政企网络边界安全管理的思考与探索
2022-09-28 17:52:40 来源: 壹点网
文 | 广州天懋信息系统股份有限公司 邹凯
政府和企事业单位搭建内部网络满足组织管理、指挥调度、协同办公、资源共享、生产经营、公众服务等事务的网络化和数字化需求。为了保护政企网络不受外部侵害,通常将网络边界作为第一道防线,严格控制政企网络与外部网络的业务互访和数据流动。
在建设“数字中国”、“网络强国”等国家发展战略的有力推动下,云计算、万物互联、区块链、5G、零信任等新技术不断应用于政企网络,推动网络规模不断扩大,网络服务持续创新,网络内外交互联系需求越来越旺盛,随之而来的是各类新型网络边界应用在政企网络中不断涌现。
一、政企网络边界安全管理面临的风险与挑战
现行网络安全管理体系下的网络边界安全管理,在实践中已暴露出诸如覆盖面不全、适应性不强、弹性扩展能力不足、安全事件感知与响应滞后等问题;在政企数字化转型过程中因业务设计和应用创新的参与度不高,导致既有业务迭代和新型应用成为网络边界安全管理的监管盲区的问题;缺乏对擅自部署的违规网络边界,特别是以逃避监管为目的设计的违规网络边界设施设备和应用的发现和处置的技术手段。针对网络边界的渗透入侵正威胁着政企网络以及依托政企网络运行的关键信息基础设施和重要数据的安全,急需开展政企网络边界安全管理体系研究与实践,完善和强化政企网络整体安全保障能力。
二、构建政企网络边界安全管理体系的思考
(一)从管理对象到管理体系
网络边界安全管理,通常作为网络安全管理体系的管理对象之一,强调已知网络边界设施的安全防护,以及对未知网络边界设施的发现和处置,很少关注网络边界因规模体量、工作机制、应用场景、服务方式等变化带来的风险,在瞬息万变的数字业务需求和无处不在的新型网络攻击面前暴露出诸多问题。因此,需在网络安全管理体系的基础上,深入研究网络边界的业务特性和安全风险,明确管理对象,分析应用场景与服务内容,细化管理要素,构建适应时代发展需要的网络边界安全管理体系。
(二)从“防护罩”到“网格边界”
现行政企网络边界安全管理,可理解为网络边界是包裹整个网络空间的“防护罩”,在这个“防护罩”中设计若干条通道用于与外界联系。此种方式强调的是控制好通道,进而控制经通道进出的网络访问和数据流动,优点在于通道数量可控,便于安全防护措施的实施,管理手段更容易落地,缺点一是审批流程长、通道承载能力有限、交互需求适配耗时久;二是容易忽视基层部门和个人对网络边界的使用需求,导致私搭乱建违规网络边界的事件屡禁不止。随着数字时代的临近,政企数字化程度越来越高,数字化事务跨边界交互需求爆发式增长,大量前所未有的跨边界交互场景涌现,“防护罩”式安全管理正成为政企数字化转型快速推进的障碍。
网格边界是指在网络边界安全管理体系的作用下,将整个网络空间按需划分成大小不等的网格,基于网格内设备设施、业务应用、数据等资源的重要程度,结合网格所处的物理空间和网络空间因素,明确网格边界的安全管理要求,实施相应的安全措施,在受控的条件下提供跨边界交互服务。与安全域的域边界不同之处在于,网格边界是弹性的,比如政企云可以由一个或多个网格组成并形成一个或多个网格边界,部门的局域网也可构建网格边界并提供跨边界交互服务。
网格边界的安全性、交互能力以及弹性,不仅取决于网络边界安全管理体系的完善程度,还与管理体系的自动化编排、调度和处置能力息息相关,现有技术方案暂时无法发挥其全部效能,需各方共同投入,持续研究和创新。
(三)从强调重要应用系统和数据监管,到以用户和资源监管为核心
