關(guān)鍵信息基礎設施關(guān)乎國計民生
關(guān)鍵信息基礎設施是經(jīng)濟社會運行的核心樞紐�,承載核心系統(tǒng),提供核心服務����。當前,關(guān)鍵信息基礎設施正是網(wǎng)絡黑客����、APT組織、勒索病毒的重點攻擊目標�����,所以保護關(guān)鍵信息基礎設施�����,就是保衛(wèi)國計民生,就是捍衛(wèi)網(wǎng)絡國防��。
關(guān)基挑戰(zhàn):
場景復雜性與網(wǎng)絡威脅持續(xù)存在
站在需求的角度�����,關(guān)基運營者從技術(shù)方面����,主要面臨三方面挑戰(zhàn):
一、場景更加復雜����。在全面數(shù)字化轉(zhuǎn)型的背景下���,新技術(shù)領(lǐng)域和關(guān)鍵信息基礎設施正在融合耦合�,網(wǎng)絡資產(chǎn)����、工作場景大量增加,安全風險與日俱增���。
二�、威脅持續(xù)演進。網(wǎng)絡攻擊愈演愈烈���,造成的影響越來越大��。2015年烏克蘭斷電事件和2019年委內(nèi)瑞拉斷電事件攻擊者仍未溯源��。2021年5月���,美國東海岸科洛尼爾管道運輸公司遭受勒索軟件攻擊,嚴重影響17個州和首都華盛頓特區(qū)的燃油供應����。
三、安全需求日益提高���。在保證數(shù)據(jù)安全的同時����,還需要增加業(yè)務系統(tǒng)的彈性韌性�����,實現(xiàn)關(guān)鍵信息基礎設施高可用����、抗毀傷�,在受到攻擊時依然能夠提供基本的服務�����。
另外����,關(guān)基運營者也面臨更嚴格的法規(guī)遵從。從2017年的《網(wǎng)絡安全法》��,到2021年的《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》都是必須遵從的法律法規(guī)要求�����。這是安全防護的基線��,也是底線�。
為應對關(guān)鍵信息基礎設施的各種挑戰(zhàn)���,中國信息安全領(lǐng)軍企業(yè)北信源將“三化六防”實戰(zhàn)理念融入關(guān)保建設當中��,以風險為核心構(gòu)建“關(guān)?���!憋L險治理體系��。通過平臺大數(shù)據(jù)技術(shù)服務及四大體系全面賦能業(yè)務安全��,從而支撐各行業(yè)部門關(guān)鍵信息基礎設施的分析識別�����、安全防護�、檢測評估、監(jiān)測預警�����、技術(shù)對抗及事件處置的全環(huán)節(jié)建設���,最終形成六大完全能力�。
一大核心:以“風險”為核心
北信源認為�����,關(guān)鍵信息基礎設施的防護要以“風險”為核心,這是指所有的安全舉措(風險評估和治理等)都要圍繞“風險”這個核心定量指標進行�。“風險”通過分解成“責任-資產(chǎn)-脆弱性-威脅”四個步驟����,將相關(guān)的人、物和事串聯(lián)在一起���,將安全措施貫徹在完整的體系中����,再通過風險值的改變反映出來����。風險的評估和治理以“風險治理平臺”為依托。
四大支撐:人員服務體系��、技術(shù)產(chǎn)品體系��、安全運維體系�����、應急響應體系
人員服務體系�,指關(guān)保涉及的所有的“人”的集合。人員服務體系不僅包括所有的安全技術(shù)人員和業(yè)務的責任人的信息�����,還包括人員組織形式�����、規(guī)章制度����,所有人員的培訓、演練和工作記錄等���。
技術(shù)產(chǎn)品體系����,指關(guān)保涉及的所有“物”的集合�。技術(shù)產(chǎn)品體系不僅包括等保2.0要求的“一個中心,三重防護”所涉及的安全產(chǎn)品����,還涉及所有業(yè)務相關(guān)“信息資產(chǎn)”的供應鏈安全評估和管理工具等���。
安全運維體系,指關(guān)保脆弱性驅(qū)動的所有“事”的集合��。安全運維體系包括安全體系建設�����、運行維護相關(guān)的支撐手段���。
應急響應體系��,指關(guān)保威脅驅(qū)動的所有的“事”的集合����。應急響應體系包括應急響應指揮����、處置、對抗����、溝通協(xié)調(diào)和演練相關(guān)的支撐手段。
