想要理解关键信息基础设施安全保护中的安全防护,有必要简单了解一些几个经典的网络安全模型,这些模型在过去的网络安全工作中,为我们的网络安全防护提供了非常好的指引作用。只有在脑海里有个历史线,才不至于理解起来太过突兀。让我们一起回顾几个著名的网络安全模型,然后简单探讨一下美国CSF 2.0以及一起看一下我们关基保护要求中有关安全防护要求的详情。
PDR模型
P2DR模型
上世纪,90年代后期,美国ISS提出P2DR(策略、保护、检测、响应)模型。P2DR在PDR的基础上增加策略,也是所有网络安全模型中最经典的模型之一。策略包括监控周期设置、恢复机制和访问控制策略。P2DR模型还在PDR模型的基础上增加了一个公式Et=Dt+Rt(如果Pt=0),意味着如果保护时间Pt为0,那么检测时间Dt和响应时间Rt应该等于系统暴露于网络的时间Et。
P2DR2模型
随着网络安全研究的深入,在国内网络安全社区在P2DR的基础上增加恢复,并提出P2DR2(Policy,Protection,Detection,Response,Restore)模型,即基于可靠备份的系统快速恢复。P2DR2模型是一种基于主动防御和环路控制的动态网络安全模型。模型通过分析制定安全策略,在网络内部建立统一的检测和监控机制,并应用各种类型的灾难恢复和备份系统冗余设计等技术,可实现抵御攻击、检测攻击和及时恢复网络数据的功能。
GIPDRR模型
GIPDR2模型是美国NIST在其CSF 1.1 IPDR2模型基础上,升级迭代的新版本。是CSF2.0的核心模型。CSF核心功能(治理、识别、保护、检测、响应和恢复)在最高级别组织网络安全成果。
治理(GV)—建立、传达和监控组织的网络安全风险管理战略、期望和政策。治理职能提供结果,以告知组织可以采取哪些措施来实现其他五个职能,并在其使命和利益相关者期望的背景下优先考虑其他五个职能的成果。治理活动对于将网络安全纳入组织更广泛的企业风险管理(ERM)战略至关重要。治理涉及对组织环境的理解;网络安全战略和网络安全供应链风险管理的建立;角色,责任和权限;政策;以及对网络安全战略的监督。
识别(ID)—了解组织当前的网络安全风险。了解组织的资产(例如,数据、硬件、软件、系统、设施、服务、人员)、供应商和相关网络安全风险,使组织能够根据其风险管理策略和治理下确定的任务需求确定其工作的优先级。该职能还包括确定组织支持网络安全风险管理的政策、计划、流程、程序和实践的改进机会,为所有六项职能下的工作提供信息。
保护(PR)—使用保护措施来管理组织的网络安全风险。一旦资产和风险被识别并确定优先级,保护就会支持保护这些资产的能力,以防止或降低不良网络安全事件的可能性和影响,并增加利用机会的可能性和影响。此功能涵盖的结果包括身份管理、身份验证和访问控制;意识和培训;数据安全;平台安全(即保护物理和虚拟平台的硬件、软件和服务);以及技术基础设施的弹性。
检测(DE)—发现并分析可能的网络安全攻击和危害。检测能够及时发现和分析异常、入侵指标和其他可能表明正在发生网络安全攻击和事件的潜在不良事件。此函数支持成功的事件响应和恢复活动。
响应(RS)—对检测到的网络安全事件采取措施。响应支持遏制网络安全事件影响的能力。此职能部门的成果涵盖事件管理、分析、缓解、报告和沟通。
恢复(RC)—恢复受网络安全事件影响的资产和操作。恢复支持及时恢复正常操作,以减少网络安全事件的影响,并在恢复工作期间实现适当的通信。
综合经典的网络安全模型,一直有个关键内容就是“安全保护”,只是在不同的时代,其含义及外延有所差异,随着网络技术的更新迭代,而安全保护的概念外延也越来越大。
根据CSF 2.0的描述,可以看到:
·身份管理、身份验证和访问控制(PR.AA):对物理和逻辑资产的访问仅限于授权用户、服务和硬件,并根据评估的未经授权访问的风险进行管理;
·意识和培训(PR.AT):为组织的人员提供网络安全意识和培训,以便他们能够执行与网络安全相关的任务;
·数据安全(PR.DS):根据组织的风险策略管理数据,以保护信息的机密性、完整性和可用性;
·平台安全(PR.PS):物理和虚拟平台的硬件、软件(例如固件、操作系统、应用程序)和服务按照组织的风险策略进行管理,以保护其机密性、完整性和可用性;
·技术基础设施弹性(PR.IR):安全架构使用组织的风险策略进行管理,以保护资产的机密性、完整性和可用性以及组织弹性
。而在我们的国标里则体表现为:分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节,我们摘录关于安全防护,具体内容如下。我们可以结合美国NIST最新的CSF安全保护,来进一步理解安全防护的要义。
