2020年新冠疫情爆發,每時每刻都牽動著眾人的心絃。以這次疫情為鏡鑑,應對突發公共衛生安全事件,如何建設網路空間安全的體系,同樣值得學習與思考。
應急響應:從公共衛生到網路空間安全
在此次疫情爆發期間,我們可以看到國家對公共衛生事件的整體應急響應制度在不斷完善。具體表現為:
· 網格管控,精細管理,化整為零,各個擊破;
·
重點區域(湖北)嚴密隔離,其他區域實時監控;
·
關口前移,嚴防死守,攘內安外,封堵並行;
·
總結經驗快速調整,科學為引完善體系。
網路空間的惡意軟體和生物領域的病毒概念,在某些特徵上具有高度的相似性。網路空間安全也需要汲取這次抗疫過程中的寶貴經驗,從思想、法律、流程、人員配備、物資工具等角度做好應對重大安全事件的充分準備。
網路空間安全體系建設的六大啟示
以這次疫情為鑑,延展到網路空間安全體系的能力建設,可以從預警、預防、監測、隔離、應急響應以及管理六方面進行考慮。
1、風險預警—基於多種類情報的風險研判
“早發現、早報告、早隔離、早治療”是此次疫情防控中的重要舉措。網路安全的應急工作需要風險預警,強大的情報能力則是網路安全預警與決策的關鍵支撐。
《中華人民共和國網路安全法》將“監測預警”明確列入法律條款,要求相關部門、機構建立監測預警、資訊通報等制度,積極做好網路安全事件的監測、研判、預警工作;做好應急工具、裝備器材、專業隊伍及應急資金儲備;做好應急預案的研究、制定、培訓、應急演練等工作,要使應急預案真正落地而不是“檔案”擺設。
每當相關方(業務合作物件、相似組織)發生了安全事件,都會讓大多陣列織感受到威脅近在眼前。成熟的安全團隊常常需要提醒組織,對於已知和未知威脅提前做好準備。一個組織是否能夠有效防範外來攻擊,不僅僅看其安防工具是否齊全、持續監控是否有力,它還要關注風險預警並且將其融入到防禦措施中,只有這樣才能更有效地防範和阻擋內、外部攻擊。
2、風險預防—新增多因素身份驗證的可信接入
“外防輸入、內防擴散”是疫情防控的重要策略,每一次進出小區,公共場所等都需要做相關的健康檢測,這些措施為阻止疫情蔓延發揮了重要作用。可以看出,這些措施與目前網路安全的零信任理念“Never trust,always verify”是一致的。
零信任,即在不可信網路中構建安全系統。
零信任最大的改變在於,將執行機制從單一的網路邊界轉移到每個目標系統和應用程式。其重點是驗證使用者的身份以及他們所使用的裝置,而不是基於某人是否從受信或不受信的網路中訪問企業資源。
零信任是理念和架構層面的創新。這包括使用成熟技術進行重新組合,重構人員、裝置、應用、流量之間的信任關係。在現有網路安全體系下,不需要對原有的物理邊界做很大的修改,也不需要大量添置新的物理裝置進行補充。只需要透過可信接入代理、可信API代理、策略控制服務三元件對原有物理邊界中的裝置進行重新的業務邏輯最佳化。
其中,可信接入代理、可信API代理、策略控制服務即通常所說的可信三元件,是零信任方案的核心與構建基礎。
可信接入代理、可信API代理和策略控制服務聯動,策略控制服務提供前兩者實時的訪問許可權判定、集中配置管理、會話管理等,並與認證服務和許可權管理服務聯動,是可信三元件的大腦。可信接入代理和可信API則是可信三元件的左膀右臂,前者主要實現應用的訪問控制及通道安全,如代理轉發、二次認證、單點登入登出、流量管控、流量加密等,後者主要實現API介面的訪問控制及通道安全,如訪問控制、API熔斷、流量管控等。三者配合,最終實現動態自適應、細粒度的身份認證和訪問控制。
3、動態監測—採用重點監控與基檢測相結合的態勢感知
此次疫情期間,武漢落實拉網式排查,做到“應收盡收”後,有效遏制住了疫情蔓延的態勢。在網路安全領域,網路安全事件的檢測同樣是抵禦網路攻擊的重要能力。UEBA等技術是近幾年網路安全領域的熱點技術,有效補充了網路安全威脅的檢測手段。
國家針對各個重點行業的關鍵資訊基礎設施進行重點監控,對普通網路安全狀況進行實時監控:
·
對安全威脅進行溯源分析和預測分析,將結果直觀展示,做到威脅可感、可見;
·
建設海量的特徵庫,持續更新;
·
對安全事件進行二次分析,評估事件的影響以及破壞程度。基於攻擊鏈安全行為分析,還原駭客入侵與攻擊的整個過程;
·
對於入侵事件可以進行精準溯源、分析取證。
4、微隔離—建立最小的邏輯單元與許可權策略
疫情防控期間各個社群都採取網格化隔離與管理,社群網格化管理的最大特點是把城市的街道和社群按照一定標準細化分成若干“格”,最小粒度以各個家庭為單位,以實現分塊管理,從而提高社群服務隔離與管理的精細化水平。
“微隔離”是一種能夠適應虛擬化部署環境,識別和管理雲平臺內部流量的技術。符合微隔離安全技術規範的產品,應在流量識別、業務關係拓撲、網路訪問控制和安全策略管理方面具有規範所要求的能力,並且要求在不更改虛擬化業務架構的情況下,對虛擬機器數量進行擴充套件時,微隔離產品應支援自動發現擴充套件的虛擬機器,並自動對其進行策略配置。
最小許可權原則:當使用者僅具有完成其工作所需的訪問許可權時,即便駭客竊取到這些員工的登入憑據,其能造成的傷害也是有限的。
當網路和應用程式基礎架構在邏輯和物理上劃分為非常小的部分時,由於從一個網段到另一個網段的傳輸都需要進行身份驗證,因此能對入侵者實施的訪問許可權進行一些嚴格的限制。
5、應急響應—構建“預防-主動”型的應急響應體系
自1月20日國務院確認此次新冠疫情為乙類傳染病,按甲類管理以來,從上到下,各地迅速啟動了突發公共衛生事件應急響應。這些響應措施都可以在《國家突發公共衛生事件應急預案》找到,因此,科學而詳實的預案在安全事件響應中也是非常重要的,可以在關鍵時間科學有效的配置資源。
在網路安全領域,做好網路安全事件應急處置是網路安全管理工作的底線。重大安全事件從發生到擴散時間相對較短,因此自動化且精準的執行相關預案是快速應對安全事件的關鍵。
可以從以下幾點,最佳化重大突發網路安全事件應急機制,構建“預防-主動”型的應急響應體系:
· 形成網信和公安部門牽頭,多部門協同的聯防聯控預警應急、監測和防控體系;
·
加強重大突發網路安全事件預案研究,面對重大網路安全事件時應及時組織專家研判,在“內部知情期”制定科學合理的防控預案;
·
形成關鍵基礎設施運營單位、科研院所與網路安全服務機構間資訊、資源共享的聯動機制,理順新發安全事件上報、確診和釋出的流程;
·
建立重大突發網路安全事件次生災害研判和應對體系。組織全國甚至全世界網路安全相關領域專家研究專門的最佳化措施,構建高效務實的次生災害應對體系。
6、加強管理—完善重大網路安全事件應急防控機制
網路安全事件的應急處置與疫情防控相似,同樣是在非常時期、特殊環境、特定條件下的非常行動,必須嚴格依法實施,整合各種社會資源,協調指揮各種社會力量,科學有序開展應急處置工作,把應對網路安全突發事件的代價降到最低限度。在對網路安全事件進行應急處置的同時,應總結經驗、吸取教訓,統籌考慮網路空間治理、綜合保障、資訊傳播、技術支撐、新技術研發、後續支援,兼顧區域性與整體、短期與長期,完善重大網路安全事件應急防控機制,進一步健全國家網路安全應急管理體系。
·
準確把握網路病毒、攻擊等安全事件擴散的特點,完善國家網路空間治理機制;
·
提升技術人員匹配和應急響應能力,完善網路安全防控綜合保障機制;
·
建立高效、公開、客觀的資訊渠道,完善網路安全事件上報機制;
·
充分運用最新技術及網路安全工具,完善網路安全防控技術支撐機制;
·
客觀評估網路事件造成的損失與風險,完善網路安全防控後恢復機制;
·
推進防控與研判相結合,完善網路安全防控技術研發機制。
結語
無論是網路安全還是疫情防控,是人、管理、技術的結合體,是體系化。網路安全也需要建立網路安全組織體系、縱深防禦體系、管理體系、運營體系、應急體系,用體系保障網路安全工作的順利開展。