1. 引言
結合中共中央辦公廳《黨委(黨組)網絡安全工作責任制實施辦法》、公安部網絡安全等級保護制度和關鍵信息基礎設施安全保護制度等要求,在“沒有網絡安全就沒有國家安全”的高度指引下,“十四五”期間,為協助工業企業開展體系化防護堡壘建設,本文提出安全運營概念,從內涵解釋、體系建設、度量三個方面闡述工業企業安全建設的基本動作。
2. 安全運營內涵
安全運營是什么?能達到什么樣的作用?業內安全運營概念是較多的,但脫離于業務的獨立運營,為了“安全而安全”的做法是不可取的。安全運營應該以關鍵核心業務和重要數據為中心,在用戶和專業安全產商的共同協作下開展的體系化建設。因此安全運營應該是 “為了保護企業重要業務系統(含工業系統)和數據資產,引入運營管理理念,將安全管理工作融入到企業日常經營活動中,基于安全戰略目標,形成從安全建設到后續運行,始終能保證安全措施的全面覆蓋和有效的持續迭代優化的過程”。其各要素內涵如下:
為什么要做安全運營?可以從對外和對內兩個層面去理解。
2.1 對外
能加快響應上游網絡安全監管單位,形成監管有要求、企業有落實、結果有反饋的機制。
能加快融入國家、省、企業三級協同的工業互聯網安全技術保障體系中。
2.2 對內
有效避免目前“先建系統,后補安全”,安全建設片面化,無體系的問題。
有效避免目前“重前期建設,輕后期運行”的問題。
能度量安全措施的有效性,能保證安全質量和滿意度始終保持在合理區間。
利用PDCA循環,反饋和改進安全防護措施,形成動態防御機制。
3. 安全運營體系建設
安全運營體系是龐大而宏觀的,需要涉及方方面面的內容。其建設過程中應該要遵循四條原則,一是管理模式本土化,二是嚴格落實網絡安全責任制,三是抓好基礎建設,四是堅持體系化建設思維。
此外,文章用“3+1”模式提出安全運營體系建設的基本方法,其中“3”表示安全管理、安全技術防護、安全數據分析;“1”表示一個安全運營中心。
3.1 安全管理
網絡安全建設歷來都有著“七分管理、三分技術”的內涵,落實網絡安全管理工作是網絡安全建設中極其重要的一環。網絡安全管理涉及范圍廣、內容多,建設時應該在吸收國外成功經驗基礎上(ISO/IEC27000系列標準),結合我國實際(等級保護2.0管理要求),推進管理模式的本土化。具體可劃分為三方面內容,即網絡安全責任制、網絡安全管理制度和網絡安全意識,其中網絡安全責任制落實是重要的主線建設內容。
在實際操作中網絡安全責任制應該加快落實,應按照《黨委(黨組)網絡安全工作責任制實施辦法》明確本單位的網絡安全工作責任,其中黨委主要負責人履行網絡安全第一責任。此外,企業應組織建立網絡安全和信息化領導小組及其辦公室,劃分信息中心和工控系統部門的網絡安全職責,不能一股腦的把安全責任全部丟給信息中心。下面是工業企業責任制落實的參考示意:
圖一、網絡安全管理主線建設(責任制落實)
另外,需要特別注意的是工業企業的網信領導小組應該引導信息化部門和自動化部門的溝通合作,形成信息化人員懂工控業務,自動化部門懂安全,安全和業務融合發展的局面。
3.2 安全技術防護
兩化融合的推進,提高工業企業生產控制系統信息化程度的同時也引入了傳統IT存在的安全問題,如Windows操作系統漏洞、Telnet、RDP等高危服務。面對工業控制生產特殊性,天融信提出了“構建基于行為的安全保障能力”建設思路。
圖二、威脅行為示例和技術防護
以行為分析為基礎,將工業控制過程與網絡安全相結合,在保障生產過程可用性的前提下,構建基于行為的安全管控能力,針對設備、控制、網絡、應用、數據五大方面開展六個層級的建設:一是基于等保2.0和關保相關要求的工控安全基礎建設;二是云平臺安全防護(平臺);三是應用安全防護(應用);四是數據治理管控與數據安全防護(數據);五是網絡安全運營統一監管和大數據態勢分析(安全運營中心)。
3.3 安全數據分析
以“數據驅動安全”,圍繞企業各類數據,建立以數據為核心的安全分析體系,通過對工業企業內外的各項數據進行匯總關聯分析,賦能工業企業安全防護體系的建設,用數據來驅動安全,為逐步邁向安全動態防御,探索研究網絡安全智能化提供源源不斷的動力。
圖三、安全數據分析基本流程
安全數據分析基本流程分為四個部分,從數據收集、數據處理到數據分析產生安全策略供管理員作出安全決策。其中數據收集階段須著重注意數據的質量,數據分析階段將威脅分為已知威脅和未知威脅兩大類,利用告警研判、分析建模等方式,確認已知威脅行為特征;利用異常行為分析、威脅狩獵、機器學習、威脅情報等手段不斷探索發現更多的未知威脅。
在具體工具選擇上,天融信安全態勢感知平臺、安全大數據分析平臺是非常理想的選擇。天融信在26年的發展歷程中,優先于其它安全產商開展了機器學習、大數據等新技術應用于安全的研究,開發了業內知名的安全態勢感知平臺、安全大數據分析平臺等系統。安全態勢感知平臺提供安全態勢預警、事件監測等功能,安全大數據分析平臺協助產生專家知識,支撐安全態勢感知平臺的不斷優化。
3.4 安全運營中心
從組織形態的角度看,安全運營中心是安全管理的智能大腦,是幫助企業建立起堅強防護堡壘的重要組織。其應實現的功能是 “推動構建上述安全管理、安全技術防護和安全數據分析三個方面的建設,可視化展現企業安全現狀,協調處理網絡安全事件及輸出企業所需的各類專家知識”。安全運營中心的基本要素應包括人、服務、工具和策略流程四個方面。
4. 安全運營度量
安全運營度量是為了審計安全運營成果而出現的,隨著安全運營的深入,我們建議安全運營度量分為以下兩個階段、四個方面的內容。
4.1 第一階段
未違反《網絡安全法》、《數據安全法》和《個人信息保護法》等法律法規;
企業滿足等級保護2.0基本要求和關鍵信息基礎設施保護相關要求;
未發生較大以上的網絡安全事件,未被按《黨委(黨組)網絡安全工作責任制實施辦法》追責;
始終保持合理的性價比,安全質量和滿意度始終保持在合理區間。
4.2 第二階段
能夠實現安全智能化能力,即能實現安全事件主動發現、及時響應和自動處置等能力。
5. 結語
網絡安全防護體系建設是個復雜且持續的過程,用戶在建設階段需要牢牢抓住網絡安全的本質是“攻與防兩端力量的較量”這一特征,通過借鑒安全運營理念,構建起安全管理、安全技術防護、安全數據分析三位一體的網絡安全綜合治理框架。同時,天融信科技集團通過26年發展的沉淀與積累,從存在問題導向和需求導向出發,將與用戶一起從戰略的高度思考建設任務,以體系化思維共同協作開展“十四五”期間安全建設工作,為實現網絡強國的目標而努力。
