安全牛评:政务网络安全是中国数字化高速进程的“防滚架”,同时也是企业网络安全生态的稳定器。大数据时代,不断汇集的海量数据可以成为推动社会变革发展的“数字红利”,但管控不力也随时有可能成为危害公共利益和个人隐私的数据洪水,各国政务网安全面临着空前的挑战和压力。如何构建“资产清晰、边界完整、数据可控、风险亮化、处置高效”的政务网安全监管体系,已经成为事关全社会福祉的重大网络安全议题。安全牛有幸邀请到浙江远望信息股份有限公司副总裁周征宇,为我们解读构建高效政务网安全监管体系的重点话题:
周征宇
现任浙江远望信息股份有限公司副总裁,高级工程师,浙江省信息安全标准化技术委员会委员,杭州市网络安全专家库成员。在信息安全管理体系上有多年的研究,参与过国家标准《信息安全管理技术支撑平台技术要求》和浙江公安标准《浙江省公安视频专网安全管理技术规范》的编制工作。
一、背景分析
当前,在数字中国发展战略下,作为推进数字中国建设的重要内容,十九届四中全会提出了数字政府建设,推进数字政府建设,加强数据有序共享,成为我国政府治理现代化的趋势所在。
以浙江省为例,自2003年起,浙江省政府推进“数字浙江”建设已有十多年,2016年,浙江又在国内首创提出“最多跑一次”改革,开放更多的公共数据资源,让群众更充分享受到“数字红利”。截至2020年6月,浙江全省统一的公共数据平台已累计归集322亿条数据。
汇聚了大量的公共信息资源和民生应用的政务系统上,在使数据资源整合更加有效、公共服务更加便捷同时,庞大的数据共享也带来了新的网络安全风险和隐患。数据盗取、越权访问、内网设备违规外联等造成政府敏感数据信息泄露、侵犯公民隐私的现象时有发生。
二、当前政务网安全管控存在的困难和问题
政务网内部存在海量网络节点,各类信息系统众多,呈现出网络节点多、业务系统多、数据资源多的特点。由于网络攻防技术不断发展、应用系统和安全建设分期投入、网络安全技术人员能力和编制不足、网格规模不断扩大、网络结构日趋复杂等现实情况,安全责任落实和日常安全管理存在的困难和问题不容忽视。
01、管控什么?
在“管控什么”方面,主要存在管控对象不清晰的问题:
资产不明——许多单位对包括网络终端、应用系统、数据在内的入网资产并不完全掌握;
风险不清——特别是对违规外联、越权访问等内部违规行为的监控能力不足;
资产和风险因系统不同、部门不同、层级不同而分散在各处,未集中量化,不利于各级监管。
02、谁来管控?
职责不清——长期以来,政府部门在网络和信息系统规划、建设、运行和维护过程中,对网络安全责任的落实存在认识不足、主体不明、职责不清、人员不定、缺乏抓手等问题,导致网络安全责任难以有效落实,网络安全保障能力难以有效提升。
网络安全管控未责任到人,易造成有事情找不到人、出问题追不到责的局面,最终导致网络安全责任制度只是“挂在墙上,说在嘴上”,而不能落到实处,考核到位。
03、怎么管控?
