1、SOFTWARE软 件2023第 44 卷 第 7 期2023 年Vol.44,No.7作者简介:原生芾(1975),男,河南泌阳人,本科,正高级工程师,研究方向:信息化、机电管理、调度管理。大型煤炭企业网络信息安全体系建设实践原生芾 侯尚武 侯振堂 刘委 赵弘毅(河南能源集团有限公司,河南郑州 450046)摘要:根据自身建设实践,对多层级大型煤炭企业网络信息安全体系建设进行了分析总结,构建覆盖互联网公有云平台、集团公司网络、二级公司网络、生产厂矿网络四个纵向层级,以及企业办公、生产制造两个横向业务场景的防护体系,在行业内具有一定的推广意义。关键词:网络信息安全;大型煤炭企业;四纵两横;建设
2、实践中图分类号:TD76 文献标识码:A DOI:10.3969/j.issn.1003-6970.2023.07.043本文著录格式:原生芾,侯尚武,侯振堂,等.大型煤炭企业网络信息安全体系建设实践J.软件,2023,44(07):160-163Construction Practice of Network Information Security System for Large Coal Enterprises GroupYUAN Shengfu,HOU Shangwu,HOU Zhentang,LIU Wei,ZHAO Hongyi(Henan Energy Group Co.,Lt
3、d.,Zhengzhou Henan 450046)【Abstract】:According to its own construction practice,this paper analyzes and summarizes the construction of multi-level large coal enterprise network information security system,and constructs a protection system covering four vertical levels of enterprise public cloud pla
4、tform,group,secondary company private cloud platform,smart mine and smart factory,as well as two horizontal scenarios of office network and industrial control network,which has certain promotion significance in the industry.【Key words】:network information security;large coal enterprises group;four v
5、ertical and two horizontal;construction practice设计研究与应用0 引言当前,大型企业数字化转型全面提速,从生产制造到运营管理,数字技术已经深入到企业的方方面面。网络信息技术为生产、生活带来便捷与高效的同时,非法入侵、勒索挖矿、数据泄露、APT 攻击等信息安全问题也日益突出,层出不穷的网络安全事件给企业生产制造、运营管理造成极大影响。大型企业多层级的管理体系与煤炭行业复杂的应用场景,海量的核心数据通过网络在各管理层级、业务层级间流转交互。在网络安全形势异常严峻、监管力度逐步增强的环境下,如何结合企业自身工作实际,构建全覆盖、无盲区的网络信息安全管理
6、体系是每一个大型企业信息化管理者面临的重要课题1。1“四纵两横”的网络信息安全体系建设根据国家网络安全相关政策法规、标准要求,结合多层级大型煤炭企业网络安全建设实践,按照“统筹规划、动态感知、系统联动、快速响应”原则,建设覆盖集团企业各层级“纵向到底,横向到边”的“技防+人防”安全体系2,实现“纵深防护、统一监测、联动处置”的目标。具体来说,纵向有四层网络架构:即互联网公有云网络、集团公司网络、二级公司网络、基层厂矿网络;横向有两个核心业务场景:即企业办公及生产制造。基于四层网络架构,统一规划、分层建设,建立四层联动的安全防护、监测预警技术体系,将安全能力覆盖“两横”所包含的核心业务场景。(1
