10月11日,2021年國家網路安全宣傳週開幕式、網路安全技術高峰論壇在西安舉行。綠盟科技集團總裁胡忠華受邀出席開幕式,代表網路安全企業在網路安全技術高峰論壇上發表主題演講。胡忠華表示,關鍵資訊基礎設施安全正面臨場景變化、威脅升級、需求提高等挑戰。為更有效地落實關鍵資訊基礎設施安全保護制度,綠盟科技建議從資產、應用、資料、身份四個要素著手,結合“全場景、可信任、實戰化”三大安全原則,建立以安全運營為中心,針對關鍵資訊基礎設施的防護體系,實現網路安全主動防範。
綠盟科技集團總裁胡忠華
以下是演講全文,略作刪減
網路空間已成為“第五維”戰略空間,關鍵資訊基礎設施是核心樞紐,承載核心系統,提供核心服務。當前,關鍵資訊基礎設施正是網路駭客、APT組織、勒索病毒的重點攻擊目標。所以保護關鍵資訊基礎設施,就是保衛國計民生,就是捍衛網路國防。《關鍵資訊基礎設施安全保護條例》的頒佈實施,意義重大。這裡談談落實《關鍵資訊基礎設施安全保護條例》的思考和一些實踐。
(一)關基挑戰:場景複雜性與網路威脅持續存在
站在需求的角度,關基運營者從技術方面,主要面臨三方面的挑戰:
1、場景更加複雜。在全面數字化轉型的背景下,雲大物移等新技術大量應用,新技術領域和關鍵資訊基礎設施正在融合耦合,網路資產、工作場景大量增加,安全風險與日俱增。
2、威脅持續演進。網路攻擊愈演愈烈,造成的影響越來越大。2015年烏克蘭斷電事件和2019年委內瑞拉斷電事件攻擊者仍未溯源。2021年5月,美國東海岸科洛尼爾管道運輸公司遭受勒索軟體攻擊,嚴重影響17個州和首都華盛頓特區的燃油供應。
3、安全需求日益提高。在保證資料安全的同時,還需要增加業務系統的彈性韌性,實現關鍵資訊基礎設施高可用、抗毀傷,在受到攻擊時依然能夠提供基本的服務。
另外,關基運營者也面臨更嚴格的法規遵從。從2017年的《網路安全法》,到2021年的《資料安全法》《個人資訊保護法》《關鍵資訊基礎設施安全保護條例》都是必須遵從的法律法規要求。這是安全防護的基線,也是底線。
(二)應對方式:一箇中心、三項原則和四個要素
應對關鍵資訊基礎設施的各種挑戰,我們認為:應該以安全運營為中心,以“全場景,可信任,實戰化”為三個原則。透過體系化建設,實戰化運營,在資產、應用、資料、身份四個要素上開展安全建設,滿足關鍵資訊基礎設施安全保護法律法規要求。
1、關鍵資訊基礎設施安全保護應以安全運營為中心
關鍵資訊基礎設施的防護要以安全運營為中心。為什麼這麼說呢?我們要知道安全運營是做什麼的。安全運營由一個全天候輪班執行運營工作的團隊,以及一套專注於幫助運營團隊執行預測、防禦、檢測、評估並對威脅或事件進行響應的工具和運營管理流程組成。可以看出,安全運營的主要責任和關鍵資訊基礎設施安全保護要求是相對應的。
很多單位部署了安全產品,但是安全事件還是會出現。他們可能會問,到底安全運營有沒有效果?這就是安全運營的成熟度問題,安全運營需要從基礎運營到深度協同運營轉變,具體而言有三個方面:
1) 從單點防護到體系防禦的轉變:構建縱深、自適應的安全防禦體系,實現預警、防護、檢測、響應的閉環機制。
2) 從產品到“產品+服務+運營”的轉變:把安全產品有效地用起來,發揮其作用,需要產品、服務和運營之間相互配合。舉個例子,用掃描器發現了資產的漏洞,這是產品能力。有漏洞,該不該打補丁,需要應用和安全服務人員評估確認,這是服務能力。運營就需要把這些能力結合起來,並記錄備案。
