从新冠抗疫过程思考网络空间安全体系建设
2020-04-09
2020年新冠疫情爆发,每时每刻都牵动着众人的心弦。以这次疫情为镜鉴,应对突发公共卫生安全事件,如何建设网络空间安全的体系,同样值得学习与思考。
应急响应:从公共卫生到网络空间安全
在此次疫情爆发期间,我们可以看到国家对公共卫生事件的整体应急响应制度在不断完善。具体表现为:
网格管控,精细管理,化整为零,各个击破;
重点区域(湖北)严密隔离,其他区域实时监控;
关口前移,严防死守,攘内安外,封堵并行;
总结经验快速调整,科学为引完善体系。
网络空间的恶意软件和生物领域的病毒概念,在某些特征上具有高度的相似性。网络空间安全也需要汲取这次抗疫过程中的宝贵经验,从思想、法律、流程、人员配备、物资工具等角度做好应对重大安全事件的充分准备。
网络空间安全体系建设的六大启示
以这次疫情为鉴,延展到网络空间安全体系的能力建设,可以从预警、预防、监测、隔离、应急响应以及管理六方面进行考虑。
1、风险预警—基于多种类情报的风险研判
“早发现、早报告、早隔离、早治疗”是此次疫情防控中的重要举措。网络安全的应急工作需要风险预警,强大的情报能力则是网络安全预警与决策的关键支撑。
《中华人民共和国网络安全法》将“监测预警”明确列入法律条款,要求相关部门、机构建立监测预警、信息通报等制度,积极做好网络安全事件的监测、研判、预警工作;做好应急工具、装备器材、专业队伍及应急资金储备;做好应急预案的研究、制定、培训、应急演练等工作,要使应急预案真正落地而不是“文件”摆设。
每当相关方(业务合作对象、相似组织)发生了安全事件,都会让大多数组织感受到威胁近在眼前。成熟的安全团队常常需要提醒组织,对于已知和未知威胁提前做好准备。一个组织是否能够有效防范外来攻击,不仅仅看其安防工具是否齐全、持续监控是否有力,它还要关注风险预警并且将其融入到防御措施中,只有这样才能更有效地防范和阻挡内、外部攻击。
2、风险预防—添加多因素身份验证的可信接入
“外防输入、内防扩散”是疫情防控的重要策略,每一次进出小区,公共场所等都需要做相关的健康检测,这些措施为阻止疫情蔓延发挥了重要作用。可以看出,这些措施与目前网络安全的零信任理念“Never trust,always verify”是一致的。
零信任,即在不可信网络中构建安全系统。
零信任最大的改变在于,将执行机制从单一的网络边界转移到每个目标系统和应用程序。其重点是验证用户的身份以及他们所使用的设备,而不是基于某人是否从受信或不受信的网络中访问企业资源。
零信任是理念和架构层面的创新。这包括使用成熟技术进行重新组合,重构人员、设备、应用、流量之间的信任关系。在现有网络安全体系下,不需要对原有的物理边界做很大的修改,也不需要大量添置新的物理设备进行补充。只需要通过可信接入代理、可信API代理、策略控制服务三组件对原有物理边界中的设备进行重新的业务逻辑优化。
其中,可信接入代理、可信API代理、策略控制服务即通常所说的可信三组件,是零信任方案的核心与构建基础。
可信接入代理、可信API代理和策略控制服务联动,策略控制服务提供前两者实时的访问权限判定、集中配置管理、会话管理等,并与认证服务和权限管理服务联动,是可信三组件的大脑。可信接入代理和可信API则是可信三组件的左膀右臂,前者主要实现应用的访问控制及通道安全,如代理转发、二次认证、单点登录登出、流量管控、流量加密等,后者主要实现API接口的访问控制及通道安全,如访问控制、API熔断、流量管控等。三者配合,最终实现动态自适应、细粒度的身份认证和访问控制。
3、动态监测—采用重点监控与基检测相结合的态势感知
此次疫情期间,武汉落实拉网式排查,做到“应收尽收”后,有效遏制住了疫情蔓延的态势。在网络安全领域,网络安全事件的检测同样是抵御网络攻击的重要能力。UEBA等技术是近几年网络安全领域的热点技术,有效补充了网络安全威胁的检测手段。
