绿盟科技胡忠华:“一个中心、三项原则、四个要素”落实《关键信息基础设施安全保护条例》
来源:互联网加强网络安全,探索可持续的关键信息基础设施安全运营
10月11日,2021年国家网络安全宣传周开幕式、网络安全技术高峰论坛在西安举行。绿盟科技集团总裁胡忠华受邀出席开幕式,代表网络安全企业在网络安全技术高峰论坛上发表主题演讲。胡忠华表示,关键信息基础设施安全正面临场景变化、威胁升级、需求提高等挑战。为更有效地落实关键信息基础设施安全保护制度,绿盟科技建议从资产、应用、数据、身份四个要素着手,结合“全场景、可信任、实战化”三大安全原则,建立以安全运营为中心,针对关键信息基础设施的防护体系,实现网络安全主动防范。
绿盟科技集团总裁胡忠华
以下是演讲全文,略作删减
网络空间已成为“第五维”战略空间,关键信息基础设施是核心枢纽,承载核心系统,提供核心服务。当前,关键信息基础设施正是网络黑客、APT组织、勒索病毒的重点攻击目标。所以保护关键信息基础设施,就是保卫国计民生,就是捍卫网络国防。《关键信息基础设施安全保护条例》的颁布实施,意义重大。这里谈谈落实《关键信息基础设施安全保护条例》的思考和一些实践。
(一)关基挑战:场景复杂性与网络威胁持续存在
站在需求的角度,关基运营者从技术方面,主要面临三方面的挑战:
1、场景更加复杂。在全面数字化转型的背景下,云大物移等新技术大量应用,新技术领域和关键信息基础设施正在融合耦合,网络资产、工作场景大量增加,安全风险与日俱增。
2、威胁持续演进。网络攻击愈演愈烈,造成的影响越来越大。2015年乌克兰断电事件和2019年委内瑞拉断电事件攻击者仍未溯源。2021年5月,美国东海岸科洛尼尔管道运输公司遭受勒索软件攻击,严重影响17个州和首都华盛顿特区的燃油供应。
3、安全需求日益提高。在保证数据安全的同时,还需要增加业务系统的弹性韧性,实现关键信息基础设施高可用、抗毁伤,在受到攻击时依然能够提供基本的服务。
另外,关基运营者也面临更严格的法规遵从。从2017年的《网络安全法》,到2021年的《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》都是必须遵从的法律法规要求。这是安全防护的基线,也是底线。
(二)应对方式:一个中心、三项原则和四个要素
应对关键信息基础设施的各种挑战,我们认为:应该以安全运营为中心,以“全场景,可信任,实战化”为三个原则。通过体系化建设,实战化运营,在资产、应用、数据、身份四个要素上开展安全建设,满足关键信息基础设施安全保护法律法规要求。
1、关键信息基础设施安全保护应以安全运营为中心
关键信息基础设施的防护要以安全运营为中心。为什么这么说呢?我们要知道安全运营是做什么的。安全运营由一个全天候轮班执行运营工作的团队,以及一套专注于帮助运营团队执行预测、防御、检测、评估并对威胁或事件进行响应的工具和运营管理流程组成。可以看出,安全运营的主要责任和关键信息基础设施安全保护要求是相对应的。
很多单位部署了安全产品,但是安全事件还是会出现。他们可能会问,到底安全运营有没有效果?这就是安全运营的成熟度问题,安全运营需要从基础运营到深度协同运营转变,具体而言有三个方面:
1) 从单点防护到体系防御的转变:构建纵深、自适应的安全防御体系,实现预警、防护、检测、响应的闭环机制。
2) 从产品到“产品+服务+运营”的转变:把安全产品有效地用起来,发挥其作用,需要产品、服务和运营之间相互配合。举个例子,用扫描器发现了资产的漏洞,这是产品能力。有漏洞,该不该打补丁,需要应用和安全服务人员评估确认,这是服务能力。运营就需要把这些能力结合起来,并记录备案。
3) 从本地运维到云地协同的转变:利用云计算等新技术,建立远程的安全专家团队和本地运维人员的协作机制,实现对网络攻击行为和事件的协同分析、综合研判和快速处置。
安全威胁总是在变化,安全本身是一个动态的、持续的过程,没有任何产品能够完全覆盖并一劳永逸。成熟的安全运营,有着更多的场景覆盖,借助安全情报的输入,利用大数据分析和人工智能,能够更快速、更准确地对内部业务画像,对攻击者画像,了解攻击意图,掌握攻击手法,溯源攻击团伙,并做出快速响应。这方面,需要对系统长期的、细致的、有效的运营,迭代优化。最终实现“体系化,智能化,自动化”的安全运营中心,保护关键信息基础设施持续稳定运行。
2、全场景:技术领域交叉融合,安全防护需要整体覆盖
和传统IT系统相比,关键信息基础设施在技术领域和业务领域上交叉融合,深度耦合。新的技术领域,以成熟度划分为以下三类:
1) 第一类是已经形成成熟应用的,如云计算、大数据、物联网、移动互联网等。针对第一类技术领域,目前已经有成熟的产品在提供安全检测和防护。
2) 第二类是已经得到认可,即将开始大规模商用的,如5G、车联网、工业互联网、人工智能等。针对第二类技术领域,目前正在进行产品化的工作。
3) 第三类是热点方向,但离全面应用还有一段距离的,如区块链、数字孪生、卫星互联网等,目前主要是进行技术预研,形成技术储备。
