《关键信息基础设施网络安全保护基本要求》强调油储类的CII网络安全保护需首先符合网络安全等级保护政策及GB/T 22239-2019等标准相关要求，同时遵循“重点保护、整体防护、动态风控、协同参与”的基本原则，建立网络安全主动整体防御体系，在此基础上实现油库CII关键业务的安全防护。

2 构建适合油库安全运营的安全体系与攻防决胜能力

油库安全生产保障的网络安全能力建设目标是在保障网络对抗中能够取得决胜，其持续性对抗的安全保障能力是关键，尤其是在黑客入侵时能够及时发现并实施阻断、内部人员违规操作时能够甄别并举证等。油库CII网络安全保护在满足等保2.0要求的基础上，遵循“重点保护、整体防护、动态风控和协同参与”的原则，建立网络安全综合主动防御体系。其中，整体防护就是基于油库生产运营承载的业务，对业务所涉及的多个网络和信息系统，尤其是发油生产的SCADA控制系统等进行全面防护；动态风控以油库网络安全风险的动态管理对其安全控制措施进行调整，从而有效地防范控制网络安全风险。

2.1 网络安全运营体系化

GB/T 22239-2019等级保护标准强调“一个中心、三重防护”的体系化设计思路，可以分为空间维度的纵深与多重防护体系（如图1所示），和时间维度的多维与协同防御体系（如图2所示），重点加强“内生安全”，如公司以及库区用户登录系统的身份认证、重要操作行为审计、敏感数据加密、发油生产SCADA控制程序开发中源代码的安全审计、业务和核心交换机的配置文件安全审计、新业务通信链路链接审计（控制非法外联）、远程运维审计等，以此提升业务系统自身的安全性、增强抵御外部攻击的能力。更为重要的是系统安全运营时，注重安全措施的落地与效果，安全策略部署到位，安全应急库与“一库一档案”建立、安全事件追踪溯源等，以此消除一些特殊威胁的安全漏洞和再被利用的机会。

图1 基于空间维度的防御体系

图2 基于时间维度的防御体系

2.2 攻防思考的安全运营

西北销售公司每年不断新增业务，在网设备时常在增减与更新，安全运营与智能运维可以保护油库设施免受攻击、入侵、干扰和破坏，构建面向攻防对抗的网络安全防护体系，积极使用漏洞扫描、渗透测试、安全防护、安全持续监测等技术，改善发油生产SCADA网络系统的安全性能，提高网络安全保障能力，构筑安全、可靠、稳定的可视、可控、可责、可溯的网络环境。

（1）基于满足等保合规的基础安全能力，实时深度梳理与监控油库网络资产的存活状态、联网状态、进出流量等，并根据人员的变化构建动态的安全组织，根据需要动态部署适宜的安全措施与策略，制定与之相适应的应急流程。

（2）构建以大数据为核心的分析溯源能力、诱捕能力以提升威胁发现能力，及时发现网络攻击与违规操作者，及时完成威胁阻断、网络恢复等工作。

（3）构建以威胁情报为中心的持续对抗能力，网络攻防双方都是善变的，及时依据网络状态变化动态地调整安全策略，以争取对抗中的主动，提升网络安全策略动态调整的能力。

（4）采用零信任思维（动态的4A技术），动态评估登录用户、设备的可信程度，并根据登录位置、连接方式、上网习惯、设备业务流量等特性动态授权用户访问的权限，特别对一些敏感操作（如SCADA、PLC程序下载、数据库操作等），额外增加身份鉴别的级别以保障业务的安全。

2.3 以CII保护思维，超越等保合规的动态防御联动防控策略

基于等保2.0和CII防护的油库工业互联网安全运营以治理、风控、合规为驱动，以大数据分析技术为核心，实现了油品的销售、生产、调度、运营的端到端的价值链的覆盖，实现了从现场控制、生产监控、生产运营到经营管理的全维度监控，以及从物理和环境、网络和通信、计算和终端、应用和数据的全范围监控。网络安全决策工作基于来自各类计算终端、服务器、数据库、应用系统、存储设备、网络设备、安全设备以及运营操作的数据，经过大数据安全平台采集、归集、处理、分析后得到大量历史和实时的数据辅助网络安全决策，使油库网络安全运营决策能够做到有的放矢。油库CII网络安全保护架构图如图3所示

3 持续性威胁监测和安全运营以应对不断变化的外部安全威胁

作者简介

摘自《工业控制系统信息安全专刊（第七辑）》