邮发代号 2-786
征订热线:010-82341063
在关键信息基础设施安全保护工作中,网络安全厂商为关键信息基础设施运营单位提供产品和技术“弹药”,谋划安全体系建设,是关键信息基础设施安全保护的能力底座。多家网络安全厂商从其实践出发,围绕体系建设、人才培养、技术应用、产业共建等话题,提出了对进一步做好关键信息基础设施安全保护工作的思考和建议。
在《关键信息基础设施安全保护条例》(以下简称《条例》)实施一周年之际,在配合关基运营单位、行业保护单位和相关监管部门具体工作的实践上,笔者对关键信息基础设施安全保护工作提出以下几方面建议。
做好关键信息基础设施保护,一个重要的基础是要有合格的网络安全人才。人是安全的核心,所有制度的执行、防护技术的应用和日常的安全运营都需要符合要求的网安人才来执行。但实际上,一些关基运营单位编制稀缺,没有足够的人才梯队,只能一味依托外部力量,导致企业的安全能力无法与业务进行有效融合。同时,针对关基的保护涉及上下游产业链,关基保护不仅是网络安全专业人员的责任,更是每个关基运营单位和关联单位全体人员共同承担的义务,提升全员安全意识和网络安全素养势在必行。
虽然随着攻防演练等活动的常态化开展,各界对于网络安全的认知已经有了极为显著的提升,但一些单位依然存在制约关基保护工作的瓶颈。这个瓶颈来自对网络安全认知的不均衡不统一,进而在网络安全考核机制和保障制度上限制了关基保护工作的活力和生命力。例如,在一些单位内部,业务部门仍然认为网络安全规范要求可以“打折”“妥协”,视网络安全技术检测为“麻烦”,一些管理者对网络安全的考核思路依然是“不出事是本分,出了事要追责”,没有建立统一科学的网络安全观。导致网络安全预算和编制一卡再卡,但网络安全责任越来越重,人员不堪重负。对此,建议一是从考核机制上,不再简单粗暴的以“不出事”的负面指标进行评价,改为更全面的评价自身网络安全能力、网络安全健康状态和网络安全工作落实程度,鼓励各级部门主动发现风险,贡献可落地的好的做法和经验,创造良性的关保工作氛围。二是从资源保障上,落实各部门关基保护的责权匹配,给予必要的人员编制、组织架构和资金支持,与考核结果挂钩。三是从工作方法上,应强调网络安全与专业业务深度融合,让网络安全的内部管理制度能真正融合到业务环节,真正实现网络安全保护措施和关基系统承载业务的“同步规划,同步建设,同步使用”。
关基保护工作“重点多”“难点多”“盲点多”。重点多,关基保护必须从业务逻辑、数据使用、网络连接、权限交叉等多个维度进行综合评估,才能找出防护重点,很难依靠传统思维“一封了之,一堵了之”。重点多,是既要做好关键系统自身防护,更要做好与其他系统和网络结合部的管控。难点多,是关键信息基础设施承载着最核心的业务,必须兼顾关基系统的安全性、业务便捷性和数据的利用效率,需要进行科学而严谨的评估和取舍。盲点多,来自供应链的风险,来自内部的风险,来自安全服务人员的风险等都是大量盲点,机制上和运营上都普遍存在“灯下黑”的问题。
关基保护应当提前主动做好防范化解的全局统筹。一是从技术上加强覆盖关基系统全生命周期的安全检验检测。通过专业检验检测系统对关基系统进行“安全风洞”测试,提升系统总体安全水平。二是侧重强化重点人员管控。针对内部关键岗位人员、外部安全服务人员和供应商驻场人员等,建立安全操作和服务管控平台,把重点人员、重点行为、重要数据和关基系统用技术平台管控起来,避免通过“人”的环节引发风险。三是建立完善风险协同响应机制。大量真实案例表明,针对国家关键信息基础设施的攻击,通常采用迂回、潜伏策略,攻击者通过分支机构、供应链、产业链上下游薄弱环节切入,取得“内部可信”身份后,长期潜伏,伺机而动。所以针对关基的保护协同不仅要在纵向上贯穿监管单位、保护单位和运营单位,更要延伸到运营单位的分支末梢和外部供应商,横向上联通行业内兄弟单位,打通情报共享和应急联动模式,建立行业共同防御机制,主动将风险防范化解于爆发之前。
通过流量测绘技术,筑牢关键信息基础设施安全保护防线
文 | 杭州中电安科现代科技有限公司技术服务部总经理 郭占先
关键信息基础设施包含有能源、交通、水利、制造等领域,其中的重要工业控制系统一旦遭到破坏或丧失功能、数据泄露,都有可能严重危害国家安全、经济发展和社会稳定。因此,需要从工业控制系统网络安全角度出发,通过流量测绘等安全创新技术的支撑,保障工业生产控制系统稳定运行,提升关键信息基础设施的网络安全防护能力以及合规性要求。
流量测绘通过旁路部署、被动检测方式对工控网络中的流量进行采集、监测和分析,与黑、白名单、关键事件等策略智能匹配,确定每条报文归属类型,识别工控网络中的安全隐患、恶意攻击以及违规操作等安全风险。流量测绘可实时监测生产控制业务系统的关键网络流量,通过智能整合分析,及时发现识别可能危害生产控制系统的迹象并进行告警,防患于未然,实现生产网络环境的安全可知、可管、可控,全面提升关键信息基础设置安全防护能力。