7、)纵深防护:基于各层网络架构、业务场景,参考等保 2.0 等标准要求,对网络分区分域、重点防护,建设覆盖互联网公有云平台、集团核心私有云、二级单位私有云、三级矿厂边缘云、网络互通、数据互联的纵161原生芾 侯尚武 侯振堂等:大型煤炭企业网络信息安全体系建设实践深防御体系,重点保障核心业务应用及核心数据3。(2)统一监测:建设覆盖四层网络的分布式态势感知平台,通过探针对“四纵两横”网络流量动态抓取、实时分析,打破原有分散、孤立的安全监测模式。通过统一的态势感知平台,实现对全网、全时段的安全威胁监测预警和响应通报4。(3)联动处置:利用创新安全框架的平台能力,在内部,建立一套安全威胁响应流程和威胁
8、联动处置体系,提高各类网络安全威胁的处置效率和效果;在外部,通过定期的安全演练和专业的安服团队,持续验证并提升对各类安全事件的应急响应能力。同时建立全面的、异构平台容灾备份机制,覆盖数据、操作系统、工控系统参数等内容,保障各类系统持续提供服务的能力。2“四纵”建设实践基于各层级网络架构、业务场景对“四纵”进行网络安全防护建设,通过部署统一安全态势感知平台,收集二级子公司及下属各厂矿的网络安全告警数据,多层联通、上下一体,强化安全告警及响应处置能力。2.1 公有云平台安全建设部署在公有云平台中的业务,通常对互联网开放,更容易成为网络攻击的目标。云服务商在为企业提供云服务计算资源、网络、数据及各种
9、应用服务时,要有能力确保硬件资源、各类服务运维运营环境的安全可靠5,同时也要给租户提供配套的安全资源,供租户选择。按照“谁使用谁负责”的原则,云服务商和云租户在网络安全责任划分上权责分离。云服务网络安全拓扑设计如图 1 所示。在企业信息化系统建设中,对外服务业务系统如网站、电商平台等更适于部署在互联网公有云平台,同时应按照等保 2.0 要求,除选用相应的计算资源、存储资源还要配套选用相应的安全资源,同时也要强化业务上云前的代码审计及上云后的安全评估,通过定期安全巡检与基线检查,保证互联网公有云平台业务系统安全。2.2 集团公司网络安全建设集团企业的网络中心同时也是应用中心、数据中心和安全中心,
10、按照等保 2.0“一个中心,三重防护”的防护思想,基于安全域实现纵深防护。打造集团统一的安全管理中心、安全的通信网络,实现区域边界有效图 1 云服务安全网络拓扑Fig.1 Cloud service security network topology design图 2 大型集团核心网络拓扑Fig.2 Data center network topology design 互联网接入区核心交换机汇聚交换机物理机资源池物理机资源池安全管理区漏洞扫描安全管理平台边界防护区防DOS防火墙防病毒流量WAFIPS网页防篡改安全服务跨云部署补充生产安全短板DDOS高防Web应用防火墙态势感知系统主机安全服
11、务云堡垒机数据库安全服务漏洞扫描服务数据加密服务ECSECSASECSECSASECSECSEVSEVSOBS应用服务器数据库服务器云灾备环境生产VPC管理VPCIPSEC VPN专属云服务VPNNGFWIPSDDOS流量管理外联接入域链路负载均衡下一代防火墙(基础级+防毒模块)服务器负载广域网优化国资委审计应急厅国资委视频会议互联网出口域核心交换机检测探针核心交换域下一代防火墙(基础级)视频会议区对外服务域负载均衡(SSL卸载)下一代防火墙(增强级)SSL VPN门户网站App平台其他系统其他业务域下一代防火墙(增强级)检测探针邮件网关邮件系统其他系统核心业务域下一代防火墙(增强级)检测探针
12、数据库审计运维管理域运维堡垒机日志审计系统基线核查系统安全感知平台EDR终端检测与 响应平台终端接入域下一代防火墙(基础级)下一代防火墙(基础级)上网行为管理办公区无线区联通电信邮件网关EDR无线控制器APAP移动终端终端安全管理电信视频专线下一代防火墙(基础级)主要业务:OA系统 Mail系统 统一沟通平台 AD域服务器安全生产智慧管控平台(煤炭、化工)HNEC-BS-Portal 采编系统档案系统 电子督查系统虚拟服务器区服务器区主要业务:财务系统久其报表人力资源系统物管系统销售系统终端安全管理系统数据备份系统审计专线前置服务器162软 件第 44 卷 第 7 期SOFTWARE防护控制、
13、数据包过滤、对入侵及恶意代码有效拦截预警。集团公司通过态势感知平台、探针实时抓取、动态分析网内流量。大型集团核心网络拓扑如图 2 所示。将集团核心网络划分成外联接入域、互联网出口域、视频会议区、其他业务域、核心交换域、对外服务域、核心业务区、运维管理域和终端接入域九个网络安全区域6。2.3 二级公司网络安全建设二级公司作为集团公司的下级单位,对其所属厂矿履行区域管理职能。二级公司网络安全建设参照集团公司建设方案,先进行安全域划分,然后基于不同的安全域进行防护建设。同时二级公司部署态势感知子平台,监测本级及下属各厂矿的安全告警数据,并将数据汇总给集团公司态势感知大平台。二级公司网络拓扑如图 3
14、所示。二级单位对上通过城域网与集团公司联通,对下建设覆盖多个基层厂矿的工业网。将二级单位网络划分集团互联区、互联网出口区、运维管理区、主核心区、服务器区、生产环网区、办公网络区。2.4 基层厂矿网络安全建设基层厂矿有办公信息网和工业生产网两张网络,随着“工业 4.0”的推进,企业信息网和工业生产网逐渐打通,有数据交互需求。为保障两张网的独立性同时实现数据交互,需采取严格的隔离交换措施。通过部署终端安全准入设备和工业隔离网闸实现准入认证、物理隔离、数据摆渡,建立以业务需求为中心的隔离交换体系。基层厂矿整体网络安全拓扑设计如图 4 所示。将基层厂矿网络划分成互联网出口域、安全管理区、办公网核心交换
15、域、隔离交换域、工业网核心交换域、井上/井下环网域、运维管理域、办公业务区、终端接入域、工业业务区、工作站接入域。3“两横”建设实践横向有企业办公和生产制造两个核心业务场景,按照“分区分域、分层防护”的基本原则,对办公信息网和工业生产网进行有针对性的安全防护建设。3.1 办公信息网安全建设企业办公网主要包含以下几个主要安全域:(1)互联网出口区:互联网出口区作为访问互联网的出口,可基于链路数量选择部署链路负载均衡,实现对上网流量的分流,确保网络通畅、稳定。(2)核心交换区:在核心交换区冗余部署核心交换机,核心交换机旁路部署威胁检测探针7,通过流量镜像的方式,将流经核心交换机的全部流量复制给威胁
16、检测探针做安全分析,分析后产生的告警数据汇总态势感知平台。(3)外联区:采用VPN 或 SDWAN(软件定义广域网)设备,建立快速、安全的外联通信保障。(4)核心业务区:通过服务器负载均衡实现对外部访问请求的负载分流,确保业务的高可用;通过数据库审计实现对应用、用户访问数据库行为命令级别审计8。部署威胁监测探针,采集核心业务区流量,生成告警数据并汇总给态势感知平台。(5)安全运维管理区:运维管理区是安全建设的核心区域,按图 3 二级单位网络拓扑Fig.3 Topology design of secondary unit network核心交换机漏洞扫描总部VPN安全监测探针InternetI
17、nternetInternet安全感知平台日志审计系统路由器联通百兆移动联通负载均衡下一代防火墙行为管理下一代防火墙下一代防火墙服务器区汇聚培训系统手机OAOA服务器区互联网出口区集团互联区运维管理区生产环网核心下联区防火墙办公网核心安全监测探针人员定位瓦斯监控安全监测探针安全监测探针安全监测探针煤矿办公网中心机房生产环网163原生芾 侯尚武 侯振堂等:大型煤炭企业网络信息安全体系建设实践照等级保护等合规要求,可部署漏洞扫描、日志审计、运维堡垒机等评估与审计设备,也可采用安全集成平台,以软件定义的形式部署。部署态势感知平台,实现对告警数据的关联分析和数据挖掘,同时结合云端威胁情报,从宏观和微观
