2023年5月1日,GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡稱《關(guān)保要求》)開始正式實(shí)施。
▲ 圖片來自網(wǎng)頁截圖
這是繼《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》后,我國首個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的國家標(biāo)準(zhǔn),對(duì)于我國關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提升保護(hù)能力、構(gòu)建安全保障體系具有重要的基礎(chǔ)性作用與指導(dǎo)作用,也給企業(yè)安全運(yùn)營帶來了新思路與新啟發(fā)!
1
關(guān)鍵信息基礎(chǔ)設(shè)施是什么?為何重要?
在介紹《關(guān)保要求》之前,我們先來了解下什么是關(guān)鍵信息基礎(chǔ)設(shè)施!
關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
而對(duì)于企業(yè)而言,關(guān)鍵信息基礎(chǔ)設(shè)施是企業(yè)內(nèi)部對(duì)核心業(yè)務(wù)與資源進(jìn)行管理的關(guān)鍵系統(tǒng)。如 ERP、CRM、BPR、OMS、WMS 以及相關(guān)控制系統(tǒng)等。保護(hù)這些核心關(guān)鍵系統(tǒng)的安全穩(wěn)定運(yùn)行就是保護(hù)整個(gè)企業(yè)賴以生存的“大動(dòng)脈”。
了解了關(guān)鍵信息基礎(chǔ)設(shè)施是什么,其重要性也就不言而喻了。顯然,從國家層面來看,關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,是國家網(wǎng)絡(luò)安全的重中之重;而從企業(yè)來看,關(guān)鍵信息基礎(chǔ)設(shè)施是企業(yè)賴以生存的“大動(dòng)脈”,亦是企業(yè)安全防護(hù)的核心。
2
《關(guān)保要求》內(nèi)容,正式實(shí)施意味著什么?
那么,《關(guān)保要求》具體有什么內(nèi)容呢?概括起來就是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全給出了三項(xiàng)保護(hù)原則,并從“分析識(shí)別、安全防護(hù)、檢測評(píng)估、監(jiān)測預(yù)警、主動(dòng)防御、事件處置”6個(gè)方面提出了111條安全要求。
從整體內(nèi)容來看,《關(guān)保要求》細(xì)化了相關(guān)運(yùn)營者的責(zé)任義務(wù),并對(duì)網(wǎng)絡(luò)產(chǎn)品與服務(wù)提供商提出了更高要求。企業(yè)需要在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù),形成“以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防”三位一體的協(xié)同、動(dòng)態(tài)、常態(tài)化、自動(dòng)化的整體安全防護(hù)體系。
隨著5月1日,《關(guān)保要求》的正式施行,意味著各企事業(yè)等組織開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作有了強(qiáng)有力的標(biāo)準(zhǔn)保障與指引依據(jù)。與此同時(shí),關(guān)鍵信息基礎(chǔ)設(shè)施安全面臨著更加嚴(yán)格監(jiān)管,相關(guān)企業(yè)在關(guān)基領(lǐng)域的安全運(yùn)營能力亟需提升。尤其是在當(dāng)前,關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全形勢嚴(yán)峻,網(wǎng)絡(luò)攻擊威脅事件頻發(fā)。
3
《關(guān)保要求》帶給企業(yè)安全運(yùn)營新思路?
既然《關(guān)保要求》給了企業(yè)組織開展安全防護(hù)工作一定的指引依據(jù),那我們不妨從《關(guān)保要求》重點(diǎn)給出的6個(gè)方面,看看它能給企業(yè)組織的安全運(yùn)營提供什么樣的新思路與新啟發(fā)?
整體來看,《關(guān)保要求》中提出的6個(gè)方面,即分析識(shí)別、安全防護(hù)、檢測評(píng)估、監(jiān)測預(yù)警、主動(dòng)防御、事件處置,總結(jié)起來其實(shí)就是企業(yè)安全防護(hù)的一個(gè)閉環(huán)流程。
從最初的整體分析識(shí)別,梳理出企業(yè)關(guān)鍵業(yè)務(wù)、資產(chǎn)、風(fēng)險(xiǎn)以及過程中隨時(shí)可能出現(xiàn)的重大變更。
隨后根據(jù)分析識(shí)別出的重要內(nèi)容進(jìn)行一系列安全防護(hù)操作,如網(wǎng)絡(luò)安全等級(jí)保護(hù)、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理、數(shù)據(jù)安全防護(hù)等。
建立了有效的安全防護(hù)手段后,并不是一勞永逸,還需要利用檢測評(píng)估、監(jiān)測預(yù)警等手段,甚至過程中需要企業(yè)組織主動(dòng)防御,采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施來有效加強(qiáng)企業(yè)安全防護(hù)網(wǎng)。
最后,安全防護(hù)永遠(yuǎn)沒有百分百的完美。所以,需要建立事件處理能力。當(dāng)出現(xiàn)安全事件時(shí),企業(yè)組織能夠快速及時(shí)地有效實(shí)行事件報(bào)告與處理,采取適當(dāng)?shù)膽?yīng)對(duì)措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
這6個(gè)方面,就好比是給企業(yè)組織的安全運(yùn)營管理提供了一套完整的“六位一體”建設(shè)方法論。
4
“六位一體”方法論,構(gòu)建企業(yè)安全新體系
有了這套方法論,企業(yè)組織要如何有效利用并合理運(yùn)用到自身的安全防護(hù)體系中,從而滿足《關(guān)保要求》,并進(jìn)一步加強(qiáng)自身安全運(yùn)營能力?
