關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)乎國計民生
關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的核心樞紐��,承載核心系統(tǒng),提供核心服務(wù)����。當(dāng)前,關(guān)鍵信息基礎(chǔ)設(shè)施正是網(wǎng)絡(luò)黑客����、APT組織、勒索病毒的重點攻擊目標(biāo)����,所以保護關(guān)鍵信息基礎(chǔ)設(shè)施,就是保衛(wèi)國計民生���,就是捍衛(wèi)網(wǎng)絡(luò)國防�����。
關(guān)基挑戰(zhàn):
場景復(fù)雜性與網(wǎng)絡(luò)威脅持續(xù)存在
站在需求的角度�,關(guān)基運營者從技術(shù)方面����,主要面臨三方面挑戰(zhàn):
一、場景更加復(fù)雜��。在全面數(shù)字化轉(zhuǎn)型的背景下,新技術(shù)領(lǐng)域和關(guān)鍵信息基礎(chǔ)設(shè)施正在融合耦合��,網(wǎng)絡(luò)資產(chǎn)�����、工作場景大量增加�����,安全風(fēng)險與日俱增��。
二��、威脅持續(xù)演進����。網(wǎng)絡(luò)攻擊愈演愈烈����,造成的影響越來越大。2015年烏克蘭斷電事件和2019年委內(nèi)瑞拉斷電事件攻擊者仍未溯源�。2021年5月,美國東海岸科洛尼爾管道運輸公司遭受勒索軟件攻擊�����,嚴(yán)重影響17個州和首都華盛頓特區(qū)的燃油供應(yīng)。
三����、安全需求日益提高。在保證數(shù)據(jù)安全的同時����,還需要增加業(yè)務(wù)系統(tǒng)的彈性韌性,實現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施高可用���、抗毀傷���,在受到攻擊時依然能夠提供基本的服務(wù)。
另外��,關(guān)基運營者也面臨更嚴(yán)格的法規(guī)遵從�����。從2017年的《網(wǎng)絡(luò)安全法》�����,到2021年的《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》都是必須遵從的法律法規(guī)要求。這是安全防護的基線�����,也是底線���。
應(yīng)對方式:
一大核心�、四大支撐及六大能力
為應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施的各種挑戰(zhàn)�����,中國信息安全領(lǐng)軍企業(yè)北信源將“三化六防”實戰(zhàn)理念融入關(guān)保建設(shè)當(dāng)中���,以風(fēng)險為核心構(gòu)建“關(guān)?�!憋L(fēng)險治理體系����。通過平臺大數(shù)據(jù)技術(shù)服務(wù)及四大體系全面賦能業(yè)務(wù)安全���,從而支撐各行業(yè)部門關(guān)鍵信息基礎(chǔ)設(shè)施的分析識別、安全防護�����、檢測評估、監(jiān)測預(yù)警���、技術(shù)對抗及事件處置的全環(huán)節(jié)建設(shè)���,最終形成六大完全能力。
一大核心:以“風(fēng)險”為核心
北信源認(rèn)為�,關(guān)鍵信息基礎(chǔ)設(shè)施的防護要以“風(fēng)險”為核心,這是指所有的安全舉措(風(fēng)險評估和治理等)都要圍繞“風(fēng)險”這個核心定量指標(biāo)進行�。“風(fēng)險”通過分解成“責(zé)任-資產(chǎn)-脆弱性-威脅”四個步驟��,將相關(guān)的人�����、物和事串聯(lián)在一起�,將安全措施貫徹在完整的體系中,再通過風(fēng)險值的改變反映出來�����。風(fēng)險的評估和治理以“風(fēng)險治理平臺”為依托。
四大支撐:人員服務(wù)體系����、技術(shù)產(chǎn)品體系、安全運維體系����、應(yīng)急響應(yīng)體系
人員服務(wù)體系,指關(guān)保涉及的所有的“人”的集合�。人員服務(wù)體系不僅包括所有的安全技術(shù)人員和業(yè)務(wù)的責(zé)任人的信息,還包括人員組織形式�、規(guī)章制度,所有人員的培訓(xùn)�����、演練和工作記錄等�。
技術(shù)產(chǎn)品體系,指關(guān)保涉及的所有“物”的集合�����。技術(shù)產(chǎn)品體系不僅包括等保2.0要求的“一個中心�����,三重防護”所涉及的安全產(chǎn)品����,還涉及所有業(yè)務(wù)相關(guān)“信息資產(chǎn)”的供應(yīng)鏈安全評估和管理工具等。
安全運維體系�����,指關(guān)保脆弱性驅(qū)動的所有“事”的集合��。安全運維體系包括安全體系建設(shè)���、運行維護相關(guān)的支撐手段�����。
應(yīng)急響應(yīng)體系����,指關(guān)保威脅驅(qū)動的所有的“事”的集合�����。應(yīng)急響應(yīng)體系包括應(yīng)急響應(yīng)指揮�、處置���、對抗、溝通協(xié)調(diào)和演練相關(guān)的支撐手段��。
六大能力:圍繞風(fēng)險治理形成的六大安全能力
