新形勢下熱力行業(yè)網(wǎng)絡(luò )安全建設思路論文

新形勢下熱力行業(yè)網(wǎng)絡(luò )安全建設思路論文

　　摘要：本文分析了未來(lái)網(wǎng)絡(luò )安全的趨勢, 并列舉了熱力行業(yè)作為公益性基礎服務(wù)事業(yè)的網(wǎng)絡(luò )安全威脅防范和網(wǎng)絡(luò )安全建設的需求, 提出了熱力行業(yè)網(wǎng)絡(luò )安全規劃新思路、網(wǎng)路安全規劃總體性要求、規劃原則、安全規劃框架、網(wǎng)絡(luò )安全規劃實(shí)施步驟及每階段目標任務(wù), 從而為熱力行業(yè)在新形勢下的網(wǎng)絡(luò )安全建設提供一種思路。

　　關(guān)鍵詞：熱力行業(yè),網(wǎng)絡(luò )安全,等級保護,基礎設施,基礎防護,智能管控

　　一、網(wǎng)絡(luò )安全形勢

　　隨著(zhù)計算機和通信技術(shù)的發(fā)展, 網(wǎng)絡(luò )信息的安全和保密已成為一個(gè)至關(guān)重要且急需解決的問(wèn)題。計算機網(wǎng)絡(luò )所具有的開(kāi)放性、互連性和共享性等特征使網(wǎng)上信息安全存在著(zhù)先天不足, 再加上系統軟件中的安全漏洞以及所欠缺的嚴格管理, 致使網(wǎng)絡(luò )易受攻擊。因此網(wǎng)絡(luò )安全所采取的措施應能全方位地針對各種不同的威脅, 保障網(wǎng)絡(luò )信息的保密性、完整性和可用性。

　　綜合考量2017年經(jīng)歷的網(wǎng)絡(luò )安全事件, 2018年及以后整個(gè)網(wǎng)絡(luò )安全行業(yè)的趨勢或將出現如下情況:

　　(一) 勒索軟件攻擊

　　勒索攻擊成為網(wǎng)絡(luò )攻擊的一種新常態(tài), 網(wǎng)絡(luò )攻擊者將調整目標, 從傳統的目標轉向利潤更高的勒索目標, 其中包括高凈值個(gè)人、連接設備和企業(yè)。

　　(二) 會(huì )有更多的僵尸網(wǎng)絡(luò )物聯(lián)網(wǎng) (Io T) 攻擊

　　由于制造商安全能力不足和行業(yè)監管缺失, 2018年物聯(lián)網(wǎng)設備的安全威脅將愈演愈烈, 對用戶(hù)的個(gè)人隱私、資金財產(chǎn)乃至人身安全會(huì )出現很大問(wèn)題造成巨大損失。

　　(三) 針對關(guān)鍵基礎設施的網(wǎng)絡(luò )攻擊升級, 攻防兩端的對抗將加劇

　　攻擊目標從電力、交通等“命脈”設施, 延伸到公共服務(wù)系統、重要工業(yè)企業(yè)的生產(chǎn)設施、互聯(lián)網(wǎng)關(guān)鍵基礎設施。

　　我國相關(guān)主管機構也已經(jīng)組織了多次針對電力、民航等關(guān)鍵基礎設施的攻防演習, 從已經(jīng)實(shí)施的《網(wǎng)絡(luò )安全法》到正在征求意見(jiàn)的《關(guān)鍵信息基礎設施保護條例》, 都將關(guān)鍵基礎設施保護上升到了國家戰略層面, 集中力量、加大投入、創(chuàng )新技術(shù)、提升能力將成為保障關(guān)鍵基礎設施安全的趨勢和方向。

　　(四) 個(gè)人數據隱私保護將通過(guò)法律等技術(shù)手段向前推進(jìn)

