习总曾经指出,“供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”对于关基而言,所使用的网络产品与供应链的安全性至关重要,一旦出现威胁,将给关基带来严重的安全隐患。因此,关基运营者应优先考虑采购安全可信的网络产品与服务。
依据《关键信息基础设施安全保护条例》(以下简称《关保条例》),关键信息基础设施运营者应在网络安全等级保护的基础上,部署技术保护措施和其他必要措施,以应对网络安全事件、防范网络攻击和违法犯罪活动,保障关键信息基础设施(以下简称“关基”)安全稳定运行,维护数据的完整性、保密性和可用性。这也就明确了关基保护的目标。2023 年 5 月,《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关保要求》)正式实施,此项标准提出了基于关键业务为核心的整体防控、以风险管理为导向的动态防护以及以信息共享为基础的协同联防的策略。同时,该标准涵盖了分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六大方面,共计 111 条安全要求,为关基用户开展关基保护工作提供了强有力的标准保障。
外部攻击形势严峻。当前,外部威胁的不断变化和网络空间对抗态势的加剧,使一些国家或 APT 组织将目标瞄准关基,展开间谍活动和网络战争,意图谋求战略优势、掠夺经济利益或施加影响力。威胁的变化表现为黑客和攻击者持续不断地寻找新的漏洞,企图借此入侵目标系统,窃取敏感信息或混乱网络秩序。同时,APT 组织投入大量资源研发尖端攻击工具和技术,以实施更为复杂和隐蔽的网络攻击。这些威胁主要针对关基,如电力系统、通信网络、金融机构和政府机关等重要领域。攻击者的目的在于渗透和破坏这些关键信息系统,控制、操纵或削弱国家的重要基础设施,以实现其目的。
内部威胁难以发现。随着外部网络攻击威胁的不断加剧,内部威胁也呈现出持续增长的态势。尽管传统边界安全在关基安全建设的早期起到了重要作用,但在数字化迅速转型的今天,其局限性也逐渐暴露出来。网络攻击者可能利用合法用户的身份进行伪装,潜入关基网络,窃取网络凭证并植入恶意软件;或者内部合法用户因其他原因滥用权限,导致核心敏感数据泄露。此外,组织内部人员的工作失误也有可能引发严重的网络安全事件。这些威胁对关基的安全造成了严重的影响。
供应链安全不容忽视。习总曾经指出,“供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”对于关基而言,所使用的网络产品与供应链的安全性至关重要,一旦出现威胁,将给关基带来严重的安全隐患。因此,关基运营者应优先考虑采购安全可信的网络产品与服务。
在关基安全防护能力的构建中,各类安全平台和系统通常都是分步骤进行建设的。然而,由于安全产品之间接口不统一、安全数据标准不一致等问题,各安全保护环节之间缺乏有效的对接与联动。这导致了安全保护体系形成信息孤岛,使得各个环节无法协同作战。在应对日益复杂和智能化的威胁形势下,单一的安全系统或产品已无法提供全方位的保护。大网络安全突发事件,确保关基的安全稳定运行。
安全管理太复杂。碎片化的建设导致各类安全产品、平台和系统产生的大量安全数据难以有效聚合使用,使得安全管理变得更加复杂。关基运营者在建立管理制度后,常常依赖传统的纸质流程和手工办公方式,缺乏有效的技术手段将纸质流程系统化。这种情况不仅限制了信息的实时更新和共享,还增加了人为错误和数据准确性方面的风险。关基运营者难以对整体执行情况进行有效监测,事件发生后也无法准确定位责任人,难以保障整体执行质量。
安全运营不持续。面对网络威胁的挑战,关基运营者在安全建设和管理的投入上不断加大,然而,构建 7×24 小时的安全运营团队和监测响应体系并非易事。这就导致了在夜间或节假日期间,网络攻击的实时监测和迅速响应变得困难重重。大量部署的安全设备或软件完全依赖于人工检索和分析安全事件,一旦发生安全事件,安全人员往往难以在第一时间作出响应。这就给关基的保护带来了极大的风险。
根据《关保条例》和《关保要求》,关保建设工作应结合实际情况来开展。建议运营者将整体建设过程划分为六个阶段。
第一阶段,为确保关基安全保护工作顺利进行,必须进行充分的准备和保障。这包括深入分析关基安全保护需求及目标,挑选并任命安全保护人员,以及构建高效的组织架构。
第二阶段,要开展以关键业务为核心的保护范围识别工作,包括关键业务基础情况的梳理、关键业务信息化情况的梳理、关键业务信息梳理、关基要素的确定以及关键业务链安全风险识别。
第三阶段,要将《关保要求》作为主要的需求分析依据,开展安全能力视角规划设计,结合关基系统的场景和属性设计安全能力框架并对工作任务进行分解。