国家针对各个重点行业的关键信息基础设施进行重点监控,对普通网络安全状况进行实时监控:
对安全威胁进行溯源分析和预测分析,将结果直观展示,做到威胁可感、可见;
建设海量的特征库,持续更新;
对安全事件进行二次分析,评估事件的影响以及破坏程度。基于攻击链安全行为分析,还原黑客入侵与攻击的整个过程;
对于入侵事件可以进行精准溯源、分析取证。
4、微隔离—建立最小的逻辑单元与权限策略
疫情防控期间各个社区都采取网格化隔离与管理,社区网格化管理的最大特点是把城市的街道和社区按照一定标准细化分成若干“格”,最小粒度以各个家庭为单位,以实现分块管理,从而提高社区服务隔离与管理的精细化水平。
“微隔离”是一种能够适应虚拟化部署环境,识别和管理云平台内部流量的技术。符合微隔离安全技术规范的产品,应在流量识别、业务关系拓扑、网络访问控制和安全策略管理方面具有规范所要求的能力,并且要求在不更改虚拟化业务架构的情况下,对虚拟机数量进行扩展时,微隔离产品应支持自动发现扩展的虚拟机,并自动对其进行策略配置。
最小权限原则:当用户仅具有完成其工作所需的访问权限时,即便黑客窃取到这些员工的登录凭据,其能造成的伤害也是有限的。
当网络和应用程序基础架构在逻辑和物理上划分为非常小的部分时,由于从一个网段到另一个网段的传输都需要进行身份验证,因此能对入侵者实施的访问权限进行一些严格的限制。
5、应急响应—构建“预防-主动”型的应急响应体系
自1月20日国务院确认此次新冠疫情为乙类传染病,按甲类管理以来,从上到下,各地迅速启动了突发公共卫生事件应急响应。这些响应措施都可以在《国家突发公共卫生事件应急预案》找到,因此,科学而详实的预案在安全事件响应中也是非常重要的,可以在关键时间科学有效的配置资源。
在网络安全领域,做好网络安全事件应急处置是网络安全管理工作的底线。重大安全事件从发生到扩散时间相对较短,因此自动化且精准的执行相关预案是快速应对安全事件的关键。
可以从以下几点,优化重大突发网络安全事件应急机制,构建“预防-主动”型的应急响应体系:
形成网信和公安部门牵头,多部门协同的联防联控预警应急、监测和防控体系;
加强重大突发网络安全事件预案研究,面对重大网络安全事件时应及时组织专家研判,在“内部知情期”制定科学合理的防控预案;
形成关键基础设施运营单位、科研院所与网络安全服务机构间信息、资源共享的联动机制,理顺新发安全事件上报、确诊和发布的流程;
建立重大突发网络安全事件次生灾害研判和应对体系。组织全国甚至全世界网络安全相关领域专家研究专门的优化措施,构建高效务实的次生灾害应对体系。
6、加强管理—完善重大网络安全事件应急防控机制
网络安全事件的应急处置与疫情防控相似,同样是在非常时期、特殊环境、特定条件下的非常行动,必须严格依法实施,整合各种社会资源,协调指挥各种社会力量,科学有序开展应急处置工作,把应对网络安全突发事件的代价降到最低限度。在对网络安全事件进行应急处置的同时,应总结经验、吸取教训,统筹考虑网络空间治理、综合保障、信息传播、技术支撑、新技术研发、后续支持,兼顾局部与整体、短期与长期,完善重大网络安全事件应急防控机制,进一步健全国家网络安全应急管理体系。
准确把握网络病毒、攻击等安全事件扩散的特点,完善国家网络空间治理机制;
提升技术人员匹配和应急响应能力,完善网络安全防控综合保障机制;
建立高效、公开、客观的信息渠道,完善网络安全事件上报机制;
充分运用最新技术及网络安全工具,完善网络安全防控技术支撑机制;
客观评估网络事件造成的损失与风险,完善网络安全防控后恢复机制;
推进防控与研判相结合,完善网络安全防控技术研发机制。
结语
无论是网络安全还是疫情防控,是人、管理、技术的结合体,是体系化。网络安全也需要建立网络安全组织体系、纵深防御体系、管理体系、运营体系、应急体系,用体系保障网络安全工作的顺利开展。