2022.11.04
目标“零事故”:关键信息基础设施的保护实践
随着数字化贯穿经济社会发展的全领域、全过程、各层级,网络安全对业务发展变得生死攸关。近年来网络攻击行为已经不再是互联网初期的黑客炫技或者偶发事件,而是针对重要高价值目标的有组织、成规模的持续性威胁,这类威胁既包括勒索软件、软件供应链攻击和数据窃取等黑客组织常用的手段,也包括国与国之间的网络对抗,甚至网络战。网络安全对国家经济和社会的重要性越来越凸显,加强关键信息基础设施(以下简称“关基”)保护刻不容缓。
网络对抗的规模升级和复杂性使得关基保护难度急剧增大,在网络攻击事件更加难以预测、无法完全阻止的情况下,关基保护的重点应以保障数字化业务安全稳定运行为目标。应用新的理念、方法和技术,将有限的安全资源转化为最大限度地安全能力,应对严峻、复杂、未知的网络安全挑战。
作为我国关基保护的中坚力量,奇安信在 2022 年北京冬奥会网络安全保障工作中开展了大量创新实践,取得了丰硕的成果。由于奥运会的举世瞩目,已经成为网络攻击的主要目标,使得互联网时代的奥运会面临着巨大的网络安全挑战。2012 年英国伦敦夏季奥运会、2014 年俄罗斯索契冬季奥运会、2016 年巴西里约热内卢夏季奥运会、2018 年韩国平昌冬季奥运会、2020 年日本东京夏季奥运会均遭受了大规模网络攻击,造成网站瘫痪、数据泄露、直播中断、比赛现场混乱等严重事故。
北京冬奥会面临的威胁主体众多,包括敌对势力、APT 组织、黑客团体、有组织犯罪等,受威胁的对象包括冬奥会门户网站、赛事系统、办公终端、广电播出系统、场馆基础设施及相关供应链系统。奥运会所涉及的业务环境复杂,技术系统复杂、境内外供应商众多、业务系统类型跨度大且不能中断、建设与运行快速交替,短时间经历全生命周期。面临冬奥会复杂业务环境的网络安全挑战,奇安信通过做到查清资产、明确配置、清除漏洞、补全补丁,实现冬奥会网络安全的完整覆盖、统筹管理、统一运行,并广泛借助国家和全社会的力量,支援冬奥会的网络安全防护工作,实现了北京冬奥会网络安全“零事故”。
通过冬奥会网络安全防护工作的实践,奇安信总结了做好新形势下关基保护工作的“四新”方法体系,即新模式、新架构、新产品和新服务。
为应对大规模、高强度、持续性网络安全威胁,需要调动大量网络安全资源。如何对这些资源进行统一指挥,使其协同一致,发挥出最大能力是一个新挑战。冬奥会网络安全防护中,通过网络安全三级态势指挥体系来实现协同指挥调度。
第一级安全检测,通过对设备、网络、应用、流量、资产的全面管控,实现网络安全全局监测、告警发现、响应处置、事件上报、闭环运行。第二级态势感知,通过打通国家、行业、企业各级态势感知体系,拉通关键相关单位的态势全局。第三级指挥协调,在中央机关、相关部委、成员单位和支撑单位之间打通协同工作机制,实现国家网空安全力量指挥协调、研判分析、指令下达
(二)关基保护新架构——采用内生安全框架开展规划建设运行
网络安全是一项长期建设的系统工程,为了将网络安全与关键信息基础设施和业务应用深度融合,奇安信基于内生安全理念,并进一步用系统工程的方法,把网络安全能力映射成为可工程建设的安全能力体系及组件,也就是内生安全框架。
通过内生安全框架,可统筹网络安全规划设计工作,涵盖管理、技术、运行;盘点网络安全能力,进行有机地组合,避免外挂与割裂产品的堆砌;梳理网络安全体系建设项目的有序落地,进行项目群管控;安全系统开始建设就以“实战化运行”为目的,建设者与运行者无缝转换。
通过内生安全框架,将关键信息基础设施的安全需求整合到国家和行业整体安全体系,并进一步建立安全生态,打通供给侧与用户侧的安全,实现安全能力的聚合和提升。
(三)关基保护新服务——全天候、全方位、全周期开展演练、运行和应急服务
在一系列关键信息基础设施保护的标准文件指引下,提升面向关键信息基础设施的安全服务能力、服务支撑能力、系统建设能力和服务保障能力。
安全服务能力,包括威胁检测、红队评估、攻防演习组织、重保支撑、应急响应、评估检查、业务安全测试、安全运行等。服务支撑能力,包括攻防演习、云防护平台、服务指挥平台、态势感知平台、云监测平台、应急响应指挥调度平台、威胁情报分析平台、代码检测分析平台、呼叫中心和教育培训等。系统建设能力,包括咨询规划、架构设计、产品供给、工程交付等。服务保障能力,包括规模化服务、人员资质、技术创新、客户服务等。
建设好面向关键信息基础设施的这四个服务能力,可构建全面覆盖、深度融合的安全服务体系,不分平时与战时,建设与运行没有明显交接,全天候、全周期安全运行。所有的工作都有章可循,有流程有规程,规定动作形成“肌肉记忆”。同时,将所有可能的紧急场景都形成预案,反复演练,达到面向关基的全方位、分钟级应急响应服务。
为应对高强度的关基安全威胁,奇安信研发了自主、安全、可控的网络安全产品体系,其中用于关键信息基础设施的包括 9 大类 55 款产品,分为高位(态势感知、研判、威胁情报)、中位(安全管理、监控、运营支撑)、低位(终端安全、网络安全、应用安全、身份安全、数据安全、业务安全等),形成了三位一体、互为支撑的安全产品体系,为关基保护提供有力的装备支撑。
当前,在关基保护方面,我国已初步形成了包括国家战略、法律、行政法规、国家和行业标准等配套的合规体系。但随着全社会数字化的不断加深,数据成为业务的核心要素,网络安全、数据安全与业务安全强相关,成为保障业务平稳运营的基础。所以,关基保护不仅包括云、网、端的基础设施和信息化环境,关键在于保护业务运行安全,其核心是数据资产安全。
数据安全与网络基础设施安全在防护理念、方法、技术和运营等诸多方面有很大不同,同时,随着数字化业务的开展,数据由静止转向流动,数据安全场景发生了改变,传统数据安全防护理念和方法已经无法满足需求,这对于关基的数据安全防护提出了新的挑战。
建议在《关键信息基础设施安全保护条例》指导下,进一步加强和完善数据安全监管和治理工作。首先,开展数据安全治理,将数据分类分级,并进行标签化,落实到数据安全策略,结合技术手段进行落地使用。其次,从国家层面统筹建设数据管理体系,建立跨部门的数据管理组织,制定数据使用策略;通过咨询规划,制定数据安全策略。再次,通过合规监管促进数据安全技术与产业发展。构建数据安全技术防御体系,将安全能力和举措深入到应用和业务中,并与信息化各层级全面覆盖和深度结合,推动零信任、隐私计算、数据安全态势感知等关键技术创新。
上一篇:<数安信研究院>发布企业应用程序隐私政策合规风险报告
下一篇:常见网络安全攻击路径盘点分析与建议
云计算业务承载平台