信创安全 | 信创等保网络安全总体解决方案
点击 信创咨询 并设为星标⭐️ 及时获取最新资讯
编者按:根据信创等保网络安全保障体系总体框架,围绕信创等保业务应用系统的安全防护需要,在网络信任体系的基础上,整合网络通信、计算环境、区域边界和新技术应用(云安全、移动互联安全、大数据安全)的安全防护能力,形成信创工程网络安全立体纵深防御体系,同时通过安全管理中心提供支撑和统一调度。
编辑|信创咨询公众号(ID:XConsultancy)出品 | 安东工作室作者|奇安信 王伟力转载|请注明出处
01
总体解决方案基本概述
当今世界,新一轮科技革命和产业变革深入发展,国际力量对比加速调整,网络安全越来越成为影响国家政治安全、经济安全、文化安全、还有社会安全的重要因素。因此,科技自立自强就成为我们国家发展的重要支柱,创新也就成为我们国家现代化建设的核心力量,网络安全同样需要创新,更需要自立自强。
回首这近十年,可以说发生了多起网络安全重大事件,比如:斯洛登泄密事件、伊朗电网停电事件、美燃油管道关停事件、中兴、华为断供事件等,多种事件都“迫使”网络安全产业要快速发展。比如软件的供应链使不安全的网络产品和服务获得了更便捷的渗透机会,因此会对国家关键信息基础设施造成严重威胁,尤其是像系统后门会造成机密资料的泄露,网络间谍和网络破坏活动也会增多。
另一方面,随着数字化进程加快、新特征与新需求不断涌现,IT资源的效率、扩展性、可管理性都面临着越来越多的挑战。国产化环境下,为了提高资源利用率,更需要从改造和新建两个出发点考虑IT架构升级。而安全作为信息技术创新的最后一道防线,更要快速发展,跟上数字化发展的脚步。而我国大量政府、央企、金融、能源等行业底座过去长期大部分依赖进口设备,信息化设备的软、硬件系统被国外(尤其是欧美)垄断,存在芯片后门、网络漏洞及国外断供的风险,网络安全亟待加强。
在这一系列背景下,加强网络空间的安全保障体系和保障能力建设,可以说,已是维护国家安全和普通民众在网络空间切身利益的内在要求。
同时,随着数字经济的不断发展和深入,网络安全将直接影响到国家安全、经济安全和社会安全,当今国际形势愈加复杂,中美贸易战、科技战和金融战不断地,持续升级、美国在《国家网络战略》中提出“向前防御”这一概念,也就造成了,网络空间将成为“战场”的首选。APT、勒索、数据安全、内部威胁和不断涌现的新威胁,对我们国家的关基单位企业也必将带来更大的压力,因此未来将是“向前防御”建设基于信创等保网络安全体系的最佳时期。
01
开展信创等保建设的必要性
首先,长期以来我国的很多软硬件设施依赖海外,其中90%以上芯片、操作系统、应用软件……来源于欧美。政府、金融、能源、电信、交通等关键领域网络安全威胁巨大,存在断供、卡脖子风险。
其次,从国际局势俄乌战争看自主可控的重要性,美国科技巨头相继制裁俄罗斯,如Apple pay禁用,开源社区Github受限……影响IT供应链生态。
再次,等保2.0的变化使其法律地位得到确认,《网络安全法》规定“必须实行网络安全等级保护制度”,且保护对象拓展至云计算、移动互联、大数据、物联网、人工智能等,加速了各个行业对网络安全的重视程度。
最后,等保2.0强化了构建以可信计算技术为基础的核心技术体系,突出体系了“内生安全”这一重要思想,只有信息安全自主可控,才能维护国家安全,加速了国产化替代的进程。
02
采用自主生态体系的重要性
信创产业的核心是构建以CPU和操作系统为核心的安全自主先进的生态体系。与传统信息技术产业不同,信创产业更加强调生态体系的打造。在信创产业中,有一个比较形象的比喻,CPU是“心脏”,操作系统是“灵魂”,安全是“纽带”。信创整体解决方案的核心逻辑在于,形成以CPU和操作系统为核心的国产化生态体系,系统性的保证整个国产化体系的可生产、可用、可控和安全。目前,国家和企业正在开展基于CPU和操作系统的适配工作,核心技术生态已初步形成。
02
解决方案总体架构及说明
网络安全等级保护制度是国家网络安全的基石,是开展网络安全工作的基础,是网络基础设施、信息系统安全运行的重要保障,是应对网络攻击的有效措施,信创等保建设的总体安全策略就是落实国家网络安全政策文件要求和国家等级保护制度。
01
安全保障基础框架
安全保障体系基础框架以国标《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》中等级保护安全框架为原型,如图所示:
本框架首先明确保护对象,如网络基础设施、信息系统、大数据、云平台、移动互联网等;针对保护对象特点建立安全技术体系和安全管理体系,构建信创工程网络安全综合防御体系,同时依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全检测、通报预警、应急处置、态势感知、能力建设、监督检查、安全可控、队伍建设、教育培训和经费保障等工作。
02
信创等保安全总体设计架构
根据信创等保网络安全保障体系总体框架,围绕信创等保业务应用系统的安全防护需要,在网络信任体系的基础上,整合网络通信、计算环境、区域边界和新技术应用(云安全、移动互联安全、大数据安全)的安全防护能力,形成信创工程网络安全立体纵深防御体系,同时通过安全管理中心提供支撑和统一调度。信创工程网络安全技术设计架构如图:
通用安全技术包括:可信计算安全、通信网络安全、计算环境安全、区域边界安全等;
新技术安全包括:云平台安全、大数据安全、接入互联安全等;
业务应用系统安全包括:应用开发安全、上线安全检测、应用运行安全、应用下线安全等;
安全集成设施包括:认证管理、授权管理、责任认定、密钥/证书管理等;
安全管理中心包括:态势感知、策略控制、基线配置、资产管理、安全数据管理、集中监控管理、集中安全审计和可信管理等。
通过对安全系统体系的安全运营服务,来实现对业务整体动态的可持续性防护。
03
总体安全解决方案内容模块介绍
根据上述信创等保总体安全架构设计,本方案的详设部分将包括如下十部分内容:
可信计算底座安全设计与建设(待发布);
通信网络安全设计与建设(待发布);
区域边界安全设计与建设(待发布);
计算环境安全设计与建设(待发布);
云计算安全设计与建设(待发布);
大数据安全设计与建设(待发布);
移动接入互联安全设计与建设(待发布);
业务应用软件安全设计与建设(待发布);
零信任认证安全设计与建设(待发布);
安全管理中心设计与建设(待发布)。
由于篇幅有限,上述十大安全设计与建设内容的详细部分,将分多次为读者们展示,请大家持续关注。有需求也可与“奇安信科技集团”进行联系。
04
总体解决方案应用案例展示
4.1. PKS场景一:信创终端安全可信计算过程展示
4.2. PKS场景二:信创云平台安全可信计算过程展示
4.3. PKS场景三:金融信创设计方案示例
05
解决方案联系方式
奇安信解决方案中心 王伟力
Email:wangweili01@qianxin.com
END