随着國際戰略格局的演變,圍繞關鍵資訊基礎設施的網絡攻防已成為網絡空間高烈度對抗的主戰場。關鍵資訊基礎設施的安全問題已經成為了各國網絡安全的重中之重。
2021年9月1日《關鍵資訊基礎設施安全保護條例》(以下簡稱《關保條例》)正式施行,《條例》明确了關鍵資訊基礎設施的範圍、職責分工以及保障關鍵資訊基礎設施安全的技術和管理要求,推動了大陸關鍵資訊基礎設施安全保障體系的建設。
時隔一年後,2022年10月12日,國家市場監督管理總局準許釋出GB/T 39204-2022《資訊安全技術 關鍵資訊基礎設施安全保護要求》(以下簡稱《關基保護要求》),于2023年5月1日正式實施。
作為《關基保護條例》施行以來釋出的第一個關鍵資訊基礎設施安全保護相關的國家标準,标志着對關鍵資訊基礎設施的安全防護工作進入新的階段。以《關基保護要求》正式實施作為契機,安全419特别邀請到了奇安信軍團CBG北京總體部負責人顧鑫分享奇安信的觀察和見解。
明确多個具象要求 指導關基安全建設進一步落地
顧鑫表示,《關保條例》是2017組織起草,曆時4年,到2021年9月正式釋出,宗旨是落實《中華人民共和國網絡安全法》中關鍵資訊基礎設施相關法律要求;而5月1日正式實施的《關基保護要求》作為關基的核心标準,是為了落實《關保條例》當中的要求,在操作層面為各行業部門提供更好的、更具體的指引,特别是《關基保護要求》圍繞具體網絡安全工作的具體執行邏輯,從分析識别、安全防護、檢測評估、監測預警、主動防禦、事件處置六大方面,圍繞主要活動和内容給出的要求都很具體,相較于《關保條例》可以指導關基要求的進一步落地。具體來看主要展現在以下三點:
首先是責任落實與安全管理相關的變化。《關保條例》中在明确責任主體時,明确了營運機關主要負責人是本機關關基安全保護工作第一責任人,但在具體落實責任的行動上,隻是說明了負責建立健全網絡安全責任制并組織落實。
而《關基保護要求》在條例的基礎上,分别在安全管理制度、安全管理機構、安全管理人員方面做了更具象的要求。例如在安全管理機構上,不但明确了成立網絡安全工作委員會或上司小組,還首次在國标裡引入了首席網絡安全官的概念,明确了上司班子成員作為首席網絡安全官,專職管理或分管關基安全保護工作,這類概念也是極少在國标裡出現;
同時,《關基保護要求》還提到了應設定專門的網絡安全管理機構、應為每個關鍵資訊基礎設施明确一名安全管理責任人、安全管理機構人員納入本組織資訊化決策體系等一系列更明确的要求。這些都有助于關基機關可以更具體、更有效的落實工作;這種具體的落實要求還有很多,例如具體到關基從業人員每人年接受網絡安全教育教育訓練的時長也做了要求,要求不少于30小時;
其次是在資産管理方面提出了新要求。所有資訊化運作機關都知道資産管理的重要性,圍繞資産展開的風險管理是安全管控中特别重要的次元,但實際上,因為雲、虛拟化、物聯網等新技術、新領域的不斷應用,資産管理已經成為了大多數企業的難題,因為不能實時、持續、動态管控資産,網絡中存在無法掌控的影子、僵屍、無主、幽靈、沉默等資産,而這些資産由于保護不到位極易引發安全事件,尤其是這些資産與關鍵資訊基礎設施相關時,就更加緻命。
顧鑫談到,“我們在學習《關基保護要求》中,欣喜的看到國家标準與時俱進,貼合業務發展,對資産管理提出了動态識别資産變化,利用自動化工具做好資産的配置、漏洞、更新檔管理,收斂資産暴露面等要求,這在以前的檔案裡是沒有提及的。對關基保護從業者會有非常明确的幫助。”
第三點是建設實戰化的關基安全防護體系。《關基保護要求》在監測預警活動中,要建立事态模型,提前或及時發出安全警示,提高主動發現攻擊能力。主動防禦活動要主動進行攻擊捕獲、分析、溯源等,同時開展攻防演習等。上述要求充分表明關基需要建設面向實戰的安全防護體系。
确定三大基本原則 強調整體防控、動态防護和協同聯防
顧鑫表示,基本原則是關基保護要求所依據的基本準則,《關基保護要求》的三項基本原則,表現出了相較于其他類似的标準(如《等保基本要求》),具有更先進的理念。具體來看:
第一條原則是以關鍵業務為核心的整體防控,強調了業務風險與網絡安全風險融合理念,在标準中可以找到大量的呼應。其中最具代表性的一條是在第六章“分析識别”的第一項活動中,首次提出了關鍵業務鍊的概念。提到業務鍊,就把安全防控的範疇延申到以業務流、資料流為核心的業務邊界,進而打破了傳統認知的實體邊界或網絡邊界,這樣才能真正的保證關鍵資訊基礎設施的安全,也充分切合大陸“網際網路+”行動和資料化轉型的資訊化發展大趨勢。
第二條原則是以風險為導向的動态防護,強調了關基保護要采用風險導向、要實作動态防護。這切合了近年來奇安信一直在提的一個主題,網絡安全是持續的對抗、是人與人的較量,靜态的防禦措施無法抵擋中、高強度的攻擊,是以《關基保護要求》是以等級保護為基礎,對關鍵資訊基礎設施提出的強化保障要求,而強化要求中,重點就是落實風險導向和動态防護。
在具體條目中,分析識别中特别強調了風險識别與重大變更,因為重大變更也會帶來新的風險。而分析識别是開展安全防護、檢測評估、監測預警、主動防禦、事件處置等後續活動的基礎。是以關基保護是從關基業務的風險評估為起始的,這代表《關基保護要求》融入了業界主流的以風險為導向的安全保護思想。
第三條原則是以資訊共享為基礎的協同聯防,宗旨是在主管機關的指導下,建設“群防群控”的關基監測指揮保護體系。從兩個次元看,一是要結合《關保條例》,《關保條例》中對網信、公安、保護工作部門、營運者的職責有明确分工,需要各關基保護機關與主管、監管機關共同建構起關基保護監測指揮保護體系。二是,一個關鍵業務可能由多個營運者的多個關基承載,這些營運者間也要形成資訊共享、協同關聯的共同防護機制。這樣才能提升關鍵資訊基礎設施應對大規模網絡攻擊能力。
實戰效果與安全營運 已逐漸成為關基機關的關注焦點
顧鑫談到,随着網信辦、公安部等主管部門陸續發文對關基保護進行規範,各保護工作部門也迅速行動,釋出關基認定辦法或标準,組織關基認定,形成行業關基名錄,一些走在前面的行業都開始了關基保護的試點工作。
他表示,近兩年在于關基使用者的交流過程中經常會聽使用者談到兩個詞:
第一個詞是實戰。關基保護的核心是主動防禦,是對抗,是在實戰中證明自己,是以實戰這個詞會被反複提到。很多關基使用者都很關心,目前保護關基的安全體系是不是真的可以抵禦中進階别攻擊,還有什麼風險目前沒有關注到,希望通過實戰攻防演習等方式進行安全性測試,讓問題提前暴露出來。
在攻防演習的過程中也發現了大量隐患、問題,有的是老問題,例如資産不清導緻管控漏洞、老舊系統導緻業務漏洞,但也有很多随着業務發展産生的新問題,比如系統陸續上雲後,雲下的安全措施無法移植到雲上,同時還有一些以前很少被關注的問題,比較典型的例子的應用安全領域的API接口安全,API接口是應用之間互通的必要元件,如果存在風險例如可被任意調用,會是巨大的安全隐患。
當這些問題可能造成的後果通過攻防演習的方式暴露在主管上司或是《關基保護要求》提到的首席網絡安全官面前時,會極大的觸動主管機關的神經,問題相對聚焦、明确的,就開展的針對性整改,但大多數企業需要采用另一種模式開展工作,就是發起網絡安全規劃項目,會以零事故為目标,結合業務發展,通過安全規劃系統性梳理安全風險、安全需求,形成适合關基保護的實戰化安全體系架構,并形成具體工程任務,通過具體工程任務的解決方案分階段落實安全工作,最終形成可真實對抗攻擊的實戰化安全防禦體系。
第二個詞是安全營運。“因為在前期,網絡安全運作工作還是更多集中在運維,以裝置巡檢、日常運維為主,安全事件的處置更多是出了事之後,在找人應急。近些年,尤其是網絡安全法及關基條例出台後,在結合國内外網絡安全形勢及本機關面臨網絡安全現狀,大家都意識到網絡安全從來都是不宣而戰,随時可能被攻擊,并且有時候資料丢了自己都不知道,網絡安全基礎建設較好的關基機關就迅速的從安全運維向安全營運轉變了,會制定安全責任矩陣來落實各部門、各崗位的網絡安全責任,并建設合理的組織結構,以安全營運平台或态勢感覺平台為基礎,開展面向事件的安全營運工作,實時監測告警、發現攻擊,持續提升安全系統、平台、及人員的實戰化安全營運能力。”
資源投入占比低、常态化能力不足 關基安全建設仍然存在現實問題與挑戰
從上述顧鑫談及的部分我們能夠感受到,《關保條例》施行以來,對行業的促進作用已經顯現,也推動了關鍵資訊基礎設施相關安全建設水準的提升,但同時,我們也應看到這期間所仍然存在的一些問題。
針對這一話題,顧鑫表示,從目前看,雖然各關鍵資訊基礎設施營運者開始行動起來了,但是在關基保護上還存在不少問題,主要有以下幾點:
一是資源投入問題。在公安部1960号文和網信8号文均要求保證關基保護投入。《關基保護要求》的正式實施,必然會引起關基保護整改建設潮,但從目前看,各關基營運者在今年的預算中包括關基保護預算的并不多,有些即使有也不足以支撐關基改造。除了财力投入外,人員投入也不足。從資料上看,美國在網絡安全的投入資源占用整體資訊化投入的10%,而國内目前的安全占比仍在3%以下。
