北信源关保“战舰”平台,来了!
为何而来?
党中央、国务院高度重视关键信息基础设施安全保护工作,网络安全是总体国家安全观的重要组成部分,也是数字时代国家安全的战略基石。从世界范围来看,各个国家网络安全立法的核心就是保护关键基础设施或关键信息基础设施。继《网络安全法》颁布五年后的2021年8月17日,国务院第745号令公布《关键信息基础设施安全保护条例》(简称为关保条例),并于当年9月1日施行。今年5月1日,《关键信息基础设施安全保护要求》(GB/T 39204-2022)国家标准正式实施。作为我国首个关保国家标准,对关保落地实施有着重要的指导意义,可为关基保护工作部门、关基运营者、网络安全服务机构等开展关保工作提供指引和依据,加强“关基”安全保护,既是我国网络安全严峻形势的迫切需要,也是切实贯彻国家安全的必然要求。
与作为“安全保底”的等保要求相对刚性的防护思路来比,关保要求更像是“动态风控”的柔性防护思路,融入三化六防,并提供了一套风险管理方法论。由此可见,关保工作落地实施也不得不面临三大困难:一是关保责任大。用法令规定关保实行一把手负责制史无前例,与此同时还提出了设立“首席网络安全官”和“监督问责制”以及关键岗位人员背景审查和技能考核等。如何才能有效建立监督问责制、落实各级责任制和量化考评?二是关保要求高。与等保“关注过程”且为有限目标有所不同,关保是“关注结果”且为无限目标,坚决杜绝网络安全事故的发生(不可抗力的情况除外),对最终结果负责。如何才能有效驱动责任主体主动完善和落实网络安全工作?三是关保层面多。从保护要求来看,包括法律法规要求、等保基本要求和特殊安全要求、关保要求、密码应用要求、行业安全保护要求、运营者安全战略目标及关基安全环境要求等;从关保体系来看,包括管理、技术、运营和保障四大体系;从关保要求来看,包括分析识别、安全防护、检测评估、监测预警、主动防御和事件处置六大维度共计111条细则要求。如何才能实现“天”(政策 法规 标准)“地”(管理 技术 运营)有机联接,有效解决“三化”落地问题?这些都是摆在关基保护工作部门和运营者面前的现实难题,我们跨越理想与现实间的鸿沟,切实解决实际问题,在天地之间亟需一个顶天立地的抓手,成为关保落地之“脊梁”。
我是谁?从哪里来?到哪里去?
我的大名叫北信源关键信息基础设施风险治理平台(简称:关基风险治理平台),小名叫“战舰”又称“关保大脑”,被客户赞誉为关保的“参谋部”。
关基风险治理平台产品主要定位为链接关保法规政策标准和关保人防技防综合防御措施之间的关保管理平台,为我国重点行业领域关基风险治理而生。基于所有网络安全工作围绕“风险”发展和治理理念,针对全网资产存在的脆弱性和面临的威胁及风险进行动态风控,在事前、事中和事后确保最大限度降低风险指标。该平台核心功能主要包括关保能力分析、能力域分析、过程域分析、风险分析、责任过程域管理、资产过程域管理、脆弱性过程域管理、威胁过程域管理、风险过程域管理等,为关基保护工作部门和关基运营者提供关基安全治理决策及一体化运营管理保驾护航。没错,该平台既是关基运营者的“好帮手”,也是关基保护工作部门的“左膀右譬”。守卫好关基安全、打好关保持久战,怎能少了一个“战舰”呢?一个“战舰”=一个关基风险治理平台+四大支撑体系(能力&过程域)。“战舰”能够快速帮助关基单位落实关保政策要求,合规为先;并能够有效解决网络安全“实战化、体系化、常态化”三化落地的问题,实战为要;还能够打造专属安全生态中枢,好比AppStore应用商店一样,融入安全产品准入机制,构建可信可控的大安全体系。
一个关基风险治理平台
