学两会·话安全 | 加速提升关键信息基础设施网络安全防护水平势在必行

学两会·话安全 | 加速提升关键信息基础设施网络安全防护水平势在必行

时间:2021-03-12 作者:安帝科技

在“学两会·话安全”的风险剖析篇中可以看出,我国工业网络安全现状不容乐观,关键信息基础设施面临的网络安全风险呈恶化之势,安全防护能力水平急需加强。在不确定性和风险挑战剧增的“新常态”下,关键信息基础设施相关的运营方、监管方、安全能力供给方如何转“危”为“机”?需要各方认真思考,系统谋划。

01加快出台《关键信息基础设施安全保护条例》及相关标准

目前我国在关键信息基础设施的网络安全保护标准方面相比发达国家比较滞后,相关识别、保护、控制、评估的标准如《关键信息基础设施边界确定方法》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施安全防护能力评价方法》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全控制措施》、《关键信息基础设施安全检查评估指南》、《关键信息基础设施网络安全框架》尚未正式发布。《关键信息基础设施保护条例》拟对关键信息基础设施的范围、运营者安全保护、产品和服务安全、监测预警、应急处置和检测评估以及法律责任等进行明确,但仍未发布。在关基保护的实践中,仅以网络安全法和等级保护2.0还不足以形成细粒度落实和切实有力的抓手。

02夯实基础安全根基

目前关基网络安全防护存在的主要问题中,操作系统老旧、明文口令横行、远程访问宽松、网络隔离不足、反AV自动更新不力,均属于网络安全滑动标尺模型中基础结构安全的内容,也是其反复强调需要持续的安全监控以使资产、威胁、风险可见的原因。在工业领域,资产可见、配置可靠、漏洞可管、补丁可用,是工业网络信息系统可管理的基础,也成为工业网络可防御的坚实基础。正如疫情防控所需要的良好卫生习惯,网络运营也需要持续的网络卫生。

03建强威胁情报能力

无论是战略级、战术级或运营级威胁情报,其在网络安全防护中都起到指导、影响、制约决策的作用。网络安全事件发生前的预警、事中的协同响应、事后的取证溯源,无不依赖网络威胁情报平台的支撑。在建强国家级、区域级、行业级、企业级网络威胁情报平台的能力基础上,应把握总体国家安全观的战略指引,把威胁情报共享、高效利用作为优先建设重点,以期在关键时刻顶用、管用。加强对敌手、敌情的研究,利用相对成熟的网络威胁建模方法,如NSA/CSS威胁框架、MITRE的ATT@CK威胁框架,充分理解敌手的TTPs,掌握相应缓解措施,了解敌手、敬畏敌手,方可打败敌手。

04加强供应链安全保障

SolarWinds供应链攻击事件再次敲响警钟,高能力的攻击组织有充足的资源、高级的能力和足够的耐心攻陷其瞄准的目标。这也不是一个纯粹的技术问题或单纯的网络安全问题,是系统性的国家安全问题。ICT供应链已经与产品供应链与服务供应链,甚至与物流、信息流和资金流融为一体。毫无疑问,为关基所有方/运营方提供任何产品、服务的供应商,都天然成为其供应链的关键环节,也必然成为威胁行为体的攻击目标。各类安全厂商在参与构建关基防御体系中,亦然成为关基运营方的供应链中重要的一环,确保其不能成为供应链的薄弱点或攻击入口点。

05完善应急响应体系

网络安全事件响应能力能否有效应对新常态下的复杂局面?应急响应团队可能无法消除网络安全事件带来的所有负面影响,那能否抑制安全事件不要上升到“危机”的程度。危机造成的声誉、品牌、运营、客户和供应商关系风险持续增加,相关法律和财务风险也在所难免。尽管任何组织的网络安全危机管理生命周期都强调完备的预案、协同的响应和高效的恢复,但这仍然是一项涉及多个部门、多种能力、多个利益相关方的工作,更加需要全局的视野和全域的管理。比如协同响应需要组织在治理、战略、技术、商业运作、风险和合规以及纠正与改进方面充分协调、共同推进。此次我国政府应对新冠病毒疫情的举措,也对网络安全危机的响应提供了有益的借鉴和指导。

06深入推进实战攻防演练

关键信息基础设施需要实战化、体系化、常态化的安全防护业已成为共识。基于网络攻防对抗不宣而战、无平战之分的特点,在构建防御体系和安全运营过程中必须坚持持续对抗思维。关基防御体系的有效性最终要靠高能力攻击组织的能力来检验。而在这种攻击发生之前,能否感知预警,发生之后能否抗得住过得去,都需要用我们持续以实战的理念、方法和手段来先行检验。鉴于此,当前仍要持续巩固近年来实战化攻防演练的成果,真正来检验防护能力,检验应急响应机制,深入推进实战、实效的达成,敢于暴露真问题,真正解决深层次问题,谨防走过场、图过关、甚至成为安全厂商的秀场和背书!

07培育网络安全文化

人的因素、人性的弱点是网络安全最大的挑战和不确定性。网络攻防对抗,本质上是攻防两端人力的较量。大多数安全事件都是人为因素造成的。网络安全文化是人们对网络安全的认识、信仰、态度、规范和价值观,以及这些知识在与信息技术交互中的表现方式。网络安全文化是组织文化的重要组成部分。关基行业在推动网络安全防御体系(技术、管理、控制)的过程中,相关监管方、安全能力供给方、用户方都是组织网络安全文化的参与者、推动者、建设者。真正使网络安全意识、网络卫生习惯内化于心外化于行。
关基防护事关经济发展和人民群众生命、财产安全,事关国家安全,怎么强调都不为过。加强关基防护,要始终坚持系统思维、动态保护思维、核心重点思维、主体责任思维和底线思维,从法律法规、标准规范、安全意识、安全能力、情报指引、应急响应、网络弹性、供应链管控、监督评估、安全文化等多个维度综合施策、全民参与、重点突破。