安全419《关键信息基础设施安全》系列访谈——奇安信篇

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2022-06-30
安全419编辑部在2022年度推出了不同方向的网安选题,在这些选题中,相对而言《关键信息基础设施安全解决方案》是极为厚重的那一个,厚重源于安全解决方案所面向的关基单位是国家社会稳定和经济命脉运行的基石,任何相关安全事件的爆发都能产生更加巨大的危害影响。
 
安全419与产业内诸多优秀网安厂商建立了广泛的联系,也希望通过持续的调研访谈,挖掘优秀的安全解决方案。在本篇访谈,我们旨在梳理纷繁复杂的关基设施面临的安全威胁及刚性合规要求,分享不同解决方案的差异和优势,为运营者提升自身安全保障提供借鉴。

 
以下内容为安全419与奇安信网络安全专家黄凯展开的访谈对话整理而来,从中可以看出奇安信在关基设施安全一侧的系统能力。
 
关基设施安全不容缺失
 
“炫技式黑客攻击威胁已不复存在。”黄凯指出,以网络黑产、勒索组织为代表的黑客团伙已成为当前企业信息化建设在网络一侧的主要威胁,在关基设施当中,因为其重要性决定,也正在成为勒索组织的攻击目标。关键信息基础设施拥有最重要的一个指标,就是在安全的基础之上保证业务连续性,比如金融、能源行业,一旦遭遇勒索攻击造成业务停摆将直接影响国家安全。
 
威胁加剧不仅仅来自于真实的、广泛的攻击威胁,还必须考虑以下两方面因素,一是IT变革,即全面拥抱数字化;另外一个则是国家对抗在网络空间上的延伸。
 
在IT变革方面,黄凯指出,在信息化建设初期,所有的IT设施或服务均属于支撑工具,但在数字时代,其将作为国家发展的核心承载对象,数字时代的IT设施将不再仅仅是支撑工具,而是作为生产引擎。当所有实体都能用一种数字的形式来表达,来自网络空间、数字世界一侧的威胁也将成为一种必然。
 
在国家对抗方面,其实不仅仅体现在地缘政治这一方面,比如说俄乌冲突对双方关键信息基础设施所带来的网络安全威胁或是相关事件,更多的是全球化发展的国家利益冲突在网络空间上的延伸,而我国一直以来就是网络攻击的受害者。
 
黄凯认为关键信息基础设施来自于国家对抗方面的安全因素是“后疫情时代”的巨大挑战,疫情暴发以来,中国是全球范围内唯一实现经济正增长的主要经济体。与此同时,以奇安信观察到的针对我国的长期的网络攻击也在进一步加剧,其中针对于关键信息基础设施的安全保护已势在必行,不容缺失。
 
做好关基安全需做“精装修”
 
“国家已将关键信息基础设施的安全保护上升到法规层面,就是来自于其重要性的全面考量。”无论是网络安全法还是更为具体的关键信息基础设施安全保护条例,均要求对关基设施在等保的基础之上作重点保护,这都对关基单位提出了更高的要求。
 
显然,关基安全不仅仅包含合规义务层面,重点是“重点保护”四字,如何理解重点保护,这就要求在合规安全基础上,以业务发展为中心的,从实战角度出发的有效性网络安全建设。即面对关基设施安全,不仅要夯实地基,比如做好等保、密评等合规建设,更是要做到有效性为前提的“精装修”。
 
过去信息化建设大多采用“毛坯房”形式,想要住的时候才会想着‘装修’补救,现在无论是安全形势还是法规要求,都在向交付‘精装修’式的事前安全看齐。金融行业就是“精装修”式安全的典型代表,该行业在网络安全方面的投入要远远高于其它关基行业,其它行业要想达到“精装修”,除了要达到“三同步”要求,还需要从实践探索中不断摸索强化。
 