派拉軟件認(rèn)為,以“身份優(yōu)先”的一體化零信任網(wǎng)絡(luò)安全架構(gòu)可以幫助企業(yè)有效地實(shí)施這套方法論。通過給企業(yè)內(nèi)外部用戶、應(yīng)用(API)、IoT設(shè)備等建立數(shù)字身份,通過數(shù)字身份關(guān)聯(lián)網(wǎng)絡(luò)風(fēng)險(xiǎn),在企業(yè)關(guān)鍵業(yè)務(wù)和資產(chǎn)變更操作過程中,派拉軟件利用“身份”為處置網(wǎng)絡(luò)風(fēng)險(xiǎn)事件提供快速響應(yīng)能力。
在關(guān)基保護(hù)過程中,通過建立統(tǒng)一的身份訪問認(rèn)證與授權(quán)管理平臺(tái),可以避免在企業(yè)關(guān)鍵業(yè)務(wù)和資產(chǎn)訪問時(shí)出現(xiàn)越權(quán)訪問、控制繞行等情況;并針對(duì)高權(quán)限用戶操作或用戶非法操作建立AI智能算法模型,覆蓋用戶全鏈路的敏感操作或異常操作;結(jié)合用戶上下文和算法模型并使用動(dòng)態(tài)的身份鑒別方式或多因子鑒別方式等有效保障全鏈路身份安全。
此外,通過API網(wǎng)關(guān)進(jìn)行統(tǒng)一的API全生命周期安全管理,為企業(yè)數(shù)據(jù)安全提供全方位的安全防護(hù);而在數(shù)據(jù)庫運(yùn)維場景下,派拉軟件提供了數(shù)據(jù)庫安全管控產(chǎn)品進(jìn)行數(shù)據(jù)庫統(tǒng)一管理,防止企業(yè)內(nèi)部數(shù)據(jù)泄露、誤操作等帶來的數(shù)據(jù)危害。通過多節(jié)點(diǎn)、多維度的安全技術(shù)防護(hù),實(shí)現(xiàn)企業(yè)內(nèi)部重要數(shù)據(jù)、資產(chǎn)的安全保護(hù)。
整個(gè)關(guān)基保護(hù)過程中,派拉軟件一體化零信任網(wǎng)絡(luò)安全方案會(huì)實(shí)時(shí)檢測、監(jiān)測安全事件,并及時(shí)發(fā)現(xiàn)并推送風(fēng)險(xiǎn)預(yù)警等。監(jiān)測過程還可以實(shí)時(shí)可視化的界面呈現(xiàn),讓企業(yè)安全管理員能快速便捷的觀看整個(gè)網(wǎng)絡(luò)信息安全情況。
在主動(dòng)防御層面,零信任安全架構(gòu)秉承“持續(xù)驗(yàn)證,永不信任”理念,在終端訪問接入內(nèi)部網(wǎng)絡(luò)前先經(jīng)由SDP構(gòu)建的安全邊界,始終保持先驗(yàn)證后連接,并基于會(huì)話的持續(xù)驗(yàn)證,讓企業(yè)網(wǎng)絡(luò)安全的暴露面極致收斂。過程中一旦出現(xiàn)訪問異常還能快速及時(shí)的阻斷。
最后,在安全事件響應(yīng)和處理層面,派拉軟件一體化零信任安全管理系統(tǒng)通過提供審計(jì)功能,全面審計(jì)網(wǎng)絡(luò)訪問全鏈路的行為和數(shù)據(jù),結(jié)合UEBA能力快速識(shí)別網(wǎng)絡(luò)安全事件的整體情況,為事件報(bào)告與處理提供事后溯源的依據(jù),并快速定位問題所在,讓企業(yè)能快速恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
在整個(gè)以“身份優(yōu)先”的一體化零信任網(wǎng)絡(luò)安全架構(gòu)體系建設(shè)過程中,派拉軟件通過近2000+客戶項(xiàng)目落地,提煉出了一套成熟的實(shí)施方法論,并提供身份咨詢方案,根據(jù)企業(yè)實(shí)際情況進(jìn)行管理規(guī)則、流程、制度的標(biāo)準(zhǔn)化梳理與制定,并結(jié)合技術(shù)平臺(tái)與管理策略,不斷完善企業(yè)安全的有效管控,為企業(yè)打造完整、標(biāo)準(zhǔn)化、可持續(xù)的安全運(yùn)營管理規(guī)范體系。
當(dāng)然,要想完全滿足《關(guān)保要求》,企業(yè)還需要在上述基礎(chǔ)上,不斷融入更多的安全防護(hù)手段與措施。派拉軟件也將持續(xù)積極響應(yīng)國家號(hào)召,不斷加強(qiáng)關(guān)基設(shè)施安全技術(shù)的自主研發(fā)創(chuàng)新、加快完善自身安全產(chǎn)品和方案體系建設(shè),為企業(yè)安全防護(hù)和運(yùn)營能力持續(xù)創(chuàng)新賦能,為構(gòu)建我國安全、高效、極致體驗(yàn)的數(shù)字世界加速、加力。