长期以来,对跨边界交互的安全监管,重心放在防止在跨边界交互过程中,重要应用系统遭到攻击破坏,重要数据被窃取、篡改或删除。这种安全管理和防护模式在数据中心机房部署核心业务并存储数据的大集中时代,具有便于管理、目标明确见效快、运维难度低等优势。随着应用系统和数据向云迁移,应用系统的更新迭代加快,新应用系统的上线周期变短,对外共享和外部流入的数据类型时刻在变,部门级云上应用甚至个人用户的跨边界需求层出不穷,现行的跨边界交互安全管理和防护模式已难以适应这些变化。
以用户和资源监管为核心,是将跨边界交互的安全监管重心,由交互过程移至用户和资源两个核心点,在确保安全的基础上提供适应复杂场景和多变需求的跨边界交互服务:一是监管网络边界内外两侧的应用系统和个人用户,确保用户的访问获得授权并可约束跨边界访问的网格与路径;二是将网络边界内外两侧设施设备、应用系统、数据等资源进行分类分级,监管用户能且仅能按授权对资源进行访问和使用;三是采取技术手段实现对未经授权的用户绕过监管措施访问资源、不受控的网络边界节点向用户提供跨边界交互服务等情况的发现和处置。
(四)常态化防护与暴露面收敛相结合
网络边界暴露面,是指网络边界可被直接或间接收集的信息集。立足于安全管理者视角,信息集不仅包括已知可被利用发起网络攻击的弱点、缺陷等攻击面信息,还包括其他可能被用于侵害政企网络安全和相关利益的信息,例如网络边界的跨边界流转的数据类型,又如可间接推断出存在不被掌握的0day漏洞的信息。网络边界暴露面收敛,强调的是尽可能不泄露网络边界及其跨边界交互的相关信息,即便面对授权用户也仅提供其权限之内的信息。实现网络边界暴露面收敛的前提,一是需要具备感知网络边界的技术手段,二是严控对外发布信息内容及控制信息获取途径,三是对不同用户的跨边界交互服务提供不同的路径,有条件可动态提供路径。
从突破网络边界防护渗透进入政企网络的众多案例来看,无论是应对黑客组织发起的入侵攻击,还是应对为检验网络边界安全效能而开展的渗透测试,传统的网络边界安全措施在防不胜防的攻击手段面前略显乏力。造成这种局面的主要原因之一是安全管理者和专家往往倾向于将资源投放在网络边界的安全防护加固和安全事件的监控与处置上,而对网络边界暴露面的投入则不足以及时感知其存在并进行收敛。将常态化防护与暴露面收敛相结合,可充分发挥两者优势,较小的暴露面可放大攻击者的侦查嗅探过程与耗时,增加渗透攻击难度,令网络边界安全措施有足够的检测数据和响应时间,为安全管理者应急处置创造条件。
三、政企网络边界安全管理体系建设的几点建议
(一)完善政企网络安全顶层设计,夯实监管基础
政企安全管理者在网络安全整体设计中,通常参考《网络安全等级保护制度》及网络安全主管单位制定的安全管理制度,对网络边界进行安全设计,以保障网络边界不被渗透入侵为目标,主要关注网络边界设施的安全防护能力,对网络边界因设施形态、技术方案、应用场景、服务对象等方面的不同所面临的各类安全风险缺乏明确的指导,对涌现的各类跨边界交互需求如何落实安全措施也缺乏相应的规范约束。因此,需对网络边界业务充分调研和深度分析,从网络边界的管理结构、建设规划、保护对象、安全要求等各维度对网络安全顶层设计进行完善和补充,为政企网络边界安全管理体系的构建和实施打好基础。
(二)优化网络边界安全管理模型,细化监管颗粒度
传统的网络边界安全管理模型,通常包含横向边界和纵向边界两大部分,横向边界主要负责对网络外部的交互防护,纵向边界主要负责网络内部不同区域之间的交互防护,不仅颗粒度较粗,而且对边界类型的划分也不够完善。结合现网普遍的网络边界形态,可考虑补充以下内容:
1.关键信息基础设施的安全管理。关键信息基础设施的重要性在《关键信息基础设施安全保护条例》第一章第二条做出了明确阐述,将与其相关的边界业务安全纳入模型的必要性不言而喻。