二是部分機關常态化能力不足。許多營運者在監管機關或上級部門組織的實戰攻防演習中搞突擊,演習前搞一場運動,有風險的業務不是整改,而是在演習期間關停,過程表現優異,但演習結束後,營運人員撤出了,下線有風險的系統回來了,又回到了解放前,這會帶來極大的風險。
三是體系化能力缺失。安全建設沒有總體規劃,以“零散”建設為主,存在安全能力煙囪、能力重疊和能力缺失的情況,沒有形成木桶原理;
四是實戰化問題。部署了大量安全裝置,有防禦的,有告警的,看起來虛假繁榮,但告警每天幾萬乃至幾十萬條,沒有人能實時監測分析,海量告警日志因為無法實時分析,隻能作為事後審計的資料;防禦裝置都有,但裝置的安全規則年久失修,積勞成疾,平時防一些基礎的掃描行為還可以,一旦遇到專項打擊,政策起不到防護作用。
針對這些現實問題,《關基保護要求》标準從分析識别、安全防護、檢測評估、監測預警、主動防禦、事件處理六個方面按工作推進邏輯系統的覆寫了與按去工作相關的六個領域,提出了明确的安全控制措施,來指導關基機關針對性的提升安全能力。
但顧鑫也指出,在标準落地上,不能簡單粗暴的拿來主義、逐條落實,需要采用系統化的思維進行安全體系的審視和設計,與關基業務相結合,形成科學、完整、有效的安全保障體系,并持續通過安全營運保障安全體系的有效運轉。才能切實解決安全問題、有效落實《關基保護要求》。
在采訪最後,針對關基營運者來說,應該從哪些方面加強安全能力建設,更進一步提升自身安全防護水準的話題,顧鑫給出了5個方面的建議:
一是關基保護,責任先行。《關基保護要求》已經非常明确的給出了主導責任,主導責任要落實,并在主導責任的基礎上,全面落實各領域、崗位的安全責任,建立責任矩陣,因為“安全”不是獨立存在的,是一個附屬屬性,是以,需要各相關部門、相關人員,都要承擔起本崗位應該有的安全職責,實作責任到崗、責任到人。
二是落實關基,規劃優先。關基保護不能遵循以前的合規思路,對照《關基保護要求》,逐條查找能力差距的方式是做不好關基保護的。因為木桶原理大家都知道,關基保護得好不好不是由能力強項決定的,反而是由弱項決定的。需要先以業務為核心梳理系統範圍,通過風險評估對關基做個全面的診斷,然後制定關基保護規劃,合理規劃建設順序、并逐漸落實。
三是建立能力導向、架構驅動的新安全體系。通過風險管控,将多源、動态、零散的需求映射到統一标準的安全能力體系中,形成體系化作戰模式,整體視角解決問題;在能力建構上,将安全能力元件化,分布融入數字化業務各方面,實作資訊化系統及基礎設施本質安全,避免“兩張皮”;并通過内生安全的方法指引新安全體系建設,内生安全系統工程,就是把安全能力内置到業務系統中,感覺、響應對業務系統和資料的任何破壞行為,真正做到“事前防控”。達到1+1>2的“湧現”效果。
四是建設實戰化安全營運體系。建構關基全方位無死角的監測預警與處置能力。重點強調一下這裡說的是能力,而不是措施,是由制度、流程、SOP、技術措施加上各個崗位合适的人員而展現出來的實戰化營運能力。為什麼強調全方位,因為于關基保護來說,我們防護的對象是基于業務梳理的架構,需要采用縱深防禦的思路研究邊界的定義與各業務單元的定義,并在此基礎上,結合安全風險,設定安全防護控制點與安全監測點,避免出現攻擊看不見、事件不能及時處置的情況。
五是建構政企防禦+國家網空對抗協同的“雙體系”。實作國家網絡空間防禦能力是一個複雜的系統工程,需要在統一的架構下,在充分考慮國家級網絡空間防禦能力與企業級的網絡空間防禦能力的同時,還需要充分考慮之間的互相關聯。要用系統工程的方法進行設計,并通過體系化的工程建設來實作國家網絡空間安全防禦能力。
顧鑫表示,奇安信作為新一代網絡安全領軍者,在國家關鍵資訊基礎設施保護的大背景下,奇安信會關注全球網絡安全态勢變化,緊跟國家網絡安全政策,結合奇安信多年的網絡安全實戰經驗與冬奧的零事故積累,為各關基機關的網絡安全建設與營運提供全方位的規劃設計、解決方案、産品展現于營運服務。通過安全咨詢規劃,為關基機關提供體系化的安全規劃;通過縱深防禦方案、零信任方案、資料安全方案、雲安全方案、應用安全方案、端點安全方案、安全營運方案等各類專項解決方案,提供标本兼治的專項治理辦法,系統化落實局部難題;通過奇安信完整的網絡安全産品體系與技術能力,為使用者提供全面、有效的技術支撐;并通過強大的實戰攻防能力,在攻防演習、風險評估、安全營運和應急響應中提供專業的服務保障。
#網絡安全##奇安信#