基于等保2.0框架构建数字化工程外防内控技防体系

2022-08-29黄均辉田清清

现代信息科技 2022年12期

黄均辉，田清清

（中国电建集团中南勘测设计研究院有限公司，湖南长沙 410014）

0 引言

数字化工程是指运用信息化手段，通过三维设计平台对工程项目进行精确设计和施工模拟，围绕施工过程管理，建立互联协同、智能生产、科学管理的数字化管理平台，集成云计算、物联网和大数据应用，通过整合工程业务数据和工程物联数据，实现数据纳管与数据应用两大功能，进而满足项目不同场景的、不同来源的和不同类型的数据统一管理和有效共享，实现工程施工可视化智能管理。同时，数字化工程应用场景复杂，网络安全风险高，近年来，信息安全形势更加严峻，国家基础网络和重要信息系统经常遭受大规模的黑客攻击和入侵，导致数据破坏、数据篡改或数据泄漏，造成恶劣影响，尤其是能源、工控、基建等行业更是成为黑客攻击的重灾区，若无配套的网络安全体系化解决方案，数字化工程应用及服务将无从谈起。

1 数字化工程等保保护实施指南

1.1 等级保护制度概述

等级保护制度是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在业界，网络安全等级保护制度被誉为一项伟大创举，是中国网络安全的基石，是维护国家安全、社会秩序和公共利益的根本保障。1994年国务院第147号令《中华人民共和国计算机信息系统安全保护条例》的颁布是计算机信息系统的等级保护工作的规范性的开端，之后由公安部陆续颁布并实施了一系列等级保护制度规范和技术标准，促进计算机的应用和发展，算是等级保护制度1.0阶段。2019年12月1日随着GB/T 22239—2019《信息安全技术网络安全等级保护要求》（以下简称“等保2.0”）的正式颁布实施，意味着网络安全等级保护工作进入2.0 阶段，是具有里程碑意义的一件大事，标志着国家网络安全等级保护工作步入新时代。

1.2 等保2.0 框架

根据计算机信息系统安全保护等级划分准则，网络安全保护等级划分为五个安全保护等级，从低到高依次为：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级，各个等保保护对象按国家标准严格执行各项保护措施进行保护。等保2.0 技防框架在1.0 的基础上，在通用安全的基础上，增加云计算、移动互联以及物理网等扩展应用安全要求，数字化工程应用涉及通用和扩展应用的各个方面与等保2.0 框架相契合，安全技术总体框架从安全物理环境、安全计算环境、安全域边界、安全通信网络以及安全管理中心五个方面进行相应的规范设计要求，同时，不同等级的保护对象的技术防护要求和防护力度存在等级差异。针对具体数字化工程应用在工程管理中的重要程度，结合系统面临的风险等因素，本文按照等保二级标准的技术要求建设技防体系。

2 数字化工程外防内控技防体系建设实践

2.1 数字化工程网络安全需求分析

数字化工程是运用信息化手段，以数字化管理平台为抓手，运用先进的建筑信息模型BIM 技术、地理信息GIS 技术、云计算、物联网、移动互联网、大数据等多种信息化技术手段，采集物联网端设备数据，建立数字化管理平台，研究实现工程设计、施工、设备安装、调试、交接的全生命期数字化管理的方法，管理范围覆盖了工地、营地、监理、管理中心以及个体用户等应用场景。

工地主要连接工地传感器、视频监控和施工监测等物联网设备，实现工地现场数据采集，包括视频监控、人员监控、施工设备监控、智能物料管理、智能施工（智能混凝土施工管理）、环境监控、工程安全监测等系统的数据接入、汇总并形成工程数据中心，支撑上层数字化管理平台和上层应用，工程数据中心主要包括计算资源、存储资源、网络资源等基础服务资源，是数字化工程的基础。本文采用公有专属云部署模式，外防内控技防体系重点就是以保障工程数据中心的安全为核心，并确保这些数据从采集、传输及接入数据中心的通信传输安全。

对于本文中涉及的工地、营地、监理、管理中心以及个体用户场景而言，则是重点保障所有现地用户通过VPN 和数字专网两种方式访问数字化管理平台的安全。该场景需要确保接入用户身份真实可信，对接设备安全可信。

2.2 数字化工程网络部署架构

以上的网络安全需求分析中，整个工程是采用“云＋管＋端”的工作模式，云端是数据汇集的工程数据中心，通信管道则是VPN 和数字专网，端是各个应用终端。

整个工程融合了工地、现地、监理中心、管理中心以及移动个体等应用场景，以工程数据中心为核心构建外防内控体系可分为两条线，对内是工程数据的安全融合问题，对外则是用户安全服务问题，具体到本文实践中就是保障数字化管理平台数据集成的安全和数字化管理平台服务两个方面安全问题，也构成了数字化工程的内外部环境。因此，一方面数字化管理平台数据集成主要保障数据采集、数据传输到数据接入及数据融合的安全问题；另一方面则是保障用户从所在现地安全访问数字化管理平台的问题。数字化管理平台数据集成和数字化管理平台服务在实际应用场景的系统部署架构图如图1所示。