　　隱私保護從爭議話(huà)題開(kāi)始邁向通過(guò)法律和技術(shù)方案的務(wù)實(shí)推進(jìn)。以此應對云計算、大數據、移動(dòng)互聯(lián)網(wǎng)及跨境數據處理等應用場(chǎng)景所帶來(lái)的新挑戰。

　　目前我國沒(méi)有統一的個(gè)人信息保護法, 但是通過(guò)“徐玉玉案”等一系列案件給社會(huì )帶來(lái)的不良影響, 使人們充分意識到了個(gè)人信息泄露和濫用所帶來(lái)的嚴重社會(huì )危害, 同時(shí)也催生個(gè)人信息保護立法落地。

　　二、熱力行業(yè)開(kāi)展網(wǎng)絡(luò )安全建設的必要性

　　城市供熱系統是城市熱力供應的重要組成部分, 是城鎮建設的重要基礎設施之一。供熱行業(yè)屬于公益性事業(yè), 與電力、燃氣、水務(wù)、交通等行業(yè)一樣屬于國家重要城市工業(yè)基礎設施, 供熱系統的安全穩定運行也是國民經(jīng)濟、社會(huì )運行的重要基礎。

　　(一) 熱力行業(yè)面臨的主要威脅

　　對于熱力行業(yè)信息系統的威脅攻擊而言, 無(wú)論攻擊者處于何種動(dòng)機, 攻擊方式和手段如何變化, 都會(huì )指向特定的目標, 攻擊成功后將導致熱力企業(yè)的業(yè)務(wù)和聲譽(yù)受損, 依據《網(wǎng)絡(luò )安全法》, 攻擊者甚至面臨法律懲罰。

　　面對可能的攻擊, 熱力企業(yè)需要謹慎思考攻擊路徑、分析威脅和漏洞, 進(jìn)而勾畫(huà)出全面的風(fēng)險視圖并制定安全控制措施�？赡艽嬖诘耐�脅有:

　　(1) 破壞供熱系統, 中斷正常供熱;

　　(2) 內部人員失誤導致業(yè)務(wù)中斷;

　　(3) 竊取供熱用戶(hù)身份、供熱信息;

　　(4) 竊取財務(wù)或辦公信息;

　　(5) 內部人員非法交易用戶(hù)身份、供熱信息;

　　(6) 外包人員在程序中安插后門(mén);

　　(7) 跨國的政治或商業(yè)目的信息竊取

　　(8) 惡意軟件;

　　(9) 網(wǎng)絡(luò )被攻擊、通信中斷;

　　(10) 自然災害。

　　(二) 熱力行業(yè)數據安全的需要

　　熱力行業(yè)相關(guān)單位的數據格外引人注目, 除了企業(yè)內的財務(wù)、行政、人力等管理數據外, 更多的敏感數據為供熱用戶(hù)信息等。任何由內外原因疏漏導致的數據泄漏都將使企業(yè)遭受重創(chuàng ), 后果會(huì )很?chē)乐亍?/p>

　　供熱行業(yè)的管理趨于數字化, 《網(wǎng)絡(luò )安全法》及更多法律法規的出臺, 可能會(huì )加劇企業(yè)保護數據安全的負擔。但數據是核心的信息資產(chǎn), 企業(yè)必須適應環(huán)境的變化, 不能消極、退讓、躲避, 只有不斷尋求更佳的安全防護體系和措施才是真正的辦法。

　　(三) 熱力行業(yè)業(yè)務(wù)安全的需要

　　安全不僅僅只是保護基礎設施, 更要保障業(yè)務(wù)系統的安全。也就是說(shuō), 將安全控制融入到業(yè)務(wù)流程之中, 對業(yè)務(wù)操作中的安全控制點(diǎn)進(jìn)行同步監測, 進(jìn)而提前做到安全態(tài)勢感知, 防患于未然, 并節省寶貴的事件響應時(shí)間。

