2023年5月1日起,《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》(以下簡稱《關(guān)基保護要求》)正式實施,這是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護相關(guān)的首個國家標準。相對于2021年9月1日起實施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,《關(guān)基保護要求》更加具體而詳盡、方法更具實操性、安全保護標準更嚴格,對于“關(guān)基”企業(yè)提出了更高要求。
《關(guān)基保護要求》的正式實施是企業(yè)安全的全面升級,特別是提出了以風險管理為導(dǎo)向的動態(tài)防護、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防等兩個升級的安全保護基本原則,以及包括分析識別、監(jiān)測預(yù)警、主動防御等6大方面111條安全要求,對于“關(guān)基”企業(yè)來說是全方面的要求、對于首席網(wǎng)絡(luò)安全官則是全方位的挑戰(zhàn)。
2023年6月13日,由IDC、《中國信息安全》雜志社、CIO 時代、新基建創(chuàng)新研究院、騰訊安全、騰訊研究院等多家權(quán)威機構(gòu)共同發(fā)起的“數(shù)字安全免疫力研討論壇”上,IDC與騰訊聯(lián)合發(fā)布了《加強數(shù)字安全免疫力,促進數(shù)字化時代下的韌性發(fā)展》白皮書暨數(shù)字安全免疫力模型,或能為“關(guān)基”企業(yè)的安全建設(shè)提供系統(tǒng)化的通關(guān)攻略。
關(guān)基安全刻不容緩
根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》,關(guān)鍵信息基礎(chǔ)設(shè)施是指面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng),且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故,會影響行業(yè)正常運行,對經(jīng)濟、社會、環(huán)境等造成嚴重損失。關(guān)鍵信息基礎(chǔ)設(shè)施包括了網(wǎng)站類、平臺類、生產(chǎn)業(yè)務(wù)類等三大類,特別是生產(chǎn)業(yè)務(wù)類中包括規(guī)模超過1500個標準機架的數(shù)據(jù)中心等。
關(guān)鍵信息基礎(chǔ)設(shè)施是兩化融合和數(shù)實融合大趨勢下出現(xiàn)的“新基建”:一方面是傳統(tǒng)的能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施數(shù)字化轉(zhuǎn)型的成果,也就是數(shù)字化的傳統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施;另一方面是公共通信和信息服務(wù)、具有重大影響力的網(wǎng)站、電子商務(wù)和交易等數(shù)字平臺、大型數(shù)據(jù)中心、云計算平臺、工業(yè)控制系統(tǒng)等新型數(shù)字基礎(chǔ)設(shè)施。
近年來頻發(fā)的關(guān)鍵信息基礎(chǔ)設(shè)施安全問題,已經(jīng)對社會生產(chǎn)生活產(chǎn)生了巨大影響,例如:美國佛羅里達州公共衛(wèi)生系統(tǒng)遭受大規(guī)模數(shù)據(jù)泄露、超過130萬人受到影響;沃達豐葡萄牙公司遭受惡意網(wǎng)絡(luò)攻擊,4G和5G網(wǎng)絡(luò)被摧毀,固話、電視、短信、語音等服務(wù)癱瘓……
網(wǎng)絡(luò)
安全帶來的損失也日益嚴重:勒索攻擊損失從早期幾百美元升級到如今百萬美元級別,平均數(shù)據(jù)泄露成本飆升高達440萬美元,網(wǎng)絡(luò)犯罪預(yù)計在2023年將給全世界造成8萬億美元的損失……2023年是Wannacry六周年,騰訊安全、騰訊標準專家團隊參編的《勒索軟件防護發(fā)展報告》卻發(fā)現(xiàn),六年間勒索病毒不減反增。
