關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)乎國計民生
關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運行的核心樞紐,承載核心系統(tǒng),提供核心服務(wù)。當(dāng)前,關(guān)鍵信息基礎(chǔ)設(shè)施正是網(wǎng)絡(luò)黑客、APT組織、勒索病毒的重點攻擊目標(biāo)。所以保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施,就是保衛(wèi)國計民生,就是捍衛(wèi)網(wǎng)絡(luò)國防。
關(guān)基挑戰(zhàn):場景復(fù)雜性與網(wǎng)絡(luò)威脅持續(xù)存在
站在需求的角度,關(guān)基運營者從技術(shù)方面,主要面臨三方面挑戰(zhàn):
一、場景更加復(fù)雜。在全面數(shù)字化轉(zhuǎn)型的背景下,新技術(shù)領(lǐng)域和關(guān)鍵信息基礎(chǔ)設(shè)施正在融合耦合,網(wǎng)絡(luò)資產(chǎn)、工作場景大量增加,安全風(fēng)險與日俱增。
二、威脅持續(xù)演進(jìn)。網(wǎng)絡(luò)攻擊愈演愈烈,造成的影響越來越大。2015年烏克蘭斷電事件和2019年委內(nèi)瑞拉斷電事件攻擊者仍未溯源。2021年5月,美國東海岸科洛尼爾管道運輸公司遭受勒索軟件攻擊,嚴(yán)重影響17個州和首都華盛頓特區(qū)的燃油供應(yīng)。
三、安全需求日益提高。在保證數(shù)據(jù)安全的同時,還需要增加業(yè)務(wù)系統(tǒng)的彈性韌性,實現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施高可用、抗毀傷,在受到攻擊時依然能夠提供基本的服務(wù)。
另外,關(guān)基運營者也面臨更嚴(yán)格的法規(guī)遵從。從2017年的《網(wǎng)絡(luò)安全法》,到2021年的《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》都是必須遵從的法律法規(guī)要求。這是安全防護(hù)的基線,也是底線。
應(yīng)對方式:一大核心、四大支撐和六大能力
為應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施的各種挑戰(zhàn),中國信息安全領(lǐng)軍企業(yè)北信源將“三化六防”實戰(zhàn)理念融入關(guān)保建設(shè)當(dāng)中來,以風(fēng)險為核心構(gòu)建“關(guān)保”風(fēng)險治理體系。通過平臺大數(shù)據(jù)技術(shù)服務(wù)及四大體系來全面賦能業(yè)務(wù)安全,從而支撐各行業(yè)部門關(guān)鍵信息基礎(chǔ)設(shè)施的分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、技術(shù)對抗及事件處置的全環(huán)節(jié)建設(shè),最終形成六大完全能力。
一大核心:以“風(fēng)險”為核心
北信源認(rèn)為,關(guān)鍵信息基礎(chǔ)設(shè)施的防護(hù)要以“風(fēng)險”為核心,這是指所有的安全舉措(風(fēng)險評估和治理等)都要圍繞“風(fēng)險”這個核心定量指標(biāo)進(jìn)行。“風(fēng)險”通過分解成為“責(zé)任-資產(chǎn)-脆弱性-威脅”四個步驟,將相關(guān)的人、物和事串聯(lián)在一起,將安全措施貫徹在完整的體系中,再通過風(fēng)險值的改變反映出來。風(fēng)險的評估和治理以“風(fēng)險治理平臺”為依托。
四大支撐:人員服務(wù)體系、技術(shù)產(chǎn)品體系、安全運維體系、應(yīng)急響應(yīng)體系
人員服務(wù)體系,指關(guān)保涉及的所有的“人”的集合。人員服務(wù)體系不僅包括所有的安全技術(shù)人員和業(yè)務(wù)的責(zé)任人的信息,還包括人員組織形式、規(guī)章制度,所有人員的培訓(xùn)、演練和工作記錄等。
技術(shù)產(chǎn)品體系,指關(guān)保涉及的所有“物”的集合。技術(shù)產(chǎn)品體系不僅包括等保2.0要求的“一個中心,三重防護(hù)”所涉及的安全產(chǎn)品,還涉及所有業(yè)務(wù)相關(guān)“信息資產(chǎn)”的供應(yīng)鏈安全評估和管理工具等。
安全運維體系,指關(guān)保脆弱性驅(qū)動的所有“事”的集合。安全運維體系包括安全體系建設(shè)、運行維護(hù)相關(guān)的支撐手段。
應(yīng)急響應(yīng)體系,指關(guān)保威脅驅(qū)動的所有的“事”的集合。應(yīng)急響應(yīng)體系包括應(yīng)急響應(yīng)指揮、處置、對抗、溝通協(xié)調(diào)和演練相關(guān)的支撐手段。
六大能力:圍繞風(fēng)險治理形成的六大安全能力