　　(四) 法律的要求

　　《中華人民共和國網(wǎng)絡(luò )安全法》第三十一條:國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域, 以及其他一旦遭到破壞、喪失功能或者數據泄露, 可能?chē)乐匚：�國家安全、國計民生、公共利益的關(guān)鍵信息基礎設施, 在網(wǎng)絡(luò )安全等級保護制度的基礎上, 實(shí)行重點(diǎn)保護。第二十一條:國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求, 履行下列安全保護義務(wù), 保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn), 防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。第三十四條:除本法第二十一條的規定外, 關(guān)鍵信息基礎設施的運營(yíng)者還應當履行下列安全保護義務(wù): (一) 設置專(zhuān)門(mén)安全管理機構和安全管理負責人, 并對該負責人和關(guān)鍵崗位的人員進(jìn)行安全背景審查; (二) 定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò )安全教育、技術(shù)培訓和技能考核; (三) 對重要系統和數據庫進(jìn)行容災備份; (四) 制定網(wǎng)絡(luò )安全事件應急預案, 并定期進(jìn)行演練; (五) 法律、行政法規規定的其他義務(wù)。

　　三、熱力行業(yè)網(wǎng)絡(luò )安全建設規劃

　　(一) 網(wǎng)絡(luò )安全規劃新思路

　　1、全面貫徹落實(shí)網(wǎng)絡(luò )安全等級保護制度

　　《網(wǎng)絡(luò )安全法》第二十一條規定, 國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。從中我們也可以看出國家對于等級保護制度全面貫徹的決心, 熱力行各業(yè)對這一制度應該嚴格執行。

　　2、對關(guān)鍵信息基礎設施實(shí)施重點(diǎn)保護

　　《網(wǎng)絡(luò )安全法》引入了新的監管維度———對關(guān)鍵信息基礎設施實(shí)施重點(diǎn)保護。熱力行業(yè)首先要識別當前納入到關(guān)鍵信息基礎設施范圍的應用系統, 如供熱生產(chǎn)監控系統、掌上熱力APP、城區供熱服務(wù)平臺等等, 對關(guān)鍵信息基礎設施重要系統和數據庫進(jìn)行容災備份。

　　3、個(gè)人信息保護提升到一定高度

　　熱力行業(yè)作為國家重要城市工業(yè)基礎設施的公共服務(wù)行業(yè), 會(huì )在日常業(yè)務(wù)辦理過(guò)程中收集到大量個(gè)人信息, 隨著(zhù)網(wǎng)上辦公便利的同時(shí), 個(gè)人信息泄露也成為熱力行業(yè)面臨的新挑戰。

　　4、建立健全以行業(yè)網(wǎng)絡(luò )安全態(tài)勢感知為技術(shù)基礎的監測預警和應急處置體系

　　《網(wǎng)絡(luò )安全法》第五章專(zhuān)門(mén)規定網(wǎng)絡(luò )安全監測預警和應急處理制度建設, 并要求網(wǎng)絡(luò )運營(yíng)者應當制定網(wǎng)絡(luò )安全事件應急預案。

　　5、網(wǎng)絡(luò )安全人才培養

　　《網(wǎng)絡(luò )安全法》的出臺彌補了網(wǎng)絡(luò )安全人才領(lǐng)域的法律空白, 熱力行業(yè)要重視網(wǎng)絡(luò )安全人才培養工作, 來(lái)保障本行業(yè)、本企業(yè)的業(yè)務(wù)系統安全。

　　(二) 網(wǎng)絡(luò )安全規劃原則

　　熱力行業(yè)網(wǎng)絡(luò )安全保障規劃建設應遵循以下原則:

　　(1) 同步建設原則:熱力行業(yè)信息安全保障體系建設應與熱力行業(yè)信息化建設同步規劃, 同步建設, 協(xié)調發(fā)展, 要將信息安全保障體系建設融入到熱力行業(yè)信息化建設的規劃、建設、運行和維護的全過(guò)程中。

　　(2) 綜合防范原則:熱力行業(yè)信息安全保障體系建設要根據熱力行業(yè)信息系統的安全級別, 采用適當的管理和技術(shù)措施, 降低安全風(fēng)險, 綜合提高保障能力。

