挂图作战 平战结合一体化指南

近年来,攻防实战活动已经成为提高网络安全意识,提升网络安全能力的行业共识。而关乎国计民生的关键信息基础设施作为经济运行社会运行的神经中枢的,则是整个网络安全保护的重中之重。如何更好的贯彻与落实监管机构的重要政策与指导思想,有效地辅助关基用户做好网络安全保障工作,中国信息协会信息安全专业委员会于2021年3月27日在京召开“关键信息基础设施'挂图作战’解决方案与最佳实践发布会”。

▶ 关基用户的两大核心诉求

关基用户有两大核心诉求,既需要优秀的单点安全能力,还需要安全能力的聚合。首先,浑水摸鱼的时代已经过去,实战化效果才是检测能力水平的核心标准。因此,不管是检测技术、还是情报技术,不管是流量分析还是主机安全,都需要拿出真正的实力。再者,仅凭单一的安全能力,哪怕做得再好,面对复杂、动态、多样化的安全威胁也是孤掌难鸣。最后,安全能力并非简单的堆叠,而是要协同、联动,才能有效应对日益错综复杂的压力巨大的风险环境。

“我们国家的安全产业虽然这几年发展比较快,但大家的各种能力也不太平衡。为了把整个安全做好,我们需要联合各种各样的公司和能力。在内部需要各种各样的技术人才补充进来形成一个虚拟团队,在外部也要和各种各样的公司签定联合创新或者特定课题的一些合作,产业也需要在这种平台上把各自的能力联合起来,形成整体解决方案。”

—光大银行信息安全处处长牟健君

▶ 合规是底线,能力才是关键

以等级保护为典型代表的一系列安全政策与标准已经极大的推动了网络安全基础能力的建设,但合规只是网络安全保障体系建设的基础门槛,想要真正解决问题需要安全能力的提升。体现在对关键信息基础设施保护的三层能力建设上,基础保护、强化保护与协同保护。

基础保护按保护领域可主要划分为信息技术创新应用、安全合规及供应链风险。强化保护包括了识别认定、强化保护、检查评估、监测预警和事件处置五个环节,形成一个能够实现预测、防御、检测和应急四大体系的安全能力中心,以保障关键信息基础设施的安全稳定运行。强化保护是基础保护的增强,较之基础保护而言,更加注重能力提供者在细分技术领域上的积累和能力高度。

由于安全的特殊性,与一般的企业级服务比较而言更加强调国家、社会的安全,而且网络安全与其依赖的计算环境、行业环境、业务对象,以及所有的信息网络技术紧密相关,因此,只有联合国家及地方政府、行业监管机构、央企国企、民营机构、协会组织,以及上下产业链、供应链,一起共同工作,形成有效的信息共享与指挥协同机制,形成一个良好的网络安全生态,才有可能实现网络安全保护的最大效果。

“在基础防护之上,我们会围绕着重点关基系统进行强化保护,结合我们的能力建设和安全管理一体化运营中心进行监测、响应、预测、防御。另外,在这个基础之上,我们会同集团的二级单位,也会跟上级的监管部门,监管单位进行联动,来进行协同的保护,信息的共享和指挥的协同……中海油要建设一套一体化的防御体系,包括基础的支撑层、监控到预警以及决策指挥系统。而建设一体化的防御体系要做好三项能力,基础支撑能力,一体化能力和挂图作战的能力。打造中海油的网络安全中枢,建立平战结合的网络安全综合防控体系。确保我们的资产清晰化、风险动态化、能力生态化,进而满足我们动态防御、主动防御、纵深防御、精准防御、整体防御和联防联控的整体需求,实现一体化的安全运营管理和指挥协同挂图作战。通过这一两年的推动,我们正在逐步实现一体化防御中心、情报中心等7个主要功能和180个子功能的平台。”

--中国海油集团信息中心副主任谢晓晖

“实战化推动安全进入能力者时代、体系化推动安全进入一体化、业务化、常态化推动安全能力走向生态化、安全已经成为一种业务,共性问题和顽疾的产生、不能再用安全的视角做安全,要用业务的视角和IT的视角去做好安全工作,对于如何做好安全工作,我个人认为应该是自上而下的,首先它应该是完善基础保护类似于环境保护中的干净的水,干净的粮食,干净的空气。第二层,我们把合规安全重点保护,然后把基础数据资源化,接下来做强化的保护。之后我们还要做到协同保护,因为客观上来讲,这不是一两家提供商能做到的事情,必须是聚集许多人(优秀能力者)的力量来做这个事情……最终我们要回归到一个目标,关基保护。我做安全20年,心里有一个小情节,真正把安全工作做落地,达到关基保护的平战一体化。”

