【连载】2020网信自主创新调研报告-安全管控
专家委员
副主任:严 明、霍 炜、胡伟武、窦 强
委 员(按拼音排序):曹 冬、陈晓桦、邓小四、杜 胜、杜跃进、冯燕春、冯裕才、郭守祥、韩乃平、胡红升、黄志刚、姜海舟、李 斌、李璐瑶、梁育刚、刘龙庚、刘闻欢、刘 毅、陆宝华、罗东平、潘凤岩、唐 彬、汤学军、田俊峰、肖新光、杨纪文、翟起滨、张焕国、张 强、张 彦、张宇翔、张岳公、赵 波、赵战生、郑静清、祝国邦
01 安全管控开始被
广泛重视
近年来,国内网络安全建设投入不断加大,政府部门、重点行业在网络安全方面已投入建设了大量的安全基础设施。但是,随着信息化向“大整合、高共享、深应用”以及“互联网 +”方向发展,网络安全存在的问题日益突出。一是系统建设时“重应用,轻安全”,往往是应用系统建设在先,安全防护滞后,未能同步规划、同步建设。二是安全建设时“重技术,轻管理”,在安全规划时片面强调技术防护手段,而忽视管理手段的配套建设,导致大量技术防护手段建成后缺乏有效运行维护,形同虚设。三是网络防御思路“重防外,轻防内”,防护手段往往侧重防御来自外部的攻击,而忽视来自网络内部的威胁。传统的网络安全防护思路,已越来越不能适应复杂的网络应用新形势的发展。
十三五期间,《网络安全法》、《网络安全工作责任制》、《国家网络安全事件应急预案》、《网络安全等级保护基本要求(GB/T22239-2019)》等国家相关法规、制度、标准相继出台,明确了网络运营单位及领导应尽的网络安全保护责任,提出了网络安全监管的新思路,对网络安全管控体系建设提出了新要求。
网络安全管控体系是指以网络安全管控的信息化工作平台为抓手,以网络安全管理体系、安全技术体系、安全运营体系、安全服务体系为支撑,形成“资产、风险、事件、人员、流程”等管理要素有机融合的综合管控体系。
等保 2.0 技术要求体现了从外部到内部的纵深防御思想。对等级保护对象的安全防护应考虑从通信网络到区域边界再到计算环境的从外到内的整体防护 , 同时考虑对其所处的物理环境的安全防护。对级别较高的等级保护对象还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。安全通用要求中的安全管理中心部分,针对整个系统提出了安全管理方面的技术控制要求 , 通过技术手段实现集中管理。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
等保 2.0 管理要求体现了从要素到活动的综合管理思想。安全管理需要的机构、制度和人员三要素缺一不可 , 同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。对级别较高的等级保护对象需要构建完备的安全管理体系。
国内相关厂商多年来一直致力于网络安全管控体系研究,基于新的监管要求将安全管理与安全技术有效融合,推出了相应的产品和解决方案。远望信息基于网络安全工作由事件驱动转向风险驱动、责任驱动的思想,构建了多维度交互化融合、多手段技术支撑的安全管理体系。联成科技转型自主研发国产化网络安全产品,建立一体化安全管理解决方案,实现统一管理、统一监控、统一审计、综合分析和协同防护。沈阳东软构建了多维度、多元化的业务安全框架,提供了基于业务驱动安全的一体化服务体系。
02 安全管控从“碎片化”
转向“体系化”
近年来,各单位高度重视网络安全工作,但在安全管控方面仍然存在一些隐患,管理分散、数据不关联,管理不可见、不可控,人为风险高、体系不健全等问题比较严重。主要体现在以下四个方面:
一是安全监管体系化建设程度不高。安全技术与安全管理存在“两张皮” 现象,监测、预警、防护、响应未形成完整的工作闭环,各层级安全策略不统一,协同体制机制有短板和断点,未形成资产、风险与管理制度、人员和流程的映射,导致安全管理规章制度落实有盲区,有的安全风险和漏洞长期存在。
