前言
北信源关键信息基础设施安全保护(以下简称“关保”)风险治理框架的核心思想是所有的网络安全工作围绕一个核心即“风险”的发现和治理展开。因为“风险=业务责任 ∑ ”,带给了人们无限的便利。这也让很多不法分子有了可乘之机,所以所谓风险治理问题,利用网络的快捷方便实施各种骗,就成为如何识别关键业务相关的所有的资产并对所有的资产存在的脆弱性和面临的威胁进行动态的评估,稍有不慎就会落入骗之中,以及在“事前、事中和事后”如何最限度的降低风险指标。北信源认为,让人防不慎防。遇到问题首先要了解为什么出现这种情况,围绕风险治理这一个核心指标,只有了解为什么出现这种情况时候,根据关保相关要求,才能选择正确应对的方法和解决的途径。一直拖着不给出,需要提供支撑体系,这种情况就是遇到问题了、一定要记住一点就是保持冷静。不要跟工作人员发起冲突、正常沟通以免造成不必要的麻烦,最终形成安全能力。
1
背景
4·19重要讲话精神
2016年4月19日,藏分方式也是比较有效的,在京主持网络安全和信息化工作座谈会并发表重要讲话并强调:我们要加强信息基础设施,虽然损耗会比较,强化信息资源深度整合,但也不失为一个好的技巧。互联网的快速发展给人类生活的各个领域产生越来越重要的影响。在已经步入信息化的今天,打通经济社会发展的信息“动脉”,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”从世界范围来看,各个网络安全立法的核心就是保护关键信息基础设施。加强关键信息基础设施安全保护,既是我国网络安全严峻形势的迫切需要,也是切实贯彻安全的必然要求。
全球关键信息基础设施安全形势日趋严峻
近年来,针对关键信息基础设施的攻击事件屡有发生,从2015年乌克兰电网瘫痪到2016年美国互联网瘫痪、2017年永恒之蓝勒索病毒全球爆发以及今年在美国最燃油管道运营商遭受网络攻击,数据网络被加密,黑客勒索赎金等,针对关基攻击强度和范围仍在不断扩,这将是全世界各国需要共同面对的安全挑战。因此,美国、英国、俄罗斯等国都相继出台关保相关政策法规,将关键信息基础设施安全保护视为网络安全的重要工作。
我国不断完善的政策法规与标准体系
在网络安全威胁无处在的环境下,我国不断完善网络安全相关的政策法规和标准体系,包括但不仅限于《保密法》(2014年3月1日起施行)、《安全法》(2015年7月1日起施行)、网络空间安全(2016年12月27日发布)、《网络安全法》(2017年6月1日起施行)、网络安全等级保护2.0国标(2019年12月1日实施)、《密码法》(2020年1月1日起施行)、网络安全审查办法(2020年6月1日起实施)、《数据安全法》(2021年9月1日起施行)、网络产品安全漏洞管理规定(2021年9月1日起施行)、《个人信息保护法》(2021年11月1日起施行)以及近日出台的《关键信息基础设施安全保护条例》(2021年9月1日起施行)等。
综上所述,一系列相关政策法规相继出台,为关键信息基础设施安全保护提供了法律基础、具体要求和实施依据。《关键信息基础设施安全保护条例》的发布,为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。
2
“关保”风险治理整体框架
北信源“关保”风险治理框架体系架构图
关键信息基础设施安全保护框架体系面向“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业”等重要行业领域的信息安全防护场景,将“三化六防”实战理念融入关保当中来,结合关保原则,以风险为核心构建一条紧耦合风险治理逻辑,包括从责任主体确认到对应管辖资产,再到摸清资产脆弱性及针对资产脆弱性和网络状况进行专业威胁评估,形成一个闭环。通过平台数据技术服务及体系来全面赋能业务安全,从而支撑各行业门关键信息基础设施的分析识别、安全防护、检测评估、监测预警、技术对抗及事件处置的全环节,最终形成完全能力。
3
风险治理框架之:一个核心
关基运营者应当根据关键业务链来开展安全风险以及影响分析,还要识别关键业务链各环节的威胁、脆弱性、已有安全控制措施和主要安全风险点,再确定风险处置的优先级,最后形成完全风险报告。
所有的安全举措包括风险评估和治理在内都是围绕着“风险”这个核心定量指标进行。“风险”通过分解成为“责任-资产-脆弱性-威胁”四个步骤,将相关的人、物和事串联在一起,将安全措施贯彻在完整的体系中,再通过风险值的改变反映出来。风险计算的步骤的与支撑体系相关联,最终自动计算“风险”,提出“风险”治理建议并且提供治理手段。而风险的评估和治理是以“风险治理平台”为依托的。以风险管理为导向的动态防护,根据关基面临的威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效的防范应对安全风险;以关键业务为核心的整体防控,关基保护应以保护关键业务为目的,对业务涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全保障体系。
