时间:2024-05-04
刘志诚
(高新兴科技集团股份有限公司,广东广州 510507)
企业信息化网络信息安全建设是个老话题,做好网络边界防护,做好防病毒与木马的侵袭,做好外部入侵的检测和应对,在安全产品领域,防火墙、防病毒、入侵检测老三样,已经在一定程度上普及了企业或组织网络信息安全的基本面。近些年,随着国家网络空间安全战略的高调出台,政府机关和国有企业对网络信息安全的高度重视,以公安部等级保护为基础的网络信息安全保护体系的合规性要求,对公共服务领域的信息化网络和信息安全体系的建设,起到了巨大的推动作用。互联网+战略的兴起,以BAT为首的互联网企业,以及以360等互联网创新安全企业,在用户侧通过移动终端安全的检测和保护,免费为终端用户提供安全服务,加大了对海内外安全事故的宣传力度,通过各种黑客大赛,攻防演练,制造热点,提升安全的品牌效应,对传统企业触网,对高校新生代进入工作岗位的网络信息安全意识,起到了巨大的推动作用。
而以人工智能、大数据、区块链、云计算、边缘计算等基础的新技术带来企业业务发展的新模式,对传统的的信息安全模型带来了巨大的挑战,人工智能(A)与大数据(D)对企业的运作基础起到了颠覆性的作用,企业以来的生产制造、营销物流、运营模式从依赖于少量数据的专业化模式,进入了依赖大量非结构化数据和无关数据的机器学习和深度学习建立模型的人工智能模式。区块链(B)作为分布式的信任体系建设,对扩大企业边界,建立企业间的无缝衔接和业务合作,降低中间佣金成本,起着无可比拟的作用,将会颠覆企业的组织结构和运作模式.而云计算(C)和边缘计算(E)对企业传统的IDC机房建设模式下的计算基础设施在最有利于集约化运营的云端以及业务最关注效率的边缘成为可能,对信息化的架构同样具有不能忽视的颠覆性作用,而这悄然变化的一切,决定了任何企业首先都会是一个数字化企业。
因此,传统网络信息安全保障模式在新技术背景下面对巨大的挑战,而为了吸引眼球的注意力经济下促生的网络信息安全的教育观,把攻防作为唯一关注的网络信息安全要素,也会带来误导企业网络信息安全以偏概全的体系建设问题。本文希望从企业网络信息安全在新技术、新模式、新挑战造成的新常态下的建设问题进行梳理,给出实践建议。
从新技术对网络信息安全影响的角度分析,新常态重点在三个领域对网络信息安全有关键的影响,即无边界、零信任、不对称。
谈及安全,首先希望的都是把敌人拒之门外,网络信息安全体系一个关键的理念就像中国建设的长城和欧洲的马奇诺防线,无论从物理还是逻辑都是边界保护。网络信息安全体系的建设中,无论是建立防火墙还是入侵防御,也是希望建立起明确的边界,保护企业的网络信息安全。但在目前的技术演进带来的业务发展来看,这个边界的定义,面对前所未有的挑战。物联网技术(IoT)和5G通信技术的演进与发展,在技术上拓展了企业的触角,企业的数字化过程中,数字的采集、处理、分析与应用,物理虚拟系统(CPS)的普及,对物理环境的操作控制指令,可以实现各种场景环境下的业务操作,无人驾驶汽车、无人机作为物联网和智能机器的案例已经广为人知,并进入企业实际生产服务环节。因此无论物理环境检测、监测的数据采集环节还是物理环境场景的操作使用环节,这些物联网移动设备的安全都是企业网络信息安全保障边界的自然延伸,从物理的角度上而言,已经突破了传统意义的边界概念。
企业的信息化系统依存的基础设施,物理环境从传统的IDC建设,到公共IDC的租赁,硬件基础设施从传统的服务器、网络设备、存储到私有云建设,进一步延伸到公有云以及混合云的架构,信息化系统从原来的业务功能模块化架构(例如供应链管理、客户关系管理、人力资源管理、企业资源管理、生产制造系统、业务运营计费系统等)逐渐过渡到互联网企业的解决方案,例如阿里提起的中台系统。而所谓的中台系统,关键在于I T 新技术演进过程中出现的基于抽象原子服务的交互理念——微服务,通过把共性功能的拆解,以及功能模组的松耦合,实现动态变化调整的信息化架构,这是在高速动态调整业务模式下发展的高度敏捷信息化软件开发运维的持续集成持续发布的开发运维一体化的理念下的产物。把庞大笨重的业务功能模式架构拆解成无边界公共服务组合的业务模组,带来的不仅是建模、实施的复杂度,由于服务和运营可能是以应用即服务的云计算模式,信息化系统的边界也已经跨越了传统意义上的边界。