在“怎么管控”方面,安全管控体系化建设程度不高,组织、管理、运行、应急等方面的“碎片化”倾向较严重,未形成资产、风险与管理制度、人员和流程的映射,导致全网安全管理工作协同体制机制有盲区、断点和短板,未有效形成安全管控的合力。以上问题,使层层压实管理责任、及时处置存在问题成为费时费力的难题,有的区域和系统长期在“亚健康”安全状态下运行。
三、解决方案
针对 “管控什么”、“谁来管控”和“怎么管控”等方面存在的问题,我们提出要坚持技术与管理相结合,以高度集成的信息化管控平台作为管理工作技术支撑,将 “资产、风险、事件、人员、流程”等管理要素有机融合,形成齐抓共管的合力。具体解决方案如下:
01、以完善制度机制,明确安全管控要求和责任
建立涵盖安全管理标准要求、责任划分、情况通报、责任追究等多环节、多层次、全方位的制度体系。
《网络安全法》明确了网络运营者、关键信息基础设施运营者等的法律责任。中央有关党委网络安全工作责任制文件中,明确了各级党委主要承担的网络安全责任。按照谁主管谁负责、属地管理的原则,各级党委对本地区本部门网络安全工作负主体责任。这些法律法规和相关文件的发布,为网络安全责任体系的建立指明了方向,确定了原则。网络安全责任体系的构建和落实,可以从明确主体、分清职责、落实人员、建设抓手等几个方面来入手。
(1)明确主体。在网络安全保护对象的安全规划、建设、运行、维护和监督管理的全生命周期过程中都应落实网络安全责任制,按照“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责”的原则进行责任分工。
(2)分清职责。网络安全保护对象应当明确主管单位、建设单位、运行管理单位、使用单位等责任单位,多个责任单位可以是同单位。
主管单位——指网络安全保护对象的管理单位,承担网络安全保护对象的网络安全监督、协调责任;
建设单位——指承担网络安全保护对象建设任务的项目单位,具体承担网络安全保护对象网络安全建设责任;
运行管理单位——指承担网络安全保护对象运行管理的单位,具体承担网络安全保护对象网络安全运行责任,负责运行阶段网络安全等级保护测评,建立完善运行安全的相关制度,网络安全威胁监测、预警和事件处置;
使用单位——指使用网络安全保护对象的单位,应当遵守网络安全有关规定,确保网络安全保护对象在使用过程中的安全。
(3)落实人员。各单位应当加强网络安全责任落实,领导班子主要负责人是网络安全工作第一责任人,主管网络安全的领导班子成员是直接责任人,各单位主要负责人应当加强本单位网络安全工作的统筹管理,各单位须明确本单位的网络安全管理机构,并落实专人负责网络安全管理。有条件的单位应将网络安全责任制考核纳入绩效考核评价指标体系。
(4)建设抓手。为了将网络安全责任制有效落实,建设信息化工作抓手尤为重要。对网络中各类软硬件资产,应通过信息化手段排查并注册管理,落实安全责任人;对网络中各类安全风险事件,应建设信息化手段监测预警,定位责任;对需处置的安全风险事件,应建立信息化的通报、处置、反馈、考核机制,做到“处置及时、考核到位”。
02、以明晰资产为基础,切实“摸清家底”
网络资产管理工作既繁且杂,除了人工管理,更需依靠有力的技术支撑,双管齐下才能事半功倍。针对目前政务网资产管理现状,应从管理与技术两方面入手,进行综合治理。
管理制度建设:制度规范是资产管理技术手段建设与落地的根本保障,网络资产的管理不仅仅是信息化管理部门的职责,需要全员根据资产管理制度落实执行,建议建立的制度包括《IP地址申请和使用管理制度》、《联网资产注册管理办法》、《联网终端资产核查制度》、《全网资产信息采集字段标准化》等等。
技术手段建设:技术手段是实现全网资产明晰化的基础,为此,需要综合运用网络扫描、流量分析、场景建模、机器学习、准入控制等资产测绘技术,对网络中各类软硬件资产、业务系统等进行了资产智能识别和注册管理,厘清资产底数和属性,为安全管理奠定基础,主要手段包括:
全网资产发现识别:采用多种技术手段,实现网络内指定IP范围内软硬件资产设备的快速发现、自动识别与归类。
网络资产注册管理:对发现的资产进行注册管理,完善资产的责任单位、责任人、联系电话、用途等信息,形成明细的资产清单。
网络资产接入控制:对网络资产的入网进行控制,并根据管理制度的要求,对各部门IP范围、设备入网注册内容、设备入网/出网审批流程等进行管理。
IP资源管理:以图表的方式展现网络内IP资源的实际使用情况,便于管理员对网内IP资源使用进行整体规划、资源分配、回收登记管理。
应用特征关联分析:通过对网络资产的流量、用途、应用行为等特征关联分析,进一步明确资产的类型和属性,并建立相应的行为基线模型。
03、加强边界安全管控,有效“认清风险”
信息泄露、病毒、攻击等安全事件大多透过网络边界来进行,因此《信息安全技术 网络安全等级保护基本要求》对三级以上“边界防护”作出明确要求。在国内网络安全主管部门对政企内网实施的渗透测试中,许多内网违规外联设备被渗透成为攻击跳板。从成因分析,国内政务网常见的非授权内外联行为可分为终端多网卡违规使用、无线AP违规接入、安全设备不规范配置、安全边界设备存在漏洞等类型。这类行为有时极为隐蔽,且已成为多种网络安全威胁之源。需要行之有效的监控技术和方法来实时感知网络边界变化,并对破坏网络边界的隐患点实现快速定位、取证、告警及阻断,为维护网络边界完整性提供支撑。
我们可以从非授权内外联监测、告警取证、安全加固几方面建立综合防护模型。
内外网互联监测:对内外网互联行为进行监测,对内网设备使用双网卡、代理、路由、边界产品不规范配置等方式架设“内外网互联”通道行为进行发现、识别。
设备内外网混用监测:对设备内外网混用行为监测,对网络内曾经脱离网络并且连接过互联网的设备监测、识别,在外联服务器上取证、告警。
隐患外联线路监测:对隐患外联线路通道监测,对管理域内网络设备与互联网或其他网络互联通道进行发现、识别,该通道存在造成大量网内设备外联的风险。
移动设备接入:对移动设备接入网络内行为发现、识别。
NAT接入:对网络内的NAT设备和通过该设备私自搭建的局域网进行发现识别。
04、强化数据管控,加强新型安全监测技术手段建设
在整合原有的防病毒、入侵检测系统的基础上,增加或增强基于行为模式的风险发现等新技术手段建设,针对重要业务数据,建立全天候、全方位、全生命周期的监控和审计手段。在违规行为、安全风险处置上,要坚持“零容忍”,形成安全管控工作闭环。在重要数据安全管控上,要坚持“零信任”,实现全生命周期的严密监管。
建立设备入网准入机制
规范网络设备接入流程,对非合规终端实现自动化隔离及修复,提升对终端的合规性信任,实现终端认证、权限及访问控制的一体化管理。
对网络内终端主机、服务器、安全设备等多样化资产类型进行分类精确准入控制手段,只有通过认证的设备才允许接入,只有合法的应用才允许在网络中传输,从而防范非法私接、设备仿冒、非法扫描等问题,达到“信任接入、接入可知、接入可管”的管理规范。
加强终端主机安全管控
政务网内终端主机上存储着多样和复杂的数据,通过这些数据往往能够更深入窥探到政企单位的敏感信息。数据显示,政务网80%以上的安全事件来自于终端主机。
因此,终端主机安全管控应建立起安全管控为核心、以实时监测为支撑的全方位终端主机安全解决方案,构建能够有效监控非授权外联、违规软硬件安装、杀毒软件安装、外部设备使用的终端主机安全监测与管控体系,并提供进程/服务运行管理、操作系统配置管理、主机连接管理、信息传输行为管理等诸多功能,有效加强对终端数据安全防护。
加强数据安全应用管控
对于信息泄密,传统的安全管理手段多为事后处置,只能在安全事故发生后取证溯源,这时社会危害可能已经造成。为保障政府网络数据安全,应对海量用户行为日志进行规律总结、分析挖掘、趋势研判,并集成多维度风险预警模型,真正做到事前预警、事中管控、事后追溯。
加强数据合规应用管控应以用户终端行为日志为核心,运用大数据技术手段,通过对用户终端行为、证书使用行为、应用系统访问行为、数据库访问行为、打印行为、刻录行为、移动介质使用行为、屏幕截屏行为等操作行为进行完整记录,实现对用户行为实时监控审计,具备操作前安全警示、违规操作事中预警、违法事件事后追溯;为用户提供了防范敏感信息泄露、保护数据安全的有效途径,真正实现可跟踪、可倒查、可预警、可管控。
05、落实应急处置,提升网络运行的安全水平
2017年1月,中央网信办印发《国家网络安全事件应急预案》,从国家总体层面上指导国家各级网络安全主管单位建立建全网络安全事件的应急工作机制和管理体系。
建立应急协调联动系统,根据制度要求和管理流程,打通线上技术自动发现、预警、阻止、通报与线下人工管理处置反馈各工作流程,形成监督、管理和技术防护合力,使得管控工作形成闭环。
统筹完善网络安全应急体系
实现跨行业、部门的沟通协调机制,监管部门(垂直)与网络安全主管单位(横向)之间实现统筹协调。
网络安全风险/事件汇聚共享
通过多种报送方式对网络安全信息进行汇聚,将安全风险/事件信息统一纳入系统,进行风险研判处理,并通过信息推送、快报等业务流程实现情报共享。
网络安全风险/事件及时应急处置
通过流程对系统汇聚的重/特大事件、威胁风险等级进行研判、发布、应急处置等;实现网络安全信息情报的及时、有效沟通,在遇到重、特大突发事件时,能够有效协同应对,实现快速应急。
网络安全风险/事件移动端高效处理
系统提供移动终端应急管理APP、钉钉对接等方式,为用户提供严重突发事件、高等级预警的快速高效响应处置。
06、网络安全管理核心平台支撑体系化安全管控
具体来说,网络安全管理核心平台须满足政府部门在网络安全管理工作中的计划、实施、检查、处置四个阶段的关键技术需求,以支持政府部门建立、实施、运行、保持和持续改进适合自身安全需求的专网安全管控体系。
计划阶段
计划阶段的核心工作目的是梳理网络安全管理的目标和策略,做到安全管理工作的目标明确、决策科学。安全目标应依据相关政策法规、标准规范、管理制度、自身生产经营活动的需求来确定。平台提供相关政策法规和管理制度等信息维护功能来满足此类需求。安全策略包括实施、检查、响应处置等方面的策略,这些策略可体现实现安全目标的过程中细化和分解的各类管理、监测、防护、检查的需求。平台提供各类策略信息维护、策略联动功能来满足此类的需求。
实施阶段
实施阶段的核心工作首先应该明确安全管理的对象和资产,同时采用合理的安全防护、审计、运维、服务类产品来保障政府部门的信息网络安全。平台应提供包括对象管理、防护管理、安全审计、运维管理、安全服务等相关功能来支持该阶段核心需求。
检查阶段
检查阶段的主要工作是开展各类安全风险和事件的有效监测、系统建设运行情况监测,以及合规性的安全检查和评估等关键事务。风险和事件安全监测是这个阶段的重点,主要是对政务网内的各类信息安全威胁、风险和事件进行常态化监测。平台提供有效的安全技术手段,依据计划阶段的监测策略,对这些风险和事件进行有效监测,并为其它安全管理活动输出监测结果信息。
处置阶段
处置阶段的核心业务就是针对检查阶段的各类风险和事件开展应急响应,包括管理和技术两类,同时采取必要措施对政府部门当前的网络安全管理体系的进行持续改进。平台提供包括主机、安全设备和网络设备三类技术响应手段,以满足终端响应控制、网关设备相应控制、服务器相应控制等需求。
四、预期收效
政务网安全监管体系通过融合多种安全监管技术来实现政务网安全管理信息化,可构建起“资产清晰、边界完整、数据可控、风险量化、处置高效”的政务网安全管控体系,实现网络安全管理的信息化、网格化,形成多级联动的安全监管机制。
01、实现安全管理工作的信息化
改变目前安全管理制度难以有效落实,管理难度大的现状,建成统一的政务网安全管理信息化工作平台,实现设备资产统一管理、资产属性清晰梳理、安全风险集中监测、工作流程结合实际、事件处置落实到人、绩效考核有据可依。
02、实现安全技术建设的合规化
重新进行安全域划分,梳理网络架构和安全拓扑,满足网络安全等级保护标准三级的基本要求,从网络和通信安全、设备和计算安全、应用和数据安全等层面补足短板,实现对关键信息基础设施的合规化保护,做到“设备可知、入网可信、边界可控、行为可查”。
03、实现敏感数据安全的可管控
从应用系统、数据库、服务器、业务终端、运维终端等多个层面加强数据安全管控。对业务终端、运维终端进行重点监控,对各类终端行为进行全面审计。
04、实现安全应急响应的协同化
建立起统一指挥和反应灵敏的应急响应协调联动系统,并通过协调联动系统建立应急工作协调机制,有效应对各类重大网络事件的应急响应工作。