27日,全国人大21次会议再次审议中国网络安全法,其中涉及关键信息基础设施安全的内容引人关注。长期以来,社会各界十分关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。全国人大代表也提出许多议案、建议,呼吁出台网络安全相关立法。为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,十二届全国人大常委会把制定网络安全方面的立法列入立法工作计划中。
网安法草案审议关键信息基础设施安全
十二届全国人大常委会第十五次会议初次审议《中华人民共和国网络安全法(草案)》。草案共7章68条。关于保障网络产品和服务安全,草案规定网络产品和服务提供者不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务等;关于保障网络数据安全,草案要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改;关于保障网络信息安全,草案明确了网络运营者处置违法信息的义务,赋予有关主管部门处置违法信息、阻断违法信息传播的权力。
在经过近一年的向社会公开征求意见后,十二届全国人大常委会第二十一次会议将再次审议《中华人民共和国网络安全法(草案)》。二审拟增加多项促进网络安全的支持措施,在维护网络安全的同时,促进发展。
- 一是,国家推进网络安全社会化服务体系建设,鼓励企业、机构开展网络安全认证、检测和风险评估等服务。
- 二是,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展;支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
- 三是,增加大数据应用必须对公民个人信息进行匿名化处理的规定,进一步明确公民个人信息使用规则。
6月27日十二届全国人大常委会第二十一次会议召开会议,会议听取了全国人大法律委员会副主任委员张海阳作的关于网络安全法草案修改情况的汇报。草案二审稿进一步强化国家的责任和公民、组织的义务,加强关键信息基础设施保护,协同推进网络安全与发展,切实维护国家网络主权、安全和发展利益。
针对拟加强对关键信息基础设施及其数据的安全保护,二审稿规定,国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
什么是国家关键信息基础设施
国家关键基础设施关系到国计民生的方方面面,基础设施是指为社会生产和居民生活提供公共服务的物质工程设施,是用于保证国家或地区社会经济活动正常进行的公共服务系统。它是社会赖以生存发展的一般物质条件。基础设施不仅包括公路、铁路、机场、通讯、水电煤气等公共设施,即俗称的基础建设,而且包括教育、科技、医疗卫生、体育、文化等社会事业即社会性基础设施。在互联网高度发展的今天,信息系统成为基础设施系统运行的重要支撑。一旦关键基础设施的信息系统受到破坏,将产生严重危害。因此,信息基础设施的建设、运行、维护,都需要充分考虑安全方面的因素。
美国政府在国家信息安全战略层面已经展开相关的顶层设计,以风险管理为核心,在基于生命周期和流程的框架方法指导下,将安全防护体系框架分为识别、保护、检测、响应和恢复五个层面。
- 识别是指的对关键系统进行资产识别、风险评估,并建立风险管理的策略;
- 应用相关的技术对系统进行安全防护,掌握系统的安全态势;
- 采用持续监控(CM)的模型对系统的安全进行检测,发现异常事件;
- 实时掌握系统安全状况,快速检测问题的发生、快速进行响应和恢复都需要制定相关的预案和计划;
- 对出现的安全事件进行分析、缓解,使系统恢复正常工作。对出现的安全事件进行分析,更新安全计划,并进一步提升系统的安全能力。
安全体系的建设不是静态的,需要根据威胁态势的发展来实时调整、实施相关的安全策略。与一般的信息系统安全不同,关键基础设施系统不能长时间中断运行。因此,关键信息基础设施的安全框架是应该可自适应,风险管理过程应该更有预测性,而非响应式。
美国政府示范先行 延伸到重要基础设施领域