随着移动化嵌入式计算能力的长足进步,哑终端的物联网在边缘计算的促进下,智能终端逐渐普及,智能终端的计算能力和运算能力,例如人脸识别闸机和门禁系统,突破的边界已经不仅仅是数据的采集和指令的执行,还包括无需中央计算处置决策能力的计算边界。
对安全而言,另外一个绕不过去的核心概念是信任,而一定的信任作为基础仿佛是大家心照不宣的共识。谷歌一篇关于零信任的论文,打破了这个幻想,诸多安全机构的调研证明,内部风险往往是网络信息安全的核心问题。传统意义的信任包括人员的信任,如何识别内部人员的身份、角色与权限,进一步延伸到终端设备的信任。终端设备的物理身份、系统的完整性、应用的身份,包括内部员工以及客户等信息化系统的相关用户。信任在人的层面另一个关键问题是外包模式带来的信任问题,包括在供应链管理,合作伙伴管理基础上带来的人员信任问题,也包括众包的问题,这些场景中,不仅在于身份的识别与认证,还包括合格性的检查和监督管理。
在信任的概念上,容易被忽视的是信息化系统的相关组件。在信息化系统开发、部署、实施过程中,除了购买商用的套件之外,企业为了满足高速的发展以及差异化带来的定制化需求,越来越多的采用第三方的开源软件,引入第三方的代码库,采用第三方的公共服务,而这些第三方的软件、组件、代码和公共服务的身份、权限往往可以访问公司的核心系统和核心资源,缺少信任机制的验证和监控,会带来重大的安全问题。
数据同样是信任体系中不能被忽视的关键环节,在云大物移(云计算、大数据、物联网、移动)背景下的数据,来源复杂,结构多样,如何确认数据的来源可靠,采集、传输、存储完整,可以信任是一个绕不过的问题。“垃圾进垃圾出”作为大数据行业里一句至理名言,在无关业务运作的场景中影响还有限,如果是在工业物联网(IIoT)领域,那么数据的可信性缺失就会带来致命问题。因此,在人员、设备、应用、接口、数据层面,在复杂的企业场景中,我们要以零信任作为网络信息安全的起点。
攻防的观点虽然不是网络信息安全需要考虑的唯一隐私,但同样也是非常核心的关键要素。面对攻击的场景中,也不再是传统意义的无差别攻击,具有针对性的、长期持久的高可持续性攻击(APT)对企业的精准打击,可能会对企业造成毁灭性的影响。无论出于政治、商业竞争、黑产利益的目的,企业一旦被作为攻击对象,就会面临巨大的攻防不对称性。黑客攻击的漏洞挖掘,0day漏洞,黑客武器库,高精尖的攻击模式和攻击手段,对企业全方位的攻击,是企业薄弱的、简单的、基于风险的网络信息安全保障产品和机制难以抗衡的。从企业网络信息安全的三要素CIA(机密性、完整性、可用性)而言,攻击的目的除了机密性和完整性破坏外,可用性破坏同样是致命的。分布式拒绝服务攻击(DDoS)并不需要对应用和业务层面的漏洞进行挖掘和精准攻击,仅是通过网络协议的缺陷就可以对企业的业务运转造成难以磨灭的影响。由于投入产出比的原因,企业的网络信息安全保障体系的建设投入资源不是无限的,防守面对的攻击对手却是整个黑客、黑产世界,这种攻防角度的不对称性,是企业网络信息安全体系不得不面对的现实情况。
从需求角度而言,一要有目标,对内做到防止恶意行为与误操作,对外做到防止骚扰、入侵和拒绝服务攻击,实现网络信息安全的CIA三要素;二要有方法,无论是基于脱胎于美国国防部被中国网络信息安全认证中心在CISAW中扩展的WPDRCC(告警、预防、检测、应急、取证、反击),还是基于纵深防御机制的安全模型,包括国际通用的信息安全体系建设标准ISO27001、公安部等保三级建设标准,都是行之有效的可以借鉴引用的方法;三要有手段,无论是对安全风险和安全事件的检测、监测、处置,都需要相关技术和工具的支;四要有结果,网络信息安全体系发挥作用体现到分析、报告、取证层面,可以对历史样本和未来趋势进行推演和预测,可以对业务部门和企业管理和治理层汇报宏观局势和微观动态,对关键行为的结果提供关键证据;五要有效能,网络信息安全体系的建设需要具有全面性涵盖风险的各个环节,完整性覆盖到所有的业务环节和流程,系统性避免短板效应和烟囱效应,先进性避免陷入攻防技术不对成的尴尬局面,兼容性要实现对安全产品与服务的兼容并蓄。