我们知道,关保要求及重点措施要求是结果导向而非过程要求。要想有效的防范外来安全威胁,减少安全事件,最大程度的降低安全事件带来的损失,就需要“防患于夫然”,那么实现关保目标的思路就是如何在安全事件发生的“前、中、后”如何有效降低信息资产损失。因为风险是未发生的安全事件,未产生的安全损失,所以关保理念中最核心的思路就是如何有效地治理风险,让所有的网络安全工作围绕“风险”的发现和治理展开。根据GB/T 20984信息安全风险评估方法中描述的内容所示,“风险=业务责任∑{资产x脆弱性x威胁}”,风险治理核心就转化为如何识别关键业务相关的所有资产,对所有资产存在的脆弱性和面临的威胁进行动态评估,并在“事前、事中、事后”最大限度的降低风险指标,这就是风险治理。
维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。由风险治理为出发点,通过关基风险治理平台切实贯彻落实关保条例、国标关保要求以及关保重点措施要求,结合关保“实战引领、服务为先、业务融合”的特点,为重点行业客户构建“关键信息基础设施安全保护风险治理框架”,核心理念就是围绕降低安全风险之持续夯实四大支撑体系并有序构筑六大安全能力。
关基风险治理平台核心引擎之能力评估模型与评分标准均来源于国家标准的关保要求,并对各项具体要求进行实战化分析、智能编译和聚类建模。
关基风险治理平台的设计核心思想是将所有的网络安全工作围绕“风险”的发现和治理展开,并由一大核心、四大支撑体系和六大能力体系共同构成。一大核心是指所有的安全举措(风险评估和治理等)都围绕着“风险”这个核心定量指标进行。“风险”通过分解成为“责任-资产-脆弱性-威胁”四个步骤,将相关的人、物和事串联在一起,将安全措施贯彻在完整的体系中,再通过风险值的改变反映出来。风险计算的四大步骤与四大支撑体系相关联,最终自动计算“风险”、提出“风险”治理建议且提供治理手段。风险的评估和治理以“风险治理平台”为依托,循序渐进运用四大支撑体系,最终构建关基六大安全能力,实现风险的实际降低和安全损失有效缩小。
关基风险治理平台遵循的设计原则一是单一性原则。平台各个模块设计实现模块高内聚、职责单一,模块之间松耦合,减少模块之间的依赖性;二是安全性原则。系统架构设计依照关保要求及结合等级保护2.0的要求,对身份认证、数据传输、数据完整性、接口调用等安全性进行核查;三是扩展性原则。系统设计时采用微服务架构,当系统运行的主机资源达到瓶颈时可同时支持垂直扩展和水平扩展;四是健壮性原则。系统采用分布式架构自带容错机制,某一台节点故障不影响平台整体功能运行。数据采用冗余备份机制,系统组件节点恢复时,自动进行数据同步。
关基风险治理平台的三层内生结构主要由挂图作战可视化、制度与责任、业务与资产、脆弱性与防护、开放接口模块及管理维护与审计六大模块组件构成。其中,数据采集层接受外部支撑设备提交的资产、脆弱性和威胁信息,结合责任主体划分,提交给数据分析层的处理引擎进行算法模型计算分析;数据分析层采用大数据分析引擎根据采集层所提交的数据实时对风险进行计算评分和分析,并将分析结果提交给数据展示层;数据展示层根据分析层计算结果完成整个网络空间风险的量化分析展示,包括总体风险水平,各责任主体风险对比排行,各责任主体防护水平排行,风险的数据分析及安全建议,安全改进方式建议及改进预测等。
关基风险治理平台的核心逻辑主要是数据分析层数据处理引擎根据数据采集层获得的数据以算法的方式实现,并在数据展示层以报表等形式展现。平台除了自身的三层架构以外,还考虑获得风险评估所必须的原始数据分析上报设备。我们将这类外部设备作为大数据平台的一部分,称为“探针层”(数据源)。探针设备是为了辅助风险治理平台自动完成风险评分的必要设备,分为提供责任主体信息、资产自动发现和识别、资产脆弱性评估和威胁监测数据四个类型。常用大数据探针设备有资产发现探针、漏洞扫描器和威胁流量探针等。
接下来,让我们一起来看看关基风险治理平台都有哪些功能呢?
