如何建立有效的網(wǎng)絡(luò)安全防御體系?
2016年11月,《中華人民共和國網(wǎng)絡(luò)安全法》高票通過,成為我國首部網(wǎng)絡(luò)安全領(lǐng)域的法律。從明確提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”,到突出強(qiáng)調(diào)“樹立正確的網(wǎng)絡(luò)安全觀”,再到明確要求“全面貫徹落實(shí)總體國家安全觀”,黨的十八大以來,我國網(wǎng)絡(luò)安全保障能力建設(shè)得到加強(qiáng),國家網(wǎng)絡(luò)安全屏障進(jìn)一步鞏固。“沒有網(wǎng)絡(luò)安全就沒有國家安全,就沒有經(jīng)濟(jì)社會穩(wěn)定運(yùn)行,廣大人民群眾利益也難以得到保障。”在全國網(wǎng)絡(luò)安全和信息化工作會議上,習(xí)近平總書記著重強(qiáng)調(diào)樹立網(wǎng)絡(luò)安全意識,就做好國家網(wǎng)絡(luò)安全工作提出明確要求,為筑牢國家網(wǎng)絡(luò)安全屏障、推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)提供了根本遵循。習(xí)近平總書記指出,要樹立正確的網(wǎng)絡(luò)安全觀,加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù),加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺建設(shè),加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè),積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè),做到關(guān)口前移,防患于未然。要落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任,行業(yè)、企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者承擔(dān)主體防護(hù)責(zé)任,主管部門履行好監(jiān)管責(zé)任。要依法嚴(yán)厲打擊網(wǎng)絡(luò)黑客、電信網(wǎng)絡(luò)詐騙、侵犯公民個人隱私等違法犯罪行為,切斷網(wǎng)絡(luò)犯罪利益鏈條,持續(xù)形成高壓態(tài)勢,維護(hù)人民群眾合法權(quán)益。要深入開展網(wǎng)絡(luò)安全知識技能宣傳普及,提高廣大人民群眾網(wǎng)絡(luò)安全意識和防護(hù)技能。
網(wǎng)絡(luò)安全保障體系的構(gòu)建
網(wǎng)絡(luò)安全保障體系如圖1所示。其保障功能主要體現(xiàn)在對整個網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)及隱患進(jìn)行及時(shí)的評估、識別、控制和應(yīng)急處理等,便于有效地預(yù)防、保護(hù)、響應(yīng)和恢復(fù),確保系統(tǒng)安全運(yùn)行。
圖1 網(wǎng)絡(luò)安全保障體系
1.網(wǎng)絡(luò)安全保障關(guān)鍵要素
網(wǎng)絡(luò)安全保障關(guān)鍵要素包括四個方面:網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全運(yùn)作和網(wǎng)絡(luò)安全技術(shù),如圖2所示。其中,網(wǎng)絡(luò)安全策略為安全保障的核心,主要包括網(wǎng)絡(luò)安全的戰(zhàn)略、政策和標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全管理是指企事業(yè)機(jī)構(gòu)的管理行為,主要包括安全意識、組織結(jié)構(gòu)和審計(jì)監(jiān)督。網(wǎng)絡(luò)安全運(yùn)作是企事業(yè)機(jī)構(gòu)的日常管理行為,包括運(yùn)作流程和對象管理。網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)系統(tǒng)的行為,包括安全服務(wù)、措施、基礎(chǔ)設(shè)施和技術(shù)手段。
圖2 網(wǎng)絡(luò)安全保障要素 圖3 P2DR模型示意圖
在機(jī)構(gòu)的管理機(jī)制下,只有利用運(yùn)作機(jī)制借助技術(shù)手段,才可真正實(shí)現(xiàn)網(wǎng)絡(luò)安全。通過網(wǎng)絡(luò)安全運(yùn)作,在日常工作中認(rèn)真執(zhí)行網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全技術(shù)手段,“七分管理,三分技術(shù),運(yùn)作貫穿始終”,管理是關(guān)鍵,技術(shù)是保障,其中的管理實(shí)際上包括管理技術(shù)。P2DR模型是美國ISS公司提出的動態(tài)網(wǎng)絡(luò)安全體系的代表模型,也是動態(tài)安全模型,包含4個主要部分:Policy(安全策略)、Protection(防護(hù))、Detection(檢測)和 Response(響應(yīng))。如圖3所示。
