重构安全运营技术框架,强化关基安全保障体系
讲武堂,带兵者研究武学之所。今设“安恒信息安全咨询讲武堂”,与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。
本期聚焦如何切实保障关基的网络安全,欢迎大家文末留言探讨。
前言:
“
关键信息基础设施的网络安全关乎国家与行业的安全,又与社会经济的稳定发展和日常生产生活有序进行有着非常紧密的联系。自《关键信息基础设施安全保护条例》实施以来,如何切实保障关基的网络安全,构建行之有效的网络安全保障体系,已成为安全理论研究与探索实践的焦点。
关基安全现状与趋势
俄乌战争再次印证,网络安全攻击已成为国家间对抗的重要手段之一,而关键信息基础是网络攻防的焦点,国家行为、高度组织化、攻击武器化的趋势愈加明显,加强关键信息基础设施网络安全防护的任务日益紧迫。
《网络安全法》明确提出,关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。《关键信息基础设施保护条例》规定:在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击。由此可见,关键基础设施的保护,更加强调以安全事件防范和网络攻击防御为核心目标,结果导向更加清晰明确,也是在等级保护合规要求之上提出的更高要求。
关键信息基础设施面临更严峻、更不确定性的安全威胁与风险,面临更严格、全面的安全监督管理,同时也给关基的安全保障体系提出更高要求。
关基背景下的安全运营技术框架
网络攻防是动态的,关键信息基础设施的安全保护更不是一劳永逸的工作。在关基安全大背景下,以网络空间安全的视角,构建安全运营技术框架并基于外部威胁、内部风险持续改进优化,是强化关基网络安全保障体系的核心。
▲ 安全运营关键支撑要素
整合、完善安全能力
搭建运营技术架构
以关基作为安全防护的中心,整合现有安全措施、安全技术与其他安全资源,发挥整体安全效能,是对关基重点防护要求的实践,也是安全运营工作的基础。
安全工具整合:攻防演练与安全实战表明,单个安全弱点的突破就可能引发整体安全防护面的失效,将边界、流量、系统、应用、终端等维度的安全工具进行有机整合,在数据集中、联动处置、整体感知方面发挥巨大效果。
安全数据集中:安全分析是安全运营技术架构的核心,在安全工具整合的基础上,搭建关基的资产库、事件库、日志库、流量库、漏洞库、情报库等,基于安全大数据安全分析,确保潜在风险的挖掘发现,提高整体态势分析准确性和关基防护水平。
安全能力补足:关基防护具有主动防御、动态防御的特点,须在等级保护技术要求基础上,持续在网络边界、内部环境场景中引入欺骗防御、威胁情报、UEBA等发挥安全预测、攻击反制、未知攻击检测的能力,将关基防护与外部安全威胁达到同级别的水平。
建立安全运营流程
实现业务与安全同步
安全保护措施应覆盖关键信息基础设施的规划设计、建设实施、运行使用全生命周期过程,安全运营流程的建立能够在各环节实现业务与安全工作的结合,在各阶段以合规与风险视角,结合业务场景,开展安全要素同步介入工作,在业务与安全之间建立更紧密、更直接的联系。
安全运营流程嵌入到关基业务生命周期的各环节,并在相应的安全控制节点发挥安全工具平台、安全服务、安全角色的作用。同时,安全运营流程要充分结合业务场景,例如应用安全开发上线流程可匹配关基系统由设计到编码、测试各环节;运行和调度类流程可在业务、网络、系统等场景下,在运行、运维、变更等过程良好融入;管理类流程可以覆盖退役废弃阶段等等。安全运营流程是落实关基三同步要求的重要抓手,也是解决业务与安全割裂的有效方式。
关基防护框架内
落实安全运营工作任务
关键信息基础设施的安全保护,根据网络安全风险与威胁,进行分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置,各环节之间紧密配合,建立关基防护框架。而安全运营框架,要按照关基防护框架,建立安全运营机制。
例如在安全监测方面,要识别各类资产信息,监测资产的状态变化,对新型风险和高级威胁进行持续监测预警。风险威胁检测,基于安全运营的技术能力和服务的结合,进行全面的安全漏洞发现、潜在威胁的挖掘、异常行为关联分析。安全防御维度,发挥安全运营协同防御的效果,层层防护和主动防御,并结合安全验证手段持续检测安全防御的有效性。
▲ 安全事件视角的运营主要活动
建立安全运营管理指标
提升关基安全工作质量
开展网络安全考核工作既是《条例》的明确规定,也是关键信息基础设施在常态化安全防护工作中落实网络安全责任,以安全结果为导向的重要体现。安全运营体系可根据安全总体目标进行指标化分解,为关基提供量化考核的标准,压实相关安全责任。根据考核评估结果,也有利于优化关基的安全保障体系和能力提升方案。
安全运营管理指标可以从战略规划、安全组织管理、人员安全管理、供应链安全管理、安全标准规范、资金投入等维度进行评价,引导进一步健全安全保障管理体系的建设,明确安全管理责任、强化安全意识,形成闭环管理。
安全运营管理指标也可以用于评估日常安全运营的效果。从信息资产管理、日常安全运维、安全监测、应急处置、安全检查、安全审计、业务连续性保障、安全协同等维度进行评价,强化提升风险预测、安全防御、安全监测、应急处置、安全恢复等能力的提升。
随着网络空间安全形势的日趋严峻和国家间网络对抗的加剧,针对关键信息基础设施的保护任务日益紧迫,安全运营经过多年理论研究和不断落地实践,也必将在关基保护的大背景下承担更重要的任务,发挥更强大的作用。
2022-10-21
2022-10-20
2022-10-19