流量测绘技术在多个场景都发挥着重要作用。工控资产动态识别与管理,通过流量测绘技术可实现工控网络内资产的自动识别和管理,当网络上出现一个新资产时,自动感知其存在,并基于资产指纹库自动识别该资产的详细信息,实现动态资产管理模式。工控网络通讯拓扑画像识别,通过流量测绘识别工控网络中所有通信链路,提供通信链路中的源/目的 IP、源/目的端口、通信协议、链路最早建立时间、链路最新通信时间、包吞吐量等信息,自动以通信行为拓扑图的形式直观展示工控网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,在拓扑图上提供异常展示与告警信息。工控行为分析管理,通过流量测绘采集工控网络环境中的所有网络行为(包含源、目的地址,源、目的端口,协议、时间、会话量等),经过对网络流量的深度解析、特征匹配,实现对关键事件的识别和告警,保证工控系统在正确配置下运行。工控网络安全可视化,通过流量测绘以直观的可视化界面提供全面、丰富的历史数据、实时数据、网络拓扑和智能分析结果,全面展现工控网络当前安全状况和未来一段时间的发展态势,为工控安全态势分析、监测预警和处置提供决策依据。工控网络智能监测及决策支持,通过对工控安全监测预警场景根据业务模型进行深度融合,结合机器学习技术,实现威胁准确定位,预警自动分发,将变被动监测为主动预警,辅助安全运维人员做出准确决策并快速解决安全问题,提高解决问题的时效性。
加强网络安全前置能力建设 提升关键信息基础设施保障水平
文 | 北京触点互动信息技术有限公司 CEO 毛俊
做好关键信息基础设施的安全保护工作,我国网络安全产业的能力建设是重要抓手。作为网络安全行业的前置工具,网络安全测试的重要性和安全风险还没有得到足够的重视。
网络安全测试工具对保障和提升网络安全产业的核心能力发挥着重要作用。从某种意义上来说,网络安全测试工具对于网络安全的价值类似于 EDA软件对于芯片制造行业的价值。
从产品生命周期角度来看,网络安全产品研发阶段、选型阶段、运维阶段都有不同的测试工具需求。例如,产品研发测试和选型测试,是在实验室通过仿真的方式模拟出真实网络中的网络流量和攻击行为,从而能够在产品上线前进行准确的定量测试以确定产品功能和性能指标,确保上线运营的稳定性。从技术适用范围特质划分,测试工具包括功能性测试、性能测试、安全性测试工具。包括验证协议的兼容性、协议识别准确度、网络攻击识别准确度、设备的最大吞吐量、最大新建连接速率、最大并发连接数、未知安全漏洞等指标。其他从具体的安全技术领域来划分,还包括网络安全技术的测试工具、数据安全技术的测试工具、信息安全技术的测试工具、密码类测试工具等。例如,网络安全测试工具主要侧重于验证被测设备对网络攻击行为的准确检出率、漏报率、误报率等指标。数据安全测试工具主要模拟敏感数据的传送过程,测试数据安全防护设备是否能准确检出异常和阻断。信息安全类测试工具主要面向政府监管层面的要求,在流量中模拟违法行为以测试信息安全监管设备是否能有效检出或阻断。从部署形态来划分,还包括面向边界网关防护设备的测试工具、面向云原生的安全产品的测试工具、面向主机的安全产品的测试工具等。
可以看出,由于测试工具的前置作用,测试工具的水平直接影响网络安全行业产品研发的水平。特别是对于大型网络安全产品,在研发阶段如果没有高水平的仿真测试工具来模拟复杂的真实网络环境,难以满足真实网络环境如运营商的安全能力要求。网络安全设备上线后,也需要通过测试工具进行监控以反馈其长期运行的质量,让系统上线后能够真正发挥其作用。
由于网络安全测试工具深度接入网络安全行业的不同产品生命周期和不同技术领域,网络安全测试工具厂商非常了解整个行业的水平和实际问题。当前主要的风险在于,国内网络安全行业的测试工具非常依赖美国的测试工具厂商。上述提到的不同类别的测试工具,大多都被国外厂商占据了主要市场。这显然存在着重大的安全隐患:我国网络安全行业的技术水平、体系架构、潜在问题等,都被测试工具厂商掌握,有可能存在泄露甚至被敌对势力所利用,例如针对产品漏洞制作攻击工具或有针对性地发起网络攻击。建议网络安全测试工具领域加快实现国产化替代,实现信息的安全隔离,从源头上保障我国网络安全产业的安全,才能做好关键信息基础设施的保护工作。
(本文刊登于《中国信息安全》杂志2022年第9期)
原文始发于微信公众号(中国信息安全):专题·关基保护 | 关键信息基础设施安全保护,来自网络安全厂商的视角(三)
评论