基于等保2.0框架構(gòu)建數(shù)字化工程外防內(nèi)控技防體系

黃均輝，田清清

（中國電建集團中南勘測設(shè)計研究院有限公司，湖南 長沙 410014）

0 引 言

數(shù)字化工程是指運用信息化手段，通過三維設(shè)計平臺對工程項目進行精確設(shè)計和施工模擬，圍繞施工過程管理，建立互聯(lián)協(xié)同、智能生產(chǎn)、科學(xué)管理的數(shù)字化管理平臺，集成云計算、物聯(lián)網(wǎng)和大數(shù)據(jù)應(yīng)用，通過整合工程業(yè)務(wù)數(shù)據(jù)和工程物聯(lián)數(shù)據(jù)，實現(xiàn)數(shù)據(jù)納管與數(shù)據(jù)應(yīng)用兩大功能，進而滿足項目不同場景的、不同來源的和不同類型的數(shù)據(jù)統(tǒng)一管理和有效共享，實現(xiàn)工程施工可視化智能管理。同時，數(shù)字化工程應(yīng)用場景復(fù)雜，網(wǎng)絡(luò)安全風(fēng)險高，近年來，信息安全形勢更加嚴(yán)峻，國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)經(jīng)常遭受大規(guī)模的黑客攻擊和入侵，導(dǎo)致數(shù)據(jù)破壞、數(shù)據(jù)篡改或數(shù)據(jù)泄漏，造成惡劣影響，尤其是能源、工控、基建等行業(yè)更是成為黑客攻擊的重災(zāi)區(qū)，若無配套的網(wǎng)絡(luò)安全體系化解決方案，數(shù)字化工程應(yīng)用及服務(wù)將無從談起。

1 數(shù)字化工程等保保護實施指南

1.1 等級保護制度概述

等級保護制度是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在業(yè)界，網(wǎng)絡(luò)安全等級保護制度被譽為一項偉大創(chuàng)舉，是中國網(wǎng)絡(luò)安全的基石，是維護國家安全、社會秩序和公共利益的根本保障。1994年國務(wù)院第147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》的頒布是計算機信息系統(tǒng)的等級保護工作的規(guī)范性的開端，之后由公安部陸續(xù)頒布并實施了一系列等級保護制度規(guī)范和技術(shù)標(biāo)準(zhǔn)，促進計算機的應(yīng)用和發(fā)展，算是等級保護制度1.0階段。2019年12月1日隨著GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護要求》（以下簡稱“等保2.0”）的正式頒布實施，意味著網(wǎng)絡(luò)安全等級保護工作進入2.0 階段，是具有里程碑意義的一件大事，標(biāo)志著國家網(wǎng)絡(luò)安全等級保護工作步入新時代。

1.2 等保2.0 框架

根據(jù)計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則，網(wǎng)絡(luò)安全保護等級劃分為五個安全保護等級，從低到高依次為：自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級，各個等保保護對象按國家標(biāo)準(zhǔn)嚴(yán)格執(zhí)行各項保護措施進行保護。等保2.0 技防框架在1.0 的基礎(chǔ)上，在通用安全的基礎(chǔ)上，增加云計算、移動互聯(lián)以及物理網(wǎng)等擴展應(yīng)用安全要求，數(shù)字化工程應(yīng)用涉及通用和擴展應(yīng)用的各個方面與等保2.0 框架相契合，安全技術(shù)總體框架從安全物理環(huán)境、安全計算環(huán)境、安全域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心五個方面進行相應(yīng)的規(guī)范設(shè)計要求，同時，不同等級的保護對象的技術(shù)防護要求和防護力度存在等級差異。針對具體數(shù)字化工程應(yīng)用在工程管理中的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險等因素，本文按照等保二級標(biāo)準(zhǔn)的技術(shù)要求建設(shè)技防體系。

2 數(shù)字化工程外防內(nèi)控技防體系建設(shè)實踐

2.1 數(shù)字化工程網(wǎng)絡(luò)安全需求分析

數(shù)字化工程是運用信息化手段，以數(shù)字化管理平臺為抓手，運用先進的建筑信息模型BIM 技術(shù)、地理信息GIS 技術(shù)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等多種信息化技術(shù)手段，采集物聯(lián)網(wǎng)端設(shè)備數(shù)據(jù)，建立數(shù)字化管理平臺，研究實現(xiàn)工程設(shè)計、施工、設(shè)備安裝、調(diào)試、交接的全生命期數(shù)字化管理的方法，管理范圍覆蓋了工地、營地、監(jiān)理、管理中心以及個體用戶等應(yīng)用場景。

