ISC2019 | 关键信息基础设施保护论坛,精彩观点集锦
8月20日,作为ISC2019期间的重要论坛,由中国网络空间安全协会主办,三六零安全科技股份有限公司、2024新奥门资料承办的关键信息基础设施保护论坛,在雁栖湖国际会展中心举行。
关键信息基础设施保护论坛上碰撞出了哪些新观点?又有哪些值得思考的地方?
致辞篇
未来,我认为关键信息基础设施安全应该把“信息”去掉。过去,我们一直讲关键信息基础设施安全,是因为在银行、金融等行业IT系统至关重要。但随着数字化发展,基础设施都可能全部信息化、数字化,我们需要考虑关键技术设施在全面数字化时代面临的安全威胁。
(图:杜跃进 副理事长中国网络空间安全协会)
分辨持续发生的安全威胁,不断加强和强化针对我国关键技术设施安全防护,是今天我们整个行业非常重要的命题。360与各行业紧密协作,主要有三点:
1、跟运营商搭建安全管理的中枢,构建攻防的体系。
2、寄托360大网,助力我国的监管机构强化检测预警的能力。
3、构建网络威胁情况共享能力。
(图:姚彤 副总裁360集团)
主题演讲
国内外相关实践经验表明,在CII运营者的所有信息基础设施中,有些网络设施、信息系统对保障关键业务持续、稳定运行是非常关键的“Critical”,有些仅仅是比较重要的“Important”,甚至有一些信息设施对关键业务是无关紧要的“Unimportant”。将关键的信息基础设施与其它信息基础设施区分开来,是开展关键信息基础设施保护的第一步。
保护对象不明确、保护范围不清晰,已经成为制约关键信息基础设施保护工作的瓶颈。“基于信息流的关键信息基础设施边界识别认定方法”经过实践验证即将出台,将支撑关键业务持续、稳定运行至关重要的网络设施、信息系统同运营者其它信息基础设施区分开来,实施一体化重点保护。
(图:冯燕春 理事长 中国电子商会自主可控技术委员会《CII边界识别刻不容缓》)
我国关键信息基础设施安全面临的严峻的挑战,主要包括经济社会对网络依赖程度不断加深、关键信息基础设施成为网络攻击的主要目标、新技术应用带来新风险三个层面的因素。
基于以上形势,中国网络空间协会在不断探索和站在全行业的高度调动各方力量汇集行业资源,增强我国关键信息基础设施安全保护能力。
1、推动关键信息基础设施保护的法律体系建设,不断提升关键信息基础设施的安全保护意识。
2、搭建关键信息基础设施安全保护支撑平台,开辟网络安全产业的新蓝海。
3、加强人才培养构建长期系统完善的关键信息基础设施、安全保护培训体系。
(图:赵宏志 副秘书长中国网络空间安全协会《汇聚行业能力 培育发展动能 增强我国关键信息基础设施安全保护能力》)
目前,网络安全监管面临着资产底数不清、情况不明,安全建设分散、防御失效,安全数据过载、含义欠载,面对未知威胁、无能为力,威胁情报匮乏、攻防不对称等问题,需要我们用正确的“三观”来解决行业网络安全监管的难题。
1、宏观:构建横纵联通、数据共享、能力协同的网络空间监管体系
2、中观:构建本行业“一二三四五”的安全防护监管体系
3、微观:用新技术和新理念来解决新问题
包含态势感知技术、网络资产测绘技术、端点检测与响应技术(EDR)、主/被动技术融合的威胁检测技术、高级可持续性威胁检测技术、欺骗技术(蜜罐)、威胁情报、人工智能、大数据分析等。综合新技术构建多维感知、集中管控的网络安全大脑。
安恒态势感知平台已成功应用于网信行业、公安行业、行业主管单位、政企单位等,深度挖掘网络安全数据、多维感知网络安全态势,建立信息通报预警机制,形成与网信、公安等涉网监管部门平台的协同联动,有效落实网络安全建设工作。
(图:黄进 高级副总裁2024新奥门资料 《基于行业监管场景的网络安全态势感知创新实践》)