—PCSA安全能力者联盟首席专家郭峰

▶ 共性顽疾与共性问题

在网络安全从合规时代向能力时代转变期间,暴露出过去被忽视的许多共性顽疾与共性问题:

资产管理的问题。资产管理普遍存在资产条目不清晰、更新不及时、变化不知晓的问题,并且缺少资产与业务、漏洞、风险、告警等要素的全局视角多维关联分析能力。

风险可见性的问题。风险情报管理普遍存在威胁、漏洞等风险情报数据来源分散、不统一的问题,并且风险与业务、资产的动态关联分析能力不足,风险控制缺乏闭环管理。

能力聚合的问题。安全能力建设普遍存在技术封闭性强、横向打通困难的问题,导致各安全能力难以调度,无法高效聚合赋能安全运营与攻防对抗实战。

运营效率的问题。日常安全运营普遍存在缺乏业务视角、安全数据与安全场景不全的问题,日常安全运营缺乏统一的操作平台,导致日常安全运营工作效率低下。

攻防实战的问题。攻防实战普遍存在安全威胁与事件缺乏快速发现、预警、处置的闭环管理的问题,安全态势精准研判与预测体系不足,动态防御无法做到自动化、精准化、一体化。

“只要参与过攻防实战活动的人都有一个感受,压力太大、太累,因为很多日常性工作没有做好,基础没有打牢,到时候就会手忙脚乱。即使组成几十人上百人的团队,并提前一个月准备,但到了真正演习开始的时候还是很乱,领导操心费力,下面干活的人又苦又累,最后到结束,大家的感觉就像脱了一层皮。”

—PCSA安全能力者联盟研究院院长李鹏飞

“在安全能力方面,很多安全能力的数据无法打通,相互的调用很困难,无法做到联动,无法发挥能力的聚合作用。如果你现在感觉压力大,未来你的压力会更大,因为重保是持续化的,常态化的,只会加强,不会减轻。现在不是讨论要不要做的问题,而是要讨论怎么做的问题。”

▶ 挂图作战 实战化指南

光大银行信息安全处处长牟健君认为,挂图作战既是一个指导思想,更是一个能力要求。挂图就是网络空间可视化表达,目标在于以网络空间地图的形式全面展示网络信息,实现网络空间的具体化与数字化,从而为决策者提供直观、有价值的信息,以降低决策不确定性,将网络世界虚拟战场用一张具体化、形象化、数字化的地图呈现出来,实时动态真实的呈现当前的网络战场,形成指挥作战图。

为了实现这种挂图作战需要一系列的、一体化推动,也需要很多技术体系的支撑。牟健君处长强调了三个必须关注的要素:安全资产。包括内外部的安全资产的梳理,从资产的发现到资产的治理、关联;漏洞和情报。漏洞是需要运营的,应该第一时间了解非常详细的业界各种漏洞和情报。但现在很多企业还没有意识到这一点,如果这些都不了解,就很难做好防御。第三,挂图作战得有数字化呈现的方法和工具。“每天接近10亿条攻击告警,如果没有一个智能决策大脑,我们很难把这10亿条事件能正确筛选出该处置的安全事件。”

中国科学院软件研究所研究员连一峰分享了他对网络空间地图的理解:“我们在构建网络空间的主要目标是建立一套人地网三者交叉融合的安全理论和方法体系。这一点和传统的地图是不一样的。地图关注的是人和地这两个维度的融合,网络空间地图又加入了网这个维度,是三个维度的交叉融合。建立这么一套方法体系之后来实现跨领域的安全态势感知,跨维度的安全行为认知、跨层次的安全决策和跨空间的博弈对抗。围绕网络空间地图,目前来说相关的技术领域分成两个方面,一个是可视化展现,主要围绕地理环境、网络环境、行为主体和业务环境,这四个也是我们相关监管部门提出来的挂图作战所需要确立的一级图层。第二个层面就是网络空间的知识图谱技术,知识图谱其实是大数据领域的技术,现在也应用到了网络空间和网络安全这个领域里,知识图谱是可以去构建实体属性关系这么复杂的图谱关系,刻画他们之间的相互关联,针对网络空间,同样可以构造能够刻画网络空间里面实体属性关系的图谱。”