3) 從本地運維到雲地協同的轉變:利用雲端計算等新技術,建立遠端的安全專家團隊和本地運維人員的協作機制,實現對網路攻擊行為和事件的協同分析、綜合研判和快速處置。
安全威脅總是在變化,安全本身是一個動態的、持續的過程,沒有任何產品能夠完全覆蓋並一勞永逸。成熟的安全運營,有著更多的場景覆蓋,藉助安全情報的輸入,利用大資料分析和人工智慧,能夠更快速、更準確地對內部業務畫像,對攻擊者畫像,瞭解攻擊意圖,掌握攻擊手法,溯源攻擊團伙,並做出快速響應。這方面,需要對系統長期的、細緻的、有效的運營,迭代最佳化。最終實現“體系化,智慧化,自動化”的安全運營中心,保護關鍵資訊基礎設施持續穩定執行。
2、全場景:技術領域交叉融合,安全防護需要整體覆蓋
和傳統IT系統相比,關鍵資訊基礎設施在技術領域和業務領域上交叉融合,深度耦合。新的技術領域,以成熟度劃分為以下三類:
1) 第一類是已經形成成熟應用的,如雲端計算、大資料、物聯網、移動網際網路等。針對第一類技術領域,目前已經有成熟的產品在提供安全檢測和防護。
2) 第二類是已經得到認可,即將開始大規模商用的,如5G、車聯網、工業網際網路、人工智慧等。針對第二類技術領域,目前正在進行產品化的工作。
3) 第三類是熱點方向,但離全面應用還有一段距離的,如區塊鏈、數字孿生、衛星網際網路等,目前主要是進行技術預研,形成技術儲備。
舉一個例子,電子政務是《關鍵資訊基礎設施安全保護條例》裡面明確的關鍵資訊基礎設施。電子政務向智慧政務、數字政務等演進,業務部署在政務雲上,用到了大資料系統,業務系統允許外部透過PC機和手機來訪問。智慧政務系統,整合了雲端計算、大資料、移動互聯、人工智慧等技術。因此,智慧政務關鍵資訊基礎設施的安全防護,需要考慮業務系統涉及到的各個場景,如網路安全、雲安全、大資料安全、應用安全、移動安全等,全場景覆蓋業務系統所涉及的各個技術領域,從而實現整體防護。
3、可信任:信任是安全的基礎,信任的前提是充分驗證
“信任”是安全的基礎。無論是公鑰基礎設施,可信計算,還是近期廣為關注的零信任,其目標都是建立起信任機制,作為整個安全防護體系的基礎。但信任不是盲目的,必須經過充分的驗證。涉及到關鍵資訊基礎設施,對信任物件的驗證要非常嚴格。
2020年12月,著名網路安全管理軟體供應商SolarWinds被駭客篡改了元件原始碼,新增了木馬程式,並伴隨軟體更新下發,導致包括美國交通、軍隊、政府等在內的18000多家政府企業客戶受到影響。究其原因就是過於信任供應商,沒有進行必要的二次驗證。
4、實戰化:網路安全的本質在對抗,對抗的本質在攻防兩端能力的較量
網路安全的本質在對抗,對抗的本質在攻防兩端能力較量。隨著攻防對抗的不斷升級,網路安全產品的既有策略會持續被攻擊者挑戰。這就需要關基運營者從實戰出發,構建知己知彼、應需而變的動態防禦體系,站在攻方視角關聯分析蛛絲馬跡發現對手所圖,利用蜜罐等欺騙式防禦手段偽裝成關鍵資訊節點迷惑對手,在保護業務系統的同時實現對攻擊者的追蹤溯源。
只有不斷提升自身的安全能力,方能在攻防對抗中立於不敗之地。這其中,從“知敵”到“禦敵”“溯敵”,比拼的是資料力+分析力,關鍵是體系力+應變力,核心是體系力+運營力。
5、四要素:關基安全運營的四個主要著手點