图1 系统部署架构图

2.3 数字化工程外防内控技防体系建设

从数字化工程网络安全分析来看，重点是以工程数据中心为中心构建外防内控技防体系，解决应用场景中面临的外部内部安全威胁。传统的局部的、片面的技术防护措施已不能满足实际需求，本实践基于等保2.0 框架，分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心构建外防内控的技防体系。该技防体系覆盖全场景和全生命周期，针对安全威胁的特点，分别从感知能力建设、防御能力建设和审计能力建设三个方面，实现“事前可感知、事中可防御、事后可追溯”的安全管理目标。

2.3.1 网络安全态势感知能力建设

建设技防体系网络安全态势感知能力是在数字化工程的大规模网络环境中，对能够引起网络态势发生变化的所有安全要素进行获取、理解、显示以及预测未来的发展趋势，并不拘泥于单一的安全要素，态势感知体系的技术防护大概可分为流量镜像、态势分析、态势预警三个部分。本实践在工程数据中心建立台式感知系统，通过对全场景的流量镜像归集，实现全工程网络流量分析，实现安全态势预警：

（1）全流量镜像。为全面掌控全工程场景的流量情况，本文实践中在工程数据中心的网络主干实现全流量镜像，感知系统将分别按类归集所有数据流量，包括TCP 流量、UDP 流量、LDAP 行为、WEB 访问、域名解析以及文件传送等等，全网流量镜像如图2所示。

图2 全网流量镜像

（2）流量归类告警。感知系统通过对全网流量分析，针对流量威胁类型和风险级别，通过整合归类实现流量风险告警，目前已实现全网流量监管，但还需人工分析日志数据定位风险，误报率较高，在此基础上进一步完善安全感知体系，进而与态势感知大数据平台融合分析形成安全威胁的精准定位，流量归类告警如图3所示。

图3 流量归类告警

2.3.2 网络安全技术防御能力建设

安全的风险来自外部也来自内部，本实践中，以工程数据中心为中心，在数据侧重点从安全物理环境、安全通信网络和安全计算环境加强内部安全管控，在服务侧则重点加强安全网络边界和安全通信网络的防护，形成完善的外防内控技术防御体系：

（1）安全物理环境保障。物理安全是整个网络信息系统安全的前提，本实践中数据中心采用共有专属云的方式进行部署，通过与云服务上签订合同专项保障条款进行约束。具备防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等安全要求，并要要求提供异地数据备份。

（2）安全通信网络保障。本文实践主要采用两种接入方式，一种是租用运营商的数字专网，在数字专网的基础上通过IPSECVPN 加密技术实现数据加密传输。在移动VPN网络方面则采用SSLVPN 动态拨号计入，在整个传输链路上都有相关的传输加密的整体设计，符合等保二级对于通信传输加密的安全要求。

（3）安全计算环境保障。在工程数据中心内部署一套云安全管理平台，建立云安全资源池，为数据中心内的各类云服务业务提供完整的安全服务，帮助业务快速满足等保合规的要求，云安全管理平台整体搭建在独立硬件环境上与已有的业务云平台完全解耦。本文采用公有专属云，实现资源独享，云设备资源主要包括云边界VBR、专有网络VPC、云服务器ECS 和云安全等基础设施设备。用户可按需定制专属虚拟专用网络、带宽资源、云服务器ECS 资源和云存储资源。通过VBR 实现云上云下数据互联互通。在云端选配云盾、云监控、流量清洗等安全措施，抵御IP/MAC 伪造、ARP 欺骗、DDOS 和Web 漏洞等网络攻击，针对WEB 服务，采用IPS 和云WAF 加强防护，整体安全技术防护覆盖从远程接入、边界防护、入侵防护、病毒过滤、终端防护、堡垒机、日志审计等全面的安全能力。

（4）安全区域边界保障。本文以工程数据中心为中心，建立网络安全边界，建立可信连接，对数字专网建立可信地址白名单，只有白名单的用户才能接入访问，在移动用户访问则采用VPN 双因子接入访问，规避非法用户访问风险。

2.3.3 网络安全审计能力建设

传统的安全运维是重点保障设备正常运转，而很多潜伏的安全威胁和事件却并不影响系统正常运行，存在安全防护的盲区，数字化管理平台上线运行后，建立安全管理中心，逐步实现对全网设备管理和全网用户行为的审计能力，对所有违法行为和安全事件形成追溯惩戒威慑，是网络安全技术防护体系最后一道防线。