M11信息安全等级保护工作在珠海水务集团的实践

第十二屆深港珠澳供水界學術交流會暨第十二屆海峽兩岸水質安全保障技術與管理研討會信息安全等级保护工作在珠海水务集团的实践12胡耀航3男4珠海水务集团有限公司5技术信息部基础架构建设与运维专责6计算机工程师网络设计师7信息安全等级保护工作在珠海水务集团的实践胡耀航摘要:珠海水务集团有限公司信息安全等级保护工作始于2007年，供水调度系统定级为2级。由于定级较低，根据珠海网警的要求，系统安全测评工作主要是自查，每年进行自查并上报。但随着网络安全威胁日益严重，特别是震网病毒（Stuxnet）的出现，国家对工业控制系统的安全越发重视。自从2010年，不管是市政府、上级主管单位，还是公安局，都要求进行信息安全等级保护的自查与测评工作。由于珠海水务集团拥有对外服务的网站以及供、排水生产自动化系统，这正是信息安全等级保护工作的重要范围，虽然珠海水务没有3级以上的系统，但由于行业的重要性，实际上测评工作是按照每年一测要求的。本文将结合珠海水务局集团的特点，介绍珠海水务集团在信息安全等级保护工作的工作与经验：互联网的大背景下珠海水务集团城域网的发展与实现；传统现场自控系统在工业互联网时代、大数据时代的机遇与挑战；传统工业控制系统的人员安全意识特点；珠海水务集团视频监控系统的安全问题；珠海水务集团如何开展信息安全等级保护工作；在物联网迅猛发展下珠海水务信息安全如何应对新的挑战。1.相关法律法规情况　　1994年，发布《中华人民共和国计算机信息系统安全保护条例》　　2007年，发布《信息安全等级保护管理办法》　　2016年，发布《网络安全法》《信息安全等级保护管理办法》第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级信息系统受到破坏后，会对国家安全造成特别严重损害。1.1从上面可以看出，对于水务行业的信息系统，一般可以定级为第二级，有些城市的重要信息系统，可以定级为第三级，如深圳水务集团的重要信息系统就定级为第三级。　　1.2定级了之后，每年都要进行安全自查。比如，珠海水务集团的信息系统定级为第二级，按照法规，并不需要每年做测评，但在2014年之后，水务集团的信息安全自查自检工作每年都要进行，并且还要加强与扩大。这与国家对重要信息系统越发重视密不可分。每年公安部门都要求集团做好信息安全方面的等级保护工作，每年都要参加市公安局的网络安全方面的会议，特别是在《网络安全法》发布后，公安机关每年都要签定信息安全方面的责任书，今年还要送集团公司的监察部门一份，信息安全方面的政府管理力度从中可见一斑。2.安全状况珠海水务集团对信息安全等级保护的认识是一个逐步加深的过程：一开始，不了解，不理解，有抵触情绪，认为是增加了工作负担；认为自身的环境已经很安全，有着多年的安全运行记录；多少信息安全事情都经历过了，不用太担心；忽视正版，认为正版与盗版没有多大区别，先用着盗版，等预算下来了，再买回来；认为工业系统没多少人懂，并且是一个相对封闭的系统，可以放心使用；智能仪表软件、硬件买回来，连上网，安装好系统就可以用了，从来不考虑安全问题；系统的维护是委外的，自认为不用担心数据的安全，合同里已经约定好了；系统的使用者与维护者没有多大的沟通，使用者只管使用，管理者只管理系统的维护，让他们走在一起的缘由是系统不能用了，系统不好用了，业务要变更了，很少因为数据的安全问题而走在一起；系统缺少使用日志，谁使用了系统，谁访问过数据并没有记录下来，更没有人过问；大家在公司随意安装WIFI，共享网络热点；对危及信息安全的BYOD的做法熟视无睹，且乐享其成；密码过分简单，形同虚设。3.传统工业自控系统在工业互联网时代的挑战　　在工业互联网的大背景下，工业安全将面临挑战。即使在水务行业，工业生产也离不开信息技术，这是社会进步的必然结果，这是生产力进步的表现。