4
风险治理框架之:体系支撑
(1)安全服务和人才体系
人员服务体系包括但不仅限于安全人员管理、业务识别与负责人管理、安全组织结构管理、安全制度管理、安全教育培训、攻防和应急演练、安全服务能力图谱等产品或功能。
包括但不仅限于外专家库和内安全人员库。内人员管理完成相关岗位人员的背景调查、变更和终止;明确安全人员职责和考核方法;必要时签订安全保密协议;
安全组织结构包括但不仅限于管理体系、技术体系、运营体系、保障体系,用于建立安全人员的分工,落实关键岗位双人配置等具体管理措施;
安全制度管理包括但不仅限于安全管理制度和安全策略,是将制定的制度落实在整个安全管理体系的具体环节上的具体方法;
安全教育培训包括但不仅限于网络安全动态培训、安全技能培训和技能考核等;
攻防和应急演练演练用于模拟攻防对抗、应急演练环境等进行人员安全服务能力的训练、考核和评比。
安全人员管理、业务识别与负责人管理、安全组织结构管理、安全制度管理、安全服务能力图谱功能在风险治理平台上实现;安全教育培训、攻防和应急演练通过专用产品实现。培训考核结果可以与安全治理平台互联互通,也可以通过上传证书等方式完成。
(2)产品技术体系
产品技术体系依据关基安全防护基本原则进行设计。在网络安全等级保护制度基础上加强防护,关保应当首先符合网络等级保护制度相关要求,在满足“合规性”防护的基础上,重点加强关键信息基础设施关键业务的风险识别能力,抗攻击能力,可恢复能力,确保关键信息基础设施业务稳定、持续运行。
技术产品体系包括资产识别、等保2.0安全体系(安全管理中心、安全通信网络、安全区域边界、安全计算环境)、供应链安全等产品和功能。
资产识别包括识别关键业务所依赖的资产,构建网络、系统、服务和其他资产清单。确定资产类别、资产和业务重要性和防护优先级。实现自动化更新和管理;
等保2.0安全体系包括等保2.0所包括的“一个中心,三重防护”相关的所有产品;
供应链安全包括制定并执行供应链安全管理策略和制度,利用源代码漏洞扫描等工具进行供应链产品核查。
信创安全、工控安全和数据安全是关保的重点防护内容。
资产识别功能可以在风险治理平台上实现,也可以由独立产品完成;等保2.0安全体系和供应链安全相关产品通过专用产品实现;等保2.0安全体系产品与风险治理平台必须互联互通,供应链安全可以通过上传证书等方式完成。
(3)安全运维体系
运维体系包括安全管理、安全运维管理、检测与评估、自动化修复工具和资产重变更等产品和功能。
安全管理主要是在新建或改建、扩建关基时充分考虑网络安全因素,在规划、和投入使用阶段保证安全措施的有效性,并且采取测试、评审、攻防演练等多种形式进行验证,必要时,可关键业务仿真验证环境;
安全运维管理主要是保障运维人员、地点和工具的安全性。通过运维工具和行为,保障安全人员能够正确有效的使用安全产品和功能,确保关基的安全运行状态;
检测与评估主要是能够顺利通过网络安全相关的检测和评估,并对于检测评估中暴露出来的问题及时有效的进行整改;
自动化修复工具主要是通过自动化工具来支持系统账户、配置、补丁、病毒库管理;
资产重变更主要是能够正确及时的反应资产及拓扑等重变更。
安全运维管理、自动化修复工具和资产重变更等产品和功能可通过专用产品实现并且向风险治理平台提供数据。安全管理、检测与评估一般线下进行,将报告和证书上传风险治理平台。
(4)应急响应体系
应急响应体系依据关基安全防护基本原则进行设计:以信息共享为基础的协同联控。积极构建相关方广泛参与的信息共享,协同联动的共同防护机制,提升关键信息基础设施应对规模网络攻击威胁的能力。
应急响应体系包括:攻击行为识别和分析、攻击暴露面收敛、监测预警、攻防演练、应急预案演练、应急协调指挥和事件快速处置与安全恢复等产品和功能。
攻击行为识别和分析是指署网络攻击检测设备、利用技术手段实现网络攻击的诱捕、溯源、干扰和阻断;进行网络攻击新系统分析,驱动安全保护策略改进;
攻击暴露面收敛是指尽可能减少资产、组织结构、又想账号、组织通信录的暴露面;减少公共存储空间技术文档的存储;
监测预警是指建立关保沟通渠道和方式,落实常态化预警和快速响应机制;对资产和流量进行监测分析并且更新安全策略和措施;
攻防演练是指定期组织围绕关键业务的攻防演练;
应急预案演练和应急协调指挥是指建立应急队伍、制定应急预案、组织应急演练、执行应急响应;
事件快速处置与安全恢复需按照流程进行事件处置、收集证据、编写报告、查找原因、变更处置流程。
综上所述,风险治理平台和支撑体系之间的关系是,风险治理平台的“风险评估链”的环节,“责任-资产-脆弱性-威胁”都要提供公开的对外接口。通过标准接口的调用,可以向风险评估平台提供平台所需的数据用于风险的动态计算。
