2023年5月1日,GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关保要求》)开始正式实施。
▲ 图片来自网页截图
这是继《关键信息基础设施保护条例》后,我国首个关键信息基础设施安全保护的国家标准,对于我国关键信息基础设施运营者提升保护能力、构建安全保障体系具有重要的基础性作用与指导作用,也给企业安全运营带来了新思路与新启发!
1
关键信息基础设施是什么?为何重要?
在介绍《关保要求》之前,我们先来了解下什么是关键信息基础设施!
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
而对于企业而言,关键信息基础设施是企业内部对核心业务与资源进行管理的关键系统。如 ERP、CRM、BPR、OMS、WMS 以及相关控制系统等。保护这些核心关键系统的安全稳定运行就是保护整个企业赖以生存的“大动脉”。
了解了关键信息基础设施是什么,其重要性也就不言而喻了。显然,从国家层面来看,关键信息基础设施是经济社会运行的神经中枢,是国家网络安全的重中之重;而从企业来看,关键信息基础设施是企业赖以生存的“大动脉”,亦是企业安全防护的核心。
2
《关保要求》内容,正式实施意味着什么?
那么,《关保要求》具体有什么内容呢?概括起来就是针对关键信息基础设施安全给出了三项保护原则,并从“分析识别、安全防护、检测评估、监测预警、主动防御、事件处置”6个方面提出了111条安全要求。
从整体内容来看,《关保要求》细化了相关运营者的责任义务,并对网络产品与服务提供商提出了更高要求。企业需要在网络安全等级保护制度的基础上,实行重点保护,形成“以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防”三位一体的协同、动态、常态化、自动化的整体安全防护体系。
随着5月1日,《关保要求》的正式施行,意味着各企事业等组织开展关键信息基础设施保护工作有了强有力的标准保障与指引依据。与此同时,关键信息基础设施安全面临着更加严格监管,相关企业在关基领域的安全运营能力亟需提升。尤其是在当前,关键信息基础设施面临的安全形势严峻,网络攻击威胁事件频发。
3
《关保要求》带给企业安全运营新思路?
既然《关保要求》给了企业组织开展安全防护工作一定的指引依据,那我们不妨从《关保要求》重点给出的6个方面,看看它能给企业组织的安全运营提供什么样的新思路与新启发?
整体来看,《关保要求》中提出的6个方面,即分析识别、安全防护、检测评估、监测预警、主动防御、事件处置,总结起来其实就是企业安全防护的一个闭环流程。
从最初的整体分析识别,梳理出企业关键业务、资产、风险以及过程中随时可能出现的重大变更。
随后根据分析识别出的重要内容进行一系列安全防护操作,如网络安全等级保护、安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理、数据安全防护等。
建立了有效的安全防护手段后,并不是一劳永逸,还需要利用检测评估、监测预警等手段,甚至过程中需要企业组织主动防御,采取收敛暴露面、捕获、溯源、干扰和阻断等措施来有效加强企业安全防护网。
最后,安全防护永远没有百分百的完美。所以,需要建立事件处理能力。当出现安全事件时,企业组织能够快速及时地有效实行事件报告与处理,采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
这6个方面,就好比是给企业组织的安全运营管理提供了一套完整的“六位一体”建设方法论。
4
“六位一体”方法论,构建企业安全新体系
有了这套方法论,企业组织要如何有效利用并合理运用到自身的安全防护体系中,从而满足《关保要求》,并进一步加强自身安全运营能力?
派拉软件认为,以“身份优先”的一体化零信任网络安全架构可以帮助企业有效地实施这套方法论。通过给企业内外部用户、应用(API)、IoT设备等建立数字身份,通过数字身份关联网络风险,在企业关键业务和资产变更操作过程中,派拉软件利用“身份”为处置网络风险事件提供快速响应能力。
在关基保护过程中,通过建立统一的身份访问认证与授权管理平台,可以避免在企业关键业务和资产访问时出现越权访问、控制绕行等情况;并针对高权限用户操作或用户非法操作建立AI智能算法模型,覆盖用户全链路的敏感操作或异常操作;结合用户上下文和算法模型并使用动态的身份鉴别方式或多因子鉴别方式等有效保障全链路身份安全。
此外,通过API网关进行统一的API全生命周期安全管理,为企业数据安全提供全方位的安全防护;而在数据库运维场景下,派拉软件提供了数据库安全管控产品进行数据库统一管理,防止企业内部数据泄露、误操作等带来的数据危害。通过多节点、多维度的安全技术防护,实现企业内部重要数据、资产的安全保护。
整个关基保护过程中,派拉软件一体化零信任网络安全方案会实时检测、监测安全事件,并及时发现并推送风险预警等。监测过程还可以实时可视化的界面呈现,让企业安全管理员能快速便捷的观看整个网络信息安全情况。
在主动防御层面,零信任安全架构秉承“持续验证,永不信任”理念,在终端访问接入内部网络前先经由SDP构建的安全边界,始终保持先验证后连接,并基于会话的持续验证,让企业网络安全的暴露面极致收敛。过程中一旦出现访问异常还能快速及时的阻断。
最后,在安全事件响应和处理层面,派拉软件一体化零信任安全管理系统通过提供审计功能,全面审计网络访问全链路的行为和数据,结合UEBA能力快速识别网络安全事件的整体情况,为事件报告与处理提供事后溯源的依据,并快速定位问题所在,让企业能快速恢复由于网络安全事件而受损的功能或服务。
在整个以“身份优先”的一体化零信任网络安全架构体系建设过程中,派拉软件通过近2000+客户项目落地,提炼出了一套成熟的实施方法论,并提供身份咨询方案,根据企业实际情况进行管理规则、流程、制度的标准化梳理与制定,并结合技术平台与管理策略,不断完善企业安全的有效管控,为企业打造完整、标准化、可持续的安全运营管理规范体系。
当然,要想完全满足《关保要求》,企业还需要在上述基础上,不断融入更多的安全防护手段与措施。派拉软件也将持续积极响应国家号召,不断加强关基设施安全技术的自主研发创新、加快完善自身安全产品和方案体系建设,为企业安全防护和运营能力持续创新赋能,为构建我国安全、高效、极致体验的数字世界加速、加力。