前沿 | 全面构建以网络安全监测预警为核心的全时域网络安全新服务

文│ 国家信息中心信息与网络安全部 禄凯 程浩 刘蓓

中国数字经济发展迅速,总量大、作用大、意义大。2019 年,我国数字经济规模达到 35.8 万亿元,占到 GDP 总量的 36.2%,对GDP 增长的贡献率为 67.7%,已成为驱动我国经济增长的核心关键力量。在我国数字经济高速发展的同时,网络安全形势复杂和严峻。根据国家计算机网络应急技术处理协调中心数据,我国每年遭受大量木马或僵尸程序,境外控制服务器、主机,钓鱼邮件的攻击。此外,我国持续遭受来自“方程式组织”“APT28” “蔓灵花”“海莲花”“黑店”“白金”等 30 余个境外 APT 组织的网络窃密攻击。网络安全威胁问题已经不是单一、孤立的问题,涉及各种复杂内外因背景。所以,为应对网络安全新形势,网络安全保障工作的方法、策略,需要更为全面化、系统化、专业化。

一、网络安全合规性门槛要求更高、专业性更强

随着网络安全形势发展变化,网络安全问题危害性日益突出,网络安全已经上升到国家安全层面。近年来,国家及相关监管部门颁布一系列政策文件和法律法规,从顶层设计上对网络安全工作提出明确要求。对标《网络安全法》《密码法》《数据安全法(征求意见稿)》《网络安全等级保护条例(征求意见稿)》《关键信息基础设施安全保护条例(征求意见稿)》等法律法规的要求,在信息化建设过程中,规划设计、招投标、建设验收、运行管理、优化改进等阶段的网络安全工作要求,涉及数十项基础工作,十几项技术标准,约上千条要求。当前,网络安全工作要求更高,专业性更强,层次更深,细粒度更精细。所以,各级网络安全责任主体能否落实好主体责任,履行好应尽义务,满足法律法规、政策标准要求,是做好网络安全保障工作的基本条件。

二、监测预警是当前网络安全核心技术和重要手段

1.监测预警技术的重要性

当前新的信息技术架构发生巨变,互联网技术在各行各业大范围普及,移动互联网突破了地域边界限制,物联网跨越传统信息网络产品的范畴;云计算使得系统、应用、数据以及业务服务集中化和平台化,打破了传统信息技术架构独立分散、线条化的局面。信息化技术的新发展,推动网络安全技术的新变革,网络安全保护对象由系统、应用、数据三要素,延伸到业务服务、供应链和产业生态保护,由点及面,整个网络安全保障的重点也从边界防护、部件防护的局部静态模式,向行为防护、整体防护的全局动态模式转变。网络安全监测预警工作应运而生,着力于“发现问题,解决问题”,以网络监测为基础,能够全面发现网络边界和关键区域的安全威胁;深入业务应用监测,能够精准定位应用安全问题;聚焦数据安全监测,能够保证核心数据使用有迹可循。由边界到核心,监测预警实现了网络、应用、数据全覆盖,成为发现网络问题的关键手段。

2.从 PDCA 到 MWDCAPDCA

循环模型将质量管理分为四个阶段,即Plan(计划)、Do(执行)、Check(检查)和 Act(处理),周而复始的进行,阶梯式上升。

网络安全核心工作是发现问题和解决问题,并循环演进。网络安全服务工作流程包括,发现问题(M)、预警通报(W)、响应处置(D)、监督检查(C)、持续优化(A)5 个环节。这就是MWDCA 模型。

图 1 MWDCA 模型

监测预警(MW)利用安全监测平台,建立事件库、资产库、威胁情报库,以安全监测结果为基础,识别的内外部安全风险态势,并提供多种途径及时预警通报,以便及时采取应对措施。

响应处置(D)对监测预警识别到的安全问题进行有效响应,按照处置流程执行加固整改,保障安全问题得到有效解决。

监督检查(C)对各阶段进行隐患检测、风险检查和安全测评等服务工作,提前发现潜在安全风险,并为后续优化改进提供有效输入。

持续优化(A)通过检测评估发现风险基础上,通过安全建设、安全加固、体系优化等预防性措施和保障性措施共同完善安全防护体系及保障能力,满足政策法规和监管要求的合规,达到安全水平整体上升的目标。

3. 以 MWDCA 构建网络安全服务新模式

图 2 MWDCA 新模型

在 MWDCA 网络安全模型中,监测预警、响应处置、监督检查和持续优化等工作线性循环演进,首尾呼应,层层递进,是一种有效的解决网络安全问题的手段。但是在实际工作中,网络安全工作形式复杂多变,对时效性要求高,很难完全按部就班线性地执行各项工作,而是将各项工作模块交叉协同并行,通过持续及时监测预警发现问题、反馈问题,为网络安全问题的及时响应处置,定期监督检查和长期持续优化提供核心支撑,最终帮助用户构建循环上升持久的安全保障能力。