在另一方面,國家對于關(guān)鍵信息基礎(chǔ)設(shè)施的安全要求不斷升級?!毒W(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》《數(shù)據(jù)安全法》等法律法規(guī)和政策文件相繼出臺,而《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護標準體系中7個核心標準之一,也是首個實施的標準。
對“關(guān)基”企業(yè)來說,在日益健全的法規(guī)框架下,監(jiān)管將更加嚴格,安全責任也更加重大,而在出現(xiàn)安全事件后,面臨的潛在處罰將更加嚴厲。
關(guān)基安全面臨前所未有的挑戰(zhàn)
關(guān)鍵信息基礎(chǔ)設(shè)施是關(guān)鍵基礎(chǔ)設(shè)施數(shù)字化轉(zhuǎn)型的產(chǎn)物,也是兩化融合、數(shù)實融合的成果,面對日新月異的數(shù)字化轉(zhuǎn)型、兩化融合、數(shù)字融合等進程,以及業(yè)務(wù)數(shù)字化和產(chǎn)業(yè)數(shù)字化的不斷進展,傳統(tǒng)安全范式正在失效,關(guān)基安全面臨著前所未有的挑戰(zhàn)。
傳統(tǒng)行業(yè)采用物聯(lián)網(wǎng)設(shè)備進行數(shù)字化轉(zhuǎn)型,通常無法直接升級或者更新組件,這意味著任何已知的漏洞可能會一直存在,并得不到修復(fù),很容易成為攻擊的目標。而工業(yè)物聯(lián)網(wǎng)設(shè)備往往沒有用戶交互界面,多個供應(yīng)商的組件共存,不僅很難對設(shè)備進行現(xiàn)場維護,每個供應(yīng)商都可能在供應(yīng)鏈中存在漏洞或者問題,從而放大了被攻擊的概率。
其次,傳統(tǒng)企業(yè)在數(shù)字化進程中,從專有網(wǎng)絡(luò)轉(zhuǎn)向SaaS產(chǎn)業(yè)互聯(lián)網(wǎng),導(dǎo)致被攻擊面增大。傳統(tǒng)“關(guān)基”企業(yè)往往是大規(guī)模的復(fù)合組織,包含眾多成員單位,甚至包括了全產(chǎn)業(yè)鏈企業(yè),因此各種數(shù)字化門類產(chǎn)品非常多,包含了經(jīng)營管理類的所有業(yè)務(wù)系統(tǒng)、日常生產(chǎn)等信息系統(tǒng)。而傳統(tǒng)經(jīng)營管理和業(yè)務(wù)系統(tǒng),往往都是分階段、分時間、分批建設(shè),每階段、每批建設(shè)的供應(yīng)商都各不相同,導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)安全以專有網(wǎng)絡(luò)相互隔離為主。
在傳統(tǒng)“關(guān)基”企業(yè)數(shù)字化轉(zhuǎn)型的過程中,一方面是內(nèi)部管理和生產(chǎn)運營的數(shù)字化,另一方面通過數(shù)字平臺開拓新的產(chǎn)業(yè)互聯(lián)網(wǎng)業(yè)務(wù),這要求傳統(tǒng)“關(guān)基”企業(yè)要打通內(nèi)外部網(wǎng)絡(luò),向外界開放內(nèi)部業(yè)務(wù)流程,甚至還要打開企業(yè)邊界、跨界引入其它行業(yè)的業(yè)務(wù),從而打開第二增長曲線。而在這個過程中,從專有網(wǎng)絡(luò)向互聯(lián)網(wǎng)的大范圍過渡,就不可避免。
特別是隨著云原生技術(shù)和DevOps等的大范圍采用,傳統(tǒng)“關(guān)基”企業(yè)的生產(chǎn)網(wǎng)、辦公網(wǎng)兩網(wǎng)隔離,處理網(wǎng)絡(luò)安全問題時斷開網(wǎng)絡(luò)、系統(tǒng)下線等措施,都不能適應(yīng)云原生和DevOps的要求。因此,傳統(tǒng)“關(guān)基”企業(yè)向產(chǎn)業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型,一方面造成被攻擊面加大,另一方面?zhèn)鹘y(tǒng)的隔離管理也無法適應(yīng)敏捷迭代開發(fā)的要求。