美国由于大量的重要基础设施(如交通,电力,供水,通信)是私营企业,企业讲究收益,政府无法强制,因此,美国发布了提升关键基础设施网络空间安全框架《Framework for Improving Critical Infrastructure Cybersecurity》,将政府的优秀经验,提供给企业。同时,DHS通过CMaaS的延伸,开发了免费的云扫描服务给企业使用,称为国家网络安全评估和技术服务National Cybersecurity Assessment and Technical Services (NCATS) 项目,协助企业提升自身的安全水平。政府通过示范效应,产业提倡,免费服务,奖惩激励等手段,尤其是通过红蓝对抗方式模拟演练,协助企业查找自身弱点,有针对性的建设。
提升关键基础设施网络空间安全框架
该框架强调用业务驱动引导网络安全活动,将网络安全风险作为组织风险管理流程的一部分。框架包括三个部分:框架核心(Framework Core)、框架对齐结果(Framework Profile)及框架执行层级(Framework Implementation Tiers)。框架核心包括网络安全活动、结果以及关键基础设施领域内常见的参考文献,为各组织拟定对齐结果提供具体指导。通过使用对齐结果,组织可协调网络安全活动,使之与业务需求、风险容忍度及资源相匹配。框架执行层级是一种机制。利用这种机制,组织可审视并了解自身的网络安全风险管理特点。
对于各种规模的组织、不同程度的网络安全风险以及网络安全形势,该框架都能提供风险管理原则和最佳实践,使其提升关键基础设施的安全与弹性。框架整合了当今业界普遍有效的标准、指南以及实践,为当今各种网络安全方法提供了大纲与架构。此外,框架引用了国际认可的网络安全标准,对海外组织也适用,国际合作亦可以此为指导增强关键基础设施的网络安全。
编者注:为了便于大家深入了解该框架内容,“安全加”社区小蜜蜂公益译文项目将该框架文本译为中文,文档下载请点击这里
有中国特色的态势感知防护体系
习近平主席明确提出“没有网络安全就没有国家安全”。网络安全成为国家安全的核心范畴。从上述研究美国的安全建设可以看出,美国网络空间感知防护项目建设是高层挂帅,有体系,有规划的进行,同时采用绩效考核等手段来进行网络空间安全治理工作。
目前已经进入深入和优化期,与之相比,我国还存在较大差距,需要迎头赶上。另一方面,我国也存在后发优势,在建设我国的网络空间态势感知预警防护体系时,可以采用新的技术,新方法,避免美国在建设中的误区。
因此,为了落实习主席的要求,建设有中国特色的态势感知防护体系,需要从战略层面高度重视,顶层设计,分步实施。
- 落实网络安全法,明确执法主体,建设主体,监督审核主体,加强网络空间态势感知的技术标准化。消除当前多头管理,各自为战的情况,加强统一领导建设,和标准化建设,激励奖惩等手段,奖励最佳实践,通报惩罚恶性违规,加强“以查代检,以评促建”,从国家安全角度强化的组织和队伍建设。
- 加强提升国家安全保护能力。建立推动“关防和纵深相结合的防御体系”,推动大型标志性能力建设,建设“国家网络安全态势感知项目”,强化态势感知和追踪溯源念能力,推动并审核政府、关键基础设施提供商进行安全等级保护体系化建设(等保2.0),并监控运行情况,并有体系的加强应急演练和响应。
- 建立公安部和国防部为核心情报管理体系,整合分散的情报源,强化基于案例披露和分析安全威胁情报。
- 从国家安全角度塑造并引领未来。通过标准体系建设,产品和体系认证,国产化,政府采购引导,引导业界方向。
绿盟科技基于安全大数据的态势感知体系
“大数据时代,海量且多样化的数据、海量的设备、千兆字节的传输速度、数据包有效载荷加密(如IPv6)、虚拟化服务和云计算的应用,伴随的网络攻击加剧和攻击战术的衍变,海量的威胁态势可能淹没我们现有的风险管理能力。”
面对海量的安全日志,传统数据库下进行态势感知,数据挖掘变得极端困难。国内各个厂家近年来投资进行了安全大数据方面的研究,形成各种新产品,采用多种最新的技术,如MQ、Hadoop分布式数据库、搜索型数据库、内存数据库等最新的技术,这使得海量数据的挖掘,高速处理成为可能。
威胁态势-DDOS态势感知