水务行业也要面对人的问题，全面取代人力是当今工业生产的趋势，简单地实现自动化是行不通的，只有引入一定的人工智能技术，才能在简单生产方面取代人工，在水务行业，自来水生产的药物投加需要智能化技术，污水处理方面也要智能化技术，面对不断变化的待处理原水，我们的自动化技术就得变得智能，要会学习，当引入了AI，系统就变得复杂了，其连带的安全问题也越发明显。这些说的有点远，这是“中国制造2025”的话题。回过头来，珠海水务集团现有和生产模式是自动化加人工干预。基本上不涉及到执行方面的自控问题，但在无人值守的生产场所，如泵站，水厂等，珠海水务集团正在稳步推进，部分兄弟单位已经实现了水厂的无人值守。所以说，工业控制方面的信息安全是一个必需面对的事情。　　另外，工控人员会认为，只要不与外部连网，工控系统的安全是有保障的。这是一种非常普遍的想法，但安全问题是无处不在的，不与外界连接不等于不能与外界有接触。这种接触可能是通过U盘，通过社会工程手段，通过电磁波等方式进行入侵。总之，不与外界联网不一定能保证绝对安全。试想，在网络无处不在的年代，不联网就不可能实现高度的自动化与智能化，就不可能实现低成本的生产，就不可能实现高效的生产。珠海水务集团的工业网络或多或少都要与网络连接，与集团的城域网连接，与集团的数据中心连接。我们一开始就实现了集中生产调度，生产与管理连网是必然的。现在普遍存在的其他安全问题是，对PLC、智能仪表等的安全访问缺乏认识，或警惕性不高，通过简单的扫描，就可以发现这些自动化设备。毕竟，这些设备都与网络连接，很容易捕获这些PLC、智能仪表等。一般情况下，没有人会关心这些自动化设备，工控人员贪图方便，密码设置的简单，甚至密码都是公开的。所以说，自控系统的安全性不高。一个厂区，一般会有视频监控系统，现在的监控系统都用计算机网络，而工控系统也用计算机网络，两者往往合用一个网络。这就会多了一个安全隐患，黑客完全可能通过视频监控系统来入侵自动化系统，从而获取自动化系统的控制权，这方面的例子是存在的。电力系统就发生过这样的事件。4.安全工作主要的工作基线是：制度建设、标准建设、网络建设、正版化建设、安全建设、存储与备份建设等。按照《网络安全法》、安全发展趋势，特别是珠海网警对集团的要求，珠海水务集团供水调度系统、工业自动化系统、营业收费系统、供用水报装系统、管网管理系统、对公众进行服务的水务网站等都是关键信息基础设施，这些系统要么关系到水务的生产安全，要么关系到用户的个人信息。特别是信息安全方面，小到自来水用户的电话、地址信息，大到用户的用水量、地址，最为敏感的是与水务有关的地理信息。保障这些系统的安全稳定运行是信息系统运营的责任，也就是说是企业的责任，法人代表是第一责任人。珠海某医疗诊所的病者信息曾经被泄露，珠海学生的数据曾经被篡改，也曾经出现过少量用户数据被出售的事件，面对严峻形势，重要的是现在与未来，当单位的营业数据、OA办公数据突然没有了怎么办，想想都会令人心寒；若重要数据被加密了，被勒索了，甚至可能会有为此支付比特币的冲动；若出现与国家安全有关的信息泄露事件，情况就不会这么简单了，这方面的数据主要是供水管网地理信息系统与生产调度系统的数据。所以信息安全并不是小事。一不小心就犯法了。自觉执行法律法规是每个公民与法人的义务。2007年，珠海水务通过了供水调度系统的定级备案，定为二级。2008年，集团制定了《珠海市供水总公司信息中心反恐预案》，之后，集团的信息安全工作发展比较平缓。2014年国家成立了“中央网络安全和信息化领导小组”，提出了“没有网络安全就没有国家安全”、“网络安全对国家牵一发而动全身”等鲜明观点，珠海水务的信息安全建设开始进入新常态，集团每年制定信息安全的专项预算，每年超过70万元的投入，包括等级保护测评、安全软件、安全设备、安全培训等等。工作策略是每年一个主题，逐步完善信息安全工作。