安全防护
网络安全等级保护制度
应落实国家网络安全等级保护制度相关要求,开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。
安全管理制度
应制定适合本组织的网络安全保护计划,明确关键信息基础设施安全保护工作的目标,从管理体系、技术体系、运营体系、保障体系等方面进行规划,加强机构、人员、经费、装备等资源保障,支撑关键信息基础设施安全保护工作。网络安全保护计划应形成文档并经审批后发送至相关人员。网络安全保护计划应每年至少修订一次,或发生重大变化时进行修订。
应建立管理制度和安全策略,重点考虑基于关键业务链安全需求,并根据关键信息基础设施面临的安全风险和威胁的变化进行相应调整。
注1:安全策略包括但不限于:安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略(配置、漏洞、补丁、病毒库等)、供应链安全管理策略、安全运维策略等。
注2:管理制度包括但不限于:风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度(安全措施同步规划、同步建设和同步使用),供应链安全管理制度等。
安全管理机构
应成立网络安全工作委员会或领导小组,由组织主要负责人担任其领导职务,明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作;
应设置专门的网络安全管理机构(以下简称“安全管理机构”),明确机构负责人及岗位,建立并实施网络安全考核及监督问责机制;
应为每个关键信息基础设施明确一名安全管理责任人;
应将安全管理机构人员纳入本组织信息化决策体系。
安全管理人员
应对安全管理机构的负责人和关键岗位的人员进行安全背景审查和安全技能考核,符合要求的人员方能上岗。安全管理机构明确关键岗位,通常包括与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。关键岗位应配备专人,并配备2人以上共同管理。
应定期安排安全管理机构人员参加国家、行业或业界网络安全相关活动,及时获取网络安全动态。
应建立网络安全教育培训制度,定期开展网络安全教育培训和技能考核,关键信息基础设施从业人员每人每年教育培训时长不得少于30个学时。教育培训内容应包括网络安全相关法律法规、政策标准,以及网络安全保护技术、网络安全管理。
当安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化(例如:取得非中国国籍)或必要时,应根据情况重新按照相关要求进行安全背景审查。应在人员发生内部岗位调动时,重新评估调动人员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关人员或角色。应在人员离岗时,及时终止离岗人员的所有访问权限,收回与身份鉴别相关的软硬件设备,进行面谈并通知相关人员或角色。
应明确从业人员安全保密职责和义务,包括安全职责、奖惩机制、离岗后的脱密期限等,并签订安全保密协议。
安全通信网络
网络架构
应实现通信线路“一主双备”的多电信运营商多路由保护,宜对网络关键节点和重要设施实施“双节点”冗余备份。
互联安全
应建立或完善不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者运营的系统之间的安全互联策略;
应保持同一用户其用户身份和访问控制策略等在不同网络安全等级保护系统、不同业务系统不同区域中的一致性;
对不同局域网之间远程通信时应采取安全防护措施,例如:在通信前基于密码技术对通信的双方进行验证或鉴别。
边界防护
应对不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者运营的系统之间的互操作、数据交换和信息流向进行严格控制:
应对未授权设备进行动态发现及管控,只允许通过运营者授权的软硬件运行。
安全审计
应采取网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于6个月。
安全计算环境
鉴别与授权
应明确重要业务操作、重要用户操作或异常用户操作行为,并形成清单;
应对设备、用户、服务或应用、数据进行安全管控,对于重要业务操作、重要用户操作或异常用户操作行为,建立动态的身份鉴别方式,或者采用多因子身份鉴别等方式;
针对重要业务数据资源的操作,应基于安全标记等技术实现访问控制。
入侵防范
应采取技术手段,提高对高级可持续威胁(APT)等网络攻击行为的入侵防范能力;