不过,你跟金融行业聊等保,他们不一定感兴趣,因为他们做的安全工作要高出等保几个量级。但是你跟工业企业聊数字孪生的安全问题,他们就一定会感兴趣。从这个角度上来看,谈关基安全,除了做到“精装修”,还要为关基企业基于业务进行量身定制,这也是关键信息基础设施安全解决方案所要解决的重点问题。
 
三维度落实奇安信关基安全解决方案
 
黄凯从三个维度组成的整体架构,对奇安信关键信息基础设施安全保护解决方案做出了系统梳理,分别是健全安全管理体系、完善安全防护体系、构建安全保障体系,在此过程中提升高级威胁检测能力、常态监测预警能力和攻击研判指挥能力。关基设施的多样性,以及关基安全的厚度决定了,安全产品应用怎么强调都不过分,但“精装修”也需要从实践中来,而有效性才是大的前提。
 
在管理方面,黄凯认为关基企业需要建立起领导体系和工作体系,并在该体系下完成内部的安全制度策略的制定和完善以及人才队伍的建设和相关培训是做好关基安全的前提,“人员按照相应制度流程去开展工作,结合技控和考核评价体系,才能真正做到关基安全的有效性。”
 
同样重要的是关基企业如何落实“三同步”要求,即“同步规划、同步建设、同步使用”,必须考虑规划之初,就能够跟关基企业的业务做一个很好的结合,但这部分工作仍然需要相关部门提供更好地开展相关工作的具体抓手。‍
 
在防护方面,则是安全解决方案当中安全产品的主要应用空间。应当深入实施网络安全等级保护制度,在此基础上开展国产密码应用改造,强化供应链安全管理和数据安全治理防护,并持续收敛暴露面。
 
收敛暴露面工作是关基防护的前提,对关基设施IT资产进行全面的摸底工作,关基单位体量普遍较大,分支机构的相关资产同样也易成为安全的薄弱环节。等保等相关工作则是关基安全的基础,在通信网络层面,根据网络结构和数据流向,合理进行边界整合和分区分域工作,完善边界防护策略,严格控制和审计不同防护级别的网络和系统的数据流,将安全策略做‍‍到精细化控制,这也是关基设施要重点保护在安全策略上的一种贯彻执行。
 
黄凯认为在关基安全上,主动防御能力是最不可或缺的重要一环。他说,针对关基开展攻击并不是那种广撒网方式,更多的是以APT攻击为代表的定向攻击。“这就要求一定要具备主动防护能力,能够去识别这种高级的威胁,这也要求解决方案能够提供基于流量检测的安全产品识别出APT攻击。”
 
还有两个点不能不谈,分别是供应链安全和数据安全。如果直指核心的话,关基单位要从供应链安全角度考量,建立供应商准入机制,并且要阶段性的检验供应链安全。
 
而数据安全则是国家未来的战略级安全,关基单位性质决定大多数数据都是核心敏感数据,这就要求除了要做好传统的数据安全防护工作之外,还要对数据治理、数据运营提供安全抓手和保障,而这些,自然都是奇安信在关键信息基础设施安全解决方案一侧的能力范围。
 
在保障维度方面,主要工作涉及开展安全检查风险评估、特殊时期的安全检查、攻防演练等活动的保障,以及应急预案、应急演练等相关工作同时针对发现的安全威胁和发生的安全事件,开展服务保障和运行支撑相关的工作,保证闭环管理。
 
黄凯表示,奇安信在安全保障方面的能力已经过实战化的考验磨炼,数月前刚刚完成北京冬奥和冬残奥的网络安全防护工作,这一过程提供了大量的保障工作,也是一次经验到实战,再从实战进一步获得经验的过程。而在应用到关基安全的保障工作当中,则可以为关基企业提供世界一流的保障能力。
 
具体的日常安全运营环节,如何从海量流量中捕获攻击,如何对攻击做出进一步的精准识别,如何阻止攻击者在内网中横向渗透,如何对海量告警信息提供研判并高效处置,奇安信的这些安全能力已全部可以被应用到关基设施的安全日常防护工作当中。
 