DDOS威胁一般称为网络氢弹,是目前国与国之间,竞争对手之间的主要攻击方式,成本低,见效大。在这个方面,我们进行了超过十年的研究积累,利用NTA网络异常流量检测,可以全目标检测(传统DFI设备为了提升性能,需要设定检测目标)。
在这个方面,我们利用NTA网络异常流量检测,可以全目标检测(传统DFI设备为了提升性能,需要设定检测目标)。而且拥有自学习功能,可以降低80%以上误报,经过处理后,800G出口的骨干网,形成告警完全是可以处置的。
威胁态势-网络入侵态势感知
网络入侵态势感知是国际上公认的难点,核心是海量日志的挖掘和决策支持系统的开发,发达国家这方面的研究比较领先。我们依据“基于对抗的智能态势感知预警模型”,形成“入侵威胁感知引擎NSTSA”和“APT攻击推理引擎(NS)”,通过决策推理状态机制来实现了这方面的研究,取得较好的成果。
经过实际测试,在1G的典型环境中,1天NIDS日志在20万条,经过“入侵威胁感知引擎NSTSA”后,形成500个左右的事件,经过“APT攻击推理引擎(NS)”后,仅仅形成10-20个攻击成功的事件。
威胁态势-僵木蠕态势感知
在办公网等内网环境中,僵木蠕所带来的网络安全问题是首要威胁,僵木蠕引起的ARP,DDoS断网等问题成为主要问题,更有可能引发泄密等事件了。在这样的需求下,我们尝试进行APT的深入挖掘。目前已经在运营商行业广泛部署,后续的研究将聚焦在攻击者画像,智能危害分析等领域。
威胁态势-APT攻击态势监控
已知攻击检测,我们可以用入侵检测设备,防病毒,但是针对目前越来越严重的APT攻击,我们需要更先进的技术手段和方法。采用沙箱技术,可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。
因此,在整个防护体系中,未知的0day攻击,APT态势感知,我们依靠下一代威胁防御解决方案(NGTP)及其沙箱类产品(比如绿盟威胁分析系统TAC)来完成。
脆弱性态势-脆弱性合规态势
目前国内的漏洞扫描产品比较成熟,和国外差距不大,依托于这些产品,可以形成,脆弱性态势感知,上级单位可以一眼看出下级单位的风险分布情况。依托此技术可以形成企业版的ISCM持续监控系统。为企业风险管理中脆弱性管理保驾护航。其中的核心在于风险量化计分体系。具体而言,脆弱性合规态势关注的是要感知本身有没有漏洞和配置不当,避免被敌人入侵或者遍历造成信息泄露。
目前主要依靠绿盟科技漏洞扫描系列产品及相关产品来完成持续监控的工作,这包括绿盟入侵检测系统NIDS、绿盟网络流量分析系统NTA、绿盟安全配置核查系统BVS等等
脆弱性态势-网站态势监控
网站作为企业对外的窗口,面临的安全威胁也最多,因此,有必要部署专门的网站监控设备形成网站安全态势监控,监控网站漏洞,平稳度,挂马,篡改,敏感内容,并有效进行运维管理,从而言避免因为网站出现问题导致公众问题。
目前网站安全监测服务已经登录绿盟云,服务于众多企事业单位。该服务支持国际权威安全机构发布的WASC 25种Web应用漏洞分类,全面覆盖OWASP Top 10 Web应用风险,。
攻击溯源追踪
如何在海量网络中追踪溯源DDOS攻击,网络入侵攻击是业界难点和重点,我们采用DFI模式开发网络溯源系统,针对APT攻击,DDOS攻击,僵木蠕进行有效的追踪溯源。可以保证未知的攻击的危害得到有效的溯源,如,DDOS攻击可以溯源到链路,物理接口。APT溯源可以溯源到外泄了多少G的数据。僵木蠕溯源可以溯源CC主机的影响范围。未来基于信誉情报,可以挖掘更多信息,重要的是,提供了在海量数据下的溯源难题。可以在低成本下,还原任何IP的流量。
我们在某运营商成果显示,在1T出口,2.5T的流量下,采用9台服务器的群集(单台24个3T硬盘),采用大数据的,可以完成每秒20万的flow采集,解析,流式处理入库,并能保存6个月。
绿盟科技威胁态势感知方案应用在贵阳数博会
在前不久结束的2016数博会上,“绿盟科技威胁态势感知方案”为绿盟科技参与安保工作贡献了不小的力量,安保过程中整合应用了DDoS态势感知、网络入侵态势感知、脆弱性合规态势、网站态势监控、攻击溯源追踪等模块,实现了预警攻击威胁,溯源攻击事件源头,感知并掌控宏观安全态势,从而为此次安保工作提供全方位服务。绿盟安全态势感知解决方案(TSA)是绿盟科技智慧安全2.0战略的重要组成部分。