資產、應用、資料和身份,是關鍵資訊基礎設施的四個主要著手點,要做到底數清、流程清、策略清、許可權清。
1)在資產方面,要點是“底數清”,要做到摸清底數,定期評估,及時加固。
2)在應用方面,要點是“流程清”,要做到在業務系統開發階段就考慮安全需求,設計安全模型,實現安全功能;在業務系統上線之前,應充分應用程式碼審計、滲透測試等技術手段評估其安全性;在業務系統上線之後,要對系統進行持續的安全監測,及時發現執行過程中出現的安全事件。
3)在資料方面,要點是“策略清”,要做到資料分級分類,按重要性分策略保護;與外部單位透過落地方式交換雙方需求的資料,並對重要資料及時脫敏,在保證業務需求的前提下只提供必要的資料資訊。
4)在身份方面,要點是“許可權清”,要做到結合安全性和易用性進行多因素認證,給予使用者完成業務需求的最小許可權,並對全過程進行安全審計。
(三)實踐探索:可持續的關鍵資訊基礎設施安全運營
下面,我彙報一下綠盟科技的幾點探索實踐:
首先是運營模式方面。結合關基運營者的具體需求,綠盟科技提出了三種模式。一是企業運營:我們協助客戶建立企業運營中心,從威脅分析、脆弱性管理和應急響應等方面開展運營工作。二是行業運營:我們持續協助運營商、金融、交通、能源等行業的運營者,開展行業情報共享、網路監測預警、資料分類分級等方面的運營工作。三是城市運營:目前除北京總部外,已經在寧波、成都、廣州、瀋陽、長沙、南京、天津、鷹潭、上海九座城市開展關鍵資訊基礎設施安全運營中心建設工作,構建關基安全防護、安全人才聯合培養、安全產品服務研發三位一體的運營模式。
其次是技術平臺方面。去年,綠盟科技參與了某關基運營者的“安全中臺”建設。該客戶資訊化建設程度非常高,參與廠商眾多。但隨著業務發展,需要安全業務上雲並對外開放安全業務。安全業務建設過程中,發現安全能力由各廠商分別建設,資料很難整合,安全能力也比較分散。基於此,我們為客戶量身定製了一套安全中臺體系,梳理各廠商安全資料,整合底層安全能力,將資料與能力“框”在了一個系統下,並形成標準的對外介面。中臺建成後,上層由綠盟科技與其他廠商快速搭建了各類安全能力,針對雲、管、端、邊各類安全場景進行全場景覆蓋,實現底層資料及能力融合互通,安全建設效率得到大幅提升,安全運營能力快速增長。
第三是攻防演練方面。安全核心是對抗,要做到“以戰養兵,以賽練兵”。以綠盟科技為例,我們每年都會圍繞關鍵資訊基礎設施安全防護的典型場景進行內部技術大比武,實現以賽促學,以學促建,提升技術團隊的攻防能力和整體協同能力。
(四)總結與展望
做好關鍵資訊基礎設施的防護,需要構建監管者、運營者、能力提供者的良好生態。綠盟科技始終以安全運營為中心,落實“全場景、可信任、實戰化”的安全原則,從資產、應用、資料、身份四個要素著手,實現“全面防護、智慧分析、自動響應”的防護效果,為關鍵資訊基礎設施安全保駕護航。
綠盟科技成立二十一年以來,一直非常重視技術和研發的投入,基本保持整體營收的20%用在研發上,圍繞基礎研究、產品、解決方案、安全服務、安全運營,構建公司核心競爭力。在基礎研究方面,綠盟科技八大安全實驗室,持續關注新技術、新領域、新方向,確保公司技術領先。關鍵資訊基礎設施是國家網路安全戰略的核心,作為網路安全行業的一分子,綠盟科技將秉承“巨人背後的專家,保護客戶業務順暢執行”之使命,不斷探索、持續創新,為加強國家網路安全保障體系和能力建設作出更大貢獻。