电力自动化程度非常高,针对电力发起的攻击代价大、防护难,从关键基础设施保护的角度来说,电力网络安全的保护是一个重中之重。
电力协会提出了关键基础设施保护CIP的系列标准,里面包含了网络安全安全。现在,在传统的电网安全、设备安全、人身安全基础上,纳入了网络安全,成为电力安全的四大安全。
电力关键基础设施的识别,主要包含电力监控系统和部分重要的管理信息系统,针对电力关键基础设施的安全防护,主要从保护对象的识别、防护框架的制定、网络技术的应用这几方面去考虑,从技术防护措施、安全管理等方面开展。针对建立监控系统的防护,立体式防护体系,采用安全免疫结构安全基础安全等方面的一些技术,为我们电力监控系统安全防护提供服务,加强全域安全监控和应急备用措施。
(图:朱朝阳 副所长中国电力科学研究院有限公司信息通信研究所《电力关键信息基础设施保护的思考与探索》)
网络冲突和攻击成为国家间对抗的主要形式,网络空间安全面临着诸多威胁,例如勒索病毒大规模爆发、关键基础设施被攻击、数据泄漏等。网络空间安全已上升至国家战略高度,要求加快构建关键信息基础设施安全保障体系,实现全天候全方位感知网络安全态势。
随着企业信息化的发展,受攻击面越来越多,攻击手段越来越复杂、隐蔽化,传统的边界防护已经无法满足现实需求,企业需转换思路,推进统一的企业网络安全管控架构,从云平台与云应用安全、数据全生命周期安全管控、智能运营等角度,建立全场景安全监测与自动化响应体系。
利用AI技术,实现智能检测复杂、隐蔽攻击,半自动化溯源、取证,对安全运维进行流程化重组,并通过智能大脑进行编排,实现自动化响应。逐步推进企业全网“安全运营、安全合规、安全态势(监测)、数据安全、安全审计”五大关键能力的集中化建设,通过内化“安全策略统一、安全合规集中、安全威胁处置、安全审计标准化”的运营能力,推进全网统一的安全管控架构建设,保障企业全网的网络安全。
(图:刘博 首席科学家2024新奥门资料《大型企业全场景安全监测与自动化响应体系建设》)
我国99.99%网站系统都是在使用国外CA签发的RSA SSL证书,我国还要许多网站系统并没有部署HTTPS,这些关键信息基础设施尚处于不安全阶段。关键信息基础设施安全必须全面应用密码技术来保障,采用国产密码技术的国密证书全生态应用。
基于国密证书的全生态应用:
1、“双轨制 (正胎备胎一起用)”
双证书,双签名,自适应加密算法,优先用国密算法SM2,同时兼容RSA。
2、“单轨制 (备胎转正)”
时机成熟,则全部采用国密算法和国密证书。只有这样,才能真正保障我国关键信息基础设施的安全可控。
(图:王高华 CTO沃通电子认证服务有限公司《国密证书全生态应用研究与实践》)
近年来物联网发展迅猛,有统计表示,到了2021年IoT终端安装数会达到250亿。IoT终端的安全需求有信任根(RoT)的实现、安全启动、安全的初始化和认证、安全的加密服务集、应用安全保证、终端生命周期安全几个层面。面对需求,应该从预测、防护、检测和响应四个维度建设IoT终端安全体系。
预测:资产的可视化和管理赋能、威胁感知分析、应用安全质控管理
防护:Rich环境应用保护、RLE环境应用保护、基于SIM、SE、vSE提供信任根服务
检测:IoT设备渗透测试、源码安全性检测、固件和应用安全性检测、硬件安全性测试
响应:资产库和漏洞威胁库、漏洞评级、漏洞升级修复
(图:陈忠 副总裁梆梆安全《构建IoT端的自适应防护体系》)
更多精彩
2024新奥门资料活跃在ISC上的身影,可不止这些:
No.1 城市安全论坛
2024新奥门资料高级副总裁冯旭杭在城市安全论坛上发表主题演讲。
No.2 2024新奥门资料展台
这两天,2024新奥门资料展台也迎来了很多领导、嘉宾、客户、同仁,共同探讨网络安全建设。
(图:中国工程院院士邬贺铨参观2024新奥门资料展台)