热力行业网络安全思路网络建设论文.docVIP

热力行业网络安全思路网络建设论文 【摘要】本文分析了未来网络安全的趋势，并列举了热力行业作为公益性基础服务事业的网络安全威胁防范和网络安全建设的需求，提出了热力行业网络安全规划新思路、网路安全规划总体性要求、规划原则、安全规划框架、网络安全规划实施步骤及每阶段目标任务，从而为热力行业在新形势下的网络安全建设提供一种思路。 【关键词】热力行业;网络安全;等级保护;基础设施;基础防护;智能管控 一、网络安全形势 随着计算机和通信技术的发展，网络信息的安全和保密已成为一个至关重要且急需解决的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足，再加上系统软件中的安全漏洞以及所欠缺的严格管理，致使网络易受攻击。因此网络安全所采取的措施应能全方位地针对各种不同的威胁，保障网络信息的保密性、完整性和可用性。综合考量2017年经历的网络安全事件，2018年及以后整个网络安全行业的趋势或将出现如下情况：（一）勒索软件攻击。勒索攻击成为网络攻击的一种新常态，网络攻击者将调整目标，从传统的目标转向利润更高的勒索目标，其中包括高净值个人、连接设备和企业。（二）会有更多的僵尸网络物联网。（IoT）攻击由于制造商安全能力不足和行业监管缺失，2018年物联网设备的安全威胁将愈演愈烈，对用户的个人隐私、资金财产乃至人身安全会出现很大问题造成巨大损失。（三）针对关键基础设施的网络攻击升级，攻防两端的对抗将加剧。攻击目标从电力、交通等“命脉”设施，延伸到公共服务系统、重要工业企业的生产设施、互联网关键基础设施。我国相关主管机构也已经组织了多次针对电力、民航等关键基础设施的攻防演习，从已经实施的《网络安全法》到正在征求意见的《关键信息基础设施保护条例》，都将关键基础设施保护上升到了国家战略层面，集中力量、加大投入、创新技术、提升能力将成为保障关键基础设施安全的趋势和方向。（四）个人数据隐私保护将通过法律等技术手段向前推进。隐私保护从争议话题开始迈向通过法律和技术方案的务实推进。以此应对云计算、大数据、移动互联网及跨境数据处理等应用场景所带来的新挑战。目前我国没有统一的个人信息保护法，但是通过“徐玉玉案”等一系列案件给社会带来的不良影响，使人们充分意识到了个人信息泄露和滥用所带来的严重社会危害，同时也催生个人信息保护立法落地。 二、热力行业开展网络安全建设的必要性 城市供热系统是城市热力供应的重要组成部分，是城镇建设的重要基础设施之一。供热行业属于公益性事业，与电力、燃气、水务、交通等行业一样属于国家重要城市工业基础设施，供热系统的安全稳定运行也是国民经济、社会运行的重要基础。（一）热力行业面临的主要威胁。对于热力行业信息系统的威胁攻击而言，无论攻击者处于何种动机，攻击方式和手段如何变化，都会指向特定的目标，攻击成功后将导致热力企业的业务和声誉受损，依据《网络安全法》，攻击者甚至面临法律惩罚。面对可能的攻击，热力企业需要谨慎思考攻击路径、分析威胁和漏洞，进而勾画出全面的风险视图并制定安全控制措施。可能存在的威胁有：（1）破坏供热系统，中断正常供热；（2）内部人员失误导致业务中断；（3）窃取供热用户身份、供热信息；（4）窃取财务或办公信息；（5）内部人员非法交易用户身份、供热信息；（6）外包人员在程序中安插后门；（7）跨国的政治或商业目的信息窃取（8）恶意软件；（9）网络被攻击、通信中断；（10）自然灾害。（二）热力行业数据安全的需要。热力行业相关单位的数据格外引人注目，除了企业内的财务、行政、人力等管理数据外，更多的敏感数据为供热用户信息等。任何由内外原因疏漏导致的数据泄漏都将使企业遭受重创，后果会很严重。供热行业的管理趋于数字化，《网络安全法》及更多法律法规的出台，可能会加剧企业保护数据安全的负担。但数据是核心的信息资产，企业必须适应环境的变化，不能消极、退让、躲避，只有不断寻求更佳的安全防护体系和措施才是真正的办法。（三）热力行业业务安全的需要。安全不仅仅只是保护基础设施，更要保障业务系统的安全。也就是说，将安全控制融入到业务流程之中，对业务操作中的安全控制点进行同步监测，进而提前做到安全态势感知，防患于未然，并节省宝贵的事件响应时间。（四）法律的要求《中华人民共和国网络安全法》第三十一条：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十四条：除本法第二十一条