关基风险治理平台的主要功能之一挂图作战。作为关基安全保护监控指挥中心,平台能够自动绘制关基风险全景地图,关保能力域分析、过程域分析、风险分析及网络安全业务实现挂图作战。具体包括如下:
一是业务链风险图谱。在面临网络空间安全“实战化、体系化、常态化”对抗的背景下,当前关保普遍存在业务资产不清晰、安全运营效率低下等共性问题。夯实资产、风险、能力基础体系,为一体化分析提供可信基础数据,支撑战略决策,确保“资产清晰化、风险动态化、能力生态化”,满足“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的安全保障需求,实现一体化安全管理运营与指挥协同挂图作战。
二是安全能力图谱。主要是用来分析关保所需的能力是否具备。这些能力的认定,主要来自关基风险治理平台的相关设置是否完成。以百分比图方式展示六大能力(分析识别、安全防护、检测评估、监测预警、主动防御和事件处置能力)的实现比例(六大能力形成一个闭环),具备所有关键业务的能力排行榜,包括但不仅限于关键业务安全能力的进步排行榜、能力评分分析展示等。
三是APT攻击预警地图。APT攻击主要目标对象不是个人,而是特定组织机构,尤其交通、能源、电信等重要领域正面临严峻的被攻击风险,第三方研究报告显示,在安全威胁中占比仅25%左右的新型攻击,导致了80%以上的安全事故。通过平台探针对网络流量深度分析,进而实现APT新型网络攻击检测和响应,地图中展示APT实时攻击态势和具体事件。
关基风险治理平台的主要功能之二责任过程域管理。安全管理制度和责任划分是关基保护工作中重要组成部分,呈现关保相关的安全制度体系和组织结构。在安全制度体系的内部,将人员组织结构、责任和考核方法、防护要求、培训要求等其他相关模块的配置以填空方式内置在制度体系里面,形成一个跟关键信息基础设施具体情况相结合的制度和人员体系。安全管理制度以安全保护目标和计划为指引,以风险管理制度为核心,包含网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度(安全措施同步规划、同步建设和同步使用)、供应链安全制度、“挂图作战”常态化工作机制等。
关基风险治理平台的主要功能之三资产过程域管理。主要是以“业务”为起始点展开“资产”,并且建立“业务-资产”之间的关系。包括业务链综合分析、业务识别、资产台帐及重大变更等。完整性、保密性和可用性是评价资产的三个安全属性,风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。其中,对组织中的资产(业务)进行识别,在一个组织中,资产有多种表现形式,同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。
关基风险治理平台的主要功能之四脆弱性过程域管理。包括脆弱性分析、脆弱性检查、安全建设管理、安全运维管理、安全管理中心、安全网络边界、安全通信网络、安全计算环境、数据安全防护等。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,严重的威胁也不会导致安全事件发生并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害;资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。
脆弱性识别是风险评估与治理中最重要的一个环节。脆弱性识别是以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,需从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络互联等考虑在内。
脆弱性识别时的数据主要来自资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。
