两化融合下的安全运营探索
2021-08-28
来源:网络安全应急技术国家工程实验室
1. 引言
结合中共中央办公厅《党委(党组)网络安全工作责任制实施办法》、公安部网络安全等级保护制度和关键信息基础设施安全保护制度等要求,在“没有网络安全就没有国家安全”的高度指引下,“十四五”期间,为协助工业企业开展体系化防护堡垒建设,本文提出安全运营概念,从内涵解释、体系建设、度量三个方面阐述工业企业安全建设的基本动作。
2. 安全运营内涵
安全运营是什么?能达到什么样的作用?业内安全运营概念是较多的,但脱离于业务的独立运营,为了“安全而安全”的做法是不可取的。安全运营应该以关键核心业务和重要数据为中心,在用户和专业安全产商的共同协作下开展的体系化建设。因此安全运营应该是 “为了保护企业重要业务系统(含工业系统)和数据资产,引入运营管理理念,将安全管理工作融入到企业日常经营活动中,基于安全战略目标,形成从安全建设到后续运行,始终能保证安全措施的全面覆盖和有效的持续迭代优化的过程”。其各要素内涵如下:
为什么要做安全运营?可以从对外和对内两个层面去理解。
2.1 对外
能加快响应上游网络安全监管单位,形成监管有要求、企业有落实、结果有反馈的机制。
能加快融入国家、省、企业三级协同的工业互联网安全技术保障体系中。
2.2 对内
有效避免目前“先建系统,后补安全”,安全建设片面化,无体系的问题。
有效避免目前“重前期建设,轻后期运行”的问题。
能度量安全措施的有效性,能保证安全质量和满意度始终保持在合理区间。
利用PDCA循环,反馈和改进安全防护措施,形成动态防御机制。
3. 安全运营体系建设
安全运营体系是庞大而宏观的,需要涉及方方面面的内容。其建设过程中应该要遵循四条原则,一是管理模式本土化,二是严格落实网络安全责任制,三是抓好基础建设,四是坚持体系化建设思维。
此外,文章用“3+1”模式提出安全运营体系建设的基本方法,其中“3”表示安全管理、安全技术防护、安全数据分析;“1”表示一个安全运营中心。
3.1 安全管理
网络安全建设历来都有着“七分管理、三分技术”的内涵,落实网络安全管理工作是网络安全建设中极其重要的一环。网络安全管理涉及范围广、内容多,建设时应该在吸收国外成功经验基础上(ISO/IEC27000系列标准),结合我国实际(等级保护2.0管理要求),推进管理模式的本土化。具体可划分为三方面内容,即网络安全责任制、网络安全管理制度和网络安全意识,其中网络安全责任制落实是重要的主线建设内容。
在实际操作中网络安全责任制应该加快落实,应按照《党委(党组)网络安全工作责任制实施办法》明确本单位的网络安全工作责任,其中党委主要负责人履行网络安全第一责任。此外,企业应组织建立网络安全和信息化领导小组及其办公室,划分信息中心和工控系统部门的网络安全职责,不能一股脑的把安全责任全部丢给信息中心。下面是工业企业责任制落实的参考示意:
图一、网络安全管理主线建设(责任制落实)
另外,需要特别注意的是工业企业的网信领导小组应该引导信息化部门和自动化部门的沟通合作,形成信息化人员懂工控业务,自动化部门懂安全,安全和业务融合发展的局面。
3.2 安全技术防护
两化融合的推进,提高工业企业生产控制系统信息化程度的同时也引入了传统IT存在的安全问题,如Windows操作系统漏洞、Telnet、RDP等高危服务。面对工业控制生产特殊性,天融信提出了“构建基于行为的安全保障能力”建设思路。
图二、威胁行为示例和技术防护
以行为分析为基础,将工业控制过程与网络安全相结合,在保障生产过程可用性的前提下,构建基于行为的安全管控能力,针对设备、控制、网络、应用、数据五大方面开展六个层级的建设:一是基于等保2.0和关保相关要求的工控安全基础建设;二是云平台安全防护(平台);三是应用安全防护(应用);四是数据治理管控与数据安全防护(数据);五是网络安全运营统一监管和大数据态势分析(安全运营中心)。
3.3 安全数据分析
以“数据驱动安全”,围绕企业各类数据,建立以数据为核心的安全分析体系,通过对工业企业内外的各项数据进行汇总关联分析,赋能工业企业安全防护体系的建设,用数据来驱动安全,为逐步迈向安全动态防御,探索研究网络安全智能化提供源源不断的动力。
图三、安全数据分析基本流程
安全数据分析基本流程分为四个部分,从数据收集、数据处理到数据分析产生安全策略供管理员作出安全决策。其中数据收集阶段须着重注意数据的质量,数据分析阶段将威胁分为已知威胁和未知威胁两大类,利用告警研判、分析建模等方式,确认已知威胁行为特征;利用异常行为分析、威胁狩猎、机器学习、威胁情报等手段不断探索发现更多的未知威胁。
在具体工具选择上,天融信安全态势感知平台、安全大数据分析平台是非常理想的选择。天融信在26年的发展历程中,优先于其它安全产商开展了机器学习、大数据等新技术应用于安全的研究,开发了业内知名的安全态势感知平台、安全大数据分析平台等系统。安全态势感知平台提供安全态势预警、事件监测等功能,安全大数据分析平台协助产生专家知识,支撑安全态势感知平台的不断优化。
3.4 安全运营中心
从组织形态的角度看,安全运营中心是安全管理的智能大脑,是帮助企业建立起坚强防护堡垒的重要组织。其应实现的功能是 “推动构建上述安全管理、安全技术防护和安全数据分析三个方面的建设,可视化展现企业安全现状,协调处理网络安全事件及输出企业所需的各类专家知识”。安全运营中心的基本要素应包括人、服务、工具和策略流程四个方面。
4. 安全运营度量
安全运营度量是为了审计安全运营成果而出现的,随着安全运营的深入,我们建议安全运营度量分为以下两个阶段、四个方面的内容。
4.1 第一阶段
未违反《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规;
企业满足等级保护2.0基本要求和关键信息基础设施保护相关要求;
未发生较大以上的网络安全事件,未被按《党委(党组)网络安全工作责任制实施办法》追责;
始终保持合理的性价比,安全质量和满意度始终保持在合理区间。
4.2 第二阶段
能够实现安全智能化能力,即能实现安全事件主动发现、及时响应和自动处置等能力。
5. 结语
网络安全防护体系建设是个复杂且持续的过程,用户在建设阶段需要牢牢抓住网络安全的本质是“攻与防两端力量的较量”这一特征,通过借鉴安全运营理念,构建起安全管理、安全技术防护、安全数据分析三位一体的网络安全综合治理框架。同时,天融信科技集团通过26年发展的沉淀与积累,从存在问题导向和需求导向出发,将与用户一起从战略的高度思考建设任务,以体系化思维共同协作开展“十四五”期间安全建设工作,为实现网络强国的目标而努力。