工地主要連接工地傳感器、視頻監(jiān)控和施工監(jiān)測等物聯(lián)網(wǎng)設(shè)備，實現(xiàn)工地現(xiàn)場數(shù)據(jù)采集，包括視頻監(jiān)控、人員監(jiān)控、施工設(shè)備監(jiān)控、智能物料管理、智能施工（智能混凝土施工管理）、環(huán)境監(jiān)控、工程安全監(jiān)測等系統(tǒng)的數(shù)據(jù)接入、匯總并形成工程數(shù)據(jù)中心，支撐上層數(shù)字化管理平臺和上層應(yīng)用，工程數(shù)據(jù)中心主要包括計算資源、存儲資源、網(wǎng)絡(luò)資源等基礎(chǔ)服務(wù)資源，是數(shù)字化工程的基礎(chǔ)。本文采用公有專屬云部署模式，外防內(nèi)控技防體系重點就是以保障工程數(shù)據(jù)中心的安全為核心，并確保這些數(shù)據(jù)從采集、傳輸及接入數(shù)據(jù)中心的通信傳輸安全。

對于本文中涉及的工地、營地、監(jiān)理、管理中心以及個體用戶場景而言，則是重點保障所有現(xiàn)地用戶通過VPN 和數(shù)字專網(wǎng)兩種方式訪問數(shù)字化管理平臺的安全。該場景需要確保接入用戶身份真實可信，對接設(shè)備安全可信。

2.2 數(shù)字化工程網(wǎng)絡(luò)部署架構(gòu)

以上的網(wǎng)絡(luò)安全需求分析中，整個工程是采用“云＋管＋端”的工作模式，云端是數(shù)據(jù)匯集的工程數(shù)據(jù)中心，通信管道則是VPN 和數(shù)字專網(wǎng)，端是各個應(yīng)用終端。

整個工程融合了工地、現(xiàn)地、監(jiān)理中心、管理中心以及移動個體等應(yīng)用場景，以工程數(shù)據(jù)中心為核心構(gòu)建外防內(nèi)控體系可分為兩條線，對內(nèi)是工程數(shù)據(jù)的安全融合問題，對外則是用戶安全服務(wù)問題，具體到本文實踐中就是保障數(shù)字化管理平臺數(shù)據(jù)集成的安全和數(shù)字化管理平臺服務(wù)兩個方面安全問題，也構(gòu)成了數(shù)字化工程的內(nèi)外部環(huán)境。因此，一方面數(shù)字化管理平臺數(shù)據(jù)集成主要保障數(shù)據(jù)采集、數(shù)據(jù)傳輸?shù)綌?shù)據(jù)接入及數(shù)據(jù)融合的安全問題；另一方面則是保障用戶從所在現(xiàn)地安全訪問數(shù)字化管理平臺的問題。數(shù)字化管理平臺數(shù)據(jù)集成和數(shù)字化管理平臺服務(wù)在實際應(yīng)用場景的系統(tǒng)部署架構(gòu)圖如圖1所示。

圖1 系統(tǒng)部署架構(gòu)圖

2.3 數(shù)字化工程外防內(nèi)控技防體系建設(shè)

從數(shù)字化工程網(wǎng)絡(luò)安全分析來看，重點是以工程數(shù)據(jù)中心為中心構(gòu)建外防內(nèi)控技防體系，解決應(yīng)用場景中面臨的外部內(nèi)部安全威脅。傳統(tǒng)的局部的、片面的技術(shù)防護措施已不能滿足實際需求，本實踐基于等保2.0 框架，分別從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心構(gòu)建外防內(nèi)控的技防體系。該技防體系覆蓋全場景和全生命周期，針對安全威脅的特點，分別從感知能力建設(shè)、防御能力建設(shè)和審計能力建設(shè)三個方面，實現(xiàn)“事前可感知、事中可防御、事后可追溯”的安全管理目標(biāo)。

2.3.1 網(wǎng)絡(luò)安全態(tài)勢感知能力建設(shè)

建設(shè)技防體系網(wǎng)絡(luò)安全態(tài)勢感知能力是在數(shù)字化工程的大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的所有安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢，并不拘泥于單一的安全要素，態(tài)勢感知體系的技術(shù)防護大概可分為流量鏡像、態(tài)勢分析、態(tài)勢預(yù)警三個部分。本實踐在工程數(shù)據(jù)中心建立臺式感知系統(tǒng)，通過對全場景的流量鏡像歸集，實現(xiàn)全工程網(wǎng)絡(luò)流量分析，實現(xiàn)安全態(tài)勢預(yù)警：

（1）全流量鏡像。為全面掌控全工程場景的流量情況，本文實踐中在工程數(shù)據(jù)中心的網(wǎng)絡(luò)主干實現(xiàn)全流量鏡像，感知系統(tǒng)將分別按類歸集所有數(shù)據(jù)流量，包括TCP 流量、UDP 流量、LDAP 行為、WEB 訪問、域名解析以及文件傳送等等，全網(wǎng)流量鏡像如圖2所示。

圖2 全網(wǎng)流量鏡像

（2）流量歸類告警。感知系統(tǒng)通過對全網(wǎng)流量分析，針對流量威脅類型和風(fēng)險級別，通過整合歸類實現(xiàn)流量風(fēng)險告警，目前已實現(xiàn)全網(wǎng)流量監(jiān)管，但還需人工分析日志數(shù)據(jù)定位風(fēng)險，誤報率較高，在此基礎(chǔ)上進一步完善安全感知體系，進而與態(tài)勢感知大數(shù)據(jù)平臺融合分析形成安全威脅的精準(zhǔn)定位，流量歸類告警如圖3所示。