关基风险治理平台的主要功能之五威胁过程域管理。包括应急指挥地图、威胁分析、威胁攻击发现、安全事件、事件处理和恢复、长效改进、事件报告等。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述,造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种;环境因素包括自然界不可抗的因素和其它物理因素;威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害,也可能是偶发的或蓄意的事件。
应急响应保障措施是信息安全应急响应计划的重要组成部分,是保证信息安全事件发生后能够快速有效地实施应急响应计划的关键要素。应急启动具体操作遵循的启动原则就是快速、有序;启动依据则是,对于导致业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件应立即启动应急。但由于组织规模、构成、性质等的不同,不同组织对突发/重大信息安全事件的定义可能不一样。因此,各组织的应急启动条件可能各不相同。启动条件可以基于以下方面考虑:人员的安全/设施损失的程度;系统损失的程度(如物理的、运作的或成本的);系统对于组织使命的影响程度;预期的中断持续时间等。只有当损害评估的结果显示一个或多个启动条件被满足时,应急响应计划才应被启动;启动方法是由应急响应领导小组发布应急响应启动令。启动应急响应计划后,应立即采取相关措施抑制信息安全事件影响,避免造成更大损失。在确定有效控制了信息安全事件影响后,开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。
关基风险治理平台的主要功能之六开放接口管理。该平台主要接口包括资产上报接口、流量采集接口、即时通信接口、应急指挥接口、SNMP查询接口等。风险治理平台支持支撑设备对接,对于所有提供日志信息的常见设备,需要采用标准互联接口才能对接。一般情况下,上报时完成一次带认证的握手,方能接收对方的数据,并在本地所有的对接接口上可以支持配置的认证钥匙,实现安全准入认证。
值得一提的是,随着互联网的技术发展,尤其是关键信息基础设施、重要基础网络节点的攻击不断增多,技术手段和水平不断提升。网络攻击呈现出种类众多、技术升级快、攻击范围广等特点。需要应对网络攻击所需要的处置方式、技术资源也各不相同。需要协调和协同相关多方机构共同参与处置,整合各方的技术专家和资源。从而加快网络安全事件的整体处置速度、广度,提高快速处置的能力,最大限度地减少网络安全突发事件造成的危害和损失。因此,该平台还具备对接能够协同、协调上述不同部门和资源,覆盖各级网络安全主管部门、重点网络和网站运管人、专业网络安全服务厂商、专业安全专家等的“网络安全应急协调指挥系统”,从而实现网络安全信息的收集、研判、预警、处置、反馈一体化协调联动。以即时沟通、在线群组沟通、线上线下音视频会议、信息共享等为基础,提高关基节点的网络安全防护水平和安全事件处置反馈速度。针对关基安全运营,通过对接应急指挥平台后,可以联动解决的主要问题包括但不仅限于一是实现上级下发网络安全事件通报;二是针对发现网络安全攻击事件立即组织力量进行紧急处置;三是在重大活动和节假日期间进行日常巡检;四是在HW行动期间,可快速协同多组织体系执行HW专项任务。
四大支撑体系(过程域)
关基风险治理平台之4+1支撑体系的能力要素解析转换为五个“过程域”,分别为“责任过程域”、“资产过程域”、“脆弱性过程域”、“威胁过程域”和“风险过程域”。责任过程域主要涵盖组织机构、人员要求和制度要求等跟组织工作相关的安全管理执行过程;资产过程域主要涵盖终端、服务器、应用系统、软件、数据和设备相关的安全管理执行过程;脆弱性过程域主要涵盖安全体系建设、运行维护和安全监测等削弱资产安全脆弱性的管理执行过程;威胁过程域主要涵盖威胁监测预警、攻防对抗和安全事件处置等安全管理执行过程;风险过程域主要涵盖对总体风险点的管理。这五大过程域有机结合起来就形成了关保所需的六大核心能力,包括分析识别能力、安全防护能力、检测评估能力、监测预警能力、主动防御能力和事件处置能力。因此,关基保护工作部门和运营者只需运用关基风险治理平台,就可以将日常关保执行过程标准化和系统化,在执行的过程中逐步培养和提高六大能力,从而实现关基风险治理的核心目标。
关基风险治理平台与态势感知平台有何区别?