六大能力:圍繞風險治理形成的六大安全能力
六大能力�����,是以風險治理為目標�,在長期的安全建設、運維和應急響應過程中���,由人和物形成的綜合針對關(guān)鍵信息基礎設施的安全能力����。包括:分析識別能力���、檢測評估能力����、技術(shù)防護能力�、監(jiān)測預警能力、應急處置能力和技術(shù)對抗能力�。
北信源“關(guān)保”風險治理體系契合新時代需求
北信源風險治理體系能夠全面覆蓋網(wǎng)絡空間安全的各個層面����,以定量數(shù)值方式評估風險和改進程度,并通過有效性評估形成閉環(huán)管理����,承擔網(wǎng)絡空間安全全面持續(xù)性改進�。該體系也充分滿足了新時代�、新形勢下“關(guān)基”單位風險治理的需求,從以下幾點特性就不難看出其適配性:
【規(guī)范性】體系建設依據(jù)是經(jīng)過科學論證和實踐檢驗的國家的信息安全標準和規(guī)范���,具有科學性和權(quán)威性�。
【目的性】體系建設有明確的目標導向����。在當前發(fā)展階段,以數(shù)據(jù)安全作為重要的網(wǎng)絡空間安全目標���。隨著安全技術(shù)和形勢的發(fā)展����,能夠及時調(diào)整目標以適應環(huán)境�。
【開放性】體系建設具有開放性特點,不僅不限定指定的技術(shù)��、設備和廠商��,而且鼓勵兼容多種技術(shù)��、設備和廠商形成良性競爭,促進體系進步����。
【客觀性】體系的量化評分依據(jù)以技術(shù)指標為主,具有客觀性���,減低了主觀打分的影響,這樣才具備不同主體和同一主體改進前后的數(shù)量對比的基礎����。
【實時性】體系的量化評分能實時反映當前安全狀態(tài)。當前網(wǎng)絡安全事件突發(fā)性很強����,體系必須具備實時性,即發(fā)現(xiàn)問題后立即改進問題的能力����。
【主動性】體系的量化評分能夠驅(qū)動責任主體單位主動、持續(xù)進行安全防護能力的提升�����,并且對責任主體的改進進行定量評估�����。
北信源“關(guān)保”風險治理體系
相較于態(tài)勢感知平臺的優(yōu)勢
一��、將關(guān)鍵業(yè)務責任作為“根”
北信源以具體問題具體分析的方式,運用關(guān)基思維分析,抓住關(guān)鍵信息基礎設施的特點���,認清關(guān)基安全本質(zhì),把業(yè)務作為安全風險的“根”,以保護關(guān)鍵業(yè)務為目的�,對業(yè)務涉及的一個或多個網(wǎng)絡和信息系統(tǒng)進行體系化安全設計���,從而解決了關(guān)基安全的根本問題��,在此基礎上構(gòu)建整體安全保障體系����。
二�、“被動”轉(zhuǎn)“主動” 化解“常態(tài)化”問題
在北信源風險治理體系下,首先樹立核心業(yè)務和業(yè)務負責人��,再將相關(guān)資產(chǎn)歸攏在核心業(yè)務下面���。這樣責任跟隨資產(chǎn)�,自然的歸屬在業(yè)務負責人和團隊,也能夠解決業(yè)務和安全的沖突問題��;而所有的改進都把降低風險量作為改進的方向和尺度�����,這樣也解決了非安全技術(shù)人員無法對安全改進定量掌控的問題����。
三、以風險管理為導向的動態(tài)防護
北信源風險治理體系根據(jù)關(guān)基面臨的威脅態(tài)勢����,進行持續(xù)監(jiān)測和安全控制措施的動態(tài)調(diào)整���,形成動態(tài)的安全防護機制��,及時有效的防范應對安全風險�����。
關(guān)鍵信息基礎設施是國家網(wǎng)絡安全戰(zhàn)略的核心��,作為國家規(guī)劃布局內(nèi)的重點軟件企業(yè)����、國家關(guān)鍵信息基礎設施安全保護核心承擔單位之一,北信源受邀入駐國家等級保護2.0與可信計算3.0攻關(guān)示范基地����。未來,北信源將持續(xù)面向重要信息系統(tǒng)運營者提供更加優(yōu)質(zhì)的安全服務��,全面落實關(guān)鍵信息基礎設施安全保護工作���,實現(xiàn)網(wǎng)絡安全各類事件和風險的多層級���、多維度處理,不斷探索����、持續(xù)創(chuàng)新,為加強國家網(wǎng)絡安全保障體系和能力建設作出更大貢獻���。
