內生安全框架實現等保與關保的“三化六防”

■本刊記者 趙志遠

隨著新一代信息技術的發展，網絡空間進一步延伸，與此同時，網絡威脅也正從虛擬空間延伸到現實世界。關鍵信息基礎設施作為關系國計民生的重要領域，正面臨前所未有的網絡威脅。從震網病毒襲擊伊朗核電站到委內瑞拉電力系統屢遭破壞，近年來針對關鍵信息基礎設施的網絡攻擊愈演愈烈，因此關鍵信息基礎設施的安全穩定運行已成為各國網絡安全防護的重中之重。

關鍵信息基礎設施，網絡安全防護的重中之重

金融、能源、電力、通信、交通等領域的關鍵信息基礎設施作為經濟社會運行的神經中樞，是網絡安全保護的重中之重。我國早在2003年時就提出“重點保障基礎信息網絡和重要信息系統安全”。網絡安全法中首次明確了關鍵信息基礎設施的原則性范圍。《關鍵信息基礎設施安全保護條例（征求意見稿）》中明確提出關鍵信息基礎設施在網絡安全等級保護制度基礎上，實行重點保護。

等保2.0標準正式實施以來，等保2.0系列國家標準《網絡安全等級定級指南》（GB／T22040-2020）（以下簡稱“《定級指南》”）也于近期正式發布，我國網絡安全等級保護工作正有條不紊地推進。

此次宣貫會通過宣傳貫徹公安部《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》（以下簡稱“《指導意見》”），解讀《定級指南》國家標準，有力促進了等保與關保相關制度的落地。

“三化六防”新理念和新舉措

等保2.0和關保制度對網絡安全提出了“三化六防”，即“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的新理念和新舉措，以構建國家網絡安全綜合防控體系。

“當前關保面臨著實戰化、體系化、常態化的挑戰。”在奇安信集團董事長齊向東看來，實戰化驗證了面對有組織的攻擊沒有打不透的“墻”；體系化要求關保從“零散建設”走向“全局建設”，通過全局整體設計，建立全面覆蓋的網絡安全能力體系，將安全能力“調用”到關鍵信息基礎設施信息化體系當中去；常態化則要求關保要具備全天候的態勢感知與安全運行。

“實戰化、體系化、常態化”體現了針對關保的新理念，但新理念需要具體措施的支撐方能得以實施，而“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“六防”新舉措是構建國家網絡安全綜合防控體系的有力支撐。

齊向東認為，關鍵信息基礎設施防護必須具備“六防”能力，即針對攻擊的多樣化、多變性，構建切斷、誘捕、獵殺、震懾的動態防御能力；針對攻擊的復雜性、未知性，結合敵情我情，建設發現、分析、響應、溯源的系統和主動防御能力；針對內網的全連通、不設防，設計多層次防線，構建縱深防御能力，全面覆蓋“網絡戰場”；針對系統的核心點、重要度，構建精準防護能力，打造分區分級、高可靠性的防御體系：針對防護的碎片化、盲點多，構建全覆蓋、多場景、強協同的整體防控能力；針對威脅的非對稱、國家級，構建聯防聯控能力，實現企業、行業、國家從點到線再到面的統籌聯動。

內生安全框架實現關鍵信息基礎設施防護

信息化與網絡安全是一體之兩翼，驅動之雙輪，在信息化過程中，網絡安全建設需要隨著信息化的變化而與之相適應。因此，齊向東認為，在這一過程中，網絡安全一定要有一套框架體系，方能以不變應萬變。

奇安信在今年3月推出的面向新基建的新一代網絡安全框架，以系統工程的方法論結合“內生安全”的理念，改變以往“局部整改”和產品堆疊為主的安全規劃及建設模式，從頂層視角建立安全體系全景視圖。

“內生安全框架可為關鍵信息基礎設施防護實現‘六防’的體系化建設。” 齊向東表示，內生安全框架從頂層視角出發，支撐各行業的建設模式從“局部整改外掛式”，走向“深度融合體系化”；從工程實現的角度，將安全需求分步實施，逐步建成面向未來的安全體系；內生安全框架能夠輸出實戰化、體系化、常態化的安全能力，構建出動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的網絡安全防御體系。

齊向東表示，為用戶建立安全框架和體系一定是由某一家安全廠商來主導的，而體系之內的相關安全產品等則可以選擇不同品牌，百花齊放。這就好比建一座樓，需要選擇一家而不是幾家設計院來進行主導設計，否則就會產生責任不明等一系列問題。

針對用戶選擇什么樣的體系以及如何實施的問題，奇安信為內生安全框架的落地設計并解構出了“十工五任”的落地手冊，對每一個工程和任務都給出了具體的部署步驟和標準，政企機構可以結合自身信息化的特點，定義自己的關鍵工程和任務。依據“十工五任”手冊，奇安信針對136個信息化組件，總結出了29個安全區域場景，部署了79類安全組件。

齊向東表示，政企機構采用內生安全框架，三至五年，必能建立起完善的網絡安全協同聯動防御體系，實現內生安全。

面對關鍵信息基礎設施防護的新形勢和新要求，奇安信內生安全框架在為用戶輸出“三化”的安全能力，構建“六防”的網絡安全防御體系做出了重要貢獻。