结合挂图作战建设一体化的防御体系方面,中国海油集团信息中心副主任谢晓晖表示,“三化六防挂图作战既是政策要求,指导思想,也是我们一个工作的实际的指南。结合三化六防挂图作战思考中海油应该建设一个什么样的防御体系。我的理解是建设一套一体化的防御体系,包括基础的支撑层、监控到预警的一体化防御体系以及最上层的决策指挥,进而形成一体化的防御体系,同时也对应着三种能力,即基础支撑能力、一体化能力和挂图作战的能力……整个海油的网络安全工作也是紧密围绕安全管理、安全技术、安全运营三大体系纵向贯穿,围绕关键基础设施和重要的保障系统,围绕着我们的管控目标逐步落地,逐步实现安全运营的一体化,平战结合。”

▶ 演讲嘉宾金句集锦

“在体系化对抗和系统化风险并存的长期背景下,我们如何做好关键信息基础设施安全保护,并实现平战一体化的目标,是监管单位、行业用户、安全企业研究和关注的热点。”—中国信息协会信息安全专业委员会主任叶红
“网络空间地图就是通过梳理分析网络空间和现实的物理空间的关联关系,来探寻网络空间行为的认知方法和演化规律,实现网络空间要素、关系、行为的可视化表达和管理。” --中国科学院软件研究所研究员连一峰
“我做安全20年,心里有一个小情节,真正把安全工作做落地,达到关基保护的平战一体化。”—PCSA安全能力者联盟首席专家郭峰
“挂图作战既是一个指导思想,更是一个能力要求。” --光大银行信息安全处处长牟健君
“一体化的防御体系需要要做好三项能力,包括基础支撑能力、一体化能力和挂图作战的能力。”--中国海油集团信息中心副主任谢晓晖
“三库三平台作为一个整体各司其职,协同发展,强调要以明确资产保护目标将常态化的技术管理、运营工作融合好,把基础的资源形成数据化,对于安全的检测、响应、预测、防御形成体系化工作,不断完善体系,实现对抗的智能化,在实战化的场景下,实现指挥的智慧化,最终达到平战结合一体化。”—PCSA安全能力者联盟研究院院长李鹏飞

▶ 圆桌嘉宾金句集锦

“不清楚保护对象,何谈保护?挂图作战,攻防指南。”—数世咨询创始人李少鹏
“联盟能力者在各自的方向上都很强,更为关键的是联盟的平台在横向发展上把这些优秀的能力聚集在一个水平线上,意味着这个平台是没有短板的,这才是联盟非常好的创新点。”—圣博润董事长孟岗
“科创板的成立为网络安全企业带来了很好的机会,但除了要把自己的业务做扎实以外,还要把规范化做好。上市不光是做数的问题,还是一个遵守规范的问题。两者都十分关键。” –安博通董事长钟竹
“很多人都说网络空间测绘没有什么技术含量,能做扫描器就能做。但五六年过去,说这话的人已经没有了声音。原因很简单,他不愿意弯腰一粒一粒的捡豆子。资产测绘技术的两个关键点,一是全,二是准。没有长时间潜心打磨的坚持,是做不到的。”—华顺信安董事长赵武
“今天的网络对抗已经上升到战争的层次,有点类似于常规战变成了生化战。以医学为例,积累发挥非常重要的作用。学医是很难的,学完之后还是做不了医生,还要有临床经验,我们把这种能力叫做实战经验。”—科来董事长罗鹰
“初创的细分赛道到底怎么干,我的看法就是干好自己的一个事就行。也许有人去炒作融了很多钱,或者抄袭的很凶,但行业未来的发展一定会趋于理性,由合规导向转为效果导向,只要坚持价值输出,产业总会回报我们的。”—中睿天下董事长刘庆林
“安全行业中用户的水平越来越高,当他们的理解越来越深的时候,就不会选择低端的产品和服务,而一定会基于自己的理解去选择最专业的产品和服务。”—青腾云安全董事长张福
“我认为漏洞一定会向运营的方向发展,这是不可阻挡的趋势。之前国内的市场还没有发展到这个阶段,但是未来对漏洞精细化的管理和运营逐渐会成为企业的必然需求。”--华云安董事长沈传宝
数世点评:

指导思想需要落地,而不是口号。安全需要检验,而不是概念。能力需要聚合,而不是叠加。更重要的是,优秀安全能力的聚合,是任何单独一家企业难以做到的。这也是为什么近年来整个业界都在纷纷成立联盟,呼吁生态合作的本因。但需要注意的是,联盟或生态不应只停留在表面的合作意向上,而是要真正实现平台对接,打通能力,并在深度理解用户业务的前提下,网络安全才能产生实效,为用户带来真正的价值。

(附:PCSA联盟2016一2021五年原创成果图册

(0)

相关推荐