举一个例子,电子政务是《关键信息基础设施安全保护条例》里面明确的关键信息基础设施。电子政务向智慧政务、数字政务等演进,业务部署在政务云上,用到了大数据系统,业务系统允许外部通过PC机和手机来访问。智慧政务系统,集成了云计算、大数据、移动互联、人工智能等技术。因此,智慧政务关键信息基础设施的安全防护,需要考虑业务系统涉及到的各个场景,如网络安全、云安全、大数据安全、应用安全、移动安全等,全场景覆盖业务系统所涉及的各个技术领域,从而实现整体防护。
3、可信任:信任是安全的基础,信任的前提是充分验证
“信任”是安全的基础。无论是公钥基础设施,可信计算,还是近期广为关注的零信任,其目标都是建立起信任机制,作为整个安全防护体系的基础。但信任不是盲目的,必须经过充分的验证。涉及到关键信息基础设施,对信任对象的验证要非常严格。
2020年12月,著名网络安全管理软件供应商SolarWinds被黑客篡改了组件源码,添加了木马程序,并伴随软件更新下发,导致包括美国交通、军队、政府等在内的18000多家政府企业客户受到影响。究其原因就是过于信任供应商,没有进行必要的二次验证。
4、实战化:网络安全的本质在对抗,对抗的本质在攻防两端能力的较量
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。随着攻防对抗的不断升级,网络安全产品的既有策略会持续被攻击者挑战。这就需要关基运营者从实战出发,构建知己知彼、应需而变的动态防御体系,站在攻方视角关联分析蛛丝马迹发现对手所图,利用蜜罐等欺骗式防御手段伪装成关键信息节点迷惑对手,在保护业务系统的同时实现对攻击者的追踪溯源。
只有不断提升自身的安全能力,方能在攻防对抗中立于不败之地。这其中,从“知敌”到“御敌”“溯敌”,比拼的是数据力+分析力,关键是体系力+应变力,核心是体系力+运营力。
5、四要素:关基安全运营的四个主要着手点
资产、应用、数据和身份,是关键信息基础设施的四个主要着手点,要做到底数清、流程清、策略清、权限清。
1)在资产方面,要点是“底数清”,要做到摸清底数,定期评估,及时加固。
2)在应用方面,要点是“流程清”,要做到在业务系统开发阶段就考虑安全需求,设计安全模型,实现安全功能;在业务系统上线之前,应充分应用代码审计、渗透测试等技术手段评估其安全性;在业务系统上线之后,要对系统进行持续的安全监测,及时发现运行过程中出现的安全事件。
3)在数据方面,要点是“策略清”,要做到数据分级分类,按重要性分策略保护;与外部单位通过落地方式交换双方需求的数据,并对重要数据及时脱敏,在保证业务需求的前提下只提供必要的数据信息。
4)在身份方面,要点是“权限清”,要做到结合安全性和易用性进行多因素认证,给予用户完成业务需求的最小权限,并对全过程进行安全审计。
(三)实践探索:可持续的关键信息基础设施安全运营
下面,我汇报一下绿盟科技的几点探索实践:
首先是运营模式方面。结合关基运营者的具体需求,绿盟科技提出了三种模式。一是企业运营:我们协助客户建立企业运营中心,从威胁分析、脆弱性管理和应急响应等方面开展运营工作。二是行业运营:我们持续协助运营商、金融、交通、能源等行业的运营者,开展行业情报共享、网络监测预警、数据分类分级等方面的运营工作。三是城市运营:目前除北京总部外,已经在宁波、成都、广州、沈阳、长沙、南京、天津、鹰潭、上海九座城市开展关键信息基础设施安全运营中心建设工作,构建关基安全防护、安全人才联合培养、安全产品服务研发三位一体的运营模式。
其次是技术平台方面。去年,绿盟科技参与了某关基运营者的“安全中台”建设。该客户信息化建设程度非常高,参与厂商众多。但随着业务发展,需要安全业务上云并对外开放安全业务。安全业务建设过程中,发现安全能力由各厂商分别建设,数据很难整合,安全能力也比较分散。基于此,我们为客户量身定制了一套安全中台体系,梳理各厂商安全数据,整合底层安全能力,将数据与能力“框”在了一个系统下,并形成标准的对外接口。中台建成后,上层由绿盟科技与其他厂商快速搭建了各类安全能力,针对云、管、端、边各类安全场景进行全场景覆盖,实现底层数据及能力融合互通,安全建设效率得到大幅提升,安全运营能力快速增长。
第三是攻防演练方面。安全核心是对抗,要做到“以战养兵,以赛练兵”。以绿盟科技为例,我们每年都会围绕关键信息基础设施安全防护的典型场景进行内部技术大比武,实现以赛促学,以学促建,提升技术团队的攻防能力和整体协同能力。
(四)总结与展望
做好关键信息基础设施的防护,需要构建监管者、运营者、能力提供者的良好生态。绿盟科技始终以安全运营为中心,落实“全场景、可信任、实战化”的安全原则,从资产、应用、数据、身份四个要素着手,实现“全面防护、智能分析、自动响应”的防护效果,为关键信息基础设施安全保驾护航。
绿盟科技成立二十一年以来,一直非常重视技术和研发的投入,基本保持整体营收的20%用在研发上,围绕基础研究、产品、解决方案、安全服务、安全运营,构建公司核心竞争力。在基础研究方面,绿盟科技八大安全实验室,持续关注新技术、新领域、新方向,确保公司技术领先。关键信息基础设施是国家网络安全战略的核心,作为网络安全行业的一分子,绿盟科技将秉承“巨人背后的专家,保护客户业务顺畅运行”之使命,不断探索、持续创新,为加强国家网络安全保障体系和能力建设作出更大贡献。