从《孙子兵法》来看保障关键信息基础设施的安全

发布时间 2019-09-20

故其疾如风,其徐如林,侵掠如火,不动如山,难知如阴,动如雷震。——《孙子兵法》


网络安全堪比古代的战场,有攻方,有守方,有战场。而关键信息基础设施,就是大家的大城池。作为守方的大家,任重道远,大家需要有力量来面对威胁,就如孙子兵法所说,“其疾如风,其徐如林,侵掠如火,不动如山,难知如阴,动如雷震。”大家需要有自己的防御系统、作战部队,动作迅速、纪律严明、能力强大,才能确保关键信息基础设施的安全。


那么,在谈关键信息基础设施安全保护的思路之前,大家先看看何为关键信息基础设施?


在《中华人民共和国网络安全法》第三十一条中,明确定义了关键信息基础设施:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。


从网络安全法描述中可以知晓,关键基础信息系统涉及到运营商、能源、交通、水利、金融、公共服务、电子政务等行业和领域中重要的信息系统。正在制订中的关键信息基础设施保护的标准有《关键信息基础设施网络安全框架》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施检查评估指南》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全控制措施》等。明确要求关键信息基础设施应建立威胁信息共享、监测预警、应急处置等横向协同的安全域内容。


为了避免关键信息基础设施遭到破坏、丧失功能或者数据泄露等,需要建立起体系化的安全防护方案。如沙场前,充满未知,大家需要武器,需要将领,需要城堡才能保卫家园,抵御外敌。安全是相对动态的,无法预知敌人何时来,采用什么手段,一个0day就可能击穿许多防护设备。因此,为了能够最大限度的减少安全威胁,就应以“快”打“快”,以“变化”应对“变化”,从安全技术、管理体系、数据保障三个层面的思路出发,来保障关键信息基础设施的安全。



第一层面:“徐如林”

——以网络安全技术和大数据技术相融合为基础建立关键信息基础设施安全保卫系统


为什么建立关保系统是第一个层面呢?其实原因很简单,因为这是一把“利器”。目前,大家的信息系统并不缺乏安全防护设备,且安全意识也在不断增强,建立关保系统可以给关键信息系统带来更多的帮助。


?以资产维度出发,对信息系统进行摸底排查,对信息资产进行分类管理,区分信息资产的类别。

?统筹安全设备,建立实时监测感知体系,通过爬虫技术、流量分析技术、超融合技术、数据可视化等技术,掌握关键信息系统状态,对未知威胁进行提前防备。

?建立安全数据分析台,共享威胁情报数据,通过内外部数据的加工、预处理、分析、研判最终将有价值的情报进行进一步的运营处置工作。

?完善管理处置流程,是安全事件处置形成闭环管理基础,提升安全能力,及时封补安全隐患的重要依仗。根据不同安全事件类型及风险级别进入不同类型或级别的通报处置流程。


关键信息基础设施架构示意图


威胁情报示意图



第二个层面:“疾如风”

——体系化安全运营中心  


安全运营中心好比一个军队,有优秀的将领,雄壮的士兵,他们身经百战,尽忠职守。第一个层面像是武器和工具。有了武器与工具,那么就需要相应的人员来发挥能力,安全运营中心就是这样的一个角色。


安全运营目标即为“保障安全”。围绕业务系统开展,从第三方独立视角,以“解决安全风险”为诉求,从管理、技术、制度、流程、人员等多方面进行优化及改进安全建设,从而实现业务动态安全的建设目标。


澳门浦京娱乐场发展至今已迈入到I?阶段——独立(Independence)、互联(Interconnect)、智能(Intelligence)。面对新时代的挑战, 澳门浦京娱乐场集团提出的城市级安全运营中心是一种新型的政务数据安全保障体系,提供了基于主动防御的技术方案,可对安全事件和相关数据源进行远程监控和管理服务,解决了以往的数据质量低、采集困难、没有威胁检测和专业化分析人员的境况。




运营中心示意图



第三层面:“不动如山”

——堡垒式数据安全治理


上面提到了平台、运营中心,有了武器和人员,那么对于大家最重要的资产—“数据”,是否应该更加深度的保护起来呢?


关键信息基础设施安全体系中,关注基础网络层面安全防护手段较多,关注信息系统和数据安全较少;重视业务系统建设与运行保障,对系统运行中收集和产生的重要数据缺乏有效保护。


大数据时代下,以数据为中心,新的安全保护方案应围绕整个数据链条,贯穿于采集、传输、存储、处理、交换、销毁的数据全生命周期。


数据安全治理是以“让数据使用更安全”为目的安全体系构建的方法论,是“围绕数据安全使用”的愿景,覆盖了安全防护、敏感信息管理、合规三大目标构建而成的技术体系。


数据安全治理框架


澳门浦京娱乐场集团一直重视关键信息基础设施安全保护工作,对政府、央企、能源,交通、金融等行业领域不断输出关键信息基础设施的安全解决方案与产品,并从客户角度出发,构建了涵盖安全生产运行“监控、管控、管理”等环节全面的技术支撑框架,逐步实现分级联动的运营实时监控、实时响应、实时管控等能力,由被动式管理向主动式服务转变,提高了运营管理质量和效率。目前,澳门浦京娱乐场集团在全国范围内已构建完整的关键信息基础设施安全的防护联动体系,面向工业互联网安全、物联网安全、政务数据安全监管及运营、智慧城市的整体安全、网络安全人才培养、执法部门的网络安全监管、政务云的安全运营等众多城市级安全运营中心,形成了覆盖云、网、端的网络安全的全面防护。