如第一年对网络上所有系统进行测评，第二年进行网络行为的审计系统建设、第三年进行供水调度系统的测评、第四年进行工业控制系统的测评等等。这样，可以减少一次性投资太大的缺点。与此同时，集团制定了相关的管理规定，特别是要求新建信息系统必须包括信息安全方面的建设，如对新建系统要求具备安全审计功能、访问权限管理、IP地址绑定、密码复杂度管理、用户信息保护、实名制等，并要求在安全环境下通过运行测试，安全环境包括网络边界防护、金山安全防护、防火墙、网络行为审计等。全面落实应用系统与安全建设“同步规划、同步建设、同步运行”的措施。珠海水务信息安保工作下一步的工作重点之一是，在项目审批上把好信息安全关，对没有包括信息安全方面的新建项目坚决退回，要求重新编写。信息网络的建设关乎企业发展的成败，有的企业因信息网络存在漏洞，被黑客攻击而发展受阻，这方面的例子屡见不鲜，让人惋惜。现在，互联网发现日新月异，特别是移动互联网的发展，其用户规模已经超越了有线网络。企业的员工可以用手机进行日常办公，甚至进行生产性工作。珠海水务集团现在有自己的城域网，并建立了同城异地核心机房。部署了私有云，实现了部份私有云服务，如服务器云、桌面云、云存储等。在公有云上，集团也租用了服务器，实现了移动APP办公，微信办公等。在SCADA方面，更是离不开移动数据通信。企业的信息化在迅猛发展，集团公司的管理人员离不开网络，普通员工也离不开网络，日常上网人数在800人上下，若加上手机上网，上网用户数将倍增。集团的OA办公，情况更是拥堵，一个用户只能用一台终端，若用了手机办公，桌面电脑的程序就要下线。集团的供水热线、供用水报装等业务支持互联网业务。集团的收费系统，支持多种形式的移动支付。在多网融合的大背景下，集团的工业生产网络与办公业务网络是连通的。集团的城域网通过网关与互联网连接。　　现在的云服务越来越成熟，对于企业，由于企业性质的不同，云应用的范围与程度与个人相比就弱了很多，但对于新的公司，小微企业，云应用就是必然选择了。可以说，云对于初创企业，几乎是天生的。而对于珠海水务集团，这也是一个无法绕开的选项，毕竟，年轻一代是互联网的一代，对于珠海水务集团的员工，互联网是生活和工作的一部分，随时随地进行工作是这些员工的想法。所以，珠海水务局集团也积极地与公有云、互联网进行互动。现阶段，建议最佳的做法是私有云与公有公的融合，以私有云为主，以公有云为辅。同时支持手机与桌面的使用。像手机与固话一样，以后的发展有可能是移动设备完全取代桌面电脑。随着量子通信的普通，信息安全将变得确实可靠。在量子通信时代，坚持将信息系统放在外部就是基于使用便利。珠海水务集团现在支持水费的微信支付与支付宝支付。这些也是云服务的一种。签订保密协议，与软件开发商，系统维护商签订保密协议。这也是安全等级保护中的合规性项目。外维人员定点办公，集团为外维人员提供固定的办公地点，使信息安全管理更有效。服务商远程维护统一管理，提供统一的SSLVPN接入设备，责任落实到每一个系统管理员，要求系统管理员为服务商的远程维护负起管理责任。制定规章制度。如保密制度、网络管理制度、设备管理制度、项目管理制度、信息安全管理制度、IT人员管理制度、员工管理制度等等、供水管网地理信息管理制度等。制定应急方案，尽量进行演练。安全产品的部署，做好网络规划与网络建设。这是最起码的合规性工作，必须做的。数据备份的建设。数据备份通常分成三级，本地备份、异地备份与离线备份。特别是在勒索病毒泛滥时，没有离线备份，其风险是存在的。珠海水务现在能做到本地备份与异地备份已实用了9年时间，离线备份现在只能做到半离线，如执行备份时将网盘挂上，当完成备份后再将网盘撤离，但存储系统一直是在线的。另一种方式是将数据备份到自己的桌面计算机上，起到一定的离线备份效果。5.结束语2016年11月7日发布，2017年6月1日起施行的《网络安全法》