　　(3) 動(dòng)態(tài)調整原則:熱力行業(yè)信息安全保障體系建設要根據信息資產(chǎn)的變化、技術(shù)的進(jìn)步、管理的發(fā)展, 結合熱力行業(yè)信息安全風(fēng)險評估, 動(dòng)態(tài)調整、持續改進(jìn)信息安全保障體系, 貫徹“以安全保發(fā)展, 在發(fā)展中求安全”的精神, 保障和促進(jìn)熱力行業(yè)業(yè)務(wù)的發(fā)展。

　　(4) 符合性原則:熱力行業(yè)信息安全保障體系建設要符合國家的有關(guān)法律法規和政策, 以及熱力行業(yè)有關(guān)制度和規定, 同時(shí)應符合有關(guān)國家技術(shù)標準, 以及熱力行業(yè)的技術(shù)標準和規范。

　　(5) 分步實(shí)施:熱力行業(yè)信息安全保障體系不可能一蹴而就, 必須總體統籌協(xié)調, 根據制定的目標、任務(wù)以及熱力行業(yè)信息安全保障體系建設和產(chǎn)業(yè)發(fā)展對信息安全的需求, 分階段、分步驟實(shí)施。只有階段適當、步驟清晰才能有序地推動(dòng)規劃實(shí)施。

　　(6) 突出重點(diǎn):熱力行業(yè)規劃、體系需求廣泛, 任務(wù)繁重。其信息安全保障體系的落實(shí)和實(shí)施, 必須圍繞制定的基本任務(wù), 重點(diǎn)抓好急需的重要項目實(shí)施, 把預期目標落到實(shí)處。

　　(7) 需求主導、支撐發(fā)展:以滿(mǎn)足熱力行業(yè)業(yè)務(wù)數字化發(fā)展為目標, 以業(yè)務(wù)需求為主導, 堅持專(zhuān)業(yè)服從于全局、部門(mén)服從于企業(yè), 適應熱力行業(yè)管理需求變化, 及時(shí)滿(mǎn)足熱力行業(yè)信息化發(fā)展的需要。

　　(三) 熱力行業(yè)網(wǎng)絡(luò )安全規劃框架

　　熱力行業(yè)網(wǎng)絡(luò )安全規劃框架根據《網(wǎng)絡(luò )安全法》、國家等級保護安全建設要求, 在安全策略的指導下, 從技術(shù)體系、管理體系、運維體系三大體系入手, 進(jìn)行規劃的設計。

　　熱力行業(yè)網(wǎng)絡(luò )安全保障框架如下圖1所示。

　　熱力行業(yè)網(wǎng)絡(luò )安全規劃將以安全策略為核心, 由管理體系、技術(shù)體系和運維體系共同支撐。

　　在安全策略方面, 依據國家信息安全戰略的方針政策、法律法規、制度, 按照行業(yè)標準規范要求, 結合熱力行業(yè)企業(yè)自身的安全環(huán)境, 制訂完善的信息安全策略體系文件。

　　在管理體系方面, 按照《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求-試行稿》 (以下簡(jiǎn)稱(chēng)試行要求) 的要求, 組建信息安全組織機構, 加強對人員安全的管理, 提高全行業(yè)的信息安全意識和人員的安全防護能力, 形成一支過(guò)硬的信息安全人才隊伍。

　　在技術(shù)體系方面, 按照試行要求的要求, 通過(guò)全面提升信息安全防護、檢測、響應和恢復能力, 保證信息系統保密性、完整性和可用性等安全目標的實(shí)現。

　　在運維體系方面, 制訂和完善各種流程規范, 制訂階段性工作計劃, 規范產(chǎn)品與服務(wù)采購流程, 同時(shí)堅持做好日常維護管理、應急計劃和事件響應等方面的工作, 以保證安全管理措施和安全技術(shù)措施的有效執行。