关基风险治理平台面向关基安全保护及构建网络安全综合防御体系而量身设计,高度遵循政策法规与标准以及相关要求的合规性,相较于传统态势感知平台,其核心内涵主要体现如下:
一是关基风险治理平台是将关键业务责任作为整个风险治理体系的“根”。
关键信息基础设施有其区别于信息系统的独有特点,因此关键信息基础设施的安全防护也需要围绕关键信息基础设施的特点来开展。套用传统IT和互联网思维,采用类似的安全技术产品和方案,改头换面就想解决关键信息基础设施网络安全问题已经被十年的关基安全实践证明是事倍功半、无法解决关基安全根本问题的。因此,我们用哲学的、辩证的思维,即具体问题具体分析的方式,运用关基思维分析,抓住关键信息基础设施的特点,认清关基安全本质,有针对性的开展关基安全防护工作,才能解决关基安全的根本问题。在风险治理平台中,以上思想体现为所有的风险以厘清关键业务和相关业务责任为首要任务。业务相关的有两个重要属性,一个就是以责任人为代表的人员属性;一个是相关的资产属性。只有把业务作为安全风险的“根”才能够不脱离保障关键业务的本质;只有明确了责任人,才能够实现持续改进。
二是关基风险治理平台将“事件、检查驱动”的被动防御改为“业务风险”驱动的“主动防御,化解“常态化”落地面临的问题。
改变事件驱动,检查驱动,达到常态化的核心阻碍在于:一是责任与业务脱节,安全部门想要提升安全水平,但是无法驱动业务部门;二是责任人不明确,无法落实“谁主管谁负责、谁运营谁负责”;三是改进进度无法量化,不知道在不出问题的情况下应该改进什么,改进多少。在关保风险治理体系下,首先树立核心业务和业务负责人,再将相关资产归拢在核心业务之下。这样责任跟随资产,自然的归属在业务负责人和团队,也能够解决业务和安全的冲突问题;而所有的改进都把降低风险量作为改进的方向和尺度。这样也解决了非安全技术人员无法对安全改进定量掌控的问题。
三是传统态势感知平台隶属于关基风险治理平台的分支选配节点之一。
从目标客群、应用场景、市场定位、产品功能及价值取向等多维度来看,两者不属于同类产品,且不具有横向可比性,更多则是协同联动关系、各司其职。
关基风险治理平台有何特点?
关基风险治理平台的优势特点主要体现在,一是敏捷搭建大数据平台,可助力客户完成等保关保风险评估;二是全面开放接入安全设备,可构建完善的风险治理体系;三是依据平台风险评估数据,科学规划等保关保建设内容;四是适时对比建设前后期数据,定量评估安全建设效果;五是平台化全网风险实时监控,保障等保关保工作持续优化改进。那么,我们用八个关键词来总结一下就是风险治理可视化、安全能力可量化、评价考核常态化、应急指挥闭环化、资产管理自动化、威胁检测实战化、制度落地系统化和安全建设集约化。
关基风险治理平台的价值何在?
关基风险治理平台对于关基运营者和保护工作部门而言,其收益主要表现为一是全网资产风险一目了然。在完成网络空间资产风险治理体系后,最直接的体现是网络空间安全风险会直观数据化,与风险相关的资产、脆弱性和威胁等相关信息及其变化也一目了然;二是凸显资产安全问题,应用该平台之后,不仅明确并加强资产的重要性,而且可以通过调整在整个责任KPI评分权重参数来加强重要资产的安全关注水平;三是进一步落地安全体系化。即将安全措施的实施获得的收益体现为风险量化评分的降低,通过该平台对于各个环节的风险最小化获得整个体系安全水平的提升;四是有效解决被动安全意识问题。采用大数据平台驱动安全后,安全KPI量化责任的方法和评比的手段会驱动责任主体主动完善和落实网络空间安全工作,进一步增强主动求变意识。除此之外,该平台同样适用于对网络安全综合防护要求高但并不属于关基范畴的泛行业用户。
@
下期精彩 敬请期待!
关注北信源“视频号”,一览更多精彩↓↓↓
●信源密信“保护工作秘密”成下半年工作重点 北信源召开年中经管会深耕广拓
●2023全球数字经济大会 | 北信源入选“全国企业数字化转型与赋能优秀案例”,参与“高端对话”以AI技术共探数字化转型破局之道
●再次霸榜!安全牛《网络安全行业全景图》 北信源58项安全类目入编
官方客服电话:400-818-8110
点击【阅读原文】了解更多……