全國咨詢熱線:010-67877741/42/43

數字安全免疫力:“關基”企業(yè)構建安全體系的通關攻略

發(fā)布時間:2023-06-16 10:42:00 人氣:314 來源:中國安全防范產品行業(yè)協會

  2023年5月1日起,《信息安全技術 關鍵信息基礎設施安全保護要求》(以下簡稱《關基保護要求》)正式實施,這是關鍵信息基礎設施安全保護相關的首個國家標準。相對于2021年9月1日起實施的《關鍵信息基礎設施安全保護條例》,《關基保護要求》更加具體而詳盡、方法更具實操性、安全保護標準更嚴格,對于“關基”企業(yè)提出了更高要求。
  《關基保護要求》的正式實施是企業(yè)安全的全面升級,特別是提出了以風險管理為導向的動態(tài)防護、以信息共享為基礎的協同聯防等兩個升級的安全保護基本原則,以及包括分析識別、監(jiān)測預警、主動防御等6大方面111條安全要求,對于“關基”企業(yè)來說是全方面的要求、對于首席網絡安全官則是全方位的挑戰(zhàn)。

  2023年6月13日,由IDC、《中國信息安全》雜志社、CIO 時代、新基建創(chuàng)新研究院、騰訊安全、騰訊研究院等多家權威機構共同發(fā)起的“數字安全免疫力研討論壇”上,IDC與騰訊聯合發(fā)布了《加強數字安全免疫力,促進數字化時代下的韌性發(fā)展》白皮書暨數字安全免疫力模型,或能為“關基”企業(yè)的安全建設提供系統(tǒng)化的通關攻略。
  關基安全刻不容緩
  根據《關鍵信息基礎設施確定指南(試行)》,關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng),且這些系統(tǒng)一旦發(fā)生網絡安全事故,會影響行業(yè)正常運行,對經濟、社會、環(huán)境等造成嚴重損失。關鍵信息基礎設施包括了網站類、平臺類、生產業(yè)務類等三大類,特別是生產業(yè)務類中包括規(guī)模超過1500個標準機架的數據中心等。
  關鍵信息基礎設施是兩化融合和數實融合大趨勢下出現的“新基建”:一方面是傳統(tǒng)的能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的關鍵基礎設施數字化轉型的成果,也就是數字化的傳統(tǒng)關鍵基礎設施;另一方面是公共通信和信息服務、具有重大影響力的網站、電子商務和交易等數字平臺、大型數據中心、云計算平臺、工業(yè)控制系統(tǒng)等新型數字基礎設施。
  近年來頻發(fā)的關鍵信息基礎設施安全問題,已經對社會生產生活產生了巨大影響,例如:美國佛羅里達州公共衛(wèi)生系統(tǒng)遭受大規(guī)模數據泄露、超過130萬人受到影響;沃達豐葡萄牙公司遭受惡意網絡攻擊,4G和5G網絡被摧毀,固話、電視、短信、語音等服務癱瘓……
  網絡 安全帶來的損失也日益嚴重:勒索攻擊損失從早期幾百美元升級到如今百萬美元級別,平均數據泄露成本飆升高達440萬美元,網絡犯罪預計在2023年將給全世界造成8萬億美元的損失……2023年是Wannacry六周年,騰訊安全、騰訊標準專家團隊參編的《勒索軟件防護發(fā)展報告》卻發(fā)現,六年間勒索病毒不減反增。
  在另一方面,國家對于關鍵信息基礎設施的安全要求不斷升級?!毒W絡安全法》、《關鍵信息基礎設施安全保護條例》、《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》《數據安全法》等法律法規(guī)和政策文件相繼出臺,而《信息安全技術 關鍵信息基礎設施安全保護要求》是關鍵信息基礎設施安全保護標準體系中7個核心標準之一,也是首個實施的標準。
  對“關基”企業(yè)來說,在日益健全的法規(guī)框架下,監(jiān)管將更加嚴格,安全責任也更加重大,而在出現安全事件后,面臨的潛在處罰將更加嚴厲。
  關基安全面臨前所未有的挑戰(zhàn)
  關鍵信息基礎設施是關鍵基礎設施數字化轉型的產物,也是兩化融合、數實融合的成果,面對日新月異的數字化轉型、兩化融合、數字融合等進程,以及業(yè)務數字化和產業(yè)數字化的不斷進展,傳統(tǒng)安全范式正在失效,關基安全面臨著前所未有的挑戰(zhàn)。
  傳統(tǒng)行業(yè)采用物聯網設備進行數字化轉型,通常無法直接升級或者更新組件,這意味著任何已知的漏洞可能會一直存在,并得不到修復,很容易成為攻擊的目標。而工業(yè)物聯網設備往往沒有用戶交互界面,多個供應商的組件共存,不僅很難對設備進行現場維護,每個供應商都可能在供應鏈中存在漏洞或者問題,從而放大了被攻擊的概率。
  其次,傳統(tǒng)企業(yè)在數字化進程中,從專有網絡轉向SaaS產業(yè)互聯網,導致被攻擊面增大。傳統(tǒng)“關基”企業(yè)往往是大規(guī)模的復合組織,包含眾多成員單位,甚至包括了全產業(yè)鏈企業(yè),因此各種數字化門類產品非常多,包含了經營管理類的所有業(yè)務系統(tǒng)、日常生產等信息系統(tǒng)。而傳統(tǒng)經營管理和業(yè)務系統(tǒng),往往都是分階段、分時間、分批建設,每階段、每批建設的供應商都各不相同,導致傳統(tǒng)網絡安全以專有網絡相互隔離為主。
  在傳統(tǒng)“關基”企業(yè)數字化轉型的過程中,一方面是內部管理和生產運營的數字化,另一方面通過數字平臺開拓新的產業(yè)互聯網業(yè)務,這要求傳統(tǒng)“關基”企業(yè)要打通內外部網絡,向外界開放內部業(yè)務流程,甚至還要打開企業(yè)邊界、跨界引入其它行業(yè)的業(yè)務,從而打開第二增長曲線。而在這個過程中,從專有網絡向互聯網的大范圍過渡,就不可避免。
  特別是隨著云原生技術和DevOps等的大范圍采用,傳統(tǒng)“關基”企業(yè)的生產網、辦公網兩網隔離,處理網絡安全問題時斷開網絡、系統(tǒng)下線等措施,都不能適應云原生和DevOps的要求。因此,傳統(tǒng)“關基”企業(yè)向產業(yè)互聯網轉型,一方面造成被攻擊面加大,另一方面?zhèn)鹘y(tǒng)的隔離管理也無法適應敏捷迭代開發(fā)的要求。
  關基安全工作復雜、多變、動態(tài),傳統(tǒng)安全范式失效,必須尋找新的安全范式。
  數字安全免疫力:關基安全通關攻略
  隨著云計算、大數據、AI、物聯網、區(qū)塊鏈等技術的飛速進步,“關基”企業(yè)數字化體系的邊界在不斷拓展,創(chuàng)新活動成為常態(tài)。盡管很多“關基”企業(yè)已經開展安全建設,但面對來自數據、業(yè)務等維度的新挑戰(zhàn),“關基”企業(yè)的安全應對能力仍顯疲態(tài)。
  《加強數字安全免疫力,促進數字化時代下的韌性發(fā)展》白皮書(以下簡稱:白皮書)認為,企業(yè)應從傳統(tǒng)的基于攻防和事件的被動安全模式,轉變?yōu)槊嫦蛭磥聿渴鸷推髽I(yè)長遠發(fā)展的安全模式,構建起全面的、基于風險與合規(guī)的安全體系,建立前瞻性的安全理念,從治已病發(fā)展為治未病,并在面臨多維威脅時,可以更加及時地啟動體系化的抵抗和防御機制,有效應對基礎設施、網絡、數據、業(yè)務以及管理領域的組合攻擊行為。

