中國數字經濟發展迅速,總量大、作用大、意義大。2019 年,我國數字經濟規模達到 35.8 萬億元,占到 GDP 總量的 36.2%,對GDP 增長的貢獻率為 67.7%,已成為驅動我國經濟增長的核心關鍵力量。在我國數字經濟高速發展的同時,網絡安全形勢復雜和嚴峻。根據國家計算機網絡應急技術處理協調中心數據,我國每年遭受大量木馬或僵尸程序,境外控制服務器、主機,釣魚郵件的攻擊。此外,我國持續遭受來自“方程式組織”“APT28” “蔓靈花”“海蓮花”“黑店”“白金”等 30 余個境外 APT 組織的網絡竊密攻擊。網絡安全威脅問題已經不是單一、孤立的問題,涉及各種復雜內外因背景。所以,為應對網絡安全新形勢,網絡安全保障工作的方法、策略,需要更為全面化、系統化、專業化。
一、網絡安全合規性門檻要求更高、專業性更強
隨著網絡安全形勢發展變化,網絡安全問題危害性日益突出,網絡安全已經上升到國家安全層面。近年來,國家及相關監管部門頒布一系列政策文件和法律法規,從頂層設計上對網絡安全工作提出明確要求。對標《網絡安全法》《密碼法》《數據安全法(征求意見稿)》《網絡安全等級保護條例(征求意見稿)》《關鍵信息基礎設施安全保護條例(征求意見稿)》等法律法規的要求,在信息化建設過程中,規劃設計、招投標、建設驗收、運行管理、優化改進等階段的網絡安全工作要求,涉及數十項基礎工作,十幾項技術標準,約上千條要求。當前,網絡安全工作要求更高,專業性更強,層次更深,細粒度更精細。所以,各級網絡安全責任主體能否落實好主體責任,履行好應盡義務,滿足法律法規、政策標準要求,是做好網絡安全保障工作的基本條件。
二、監測預警是當前網絡安全核心技術和重要手段
1. 監測預警技術的重要性
當前新的信息技術架構發生巨變,互聯網技術在各行各業大范圍普及,移動互聯網突破了地域邊界限制,物聯網跨越傳統信息網絡產品的范疇;云計算使得系統、應用、數據以及業務服務集中化和平臺化,打破了傳統信息技術架構獨立分散、線條化的局面。信息化技術的新發展,推動網絡安全技術的新變革,網絡安全保護對象由系統、應用、數據三要素,延伸到業務服務、供應鏈和產業生態保護,由點及面,整個網絡安全保障的重點也從邊界防護、部件防護的局部靜態模式,向行為防護、整體防護的全局動態模式轉變。網絡安全監測預警工作應運而生,著力于“發現問題,解決問題”,以網絡監測為基礎,能夠全面發現網絡邊界和關鍵區域的安全威脅;深入業務應用監測,能夠精準定位應用安全問題;聚焦數據安全監測,能夠保證核心數據使用有跡可循。由邊界到核心,監測預警實現了網絡、應用、數據全覆蓋,成為發現網絡問題的關鍵手段。
2. 從 PDCA 到 MWDCAPDCA
循環模型將質量管理分為四個階段,即Plan(計劃)、Do(執行)、Check(檢查)和 Act(處理),周而復始的進行,階梯式上升。
網絡安全核心工作是發現問題和解決問題,并循環演進。網絡安全服務工作流程包括,發現問題(M)、預警通報(W)、響應處置(D)、監督檢查(C)、持續優化(A)5 個環節。這就是MWDCA 模型。
圖 1 MWDCA 模型
監測預警(MW)利用安全監測平臺,建立事件庫、資產庫、威脅情報庫,以安全監測結果為基礎,識別的內外部安全風險態勢,并提供多種途徑及時預警通報,以便及時采取應對措施。
響應處置(D)對監測預警識別到的安全問題進行有效響應,按照處置流程執行加固整改,保障安全問題得到有效解決。
監督檢查(C)對各階段進行隱患檢測、風險檢查和安全測評等服務工作,提前發現潛在安全風險,并為后續優化改進提供有效輸入。
持續優化(A)通過檢測評估發現風險基礎上,通過安全建設、安全加固、體系優化等預防性措施和保障性措施共同完善安全防護體系及保障能力,滿足政策法規和監管要求的合規,達到安全水平整體上升的目標。
3. 以 MWDCA 構建網絡安全服務新模式
圖 2 MWDCA 新模型
在 MWDCA 網絡安全模型中,監測預警、響應處置、監督檢查和持續優化等工作線性循環演進,首尾呼應,層層遞進,是一種有效的解決網絡安全問題的手段。但是在實際工作中,網絡安全工作形式復雜多變,對時效性要求高,很難完全按部就班線性地執行各項工作,而是將各項工作模塊交叉協同并行,通過持續及時監測預警發現問題、反饋問題,為網絡安全問題的及時響應處置,定期監督檢查和長期持續優化提供核心支撐,最終幫助用戶構建循環上升持久的安全保障能力。