2.涉云边界的安全管理。涉云边界是指云与支撑硬件平台的边界、云应用之间的边界、云应用与大数据湖的边界、云与网络内其他区域的边界、云与外部网络的边界等。
3.面向数据的安全管理。数据流动是网络边界的主要功能之一,但传统边界安全管理模型未将数据为管理对象纳入管理范畴。
4.通信链路边界的安全管理。大规模政企网络的上下级网络枢纽和城域网内距离较远的物理区域,通常采用向运营商租赁专线的方式组网,承载专线的通信链路可能同时为多家租户提供服务,需将链路边界纳入网络边界并实施安全管理。
5.安全域/网格边界安全管理。不论是基于安全域还是网格定义不同网络业务和安全需求的网络区域,这些网络区域也应按需纳入边界安全管理范畴。
(三)实施多维动态网络边界测绘,强化监管能力
落实网络边界安全管理,需理清全网网络边界底数,明确其所处的网络空间位置,进而掌握跨边界交互的具体情况和落实安全管理措施。
面对复杂多变的政企网络,可基于政企网络边界安全管理模型,根据不同管理对象的信息采集和管理要求,在网络主干、云中心、数据中心、安全域或网格等网络关键位置部署各类技术手段,实施覆盖全网的网络边界不间断测绘,辅以诸如登记备案、资产台帐等管理手段,形成实时更新的网络边界安全数据库,记录网络边界运行和服务状态,帮助管理者掌握网络边界安全形势,还可帮助管理者发现各类私自搭建的不受控网络边界和跨边界交互行为,为快速响应和处置安全风险提供数据支撑。
结语:
就网络技术和应用发展趋势而言,从用户视角来看,政企网络的边界将逐渐模糊,并在数字化转型的过程中逐渐与互联网等外部网络以某种形式融合互通;从管理者视角来看,网络边界控制颗粒度越来越细,抵御侵害的自动化和智能化程度越来越高,这也为构建政企网络边界安全管理体系这一项复杂的系统工程提出了更高要求。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
标签:
为您推荐
精彩放送
热门文章
-
年内新发基金突破万亿元 债券型基金占比超过六成
-
1-8月深圳经济保持恢复发展态势 工业生产继续回升
-
当前动态:贾跃亭再获1亿美金融资FF重组董事会
-
世界观速讯丨传零跑汽车IPO发行价每股48港元
-
全球微速讯:十年锻造“三好”债基,华宝基金李栋梁业绩领跑有何秘诀?
-
环球观察:每财汽车|江铃福特仍处边缘,“挑战者”向东平能否力挽狂澜?
-
今日热文:多地启动5种门诊慢特病费用跨省直接结算
-
世界今日报丨京东特物Z“了不起的新中式”上线,集新中式青年勋章、瓜分千万京豆
-
全球视点!掉队多年的完达山,四冲IPO
-
中国平安大股东董事杨小平买入10万股H股 每股均价43港元
-
多家券商降低客户保证金存款利率 部分券商此前曾推出两融利率优惠
-
全球滚动:三年亏损48亿,零跑汽车拟赴港上市|每财汽车
精彩图片
热文
-
2022年“科创中国”企业创新大家谈第二期活动在宁波举办
-
米家透明蒸汽电饭煲惊喜上市,健康智能“看得见”
-
骄成超声上市中一签浮盈近2.5万元 业绩呈快速增长态势
-
公募热衷参与上市公司定增 不乏明星基金经理在管产品
-
年内新发基金突破万亿元 债券型基金占比超过六成
-
美联储大幅加息助推美元指数创20年新高 欧元英镑日元大幅贬值
-
1-8月深圳经济保持恢复发展态势 工业生产继续回升
-
YU-KI带你远离“多事之秋”
-
6万级的强强对决,2022款瑞虎3x 和远景X3 PRO谁是年轻人的心头爱
-
当前动态:贾跃亭再获1亿美金融资FF重组董事会
-
2022年低保户要交医保吗?哪十种大病可以申请低保?