2.網(wǎng)絡(luò)安全保障總體框架
鑒于網(wǎng)絡(luò)系統(tǒng)的各種威脅和風(fēng)險(xiǎn),以往傳統(tǒng)針對單方面具體的安全隱患,所提出的具體解決方案具有一定其局限性,應(yīng)對的措施也難免顧此失彼。面對新的網(wǎng)絡(luò)環(huán)境和威脅,需要建立一個以深度防御為特點(diǎn)的網(wǎng)絡(luò)信息安全保障體系。網(wǎng)絡(luò)安全保障體系總體框架如圖4所示。此保障體系框架的外圍是風(fēng)險(xiǎn)管理、法律法規(guī)、標(biāo)準(zhǔn)的符合性。
圖4 網(wǎng)絡(luò)安全保障體系框架
網(wǎng)絡(luò)安全管理的本質(zhì)是對網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)進(jìn)行動態(tài)及有效管理和控制。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是網(wǎng)絡(luò)運(yùn)營管理的核心,其中的風(fēng)險(xiǎn)分為信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn),包括網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。實(shí)際上,在網(wǎng)絡(luò)信息安全保障體系框架中,充分體現(xiàn)了風(fēng)險(xiǎn)管理的理念。網(wǎng)絡(luò)安全保障體系架構(gòu)包括五個部分:
1) 網(wǎng)絡(luò)安全策略。屬于整個體系架構(gòu)的頂層設(shè)計(jì),起到總體宏觀上的戰(zhàn)略性和方向性指導(dǎo)作用。以風(fēng)險(xiǎn)管理為核心理念,從長遠(yuǎn)發(fā)展規(guī)劃和戰(zhàn)略角度整體策劃網(wǎng)絡(luò)安全建設(shè)。
2) 網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)。是對網(wǎng)絡(luò)安全策略的逐層細(xì)化和落實(shí),包括管理、運(yùn)作和技術(shù)三個層面,各層面都有相應(yīng)的安全政策和標(biāo)準(zhǔn),通過落實(shí)標(biāo)準(zhǔn)政策規(guī)范管理、運(yùn)作和技術(shù),保證其統(tǒng)一性和規(guī)范性。當(dāng)三者發(fā)生變化時(shí),相應(yīng)的安全政策和標(biāo)準(zhǔn)也需要調(diào)整并相互適應(yīng),反之,安全政策和標(biāo)準(zhǔn)也會影響管理、運(yùn)作和技術(shù)。
3) 網(wǎng)絡(luò)安全運(yùn)作。基于日常運(yùn)作模式及其概念性流程(風(fēng)險(xiǎn)評估、安全控制規(guī)劃和實(shí)施、安全監(jiān)控及響應(yīng)恢復(fù))。是網(wǎng)絡(luò)安全保障體系的核心,貫穿網(wǎng)絡(luò)安全始終;也是網(wǎng)絡(luò)安全管理機(jī)制和技術(shù)機(jī)制在日常運(yùn)作中的實(shí)現(xiàn),涉及運(yùn)作流程和運(yùn)作管理。
4) 網(wǎng)絡(luò)安全管理。對網(wǎng)絡(luò)安全運(yùn)作至關(guān)重要,從人員、意識、職責(zé)等方面保證網(wǎng)絡(luò)安全運(yùn)作的順利進(jìn)行。網(wǎng)絡(luò)安全通過運(yùn)作體系實(shí)現(xiàn),而網(wǎng)絡(luò)安全管理體系是從人員組織的角度保證正常運(yùn)作,網(wǎng)絡(luò)安全技術(shù)體系是從技術(shù)角度保證運(yùn)作。
5) 網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全運(yùn)作需要的網(wǎng)絡(luò)安全基礎(chǔ)服務(wù)和基礎(chǔ)設(shè)施的及時(shí)支持。先進(jìn)完善的網(wǎng)絡(luò)安全技術(shù)可極大提高網(wǎng)絡(luò)安全運(yùn)作的有效性,從而達(dá)到網(wǎng)絡(luò)安全保障體系的目標(biāo),實(shí)現(xiàn)整個生命周期(預(yù)防、保護(hù)、檢測、響應(yīng)與恢復(fù))的風(fēng)險(xiǎn)防范和控制。