第四阶段,建设方案要以重点保护为思想,重点围绕构建基础合规防御体系,构建适度隔离与动态管控的身份访问体系,构建数据安全防护体系,构建可信可控的供应链管理体系。
第五阶段,要开展面向实战跨组织的安全运营工作,在此阶段,要以业务视角进行资产与暴露面的安全管理,实施精准的威胁监测预警与自动化关联分析,基于攻击者画像进行策略优化与加固,构建自动化的事件处置与溯源分析等相关能力形成可闭环的安全运营效果。
第六阶段,开展常态化的安全监督评价,要定期开展全面的关基检测评估,开展面向关基的实战化攻防演习,针对关基安全保护工作的监督与考核评价,及时针对发现的风险进行安全加固或优化策略,持续提升关基安全能力以确保关基的安全稳定运行。
我们以国家网络安全政策为导向,行业规范为准则。按照《关保要求》等相关标准,通过构建安全技术体系、安全管理体系、安全运营体系和保障体系,全面实施对关基的安全保护。
在安全技术体系方面,以安全合规为基础,针对数据、供应链以及身份访问开展防护建设,从而增强关基分析识别、安全防护、检测评估、监测预警、主动防御和事件响应安全能力。
在安全管理体系方面,制定了网络安全评价考核和关基保护计划,并且制定了网络安全管理制度,制度内容包括方针策略、制度规范、操作规程和记录表单。
在安全运营体系方面,通过安全业务模块、基础业务库、网络安全数据中心构建关基安全保护平台,结合安全运营流程,实现关基业务 7×24 小时常态化安全运营管理。
在保障体系方面,通过设立安全管理机构、明确人员定岗定责、开展网络安全教育培训,以及提供资源保障支撑,持续推进关基建设的有效开展和安全落地。
《关保条例》明确指出,在等级保护的基础上,我们应对关基进行重点保护。目前,大部分关基已经完成等级保护建设,并配备了众多的安全组件。这些组件在关基保护中发挥着重要作用。然而,面对日益复杂和技术高超的网络攻击,我们不能掉以轻心。因此,建议采用“平台+组件+服务”的综合建设思路。通过平台整合对接现有的组件,可以解决安全碎片化、安全能力不持续的问题。同时,通过服务保证平台、技术、产品的最终效果落地和满足标准要求,将可以复用的安全能力聚合在一起,形成少数的但至关重要的能力平台,以此简化安全建设,并实现安全防护能力持续的迭代升级。
平台,作为安全能力的核心载体,发挥着至关重要的作用。而组件则作为平台的触手,深入各个场景,精准地采集数据,严格执行来自平台的访问控制和文件查杀等策略。它们对终端、服务器、数据和应用等资产进行严密保护。除了配备先进的“武器”,一支训练有素、高水平的“军队”同样不可或缺,一定程度的服务对技术有效落地进行兜底。
除了交付期间的服务,在运行维护过程中,通过托管处置、监测预警等服务,全方位构建关基安全保护体系,建议重点建设以下三大安全能力。
在关键节点部署攻击监测设备,对网络流量与端点流量实施智能遥测采集。然而,单纯依赖网络测数据,误报频发,真实的攻击往往淹没其中。为了解决这一问题,采取网络侧+端点侧的数据关联分析方式,能有效实现告警降噪。采集的数据与云端威胁情报、资产、时间等因子做深度关联分析,由此构建出完整、高质量的场景化数据链,生成关联事件,从而准确发现网络攻击和未知威胁,及时通报预警;攻击监测设备具备强大的联动能力,可迅速调动终端与网络安全组件,对风险进行及时处置。同时,它还能自动回溯完整攻击链,构建“防坏人”的精准检测响应能力。
针对复杂的关基和业务形态,我们必须将暴露面降到最低,并对业务和资产进行隐身保护。只有经过授权的客户端才有资格访问业务。通过自适应身份认证、动态权限控制等技术,我们持续评估每个接入者的身份、终端、使用环境和行为,大大降低被攻击的风险;而采用国密算法,则保证了数据在传输过程中的机密性和完整性。无论用户身处哪个业务系统、哪个区域,其身份和访问控制策略始终一致性,构建“管好人”的动态访问控制能力。
为了应对那些时间随机、目标不确定的网络攻击行为,我们引入了一种“人机共智”模式。这种模式使云端安全运营中心和本地安全专家有效协同,通过对不同安全设备产生的日志和流量进行关联分析,构建了 7×24 小时不间断的威胁监测、通报预警、事件处置的完整链条。在这其中,可充分利用自动化编排处置(SOAR)+AI 等技术,实现对网络渗透行为的全面监测和及时阻断,保障关基业务的安全稳定运行。
通过“平台+组件+服务”的建设思路开展关基安全保护建设工作,能够实现“安全能力聚合,人机共智赋能,7×24 小时实战保护,动态迭代提升”的安全效果,也能有效实现整体防控、动态防护、协同联防这三项基本原则。同时,还能简化关基运营者的安全运维管理工作,有效应对外部攻击和内部威胁,保障关键信息基础设施安全稳定运行。