机构和管理制度明确专门的网络安全管理部门、责任人,科学设置岗位职责,充分发挥技术人才的引领作用。制定机构企业网络安全管理制度,定期修订发布,并做好宣贯督促落实,通过管理体系的建设推动网络安全管理常态化、规范化开展。
(2) 建立网络安全应急处置机制
一是通过建立网络安全事件管理制度,确定不同类别和级别事件处置的指挥流程、处置要求,组建专门网络安全事件应急处置队伍,制定网络安全事件应急预案,定期开展应急演练,做好网络安全日常应急处置工作,保证网络安全事件发生时,能够按步骤有策略地应对,降低损失。
二是制定重大活动期间应急处置制度,明确战时值班值守、实时监测、事件报告流程和方法,确保重要时间节点网络安全稳定运行。
三是建立重大事件报告处置制度,一旦发生重大网络安全事件或者发现重大网络安全威胁时,第一时间向行业主管部门、公安机关报告,同时立即开展应急处置,并保护现场,做好相关网络日志、流量及攻击样本等证据留存工作。
加强网络安全人才队伍建设
一是完善网络安全岗位设置,配备专职网络安全工作人员,设立网络管理员、安全管理员、安全审计员3 个岗位,并尽量避免兼任。
二是持续开展教育培训,根据业务需求,为网络安全第一责任人、网络安全从业人员等提供与其职责对应的培训,培训内容覆盖网络安全相关政策法规和技术标准等,准确把握国家、行业网络安全工作新要求、新思路、新举措。
三是要加强网络安全人员管理,通过制度建设,加强内部运维管理人员和第三方服务人员的规范管理,避免因操作不规范、网络安全意识薄弱等导致的信息泄露、运维失误事件。
四是组织比武考核,激励相关人员不断提升网络安全专业水平和实战能力。
提高网络系统安全和数据安全保障能力
(1) 深入推进等级保护2.0 实施
要坚持发挥网络安全等级保护制度的基础性、支撑性作用,落实等级保护基本要求。
强化物理环境基础设施安全保障,加强数据中心机房、运行监控调度机房、重要通信机房的物理访问控制、防火、防雷、防盗、防静电、防水防潮、电力供应等措施。落实“一个中心三重防护”,建立网络安全管理中心,实现系统管理、审计管理、安全管理,实现对全网安全态势监督、运行、维护;加强通信网络安全保障,科学规划网络架构及安全域,采用合规密码技术保障数据传输完整性保密性;加强区域边界安全保障,优化边界安全访问控制策略,管控内联、外联、无线连接行为,提升边界入侵防御和防恶意代码能力,完善边界日志审计能力建设,落实安全功能授权及规则库管理、边界访问控制措施管理;加强安全计算环境保障,围绕身份鉴别、权限划分、安全审计、入侵防护、数据安全防护等安全要求,落实口令管理、权限管理、安全更新管理、数据传输存储保护管理、数据备份管理等, 构建安全可信的计算环境。实现网络安全一体化调度与防控, 健全完善网络安全管理体系。煤矿企业等级保护体系建设示意如图3所示。
(2) 逐步加强数据安全保护能力
一是按照国家有关要求,结合自身业务实际,落实数据分类分级制度,梳理重要数据目录,并落实全流程安全保护措施。
二是加强全生命周期安全保护,严格执行数据分类分级和数据源认证,在数据收集阶段,明确数据收集的目的、用途、方式、范围、来源、渠道等,并对数据来源进行鉴别和记录,仅收集通过授权的数据,收集全过程需要符合相关法律法规和监管要求;在数据存储阶段,重要数据存储在境内,第三级以上网络系统应对重要数据、个人信息及业务敏感数据等进行加密存储,建立数据存储备份机制,并定期开展备份恢复演练,第三级以上网络系统应落实异地实时数据备份措施,同时建立密钥管理体系,保障数据加密等技术中密码应用的安全。在数据使用和加工阶段,明确数据的使用规范,仅允许访问使用业务所需的最小范围内的业务数据,在处理过程中应进行去标识化或脱敏处理。在数据传输阶段,对涉及到数据同步、数据迁移、终端传输过程,使用加密技术和脱敏基础进行保护;第三级以上网络系统对敏感数据进行加密传输,数据导入导出应进行严格审批和监测。对外提供和公开数据时,保障对数据的交换监控和数据接口安全,严格依照数据共享规范,对过程进行严格审批并存档,开展风险评估并对数据共享进行监测和审计,建立数据交换和共享审核流程和监管平台,对数据共享的所有操作和行为进行日志记录,并对高危行为进行风险识别和管控。在数据销毁阶段,建立数据销毁机制,明确数据清理方法对数据库、服务器、容器、硬盘、光盘、磁盘等对象开展数据清理销毁和介质清理销毁,确保被销毁的数据不能被还原。数据安全保护能力建设体系如图4 所示。
责任编辑: 李金松