应采取技术手段,实现系统主动防护,及时识别并阻断入侵和病毒行为。
自动化工具
应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁,应在经过验证后及时修补。
安全建设管理
应在关键信息基础设施建设、改造、升级等环节,实现网络安全技术措施与关键信息基础设施主体工程同步规划、同步建设、同步使用,并采取测试、评审、攻防演练等多种形式验证。必要时,可建设关键业务的仿真验证环境,予以验证,
安全运维管理
应保证关键信息基础设施的运维地点位于中国境内,如确需境外运维,
应符合我国相关规定;应在运维前与维护人员签订安全保密协议;
应确保优先使用已在本组织登记备案的运维工具,如确需使用未登记备案的运维工具,应在使用前通过恶意代码检测等测试。
供应链安全保护
应建立供应链安全管理策略,包括:风险管理策略、供应方选择和管理策略、产品开发采购策略、安全维护策略等。建立供应链安全管理制度,提供用于供应链安全管理的资金、人员和权限等可用资源。
采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。
应形成年度采购的网络产品和服务清单。采购、使用的网络产品和服务应符合相关国家标准的要求。可能影响国家安全的,应通过国家网络安全审查。
应建立和维护合格供应方目录。应选择有保障的供应方,防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。
应强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。
购网络产品和服务时,应明确提供者的安全责任和义务,要求提供者对网络产品和服务的设计、研发、生产、交付等关键环节加强安全管理。要求提供者声明不非法获取用户数据、控制和操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。
应与网络产品和服务的提供者签订安全保密协议,协议内容应包括安全职责、保密内容、奖惩机制、有效期等
应要求网络产品和服务的提供者对网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权获得10年以上授权,或在网络产品和服务使用期内获得持续授权。
应要求网络产品和服务的提供者提供中文版运行维护、二次开发等技术资料。
应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方提供第三方网络安全服务机构出具的代码安全检测报告。
使用的网络产品和服务存在安全缺陷、漏洞等风险时,应及时采取措施消除风险隐患,涉及重大风险的应按规定向相关部门报告。
数据安全防护
应建立数据安全管理责任和评价考核制度,编制数据安全保护计划,实施数据安全技术防护,开展数据安全风险评估,制定数据安全事件应急预案,及时处置安全事件,组织数据安全教育培训。
应建立基于数据分类分级的数据安全保护策略,明确重要数据和个人信息保护的相应措施。
将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估。法律、行政法规另有规定的,依照其规定。
将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估。法律、行政法规另有规定的,依照其规定。
应严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全。
应建立业务连续性管理及容灾备份机制,重要系统和数据库实现异地备份。
数据可用性要求高的,应采取数据库异地实时备份措施。业务连续性要求高的,应采取系统异地实时备份措施,确保关键信息基础设施一旦被破坏,可及时进行恢复和补救。
应在关键信息基础设施退役废弃时,按照数据安全保护策略对存储的数据进行处理
应建立数据处理活动全流程的安全能力,并符合相关国家标准关于数据安全保护的要求
前面关键信息基础设施保护要求之分析识别与风险评估乱谈是前提,而安全防护是工作的重点,只有切实采取措施,才能将分析识别阶段的风险降低,才能最大限度的保障基础安全。这块其实,就进入了网络安全的“九年义务教育”的等级保护制度实践阶段,是对前一个环节的应答,也是后一个环节的铺垫。
— 欢迎关注 往期回顾 —
网络安全等级保护:明确测评双方的责任从了解测评过程指南开始(思维导图下载)
>>>关键信息基础设施安全保护<<<
>>>数据安全系列<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