-
广东生育津贴怎么申请?生育津贴必须三个月内领取么?
-
港股能源管理利好哪些概念股?能源管理概念股有哪些?
-
卓创资讯收益怎样?卓创资讯将于9月28日进行申购
-
荣誉见证实力 美巢墙尼荣获“石膏行业突出贡献奖”
-
信用卡因拘留逾期上征信了怎么办?信用卡逾期15天有事吗?
-
逾期中怎么办信用卡?信用卡逾期还款后一直显示入账中怎么回事?
-
工行信用卡逾期两年了怎么办?工行信用卡逾期三年可以协商还款吗?
-
用创新拉满生活的幸福感,AUG集成灶推出外观颜色定制服务
-
世界观速讯丨传零跑汽车IPO发行价每股48港元
-
【世界新视野】一度电背后的大电网秋检
-
永和豆浆驰援贵阳:凝聚抗疫力量,彰显民企担当
-
每日短讯:今年1至8月雄安跨境电商进出口额达2.08亿元 增长超7倍
-
全球微速讯:十年锻造“三好”债基,华宝基金李栋梁业绩领跑有何秘诀?
-
环球观察:每财汽车|江铃福特仍处边缘,“挑战者”向东平能否力挽狂澜?
-
今日热文:多地启动5种门诊慢特病费用跨省直接结算
-
热门看点:施蕴渝:孜孜探寻生物大分子奥秘
-
世界今日报丨京东特物Z“了不起的新中式”上线,集新中式青年勋章、瓜分千万京豆
-
【世界播资讯】“婴儿水”更营养健康? 专家:纯粹一种商业“噱头”
-
今日热门!“鲲龙”AG600M飞机完成12吨投汲水试验
-
重庆兴农担保集团深入开展课题研究推进成果转化
-
天天最新:湾区横贯铁路串起“黄金走廊”
-
世界速递!江西省抗旱应急响应提升至二级
-
【报资讯】海南启动防汛防风Ⅲ级应急响应
-
天天速讯:河南秋作物收获进度过半 已收获6197万亩
-
【天天播资讯】围绕五个“数字” 差异化探索自贸试验区实现路径
-
每一面,皆赢面!“新时代全优家轿”艾瑞泽8惊喜上市,宠粉价10.89万元起
-
“选矿宝”打造全产业链服务,为选矿厂带来理想回收率
-
科勒亮相2022可持续设计峰会 为美好环境而设计 许以更好的未来
-
共克时艰!德华安顾人寿第一时间启动“四川甘孜地震”应急预案
-
惠当家智慧社区物业系统顺应政策趋势,带动服务升级
-
东易日盛数装出发,闪耀新格局
-
2023第四届厦门防灾减灾与应急救援技术装备展览会
-
萨米特跨界Keep挑战赛热况直击,get焕新与运动双重自由!
-
信用卡逾期罚息还不起了怎么办?信用卡欠5万一个月利息多少?
-
信用卡按日贷逾期一天怎么办?逾期一天还款有利息吗?
-
信用卡逾期了账户只收不付怎么办?信用卡逾期了为什么还不进去钱?
-
信用卡和网贷逾期影响工作怎么办?网贷逾期对工作有影响吗?
-
信用卡逾期上了征信该怎么办?征信显示银行止付如何处理?
-
信用卡逾期来工作的地方怎么办?信用卡注销了会影响征信吗?