關(guān)基安全工作復(fù)雜、多變、動態(tài),傳統(tǒng)安全范式失效,必須尋找新的安全范式。
數(shù)字安全免疫力:關(guān)基安全通關(guān)攻略
隨著云計算、大數(shù)據(jù)、AI、物聯(lián)網(wǎng)、區(qū)塊鏈等技術(shù)的飛速進步,“關(guān)基”企業(yè)數(shù)字化體系的邊界在不斷拓展,創(chuàng)新活動成為常態(tài)。盡管很多“關(guān)基”企業(yè)已經(jīng)開展安全建設(shè),但面對來自數(shù)據(jù)、業(yè)務(wù)等維度的新挑戰(zhàn),“關(guān)基”企業(yè)的安全應(yīng)對能力仍顯疲態(tài)。
《加強數(shù)字安全免疫力,促進數(shù)字化時代下的韌性發(fā)展》白皮書(以下簡稱:白皮書)認為,企業(yè)應(yīng)從傳統(tǒng)的基于攻防和事件的被動安全模式,轉(zhuǎn)變?yōu)槊嫦蛭磥聿渴鸷推髽I(yè)長遠發(fā)展的安全模式,構(gòu)建起全面的、基于風險與合規(guī)的安全體系,建立前瞻性的安全理念,從治已病發(fā)展為治未病,并在面臨多維威脅時,可以更加及時地啟動體系化的抵抗和防御機制,有效應(yīng)對基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、數(shù)據(jù)、業(yè)務(wù)以及管理領(lǐng)域的組合攻擊行為。
?。v訊安全&IDC《數(shù)字安全免疫力白皮書》)
所謂數(shù)字安全免疫力,包括了先天性免疫力和適應(yīng)性免疫力兩大部分。對于企業(yè)而言,安全文化和意識構(gòu)成了先天性數(shù)字免疫力,包括領(lǐng)導(dǎo)層對企業(yè)安全以及相關(guān)法規(guī)的了解和重視、員工對用戶信息/網(wǎng)絡(luò)安全的意識,以及包括企業(yè)的IT 發(fā)展狀態(tài)和數(shù)字化進度和企業(yè)安全組織架構(gòu)、戰(zhàn)略和資源情況在內(nèi)的安全能力整體狀態(tài)。良好的先天性數(shù)字安全免疫力可以幫助企業(yè)規(guī)避諸多風險,全面穩(wěn)定持續(xù)地守衛(wèi)企業(yè)的健康。
適應(yīng)性免疫力則通過更具針對性的主動防御,建立起更深度的保護機制。適應(yīng)性數(shù)字安全免疫力是針對高度具體的攻擊所形成的防線,在企業(yè)在先天免疫系統(tǒng)的基礎(chǔ)上,通過對安全威脅開展針對性地分析、洞察和應(yīng)對,形成面向不同威脅要素的、組合式的防御能力。
IDC認為,與傳統(tǒng)的安全理念不同,數(shù)字安全免疫力更加強調(diào)前置投入,將安全要素融入至企業(yè)的戰(zhàn)略、管理、運營流程中,打通平臺、技術(shù)、能力等層面的壁壘,強調(diào)動態(tài)、輕量、實時的反應(yīng)能力,可以一定程度上實現(xiàn)自主性地容錯、糾錯和升級,最終實現(xiàn)三大目標:全面提升抗風險能力,構(gòu)筑企業(yè)數(shù)字化韌性;保障業(yè)務(wù)運營和創(chuàng)新,提升企業(yè)商業(yè)競爭力;賦能生態(tài)發(fā)展,提升企業(yè)行業(yè)領(lǐng)導(dǎo)力。
【全文總結(jié)】《關(guān)基保護要求》的正式實施是整個網(wǎng)絡(luò)安全產(chǎn)業(yè)的全面升級,也是關(guān)鍵信息基礎(chǔ)設(shè)施企業(yè)安全保護的戰(zhàn)略升級。關(guān)鍵信息基礎(chǔ)設(shè)施安全從此進入了一個全新的時代,即以風險管理為導(dǎo)向、以信息共享為基礎(chǔ)、以關(guān)鍵業(yè)務(wù)為核心的數(shù)字安全免疫力體系。數(shù)字安全免疫力及其模型可作為關(guān)鍵信息基礎(chǔ)設(shè)施企業(yè)的安全體系建設(shè)通關(guān)攻略,幫助首席網(wǎng)絡(luò)安全官們更加自信地應(yīng)對百年未有之大挑戰(zhàn),實現(xiàn)企業(yè)的可持續(xù)健康和高質(zhì)量發(fā)展。