监测预警作为网络安全新服务的核心能力,与响应处置、监督检查和持续优化能工作动态互动支撑。一是支撑响应处置工作,通过全方位、全覆盖监测,发现网络、资产安全威胁、脆弱性等问题,并以多种形式的有效预警,为响应处置工作提供详实的处置依据,提高响应处置工作的效率,并且对响应处置反馈结果进行重点监测,检验处置工作的效果。二是支撑监督检查工作,一方面,可将日常监测发现的问题网络区域、业务系统、资产等信息作为监督检查工作的重点,深入开展渗透测试、漏洞扫描、基线核查、上线检测、等保测评和密码测评等工作;另一方面,可将监督检查结果与监测预警数据进行对比验证,优化完善监测预警能力。三是支撑持续优化工作,将全生命周期监测发现的风险隐患,以及各阶段输出的成果作为依据,深度剖析面临的安全威胁、脆弱性、合规性等问题,从技术、管理、制度等方面,进行有计划、有重点的持续优化完善,同时对监测预警能力进行不断迭代,周而复始、循序渐进、动态地提升网络安全保障能力。

三、构建全时域网络安全新服务

图 3 全时域服务体系

全时域网络安全服务,是以国家网络安全法律法规为依据,网络安全各阶段工作需求为基础,提供以监测预警为核心的响应处置、监督检查和持续优化等技术服务,实现全时、全域、融合的动态网络安全保障服务体系。

在法律法规方面,深入研究法律法规的要求,梳理网络安全法、密码法、数据安全法、个人信息保护法、等级保护条例、关基保护条例等法律法规要求,分阶段按要求梳理基础工作,细化上千项具体要求,形成法律法规准线,覆盖“全域”要求。

在工作阶段方面,依据法律法规准线对标对表,帮助网络安全责任主体单位,分析、明确、细化信息化建设运行的规划、设计、建设、运行、优化全生命周期网络安全需求,满足“全时”要求。

在技术手段方面,根据信息化建设全生命周期各阶段的网络安全的具体要求,集成监测、预警、处置、优化、监督等技术服务手段,提供专业的技术服务团队和多种服务形式,帮助用户单位落实好法律法规要求,构建“网络安全服务体系”。

图 4 全时域服务框架

全时域网络安全新服务,按照网络安全法律法规的要求,以及网络安全工作各个阶段的实际需求,将监测预警、响应处置、监督检查和持续优化四大技术服务手段,细化为数十项服务科目,各服务科目深入聚焦具体法律法规条款和各阶段安全需求点,通过有机融合,共同构成完整的全时域网络安全新服务框架,充分保证了网络安全保障能力的有效性和全面性。

四、构建全时域网络安全新服务的价值和意义

1. 统分结合讲究实效

全时域网络安全新服务,遵循合规性、连续性、主动性、保密性等原则,统分结合,全面有效。总体上统筹安排,将网络安全环节工作通盘考虑,统一规划、设计、实施,构建网络全网全域的一站式集成化安全服务体系。服务落地阶段分段实施,按照信息化建设全生命周期安全需求,落实 4 项服务主线,提供专业、细致、有效的服务内容,以及高价值的成果输出。服务过程中实时反馈,将各阶段的输出成果及时反馈给用户方,并作为后续阶段的输入,为用户安全决策提供支持。

2. 多层次集约化安全服务保障能力

全时域网络安全新服务以网络安全法律法规、等级保护和关键信息基础设施保护等要求为依据,以能够有效抵御有组织的攻击为尺度,以数据不泄露、业务不中断为底线,以监测预警、响应处置、监督检查和持续优化为服务主线,并结合安全建设现状,提供多层次精细化的服务能力,构建全网、全域、全业务的一站式集成化安全服务体系,全面掌握整体安全态势,提升网络安全保障能力。

3.全面构建网络安全大服务

全时域网络安全保障服务作为应对复杂的网络安全形势和日趋严格的监管要求的重要手段,应重点强调有效性和全面性。一方面,突出有效性,融合多源技术能力和多层次人员服务能力,将安全能力落实到信息化建设全生命周期中,真正实现早发现、早解决。另一方面,要求全面性,做到法律法规全覆盖、技术标准全覆盖,将法律法规、技术标准要求落实到网络安全各个阶段的工作中,以满足日益严格的监管要求。

(本文刊登于《中国信息安全》杂志2021年第5期)

标签: