1. 引言
結(jié)合中共中央辦公廳《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》、公安部網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度等要求,在“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”的高度指引下,“十四五”期間,為協(xié)助工業(yè)企業(yè)開(kāi)展體系化防護(hù)堡壘建設(shè),本文提出安全運(yùn)營(yíng)概念,從內(nèi)涵解釋、體系建設(shè)、度量三個(gè)方面闡述工業(yè)企業(yè)安全建設(shè)的基本動(dòng)作。
2. 安全運(yùn)營(yíng)內(nèi)涵
安全運(yùn)營(yíng)是什么?能達(dá)到什么樣的作用?業(yè)內(nèi)安全運(yùn)營(yíng)概念是較多的,但脫離于業(yè)務(wù)的獨(dú)立運(yùn)營(yíng),為了“安全而安全”的做法是不可取的。安全運(yùn)營(yíng)應(yīng)該以關(guān)鍵核心業(yè)務(wù)和重要數(shù)據(jù)為中心,在用戶和專(zhuān)業(yè)安全產(chǎn)商的共同協(xié)作下開(kāi)展的體系化建設(shè)。因此安全運(yùn)營(yíng)應(yīng)該是 “為了保護(hù)企業(yè)重要業(yè)務(wù)系統(tǒng)(含工業(yè)系統(tǒng))和數(shù)據(jù)資產(chǎn),引入運(yùn)營(yíng)管理理念,將安全管理工作融入到企業(yè)日常經(jīng)營(yíng)活動(dòng)中,基于安全戰(zhàn)略目標(biāo),形成從安全建設(shè)到后續(xù)運(yùn)行,始終能保證安全措施的全面覆蓋和有效的持續(xù)迭代優(yōu)化的過(guò)程”。其各要素內(nèi)涵如下:
為什么要做安全運(yùn)營(yíng)?可以從對(duì)外和對(duì)內(nèi)兩個(gè)層面去理解。
2.1 對(duì)外
能加快響應(yīng)上游網(wǎng)絡(luò)安全監(jiān)管單位,形成監(jiān)管有要求、企業(yè)有落實(shí)、結(jié)果有反饋的機(jī)制。
能加快融入國(guó)家、省、企業(yè)三級(jí)協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障體系中。
2.2 對(duì)內(nèi)
有效避免目前“先建系統(tǒng),后補(bǔ)安全”,安全建設(shè)片面化,無(wú)體系的問(wèn)題。
有效避免目前“重前期建設(shè),輕后期運(yùn)行”的問(wèn)題。
能度量安全措施的有效性,能保證安全質(zhì)量和滿意度始終保持在合理區(qū)間。
利用PDCA循環(huán),反饋和改進(jìn)安全防護(hù)措施,形成動(dòng)態(tài)防御機(jī)制。
3. 安全運(yùn)營(yíng)體系建設(shè)
安全運(yùn)營(yíng)體系是龐大而宏觀的,需要涉及方方面面的內(nèi)容。其建設(shè)過(guò)程中應(yīng)該要遵循四條原則,一是管理模式本土化,二是嚴(yán)格落實(shí)網(wǎng)絡(luò)安全責(zé)任制,三是抓好基礎(chǔ)建設(shè),四是堅(jiān)持體系化建設(shè)思維。
此外,文章用“3+1”模式提出安全運(yùn)營(yíng)體系建設(shè)的基本方法,其中“3”表示安全管理、安全技術(shù)防護(hù)、安全數(shù)據(jù)分析;“1”表示一個(gè)安全運(yùn)營(yíng)中心。
3.1 安全管理
網(wǎng)絡(luò)安全建設(shè)歷來(lái)都有著“七分管理、三分技術(shù)”的內(nèi)涵,落實(shí)網(wǎng)絡(luò)安全管理工作是網(wǎng)絡(luò)安全建設(shè)中極其重要的一環(huán)。網(wǎng)絡(luò)安全管理涉及范圍廣、內(nèi)容多,建設(shè)時(shí)應(yīng)該在吸收國(guó)外成功經(jīng)驗(yàn)基礎(chǔ)上(ISO/IEC27000系列標(biāo)準(zhǔn)),結(jié)合我國(guó)實(shí)際(等級(jí)保護(hù)2.0管理要求),推進(jìn)管理模式的本土化。具體可劃分為三方面內(nèi)容,即網(wǎng)絡(luò)安全責(zé)任制、網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全意識(shí),其中網(wǎng)絡(luò)安全責(zé)任制落實(shí)是重要的主線建設(shè)內(nèi)容。
在實(shí)際操作中網(wǎng)絡(luò)安全責(zé)任制應(yīng)該加快落實(shí),應(yīng)按照《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》明確本單位的網(wǎng)絡(luò)安全工作責(zé)任,其中黨委主要負(fù)責(zé)人履行網(wǎng)絡(luò)安全第一責(zé)任。此外,企業(yè)應(yīng)組織建立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組及其辦公室,劃分信息中心和工控系統(tǒng)部門(mén)的網(wǎng)絡(luò)安全職責(zé),不能一股腦的把安全責(zé)任全部丟給信息中心。下面是工業(yè)企業(yè)責(zé)任制落實(shí)的參考示意:
圖一、網(wǎng)絡(luò)安全管理主線建設(shè)(責(zé)任制落實(shí))
另外,需要特別注意的是工業(yè)企業(yè)的網(wǎng)信領(lǐng)導(dǎo)小組應(yīng)該引導(dǎo)信息化部門(mén)和自動(dòng)化部門(mén)的溝通合作,形成信息化人員懂工控業(yè)務(wù),自動(dòng)化部門(mén)懂安全,安全和業(yè)務(wù)融合發(fā)展的局面。
3.2 安全技術(shù)防護(hù)
兩化融合的推進(jìn),提高工業(yè)企業(yè)生產(chǎn)控制系統(tǒng)信息化程度的同時(shí)也引入了傳統(tǒng)IT存在的安全問(wèn)題,如Windows操作系統(tǒng)漏洞、Telnet、RDP等高危服務(wù)。面對(duì)工業(yè)控制生產(chǎn)特殊性,天融信提出了“構(gòu)建基于行為的安全保障能力”建設(shè)思路。
圖二、威脅行為示例和技術(shù)防護(hù)
以行為分析為基礎(chǔ),將工業(yè)控制過(guò)程與網(wǎng)絡(luò)安全相結(jié)合,在保障生產(chǎn)過(guò)程可用性的前提下,構(gòu)建基于行為的安全管控能力,針對(duì)設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大方面開(kāi)展六個(gè)層級(jí)的建設(shè):一是基于等保2.0和關(guān)保相關(guān)要求的工控安全基礎(chǔ)建設(shè);二是云平臺(tái)安全防護(hù)(平臺(tái));三是應(yīng)用安全防護(hù)(應(yīng)用);四是數(shù)據(jù)治理管控與數(shù)據(jù)安全防護(hù)(數(shù)據(jù));五是網(wǎng)絡(luò)安全運(yùn)營(yíng)統(tǒng)一監(jiān)管和大數(shù)據(jù)態(tài)勢(shì)分析(安全運(yùn)營(yíng)中心)。
3.3 安全數(shù)據(jù)分析
以“數(shù)據(jù)驅(qū)動(dòng)安全”,圍繞企業(yè)各類(lèi)數(shù)據(jù),建立以數(shù)據(jù)為核心的安全分析體系,通過(guò)對(duì)工業(yè)企業(yè)內(nèi)外的各項(xiàng)數(shù)據(jù)進(jìn)行匯總關(guān)聯(lián)分析,賦能工業(yè)企業(yè)安全防護(hù)體系的建設(shè),用數(shù)據(jù)來(lái)驅(qū)動(dòng)安全,為逐步邁向安全動(dòng)態(tài)防御,探索研究網(wǎng)絡(luò)安全智能化提供源源不斷的動(dòng)力。
圖三、安全數(shù)據(jù)分析基本流程
安全數(shù)據(jù)分析基本流程分為四個(gè)部分,從數(shù)據(jù)收集、數(shù)據(jù)處理到數(shù)據(jù)分析產(chǎn)生安全策略供管理員作出安全決策。其中數(shù)據(jù)收集階段須著重注意數(shù)據(jù)的質(zhì)量,數(shù)據(jù)分析階段將威脅分為已知威脅和未知威脅兩大類(lèi),利用告警研判、分析建模等方式,確認(rèn)已知威脅行為特征;利用異常行為分析、威脅狩獵、機(jī)器學(xué)習(xí)、威脅情報(bào)等手段不斷探索發(fā)現(xiàn)更多的未知威脅。
在具體工具選擇上,天融信安全態(tài)勢(shì)感知平臺(tái)、安全大數(shù)據(jù)分析平臺(tái)是非常理想的選擇。天融信在26年的發(fā)展歷程中,優(yōu)先于其它安全產(chǎn)商開(kāi)展了機(jī)器學(xué)習(xí)、大數(shù)據(jù)等新技術(shù)應(yīng)用于安全的研究,開(kāi)發(fā)了業(yè)內(nèi)知名的安全態(tài)勢(shì)感知平臺(tái)、安全大數(shù)據(jù)分析平臺(tái)等系統(tǒng)。安全態(tài)勢(shì)感知平臺(tái)提供安全態(tài)勢(shì)預(yù)警、事件監(jiān)測(cè)等功能,安全大數(shù)據(jù)分析平臺(tái)協(xié)助產(chǎn)生專(zhuān)家知識(shí),支撐安全態(tài)勢(shì)感知平臺(tái)的不斷優(yōu)化。
3.4 安全運(yùn)營(yíng)中心
從組織形態(tài)的角度看,安全運(yùn)營(yíng)中心是安全管理的智能大腦,是幫助企業(yè)建立起堅(jiān)強(qiáng)防護(hù)堡壘的重要組織。其應(yīng)實(shí)現(xiàn)的功能是 “推動(dòng)構(gòu)建上述安全管理、安全技術(shù)防護(hù)和安全數(shù)據(jù)分析三個(gè)方面的建設(shè),可視化展現(xiàn)企業(yè)安全現(xiàn)狀,協(xié)調(diào)處理網(wǎng)絡(luò)安全事件及輸出企業(yè)所需的各類(lèi)專(zhuān)家知識(shí)”。安全運(yùn)營(yíng)中心的基本要素應(yīng)包括人、服務(wù)、工具和策略流程四個(gè)方面。
4. 安全運(yùn)營(yíng)度量
安全運(yùn)營(yíng)度量是為了審計(jì)安全運(yùn)營(yíng)成果而出現(xiàn)的,隨著安全運(yùn)營(yíng)的深入,我們建議安全運(yùn)營(yíng)度量分為以下兩個(gè)階段、四個(gè)方面的內(nèi)容。
4.1 第一階段
未違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī);
企業(yè)滿足等級(jí)保護(hù)2.0基本要求和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)要求;
未發(fā)生較大以上的網(wǎng)絡(luò)安全事件,未被按《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》追責(zé);
始終保持合理的性價(jià)比,安全質(zhì)量和滿意度始終保持在合理區(qū)間。
4.2 第二階段
能夠?qū)崿F(xiàn)安全智能化能力,即能實(shí)現(xiàn)安全事件主動(dòng)發(fā)現(xiàn)、及時(shí)響應(yīng)和自動(dòng)處置等能力。
5. 結(jié)語(yǔ)
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是個(gè)復(fù)雜且持續(xù)的過(guò)程,用戶在建設(shè)階段需要牢牢抓住網(wǎng)絡(luò)安全的本質(zhì)是“攻與防兩端力量的較量”這一特征,通過(guò)借鑒安全運(yùn)營(yíng)理念,構(gòu)建起安全管理、安全技術(shù)防護(hù)、安全數(shù)據(jù)分析三位一體的網(wǎng)絡(luò)安全綜合治理框架。同時(shí),天融信科技集團(tuán)通過(guò)26年發(fā)展的沉淀與積累,從存在問(wèn)題導(dǎo)向和需求導(dǎo)向出發(fā),將與用戶一起從戰(zhàn)略的高度思考建設(shè)任務(wù),以體系化思維共同協(xié)作開(kāi)展“十四五”期間安全建設(shè)工作,為實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國(guó)的目標(biāo)而努力。