六大能力���,是以風(fēng)險治理為目標(biāo)��,在長期的安全建設(shè)��、運維和應(yīng)急響應(yīng)過程中�����,由人和物形成的綜合針對關(guān)鍵信息基礎(chǔ)設(shè)施的安全能力����。包括:分析識別能力����、檢測評估能力、技術(shù)防護能力��、監(jiān)測預(yù)警能力�、應(yīng)急處置能力和技術(shù)對抗能力����。
北信源“關(guān)?���!憋L(fēng)險治理體系契合新時代需求
北信源風(fēng)險治理體系能夠全面覆蓋網(wǎng)絡(luò)空間安全的各個層面�����,以定量數(shù)值方式評估風(fēng)險和改進程度���,并通過有效性評估形成閉環(huán)管理�,承擔(dān)網(wǎng)絡(luò)空間安全全面持續(xù)性改進��。該體系也充分滿足了新時代��、新形勢下“關(guān)基”單位風(fēng)險治理的需求����,從以下幾點特性就不難看出其適配性:
【規(guī)范性】體系建設(shè)依據(jù)是經(jīng)過科學(xué)論證和實踐檢驗的國家的信息安全標(biāo)準(zhǔn)和規(guī)范,具有科學(xué)性和權(quán)威性����。
【目的性】體系建設(shè)有明確的目標(biāo)導(dǎo)向����。在當(dāng)前發(fā)展階段���,以數(shù)據(jù)安全作為重要的網(wǎng)絡(luò)空間安全目標(biāo)�。隨著安全技術(shù)和形勢的發(fā)展����,能夠及時調(diào)整目標(biāo)以適應(yīng)環(huán)境。
【開放性】體系建設(shè)具有開放性特點�,不僅不限定指定的技術(shù)、設(shè)備和廠商��,而且鼓勵兼容多種技術(shù)�、設(shè)備和廠商形成良性競爭,促進體系進步�����。
【客觀性】體系的量化評分依據(jù)以技術(shù)指標(biāo)為主��,具有客觀性����,減低了主觀打分的影響����,這樣才具備不同主體和同一主體改進前后的數(shù)量對比的基礎(chǔ)��。
【實時性】體系的量化評分能實時反映當(dāng)前安全狀態(tài)��。當(dāng)前網(wǎng)絡(luò)安全事件突發(fā)性很強����,體系必須具備實時性���,即發(fā)現(xiàn)問題后立即改進問題的能力���。
【主動性】體系的量化評分能夠驅(qū)動責(zé)任主體單位主動、持續(xù)進行安全防護能力的提升��,并且對責(zé)任主體的改進進行定量評估�。
北信源“關(guān)保”風(fēng)險治理體系
相較于態(tài)勢感知平臺的優(yōu)勢
一�、將關(guān)鍵業(yè)務(wù)責(zé)任作為“根”
北信源以具體問題具體分析的方式,運用關(guān)基思維分析�,抓住關(guān)鍵信息基礎(chǔ)設(shè)施的特點,認(rèn)清關(guān)基安全本質(zhì)�,把業(yè)務(wù)作為安全風(fēng)險的“根”��,以保護關(guān)鍵業(yè)務(wù)為目的�����,對業(yè)務(wù)涉及的一個或多個網(wǎng)絡(luò)和信息系統(tǒng)進行體系化安全設(shè)計��,從而解決了關(guān)基安全的根本問題��,在此基礎(chǔ)上構(gòu)建整體安全保障體系�����。
二�、“被動”轉(zhuǎn)“主動” 化解“常態(tài)化”問題
在北信源風(fēng)險治理體系下���,首先樹立核心業(yè)務(wù)和業(yè)務(wù)負(fù)責(zé)人��,再將相關(guān)資產(chǎn)歸攏在核心業(yè)務(wù)下面��。這樣責(zé)任跟隨資產(chǎn)�����,自然的歸屬在業(yè)務(wù)負(fù)責(zé)人和團隊����,也能夠解決業(yè)務(wù)和安全的沖突問題;而所有的改進都把降低風(fēng)險量作為改進的方向和尺度���,這樣也解決了非安全技術(shù)人員無法對安全改進定量掌控的問題���。
三、以風(fēng)險管理為導(dǎo)向的動態(tài)防護
北信源風(fēng)險治理體系根據(jù)關(guān)基面臨的威脅態(tài)勢�,進行持續(xù)監(jiān)測和安全控制措施的動態(tài)調(diào)整,形成動態(tài)的安全防護機制����,及時有效的防范應(yīng)對安全風(fēng)險�����。
關(guān)鍵信息基礎(chǔ)設(shè)施是國家網(wǎng)絡(luò)安全戰(zhàn)略的核心��,作為國家規(guī)劃布局內(nèi)的重點軟件企業(yè)�����、國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護核心承擔(dān)單位之一�����,北信源受邀入駐國家等級保護2.0與可信計算3.0攻關(guān)示范基地。未來�����,北信源將持續(xù)面向重要信息系統(tǒng)運營者提供更加優(yōu)質(zhì)的安全服務(wù)�,全面落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,實現(xiàn)網(wǎng)絡(luò)安全各類事件和風(fēng)險的多層級���、多維度處理���,不斷探索、持續(xù)創(chuàng)新��,為加強國家網(wǎng)絡(luò)安全保障體系和能力建設(shè)作出更大貢獻(xiàn)����。