監測預警作為網絡安全新服務的核心能力,與響應處置、監督檢查和持續優化能工作動態互動支撐。一是支撐響應處置工作,通過全方位、全覆蓋監測,發現網絡、資產安全威脅、脆弱性等問題,并以多種形式的有效預警,為響應處置工作提供詳實的處置依據,提高響應處置工作的效率,并且對響應處置反饋結果進行重點監測,檢驗處置工作的效果。二是支撐監督檢查工作,一方面,可將日常監測發現的問題網絡區域、業務系統、資產等信息作為監督檢查工作的重點,深入開展滲透測試、漏洞掃描、基線核查、上線檢測、等保測評和密碼測評等工作;另一方面,可將監督檢查結果與監測預警數據進行對比驗證,優化完善監測預警能力。三是支撐持續優化工作,將全生命周期監測發現的風險隱患,以及各階段輸出的成果作為依據,深度剖析面臨的安全威脅、脆弱性、合規性等問題,從技術、管理、制度等方面,進行有計劃、有重點的持續優化完善,同時對監測預警能力進行不斷迭代,周而復始、循序漸進、動態地提升網絡安全保障能力。
三、構建全時域網絡安全新服務
圖 3 全時域服務體系
全時域網絡安全服務,是以國家網絡安全法律法規為依據,網絡安全各階段工作需求為基礎,提供以監測預警為核心的響應處置、監督檢查和持續優化等技術服務,實現全時、全域、融合的動態網絡安全保障服務體系。
在法律法規方面,深入研究法律法規的要求,梳理網絡安全法、密碼法、數據安全法、個人信息保護法、等級保護條例、關基保護條例等法律法規要求,分階段按要求梳理基礎工作,細化上千項具體要求,形成法律法規準線,覆蓋“全域”要求。
在工作階段方面,依據法律法規準線對標對表,幫助網絡安全責任主體單位,分析、明確、細化信息化建設運行的規劃、設計、建設、運行、優化全生命周期網絡安全需求,滿足“全時”要求。
在技術手段方面,根據信息化建設全生命周期各階段的網絡安全的具體要求,集成監測、預警、處置、優化、監督等技術服務手段,提供專業的技術服務團隊和多種服務形式,幫助用戶單位落實好法律法規要求,構建“網絡安全服務體系”。
圖 4 全時域服務框架
全時域網絡安全新服務,按照網絡安全法律法規的要求,以及網絡安全工作各個階段的實際需求,將監測預警、響應處置、監督檢查和持續優化四大技術服務手段,細化為數十項服務科目,各服務科目深入聚焦具體法律法規條款和各階段安全需求點,通過有機融合,共同構成完整的全時域網絡安全新服務框架,充分保證了網絡安全保障能力的有效性和全面性。
四、構建全時域網絡安全新服務的價值和意義
1. 統分結合講究實效
全時域網絡安全新服務,遵循合規性、連續性、主動性、保密性等原則,統分結合,全面有效。總體上統籌安排,將網絡安全環節工作通盤考慮,統一規劃、設計、實施,構建網絡全網全域的一站式集成化安全服務體系。服務落地階段分段實施,按照信息化建設全生命周期安全需求,落實 4 項服務主線,提供專業、細致、有效的服務內容,以及高價值的成果輸出。服務過程中實時反饋,將各階段的輸出成果及時反饋給用戶方,并作為后續階段的輸入,為用戶安全決策提供支持。
2. 多層次集約化安全服務保障能力
全時域網絡安全新服務以網絡安全法律法規、等級保護和關鍵信息基礎設施保護等要求為依據,以能夠有效抵御有組織的攻擊為尺度,以數據不泄露、業務不中斷為底線,以監測預警、響應處置、監督檢查和持續優化為服務主線,并結合安全建設現狀,提供多層次精細化的服務能力,構建全網、全域、全業務的一站式集成化安全服務體系,全面掌握整體安全態勢,提升網絡安全保障能力。
3. 全面構建網絡安全大服務
全時域網絡安全保障服務作為應對復雜的網絡安全形勢和日趨嚴格的監管要求的重要手段,應重點強調有效性和全面性。一方面,突出有效性,融合多源技術能力和多層次人員服務能力,將安全能力落實到信息化建設全生命周期中,真正實現早發現、早解決。另一方面,要求全面性,做到法律法規全覆蓋、技術標準全覆蓋,將法律法規、技術標準要求落實到網絡安全各個階段的工作中,以滿足日益嚴格的監管要求。