六大能力,是由以風(fēng)險治理為目標(biāo),在長期的安全建設(shè)、運維和應(yīng)急響應(yīng)過程中,由人和物形成的綜合針對關(guān)鍵信息基礎(chǔ)設(shè)施的安全能力。包括:分析識別能力、檢測評估能力、技術(shù)防護(hù)能力、監(jiān)測預(yù)警能力、應(yīng)急處置能力和技術(shù)對抗能力。
北信源“關(guān)保”風(fēng)險治理體系滿足新時代需求
北信源風(fēng)險治理體系能夠全面覆蓋網(wǎng)絡(luò)空間安全的各個層面,以定量數(shù)值方式評估風(fēng)險和改進(jìn)程度,并通過有效性評估形成閉環(huán)管理,承擔(dān)網(wǎng)絡(luò)空間安全全面持續(xù)性改進(jìn)。該體系也充分滿足了新時代、新形勢下風(fēng)險治理的需求,由以下幾點特性就可窺見一斑:
【規(guī)范性】體系建設(shè)依據(jù)是經(jīng)過科學(xué)論證和實踐檢驗的國家的信息安全標(biāo)準(zhǔn)和規(guī)范,具有科學(xué)性和權(quán)威性。
【目的性】體系建設(shè)有明確的目標(biāo)導(dǎo)向。在當(dāng)前發(fā)展階段,以數(shù)據(jù)安全作為重要的網(wǎng)絡(luò)空間安全目標(biāo)。隨著安全技術(shù)和形式的發(fā)展,能夠調(diào)整目標(biāo)以適應(yīng)環(huán)境。
【開放性】體系建設(shè)具有開放性特點,不僅不限定指定的技術(shù)、設(shè)備和廠商,而且鼓勵兼容多種技術(shù)、設(shè)備和廠商形成良性競爭,促進(jìn)體系進(jìn)步。
【客觀性】體系的量化評分依據(jù)以技術(shù)指標(biāo)為主,具有客觀性,減低了主觀打分的影響,這樣才具備不同主體和同一主體改進(jìn)前后的數(shù)量對比的基礎(chǔ)。
【實時性】體系的量化評分能實時反映當(dāng)前安全狀態(tài)。當(dāng)前網(wǎng)絡(luò)安全事件突發(fā)性很強,體系必須具備實時性,即發(fā)現(xiàn)問題后立即改進(jìn)問題的能力。
【主動性】體系的量化評分能夠驅(qū)動責(zé)任主體單位主動、持續(xù)進(jìn)行安全防護(hù)能力的提升并且對責(zé)任主體的改進(jìn)進(jìn)行定量評估
北信源“關(guān)保”風(fēng)險治理體系相較于態(tài)勢感知平臺的區(qū)別(優(yōu)勢):
一、將關(guān)鍵業(yè)務(wù)責(zé)任作為“根”
北信源以具體問題具體分析的方式,運用關(guān)基思維分析,抓住關(guān)鍵信息基礎(chǔ)設(shè)施的特點,認(rèn)清關(guān)基安全本質(zhì),把業(yè)務(wù)作為安全風(fēng)險的“根”,以保護(hù)關(guān)鍵業(yè)務(wù)為目的,對業(yè)務(wù)涉及的一個或多個網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行體系化安全設(shè)計,從而解決了關(guān)基安全的根本問題,在此基礎(chǔ)上構(gòu)建整體安全保障體系。
二、“被動”轉(zhuǎn)“主動”,化解“常態(tài)化”問題
在北信源“關(guān)保”風(fēng)險治理體系下,首先樹立核心業(yè)務(wù)和業(yè)務(wù)負(fù)責(zé)人,再將相關(guān)資產(chǎn)歸攏在核心業(yè)務(wù)下面。這樣責(zé)任跟隨資產(chǎn),自然的歸屬在業(yè)務(wù)負(fù)責(zé)人和團(tuán)隊,也能夠解決業(yè)務(wù)和安全的沖突問題;而所有的改進(jìn)都把降低風(fēng)險量為改進(jìn)的方向和尺度,這樣也解決了非安全技術(shù)人員無法對安全改進(jìn)定量掌控的問題。
以風(fēng)險管理為導(dǎo)向的動態(tài)防護(hù)
根據(jù)關(guān)基面臨的威脅態(tài)勢進(jìn)行持續(xù)監(jiān)測和安全控制措施的動態(tài)調(diào)整,形成動態(tài)的安全防護(hù)機(jī)制,及時有效的防范應(yīng)對安全風(fēng)險。
關(guān)鍵信息基礎(chǔ)設(shè)施是國家網(wǎng)絡(luò)安全戰(zhàn)略的核心,作為國家規(guī)劃布局內(nèi)的重點軟件企業(yè)、國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)核心承擔(dān)單位之一,北信源受邀入駐國家等級保護(hù)2.0與可信計算3.0攻關(guān)示范基地。未來,北信源將持續(xù)面向重要信息系統(tǒng)運營者提供更加優(yōu)質(zhì)的安全服務(wù),全面落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,實現(xiàn)網(wǎng)絡(luò)安全各類事件和風(fēng)險的多層級、多維度處理,不斷探索、持續(xù)創(chuàng)新,為加強國家網(wǎng)絡(luò)安全保障體系和能力建設(shè)作出更大貢獻(xiàn)。
免責(zé)聲明:市場有風(fēng)險,選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
關(guān)鍵詞: