2023年5月1日,GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡稱《關(guān)保要求》)開始正式實施。
▲ 圖片來自網(wǎng)頁截圖
這是繼《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》后,我國首個關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的國家標(biāo)準(zhǔn),對于我國關(guān)鍵信息基礎(chǔ)設(shè)施運營者提升保護(hù)能力、構(gòu)建安全保障體系具有重要的基礎(chǔ)性作用與指導(dǎo)作用,也給企業(yè)安全運營帶來了新思路與新啟發(fā)!
1
關(guān)鍵信息基礎(chǔ)設(shè)施是什么?為何重要?
在介紹《關(guān)保要求》之前,我們先來了解下什么是關(guān)鍵信息基礎(chǔ)設(shè)施!
關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
而對于企業(yè)而言,關(guān)鍵信息基礎(chǔ)設(shè)施是企業(yè)內(nèi)部對核心業(yè)務(wù)與資源進(jìn)行管理的關(guān)鍵系統(tǒng)。如 ERP、CRM、BPR、OMS、WMS 以及相關(guān)控制系統(tǒng)等。保護(hù)這些核心關(guān)鍵系統(tǒng)的安全穩(wěn)定運行就是保護(hù)整個企業(yè)賴以生存的“大動脈”。
了解了關(guān)鍵信息基礎(chǔ)設(shè)施是什么,其重要性也就不言而喻了。顯然,從國家層面來看,關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運行的神經(jīng)中樞,是國家網(wǎng)絡(luò)安全的重中之重;而從企業(yè)來看,關(guān)鍵信息基礎(chǔ)設(shè)施是企業(yè)賴以生存的“大動脈”,亦是企業(yè)安全防護(hù)的核心。
2
《關(guān)保要求》內(nèi)容,正式實施意味著什么?
那么,《關(guān)保要求》具體有什么內(nèi)容呢?概括起來就是針對關(guān)鍵信息基礎(chǔ)設(shè)施安全給出了三項保護(hù)原則,并從“分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置”6個方面提出了111條安全要求。
從整體內(nèi)容來看,《關(guān)保要求》細(xì)化了相關(guān)運營者的責(zé)任義務(wù),并對網(wǎng)絡(luò)產(chǎn)品與服務(wù)提供商提出了更高要求。企業(yè)需要在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實行重點保護(hù),形成“以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險管理為導(dǎo)向的動態(tài)防護(hù)、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防”三位一體的協(xié)同、動態(tài)、常態(tài)化、自動化的整體安全防護(hù)體系。
隨著5月1日,《關(guān)保要求》的正式施行,意味著各企事業(yè)等組織開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作有了強有力的標(biāo)準(zhǔn)保障與指引依據(jù)。與此同時,關(guān)鍵信息基礎(chǔ)設(shè)施安全面臨著更加嚴(yán)格監(jiān)管,相關(guān)企業(yè)在關(guān)基領(lǐng)域的安全運營能力亟需提升。尤其是在當(dāng)前,關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全形勢嚴(yán)峻,網(wǎng)絡(luò)攻擊威脅事件頻發(fā)。
3
《關(guān)保要求》帶給企業(yè)安全運營新思路?
既然《關(guān)保要求》給了企業(yè)組織開展安全防護(hù)工作一定的指引依據(jù),那我們不妨從《關(guān)保要求》重點給出的6個方面,看看它能給企業(yè)組織的安全運營提供什么樣的新思路與新啟發(fā)?
整體來看,《關(guān)保要求》中提出的6個方面,即分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置,總結(jié)起來其實就是企業(yè)安全防護(hù)的一個閉環(huán)流程。
從最初的整體分析識別,梳理出企業(yè)關(guān)鍵業(yè)務(wù)、資產(chǎn)、風(fēng)險以及過程中隨時可能出現(xiàn)的重大變更。
隨后根據(jù)分析識別出的重要內(nèi)容進(jìn)行一系列安全防護(hù)操作,如網(wǎng)絡(luò)安全等級保護(hù)、安全管理制度、安全管理機構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計算環(huán)境、安全建設(shè)管理、安全運維管理、數(shù)據(jù)安全防護(hù)等。
建立了有效的安全防護(hù)手段后,并不是一勞永逸,還需要利用檢測評估、監(jiān)測預(yù)警等手段,甚至過程中需要企業(yè)組織主動防御,采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施來有效加強企業(yè)安全防護(hù)網(wǎng)。
最后,安全防護(hù)永遠(yuǎn)沒有百分百的完美。所以,需要建立事件處理能力。當(dāng)出現(xiàn)安全事件時,企業(yè)組織能夠快速及時地有效實行事件報告與處理,采取適當(dāng)?shù)膽?yīng)對措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
這6個方面,就好比是給企業(yè)組織的安全運營管理提供了一套完整的“六位一體”建設(shè)方法論。
4
“六位一體”方法論,構(gòu)建企業(yè)安全新體系
有了這套方法論,企業(yè)組織要如何有效利用并合理運用到自身的安全防護(hù)體系中,從而滿足《關(guān)保要求》,并進(jìn)一步加強自身安全運營能力?
派拉軟件認(rèn)為,以“身份優(yōu)先”的一體化零信任網(wǎng)絡(luò)安全架構(gòu)可以幫助企業(yè)有效地實施這套方法論。通過給企業(yè)內(nèi)外部用戶、應(yīng)用(API)、IoT設(shè)備等建立數(shù)字身份,通過數(shù)字身份關(guān)聯(lián)網(wǎng)絡(luò)風(fēng)險,在企業(yè)關(guān)鍵業(yè)務(wù)和資產(chǎn)變更操作過程中,派拉軟件利用“身份”為處置網(wǎng)絡(luò)風(fēng)險事件提供快速響應(yīng)能力。
在關(guān)基保護(hù)過程中,通過建立統(tǒng)一的身份訪問認(rèn)證與授權(quán)管理平臺,可以避免在企業(yè)關(guān)鍵業(yè)務(wù)和資產(chǎn)訪問時出現(xiàn)越權(quán)訪問、控制繞行等情況;并針對高權(quán)限用戶操作或用戶非法操作建立AI智能算法模型,覆蓋用戶全鏈路的敏感操作或異常操作;結(jié)合用戶上下文和算法模型并使用動態(tài)的身份鑒別方式或多因子鑒別方式等有效保障全鏈路身份安全。
此外,通過API網(wǎng)關(guān)進(jìn)行統(tǒng)一的API全生命周期安全管理,為企業(yè)數(shù)據(jù)安全提供全方位的安全防護(hù);而在數(shù)據(jù)庫運維場景下,派拉軟件提供了數(shù)據(jù)庫安全管控產(chǎn)品進(jìn)行數(shù)據(jù)庫統(tǒng)一管理,防止企業(yè)內(nèi)部數(shù)據(jù)泄露、誤操作等帶來的數(shù)據(jù)危害。通過多節(jié)點、多維度的安全技術(shù)防護(hù),實現(xiàn)企業(yè)內(nèi)部重要數(shù)據(jù)、資產(chǎn)的安全保護(hù)。
整個關(guān)基保護(hù)過程中,派拉軟件一體化零信任網(wǎng)絡(luò)安全方案會實時檢測、監(jiān)測安全事件,并及時發(fā)現(xiàn)并推送風(fēng)險預(yù)警等。監(jiān)測過程還可以實時可視化的界面呈現(xiàn),讓企業(yè)安全管理員能快速便捷的觀看整個網(wǎng)絡(luò)信息安全情況。
在主動防御層面,零信任安全架構(gòu)秉承“持續(xù)驗證,永不信任”理念,在終端訪問接入內(nèi)部網(wǎng)絡(luò)前先經(jīng)由SDP構(gòu)建的安全邊界,始終保持先驗證后連接,并基于會話的持續(xù)驗證,讓企業(yè)網(wǎng)絡(luò)安全的暴露面極致收斂。過程中一旦出現(xiàn)訪問異常還能快速及時的阻斷。
最后,在安全事件響應(yīng)和處理層面,派拉軟件一體化零信任安全管理系統(tǒng)通過提供審計功能,全面審計網(wǎng)絡(luò)訪問全鏈路的行為和數(shù)據(jù),結(jié)合UEBA能力快速識別網(wǎng)絡(luò)安全事件的整體情況,為事件報告與處理提供事后溯源的依據(jù),并快速定位問題所在,讓企業(yè)能快速恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
在整個以“身份優(yōu)先”的一體化零信任網(wǎng)絡(luò)安全架構(gòu)體系建設(shè)過程中,派拉軟件通過近2000+客戶項目落地,提煉出了一套成熟的實施方法論,并提供身份咨詢方案,根據(jù)企業(yè)實際情況進(jìn)行管理規(guī)則、流程、制度的標(biāo)準(zhǔn)化梳理與制定,并結(jié)合技術(shù)平臺與管理策略,不斷完善企業(yè)安全的有效管控,為企業(yè)打造完整、標(biāo)準(zhǔn)化、可持續(xù)的安全運營管理規(guī)范體系。
當(dāng)然,要想完全滿足《關(guān)保要求》,企業(yè)還需要在上述基礎(chǔ)上,不斷融入更多的安全防護(hù)手段與措施。派拉軟件也將持續(xù)積極響應(yīng)國家號召,不斷加強關(guān)基設(shè)施安全技術(shù)的自主研發(fā)創(chuàng)新、加快完善自身安全產(chǎn)品和方案體系建設(shè),為企業(yè)安全防護(hù)和運營能力持續(xù)創(chuàng)新賦能,為構(gòu)建我國安全、高效、極致體驗的數(shù)字世界加速、加力。