圖3 流量歸類告警

2.3.2 網(wǎng)絡(luò)安全技術(shù)防御能力建設(shè)

安全的風(fēng)險來自外部也來自內(nèi)部，本實踐中，以工程數(shù)據(jù)中心為中心，在數(shù)據(jù)側(cè)重點從安全物理環(huán)境、安全通信網(wǎng)絡(luò)和安全計算環(huán)境加強內(nèi)部安全管控，在服務(wù)側(cè)則重點加強安全網(wǎng)絡(luò)邊界和安全通信網(wǎng)絡(luò)的防護，形成完善的外防內(nèi)控技術(shù)防御體系：

（1）安全物理環(huán)境保障。物理安全是整個網(wǎng)絡(luò)信息系統(tǒng)安全的前提，本實踐中數(shù)據(jù)中心采用共有專屬云的方式進行部署，通過與云服務(wù)上簽訂合同專項保障條款進行約束。具備防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護等安全要求，并要要求提供異地數(shù)據(jù)備份。

（2）安全通信網(wǎng)絡(luò)保障。本文實踐主要采用兩種接入方式，一種是租用運營商的數(shù)字專網(wǎng)，在數(shù)字專網(wǎng)的基礎(chǔ)上通過IPSECVPN 加密技術(shù)實現(xiàn)數(shù)據(jù)加密傳輸。在移動VPN網(wǎng)絡(luò)方面則采用SSLVPN 動態(tài)撥號計入，在整個傳輸鏈路上都有相關(guān)的傳輸加密的整體設(shè)計，符合等保二級對于通信傳輸加密的安全要求。

（3）安全計算環(huán)境保障。在工程數(shù)據(jù)中心內(nèi)部署一套云安全管理平臺，建立云安全資源池，為數(shù)據(jù)中心內(nèi)的各類云服務(wù)業(yè)務(wù)提供完整的安全服務(wù)，幫助業(yè)務(wù)快速滿足等保合規(guī)的要求，云安全管理平臺整體搭建在獨立硬件環(huán)境上與已有的業(yè)務(wù)云平臺完全解耦。本文采用公有專屬云，實現(xiàn)資源獨享，云設(shè)備資源主要包括云邊界VBR、專有網(wǎng)絡(luò)VPC、云服務(wù)器ECS 和云安全等基礎(chǔ)設(shè)施設(shè)備。用戶可按需定制專屬虛擬專用網(wǎng)絡(luò)、帶寬資源、云服務(wù)器ECS 資源和云存儲資源。通過VBR 實現(xiàn)云上云下數(shù)據(jù)互聯(lián)互通。在云端選配云盾、云監(jiān)控、流量清洗等安全措施，抵御IP/MAC 偽造、ARP 欺騙、DDOS 和Web 漏洞等網(wǎng)絡(luò)攻擊，針對WEB 服務(wù)，采用IPS 和云WAF 加強防護，整體安全技術(shù)防護覆蓋從遠程接入、邊界防護、入侵防護、病毒過濾、終端防護、堡壘機、日志審計等全面的安全能力。

（4）安全區(qū)域邊界保障。本文以工程數(shù)據(jù)中心為中心，建立網(wǎng)絡(luò)安全邊界，建立可信連接，對數(shù)字專網(wǎng)建立可信地址白名單，只有白名單的用戶才能接入訪問，在移動用戶訪問則采用VPN 雙因子接入訪問，規(guī)避非法用戶訪問風(fēng)險。

2.3.3 網(wǎng)絡(luò)安全審計能力建設(shè)

傳統(tǒng)的安全運維是重點保障設(shè)備正常運轉(zhuǎn)，而很多潛伏的安全威脅和事件卻并不影響系統(tǒng)正常運行，存在安全防護的盲區(qū)，數(shù)字化管理平臺上線運行后，建立安全管理中心，逐步實現(xiàn)對全網(wǎng)設(shè)備管理和全網(wǎng)用戶行為的審計能力，對所有違法行為和安全事件形成追溯懲戒威懾，是網(wǎng)絡(luò)安全技術(shù)防護體系最后一道防線。

3 結(jié) 論

數(shù)字化工程的安全關(guān)乎產(chǎn)業(yè)發(fā)展和民生保障，在數(shù)字化工程應(yīng)用中保障正常運營和數(shù)據(jù)安全是實現(xiàn)數(shù)字化管理的基礎(chǔ)，本文僅從技術(shù)防護角度出發(fā)，基于等保2.0 框架的初步探索，完整的防控體系離不開制度支撐，以管理制度為指導(dǎo)，探討數(shù)字化工程管理提質(zhì)增效的同時，形成數(shù)字化工程領(lǐng)域的安全解決方案，也是同等重要的課題。