 ?。v訊安全&IDC《數字安全免疫力白皮書》)
  所謂數字安全免疫力,包括了先天性免疫力和適應性免疫力兩大部分。對于企業(yè)而言,安全文化和意識構成了先天性數字免疫力,包括領導層對企業(yè)安全以及相關法規(guī)的了解和重視、員工對用戶信息/網絡安全的意識,以及包括企業(yè)的IT 發(fā)展狀態(tài)和數字化進度和企業(yè)安全組織架構、戰(zhàn)略和資源情況在內的安全能力整體狀態(tài)。良好的先天性數字安全免疫力可以幫助企業(yè)規(guī)避諸多風險,全面穩(wěn)定持續(xù)地守衛(wèi)企業(yè)的健康。
  適應性免疫力則通過更具針對性的主動防御,建立起更深度的保護機制。適應性數字安全免疫力是針對高度具體的攻擊所形成的防線,在企業(yè)在先天免疫系統(tǒng)的基礎上,通過對安全威脅開展針對性地分析、洞察和應對,形成面向不同威脅要素的、組合式的防御能力。
  IDC認為,與傳統(tǒng)的安全理念不同,數字安全免疫力更加強調前置投入,將安全要素融入至企業(yè)的戰(zhàn)略、管理、運營流程中,打通平臺、技術、能力等層面的壁壘,強調動態(tài)、輕量、實時的反應能力,可以一定程度上實現自主性地容錯、糾錯和升級,最終實現三大目標:全面提升抗風險能力,構筑企業(yè)數字化韌性;保障業(yè)務運營和創(chuàng)新,提升企業(yè)商業(yè)競爭力;賦能生態(tài)發(fā)展,提升企業(yè)行業(yè)領導力。
  【全文總結】《關基保護要求》的正式實施是整個網絡安全產業(yè)的全面升級,也是關鍵信息基礎設施企業(yè)安全保護的戰(zhàn)略升級。關鍵信息基礎設施安全從此進入了一個全新的時代,即以風險管理為導向、以信息共享為基礎、以關鍵業(yè)務為核心的數字安全免疫力體系。數字安全免疫力及其模型可作為關鍵信息基礎設施企業(yè)的安全體系建設通關攻略,幫助首席網絡安全官們更加自信地應對百年未有之大挑戰(zhàn),實現企業(yè)的可持續(xù)健康和高質量發(fā)展。
聯系我們
聯系方式

熱線電話

13910555092

上班時間

周一到周五

公司電話

010-67877741/42/43

二維碼