奇安信冬奥防护经验已落地关基行业
 
黄凯进一步向安全419介绍称,奇安信的冬奥“零事故”防护经验已在关基行业得到落地,在这次冬奥防护中,奇安信提出了四大创新,分别是中国模式、中国架构、中国产品、中国服务。

图为奇安信集团副总裁韩永刚分享冬奥网络安全“零事故”“中国方案”
 
在中国模式当中,方案拉通了“网络安全保障”与“网络空间对抗”的“双体系”, 形成了中央网信办统一指挥协调、三级网络安全态势感知联动。在笔者看来,该方案如复用到关基保护当中,也可以形成主管单位统一协调指挥的应急处置机制,从而高效、快速、最大范围调动各方资源保障关基安全。
 
在中国架构方面,奇安信在19年推出内生安全理念,随后对其进行完善推出了新一代企业网络安全框架,也叫内生安全框架。“整个冬奥的中国架构基于我们的内生安全框架构建,通过系统的安全规划为指引,‍‍去进行安全能力的叠加演进,而不是单纯的产品堆砌。”内生安全框架重点体现的是融合化、实战化,该框架也是基于有效性为前提的“三同步”建设的具体实践。
 
在中国产品方面,此次冬奥“零事故”方案完全做到了自主可控,奇安信共计部署了9大类55款800多台各种软硬件产品,并且在协同联动方面做足了功课,比如由NGSOC安全运营支撑平台、态势感知平台、重保研判平台支撑,能够第一时间发现各级威胁并处理威胁。
 
在产品侧涉及的会非常多,但具体到关基场景上,即“精装修”过程也需要循序渐进。黄凯重点向安全419介绍的是基于产品提供的流量解密能力,以及来自于“白泽”系统的研判能力。“奇安信新一代智慧防火墙提供了统一的标准的流量解密能力,后端产品无需二次解密,而‘白泽’系统提供了独特的攻击视角,从过去网络安全领域关注的事,上升到网络威胁主体的人, 针对主体的攻击手段、攻击频度、掌握基础设施数量等方面进行高效、精确、有序的研判分析,识别攻击者身份及意图,全面掌控既遂、未遂的安全事件。
 
在中国服务方面,奇安信为冬奥防护创新推出了“平战融合、可对抗、可持续运行”的安全运行体系一套可落地执行的制度标准,“平时”注重系统生命周期安全管控、网络安全风险管控、落实监督检查、开展应急演练及攻防演习、提升人员能力,为“战时”状态打好基础;“战时”则严格落实标准化要求,做好资配漏补、风险处置等服务,从而在多态环境上,提供标准的服务支撑。
 
服务标准化的优势是将人的影响降到最低,标准量化能力来自于奇安信大量场景上的实战化的攻防经验。据悉,奇安信未来将会部分解密这部分的标准量化经验。
 
“受到安全合规和真实需求双重驱动,奇安信冬奥防护经验已在关基单位得到了落地应用。”据黄凯介绍,关基单位可能不会完全照搬冬奥防御的全面措施,在具体的部署时,是安全能力拆解逐渐应用的过程,从而起到关基设施有效性重点保护。
 
尾声:关基安全需要一张规划图
 
关基本身安全的厚度也决定了解决方案的厚度,而针对这一问题,黄凯认为,关基单位需要结合自身业务情况,根据相关法规标准,制定相关规划,利用“规划图”来划分我们最应先开展的具体工作,并从中按轻重缓急开展具体部署,从而实现“重点保护”。
 
以上为此次我们对奇安信针对关键信息基础设施所能提供的安全能力进行的全面了解,希望能为相关单位做出针对性部署防护起到借鉴和帮助作用。同时,本选题还将持续更新,我们还将持续走进更多的网络安全企业,来观察他们针对不同行业、不同用户和不同环境以及技术能力之间的细节与区别,敬请持续关注。