　　(四) 安全規劃實(shí)施步驟

　　熱力行業(yè)網(wǎng)絡(luò )安全保障體系建設以5年 (2018年-2022年) 為建設周期, 通過(guò)“三大階段”, 實(shí)現熱力行業(yè)整體信息安全水平的提高, 圍繞熱力行業(yè)關(guān)鍵信息基礎設施的安全需求, 形成較為成熟的信息安全總體方針和分項策略, 建立較為完善的安全技術(shù)體系、安全管理體系、安全運維體系, 同時(shí)達到信息安全合規性要求。

　　“三大階段”主要分為:

　　第一階段:完成基礎防護建設

　　從網(wǎng)絡(luò )安全域規劃、邊界防護、系統操作配置、數據防泄漏等方面實(shí)現熱力行業(yè)網(wǎng)絡(luò )的基礎安全防護;解決目前信息安全管理體系滯后于技術(shù)體系的問(wèn)題, 完成管理體系與技術(shù)體系的融合, 滿(mǎn)足試行要求的基本技術(shù)要求和管理要求。

　　第二階段:實(shí)現威脅態(tài)勢感知

　　在實(shí)現第一階段的基礎上, 通過(guò)信譽(yù)庫、風(fēng)險庫、資產(chǎn)庫的整合, 并配合大數據分析、事件關(guān)聯(lián)、趨勢分析等技術(shù), 實(shí)現對熱力行業(yè)未知威脅的態(tài)勢感知, 提高行業(yè)內針對未知威脅的事前主動(dòng)防御效果。

　　第三階段:構建智能管控平臺

　　構建以下一代安全管理平臺以及SIEM信息與事件為主流的集中智能化管控平臺, 實(shí)現對熱力企業(yè)中全網(wǎng)信息系統的集中管控;最終實(shí)現安全防護設備、預警設施、測評以及基線(xiàn)管理協(xié)作, 充分實(shí)現熱力行業(yè)網(wǎng)絡(luò )安全事件的事前預警、事中處置以及事后追溯。

　　四、結束語(yǔ)

　　總的來(lái)說(shuō), 《網(wǎng)絡(luò )安全法》、等保2.0時(shí)代一方面明確規定了網(wǎng)絡(luò )空間活動(dòng)的法律禁區, 另一方面對熱力行業(yè)提出了更高網(wǎng)絡(luò )安全要求。熱力行業(yè)理應順應新時(shí)代網(wǎng)絡(luò )安全發(fā)展趨勢, 及時(shí)規范本行業(yè)的網(wǎng)絡(luò )空間行為準則, 維護本行業(yè)網(wǎng)絡(luò )空間秩序, 引領(lǐng)社會(huì )誠信�！毒W(wǎng)絡(luò )安全法》的頒布為熱力行業(yè)網(wǎng)絡(luò )安全的健康發(fā)展指明了方向, 為依法治理、管理本行業(yè)網(wǎng)絡(luò )提供了法律依據, 為熱力行業(yè)開(kāi)展完善的網(wǎng)絡(luò )安全建設體系以適應關(guān)鍵信息基礎設施的安全防護提供強有力的法制保障。

【新形勢下熱力行業(yè)網(wǎng)絡(luò )安全建設思路論文】相關(guān)文章：

談鋼琴教學(xué)法課程建設思路論文07-04

中職電子技術(shù)課程建設思路論文（精選7篇）05-13

行業(yè)網(wǎng)站影響力提升的思路07-14

中學(xué)教育多媒體融入思路論文07-03

淺談解決服裝同質(zhì)化的新思路論文07-03

農機技術(shù)推廣工作發(fā)展思路的論文07-03

戲劇影視課堂教學(xué)革新思路的論文07-03

多媒體教學(xué)模式對高校教育的新思路的論文07-04

電子技術(shù)實(shí)踐教學(xué)創(chuàng )新改革思路論文07-03

網(wǎng)站建設行業(yè)的現狀和前景07-14