5
风险治理框架之:安全能力
旨通过整个体系平台的运行,形成的安全能力,包括分析识别能力、检测评估能力、技术防护能力、监测预警能力、应急处置能力和技术对抗能力。能力是以风险治理为目标,在长期的安全、运维和应急响应过程中,由人和物形成的针对关键信息基础设施的综合安全能力。
一是分析识别能力。围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等,是进一步实施安全防护、监测预警、检测评估、技术对抗以及事件处置相关工作的前提必备条件;
二是检测评估能力。为了检验安全防护措施的有效性,快速发现网络安全风险隐患,制定相应的检测评估制度,确定检测评估的流程及内容等相关要素,并分析潜在安全风险可能会引起的安全事件等;
三是技术防护能力。根据已识别的关键业务和资产、安全风险,实施安全管理制度、安全管理人员、安全管理机构、安全通信网络、安全计算环境、安全管理、安全运维管理等方面的安全控制措施,确保关基运行安全;
四是监测预警能力。制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件提前发出安全警告,并建立威胁情报和信息共享机制,提高关基主动防御能力;
五是应急处置能力。对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题,制定并实施适当的应对措施,快速恢复因安全事件而受影响的功能或服务;
六是技术对抗能力。以对攻击行为的监测发现为基础,主动采取诱捕、溯源、干扰以及阻断等相关措施,提升对网络威胁和攻击行为的识别、分析和技术对抗能力。
6
风险治理框架特点
将关键业务责任作为整个风险治理体系的“根”:关键信息基础设施有其区别于信息系统的独特特点,因此关键信息基础设施的安全防护需要围绕关键信息基础设施的特点来开展,套用传统IT和互联网思维,采用类似的安全技术产品和框架,改头换面就想关键信息基础设施网络安全问题已经被十年的关基安全实践证明是事倍功半、无法关基安全根本问题的。因此,北信源倡导哲学的、辩证的思维,即具体问题具体分析的方式,运用关基实战思维分析,抓住关键信息基础设施的特点,认清关基安全本质,有针对性的开展关基安全防护工作,才能关基安全的根本问题。在风险治理平台中,以上思想体现为所有的风险以厘清关键业务和相关业务责任为首要任务。业务相关的有两个重要属性,一个就是以责任人为代表的人员属性;一个是相关的资产属性。只有把业务作为安全风险的“根”才能够不脱离保障关键业务的本质;只有明确了责任人,才能够实现持续改进。
将“事件、检查驱动”的被动防御改为“业务风险”驱动的“主动防御,化解”常态化“落地面临的问题:改变事件驱动,检查驱动,达到常态化的核心阻碍在于:
(1)责任与业务脱节,安全门想要提升安全水平,但是无法驱动业务门;
(2)责任人不明确,无法落实“谁主管谁负责、谁运营谁负责”;
(3)改进进度无法量化,不知道在不出问题的情况下应该改进什么,改进多少。在“关保”风险治理体系下,首先树立核心业务和业务负责人,再将相关资产归拢在核心业务下面。这样责任跟随资产,自然的归属在业务负责人和团队,也能够业务和安全的冲突问题;而所有的改进都把降低风险量为改进的方向和尺度。
7
风险治理框架预期效果
通过风险治理框架平台实施后,可以有效解决“三化”落地问题,助力行业用户构建先进的实战化、体系化、常态化安全运营管理模型
(1)关保实战化
关键信息基础设施安全保护风险治理体系,一切从实战出发,应用攻防思维,最直接的体现就是关基安全风险会直观数据化,与风险相关的责任主体、资产、脆弱性和威胁等相关信息机器变化一目了然,全化数据感知尽收眼底,还可以进一步实现协调联动、应急指挥等。
同时,明确并加强数据资产的重要性,加数据资产安全在整个责任KPI评分权重。
(2)关保体系化
关键信息基础设施安全保护风险治理框架,相当于建立了一个“责任-资产-脆弱性-威胁”的定量评估体系。通过对于各个环节的风险最小化获得整个体系安全水平的提升,将具体的安全措施量化,同时也将安全措施的实施获得的收益作体现为风险量化评分的降低,因而形成有效性的闭环评估,连续性得到保障,可验证投资投入效果。
(3)关保常态化
值得一提的是,“关保”风险治理平台能够直接将被动防御转变为主动防御状态,将业务与安全责任融为一体,采用安全KPI量化责任的方法和评比的手段,驱动责任主体主动完善和落实网络空间安全工作。安全事件暴露的是现有安全架构中对于细节(如未知的脆弱性、未知的威胁等)的失控,需要增强改善环节而非仅仅改善具体的技术措施;采购之前需要评估对于风险降低的量化指标,采购之后小评估对于风险降低的实际效果的量化指标;核查在整个体系指导下的安全进度。
北信源率先在行业发布关键信息基础设施风险治理框架,旨积极拥抱关保,本着、合作、共赢的理念,欢迎各厂商对接框架业务。