综上所述, 企业网络信息安全体系建设在新的技术、模式、场景下,面对着无边界、零信任、不对称的新常态,一定要利用新的技术,创造新的模式,构建新的体系,从目标、方法、手段、效果、效能五个方面出发,实现对企业业务在新常态下的稳健发展的支持。
网络信息安全保障体系首先是自上而下的结构,从组织保障的角度而言,在企业治理层面,董事会需要对网络信息安全保障政策负责,董事会需要对企业生存发展中,企业对网络信息安全的期望达到的效果,以及给予对应的资源支持,给出政策性的指导意见。企业管理层需要以董事会的信息安全政策为依据制定整体的信息安全保障战略,包括在目标上的明确要求,组织机构的设置,资源的配置,采用的考核方法和标准,从而明确网络信息安全应该实现的水平以及对业务目标支撑的程度。具体落实到网络信息安全保障组织,需要分解企业管理层确认的战略目标,在技术、管理、运营的角度,构建完整的体系化任务层级,落实具体的策略,并制定明确的计划和发展的路径与蓝图,从而实现企业的网络信息安全保障体系。
图1 网络信息安全保障体系
细化到技术体系,可以从技术领域的角度划分,从而实现专业的领域治理,用户、终端、网络、系统、应用、数据六大技术体系涵盖关键的安全领域,用户领域独特的技术考虑关键在于统一的身份管理机制和身份认证的单点登录技术。终端层面,关注以安全属性为中心的资产管理,包括身份、属性、漏洞等要素,关注终端的准入管理,包括完整性、合规性建设和终端身份认证,同时要关注恶意软件对终端的入侵和破坏。网络安全重点在于边界防护,在无边界的背景下,重点需要关注网络的出入口安全,另外,企业环境下不同安全级别的网络通过不同的安全域分域管理是阻断攻击蔓延,防止内部跨界攻击的重要防范措施;系统层面的安全加固,避免已知漏洞风险的入侵,避免无关服务和端口的开启,做好受控的接入管理,是避免安全入侵的关键措施,而业务应用需要做好从需求、开发、到部署运营阶段的研发安全机制建设保障应用在逻辑和代码层面的风险受控,系统和应用的权限管理,是避免越权攻击,提升安全的关键措施。网络、系统、应用涉及到运营与维护的操作安全,操作安全在人的因素介入后,需要通过良好的权限分离机制以及人员安全机制,实现对操作安全风险的应对;数据需要从机密性和完整性层面,保障数据在产生、存储、传输、分析、应用、分享、销毁的全生命周期安全。
针对终端、网络、系统、应用的信息化系统关键组件,第三方的漏洞扫描和检测工具众多,无论是基于已知漏洞的特征签名机制,还是依赖Fuzzy测试和大数据机器学习的自动化建模检测未知风险的技术,都可以有效的识别风险,实现静态时点的安全快照。很多企业通过周期性的扫描结果作为企业信息化安全运营水平的依据,虽然存在缺少动态、实时的缺陷,仍在一定程度上展示了企业静态安全的现状。结合统一的管理平台和自动化的接口机制,实现多产品集成的扫描检测解决方案,也是一种趋势。漏洞管理机制实现对企业风险的实时监控,需要与第三方的威胁情报系统的集成,网络信息安全领域的共享机制有效的把安全从业人员的智慧和能力聚集在一起,一定程度上可以缓解安全攻防的不对称性。
漏洞管理作为解决风险行之有效的机制,对漏洞挖掘产生了巨大的推动作用。目前,具备业务安全运营能力的企业,纷纷建设安全应急服务中心(SRC)并针对业务和产品提出的漏洞奖励计划,鼓励众包模式的漏洞发现,减少企业的被攻击风险。这种奖励机制的合法化的提供了漏洞交易市场,在合法化与利益化之间为黑客提供了一个合理的平衡的空间,是一种缓解无差别攻击或好奇攻击的风险降低方案。
安全威胁态势感知, 安全事件管理(SIEM)、安全运营中心(SOC),对于安全动态管理和运营的机制,是企业网络信息安全体系建设的终极理想。随着大数据技术的发展,数据仓库概念的数据抽取、转换、加载(ETL)技术,大数据、流数据、实时数据的采集分析和处理成为可能,对企业信息化系统的相关日志、流量的采集和分析,通过关联分析技术,发现相关行为模式,对风险提前预警,提前感知安全动态,实现了安全威胁态势感知,事件管理,安全运营的可视化。安全运营并不是仅从大数据可视化为安全带来的动画般的绚烂展示,结合Chef、Ansible等自动化运维技术,可以对安全威胁事件的自动化阻断和处置,进一步降低安全攻防的不对称性。
三分技术七分管理的安全箴言,大家往往说的多,做的少。虽然,网络信息安全体系建设的重心依然是技术体系的构建,但无论如何,由于安全很多因素最终归结到人的身上,这句话强调起来并不算错。对于企业而言,在网络信息安全体系建设层面首先需要关注到制度建设,做到有法可依,这一步相当于信息安全的立法工作,其次要对相关的行为和操作建立规范化的体系,指导企业的运作机制,然后要建立起来相关的标准,作为一把尺子衡量信息安全完成的情况如何,是否符合相关要求。制度、规范、标准是死的,人是活的,落实到位仍需要通过培训把相关的规定传达下去,通过反复的宣贯、传导,做到在企业文化和意识层面,企业运作过程中自发自觉主动遵守相关的制度、规范和标准,从而实现行之有效的管理体系。
需要强调的是网络信息安全体系建设并不是网络信息安全专业组织承担全部责任,各业务部门和职能支撑部门在网络信息安全体系建设上的协作同样是各部门不可转移的责任。同时,网络信息安全体系不是一个静态的机制,不会一蹴而就,更不会一劳永逸。必须要有行之有效的运营机制来支撑网络信息安全体系的运营与持续改进。信息化基础设施的物理环境,例如IDC的土建的承重、电力、空调,可能均需要行政主管部门的协作保障,人员安全的事前背景调查,事中的奖惩,事后的处置,都需要业务部门和人力资源部门的共同参与与配合。涉及到第三方服务的安全边界和安全条款等安全服务协议(SLA)需要供应链和商务、法务部门共同推动,涉及到法律层面和国家、行业相关安全的合法性、合规性问题,需要法务、审计等部门的通力协作。这些相关部门的协作与互动,是安全运营体系的根本,也在影响着管理机制和技术体系的持续构建。
企业网络信息安全体系具有通用性,也具有独特性。本文仅就一个模型进行粗略的探讨,并未涉及具备行业特征的具体行业,从企业网络信息安全体系涵盖的范围来看,基础体系的安全和企业信息化的安全是传统企业信息安全关注的范畴,而数字化对企业产品的影响已经涵盖了诸多领域,例如家电行业的智能冰箱、空调、洗衣机,互联网转战智能家居的智能音箱、智能灯泡、智能门锁,汽车行业的互动模块等,而这些传统行业的信息化产品集成的安全风险,也应该是企业重点关注的领域。从智能设备频繁爆发的安全问题来看,目前大多数企业仍是按照先污染后治理的思路,重在关注于产品的核心功能,在产品卖点和痛点方面努力出类拔萃,对产品安全的关注不足。信息化集成产品的销售,往往也是企业从产品型企业向运营型企业过度的开始,这也是互联网+对传统企业运营模式颠覆的核心,业务运营系统的网络信息安全面对的环境不在仅是企业内部环境,也是ABCDE技术对企业数字化转型业务涉及到的用户和合作伙伴的外部环境,因此对企业网络信息安全体系,业务运营模式改变对企业网络信息安全体系的影响也需要着重考虑。
图2 研发与信息安全体系生命周期
对于企业而言,终端、网络、系统、检测、监测机制的建设,往往具有成熟的产品和解决方案提供支撑,但在信息系统开发建设的生命周期中,对如何实时信息安全,往往缺少行之有效的模型和解决方案。当然,这些领域中业界有不少的模型可以借鉴,例如微软的安全开发生命周期管理(SDLC),开放组织OWASP的关于应用安全风险的TOP 10以及安全开发生命周期(SDLC)以及应用安全测试指南,都是非常不错的参考资料。本文仅从理念、架构、体系和具体操作的层面,给予一些建议。
相对于企业信息系统和信息化相关产品的安全周期而言,安全保障同样具有相应的生命周期,两个周期的过程密切相关。在业务需求阶段,需要提前考虑相关的安全需求,关注业务信息化系统所处的环境,面临的风险,在产品设计阶段,要做好对应的安全设计,保障信息化产品的相关功能逻辑在不同应用场景和模式下,功能、数据以及关联基础设施资源和用户操作的安全符合预期,提供对应的安全解决方案。
在产品开发阶段,要考虑安全设计的解决方案落实到具体的产品中,在这个层面两个思路,一是安全集成模式在不改变产品功能和逻辑的前体下通过安全的产品的直接集成到应用系统环境中保障安全措施的落实;二是集成安全模式,在产品开发过程中集成安全的组件、开发包、服务和模组,从而实现定制的安全。第二种方式对安全功能的实现和裁剪,在性能、兼容性、安全性上更有优势,但对企业的安全开发能力有更高的要求,对业务功能的上线存在成本和时间上的制约。
在产品开发、产品集成、产品维护阶段,安全检测是一项持续进行的过程,安全检测依赖于知识库与规则,知识库来源于威胁情报共享系统,第三方漏洞库和检测工具提供方持续更新的知识库,基于知识库的算法和规则也会随技术的进步,场景的变化进行持续的更新,因此定期的安全检测是必须依赖不断更新的技术风险和关键技术。
从合规和建立安全基线的角度,通过第三方的安全认证,是信息化相关产品符合网络信息安全体系的重要依据,无论是ISO27001、等保三级的认证,还是相关产品准售的第三方资格认证,都可以作为安全基线的基础。由于安全检测需要对产品和业务系统介入,在性能、功能等方面可能会影响业务的正常功能与性能,因此往往是阶段性的静态行为。但是,在产品维护阶段,实际的信息化系统的生产环境是动态的、实时的,在两次检测之间的空隙需要安全监测的过程来对风险、事件进行监控,对动态的异常及时发现,以利于及时处置,避免事故的发生。
企业网络信息安全体系基于应用系统、产品和业务运营层面的安全体系,需要从五个方面着手构建。首先需要知识库体系的建设,要对信息化系统和产品涉及到的资产具有安全的资产库,对资产的版本、属性进行统计分析,并针对资产的漏洞具有漏洞库的建设,对信息化系统和产品在不同业务场景中的风险构建风险库,以利于识别和关注关键风险,通过各种信息安全规则构建独有的知识库,形成核心的安全知识库体系;第二要有安全运营管理体系,提供风险的评估与报告,发现并预警关键风险,提供安全检测的工具、服务以及报告,以利于执行相关的安全措施,提供渗透测试的工具、服务与报告,完成对风险和安全体系的验证;第三要有安全事件管理体系,对安全事件可以提前预警与处置的应急服务,以及提供可视化的分析报告;第四要关注基于能力成熟度的生命周期管理体系,从需求、设计、集成到监测,实现完整的技术支撑体系;最后,要关注网络信息安全体系的合规性建设,通过第三方的认证、审计,以及内部的演练和规划,形成业务延续性的计划,从而落实对业务目标的支撑,对企业网络信息安全体系的构建。
图3 研发信息安全保障体系
相对于传统的企业业务运作模式而言,互联网+模式在面对A B C D E 技术和云大物移场景下,无边界、零信任、不对称,是企业业务发展过程中从信息化到数字化面临的网络信息安全形式的新常态,如何在这种动态发展的局势下,适应潮流发展,创新网络信息安全保障体系建设是一个宏大的命题,仅根据自己的学习、实践、思考,给出一些自己经验的理论模型和方法实践,对于传统企业的互联网+业务模式的转型与发展,对于企业的信息化到数字化转型,从产品和服务的销售模式到运营的转型过程中,在构建信息化模块集成产品以及数字化运营平台的场景下,如何保障网络信息系统的安全,给出参考的架构。
网络信息安全体系的复杂性在有限的篇幅下,未全部展开描述,仅针对网络信息安全体系建设中容易忽略的部分,存在的误区,以及相对缺少规范化的产品和服务的领域,给出原则性的理论、思路与意见,以利于在企业网络信息安全体系建设实践中参考。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!