二是安全能力“碎片化”。由于管理层级和建设时期不同,安全产品没有形成统一的安全监管策略,风险显示分散、各种安全设备成为“防御孤岛”,抵御复杂网络安全威胁的效果大打折扣。
三是监测预警能力不足。网络边界的完整性监控能力不足,不能杜绝违规外联,统一互联网出口防护体系失效。
四是资产不明。资产入网和发现技术手段滞后,重要数据流转未做到全程监管。
因此,基于用户的网络安全保障需求,构建“边界清晰、监管到位、安全可控、责任明确”的安全管控体系是未来网络安全管理的发展目标。一是要改变局部管理的产品堆叠方式,构建一体化的全局管控平台;二是要改变面向资产的管理现状,构建组织、人员、制度相结合的全面管控体系;三是解决分散的数据孤岛问题,实现数据的采集、汇聚、关联与综合利用;四是转变被动防御的思想,逐步转向事前预防、事中响应、事后审计的动态保障;五是综合运用大数据与人工智能技术,实现智能分析、智能响应处置、智能决策;六是统一在线服务入口,建立安全保障机制;七是实现系统运行状态、运行管理与服务过程的可视化;八是加强过程管理,引入流程引擎与跟踪反馈机制;九是转变人为管理的现状,通过制度、流程、数据驱动管控系统。
03 构建平台统一、能力开放的
安全管控体系
网络安全管控体系建设,要建立统一高效的安全风险监测、响应处置、考核评估的工作机制。通过建立网络安全考核体系,逐步提升全员安全意识,将安全规划落到实处;防范化解重大网络安全风险,切实减少暴露面和风险点,形成资产态势一张图,安全监管一盘棋、风险管控一条线的支撑能力。
在资产的发现上要争取“100% 全覆盖”,梳理风险并集中亮化,不留管理盲区和死角;在违规行为、安全风险处置上,要坚持“零容忍”,发现一起、处置一起、反馈一起,形成安全管控工作闭环;在重要数据的安全管控上,要坚持 “零信任”,实现全生命周期的严密监管;在管理信息化建设上,要坚持技术与管理相结合,以高度集成的信息化管控平台作为管理工作技术支撑,形成齐抓共管的合力。
在具体工作过程中,要做到体系化推进、平台统一和能力开放。体系化推进,就是打破相关主体各自为战的现状,根据网络安全的顶层设计、体系化设计指导原则,通过对资产、网络架构、业务流程和管理方法的分析,从安全管理体系、安全技术体系、安全运营体系、安全服务体系几个方面,综合规划网络安全管控体系的总体框架。
在安全管理体系方面,建立涵盖安全管理标准要求、责任划分、情况通报、责任追究等多环节、多层次、全方位的制度体系,贯穿安全策略、组织人员、安全建设、安全管理流程的各个环节。安全技术体系包括各种网络安全威胁发现、防护和处置技术。安全运营体系打通对威胁的预防、检测、防御、响应各环节,实现安全运营闭环管理。安全服务体系是根据用户需要,提供制度体系梳理、资产注册梳理、安全业务流程定制、安全事件处置、安全运维服务、安全检查服务等。
平台统一,就是建设统一的安全监管平台。一是接入各种安全检测、预警、防护等安全能力,将不同时期建设、不同位置部署、不同类型和功能的资产发现管理系统、安全防护系统能力集成,将资产、风险、事件进行汇总和关联,在统一平台上实时展现和亮化。二是贯彻安全管理要求,形成工作绩效考核指标,打通线上技术自动发现、预警、阻止、通报,与线下人工管理、处置、反馈各工作流程,形成监督、管理和技术防护合力,使得管控工作形成闭环,确保网络安全管理责任和制度要求的有效落实。
能力开放,就是采用开放式接口设计,对接各种监测发现、安全防护、应急处置能力,做到既能整合已有的技术手段,又能不断扩展。在整合接入原有安全产品的基础上,新增各种安全防护和监管能力,特别以强化数据管控为重点,建立全天候、全方位、全生命周期的监控和审计手段。