18、两个层面呈现网络安全态势,从外部威胁、内部威胁、资产脆弱性等多个维度呈现当前网络安全状况,进而辅助运维、决策最终形成安全事件并统一展示。(6)办公网云平台:部署终端检测与响应系统,有效应对勒索病毒、新型未知威胁9;部署全网行为管理设备,进行流量管控、全网行为管控与日志留存。3.2 工业生产网安全建设根据划分的安全区、安全域部署工业防火墙或工业网闸进行区域间的安全防护与隔离,制定并完善区间、域间防护策略。部署工业蜜罐,通过对协议的复制伪装,模拟生产环境,对攻击流量及行为进行误导、诱捕和取证。部署工业漏扫,定期在非生产期间对网络内的资产进行漏洞扫描,发现漏洞及时修补或制定相应的防护手段。部署工控主
19、机卫士及工控主机防勒索系统,实现对生产网中工作站的专项防护10。4 安全管理体系建设安全管理的本质是组织对人员及其行为的有效持续管理。网络信息安全建设是一项系统性、全方位、动态工程,网络信息安全的管理不能完全依靠技术手段和设备。构建一套全面的信息安全体系,必要的技术设备是基础,良好的管理体系是关键,完善的管理体系是安全防护技术措施有效落地的必要保障。5 结语本文根据自身建设实践,对多层级大型煤炭企业网络信息安全的建设进行了分析总结,根据“四纵两横”实际业务场景的安全保障需求,建设覆盖互联网公有云平台、集团公司网络、二级公司网络、生产厂矿网络四个纵向层级,以企业办公、生产制造两个横向业务场景的一
20、体化网络信息安全防护体系,有效地提升了企业整体信息安全防护能力和安全管理水平,在行业内具有一定的借鉴意义。参考文献1 洪秀敏,周品荣.绍兴轨道交通网络安全防护的探究与实践J.信息技术与网络安全,2019,38(12):33-36.2 冯亮.多校区大学校园网络化安全体系研究D.武汉:武汉理工大学,2012.3 周民.“互联网+”时代国家电子政务外网的安全发展之路J.信息安全研究,2015,1(2):98-104.4 柏玉锋.网络安全事件监测系统设计方案J.信息通信,2016(2):79-80.5 李岩,杨秋雁.面向运营商IT整合的融合支撑网络安全域研究J.科学技术创新,2018(28):65-6
21、6.6 钟宇霆.广电新媒体云平台技术的应用J.广播电视信息,2019(6):55-57.7 周建和.试论集成项目中的网络安全设计J.大科技(科技天地),2011(6):112-114.8 蔡长征,曹士玲.基于SQL Server数据库安全机制研究J.电脑知识与技术,2020,16(6):1-2+9.9 门嘉平.勒索病毒防治策略浅析J.网络安全技术与应用,2020(6):23-24.10 刘宁丽.从系统定级谈工业控制系统的等级测评实施J.数字化用户,2019,25(52):319-321.图 4 基层厂矿网络拓扑设计Fig.4 Topology design of grass roots factory and mine network行为管理下一代防火墙互联网出口域核心交换机检测探针办公网核心交换域办公网业务系统数据库审计数据存储区安全管理区安管一体机数据库审计终端接入域办公区无线区联通电信EDREDR无线控制器APAP移动终端工业网核心交换域工业网核心交换域工业网业务系统数据库审计业务系统数据存储区终端接入域 业务系统业务系统业务系统业务系统业务系统业务系统业务系统井下/井上环网工控防火墙工业环网灾备一体机安管一体机工控监测与审计平台容灾备份一体机网络准入系统操作员工作站主机卫士工业防火墙网闸运维管理域隔离交换域堡垒机工业漏扫日志审计基线核查
浙ICP备2021020529号-1 | 浙B2-20240490 
