2022年上半年,全球范圍內(nèi)已經(jīng)發(fā)生了數(shù)十起針對政府、能源、工業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊,先后導(dǎo)致哥斯達(dá)黎加政府計算機系統(tǒng)癱瘓,意大利多個政府網(wǎng)站停擺。而自俄烏戰(zhàn)爭以來,網(wǎng)絡(luò)攻擊使兩國的政府機構(gòu)和關(guān)鍵基礎(chǔ)設(shè)遭受到嚴(yán)重破壞,其影響范圍甚至覆蓋全球數(shù)十個國家,數(shù)千家企業(yè),對世界范圍內(nèi)的國計民生造成了巨大災(zāi)難。
在數(shù)字化不斷發(fā)展的今天,隨著網(wǎng)絡(luò)技術(shù)變革和網(wǎng)絡(luò)攻防趨勢的變化,網(wǎng)絡(luò)攻擊造成的破壞早已從互聯(lián)網(wǎng)本身延伸到了物理世界,對人們的生命財產(chǎn)安全、社會安全乃至國家安全帶來了巨大的威脅。作為維持國家機器正常運轉(zhuǎn)的重要基礎(chǔ),政務(wù)系統(tǒng)的安全建設(shè)亟需更加有效、更加成熟的路徑和方案。
“割裂”的政務(wù)安全 《網(wǎng)絡(luò)安全法》第三章第三十一條指出,電子政務(wù)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,就可能嚴(yán)重危害到國家安全、國計民生和公共利益。 隨著監(jiān)管合規(guī)“三法一例”的陸續(xù)發(fā)布生效,數(shù)字政務(wù)的不斷深入,法律政策層面的重重加壓不僅讓網(wǎng)絡(luò)安全的高度進一步提升,也給政府單位的網(wǎng)絡(luò)安全能力建設(shè)提出了合規(guī)性的挑戰(zhàn)。 同時,網(wǎng)信、公安、主管單位常態(tài)化檢查和通報越來越多,全國性攻防實戰(zhàn)演練規(guī)模不斷擴大,重大會議、節(jié)日期間的安全保障越發(fā)嚴(yán)峻······以上種種都說明了政府網(wǎng)絡(luò)環(huán)境的安全壓力今非昔比。 然而,當(dāng)前大部分政務(wù)系統(tǒng)還在采用“設(shè)備堆疊為主”的安全建設(shè)模式。落實到具體的政務(wù)日常中,這種方式帶來了很多弊端,如部分開發(fā)年限較久、長年未更新的應(yīng)用程序積累下越來越多無人跟進修復(fù)的脆弱性問題;面對各種新型攻擊手法,政務(wù)單位也沒有足夠多的專業(yè)人才可以實時分析安全日志、從海量日志中捕獲有效事件信息,優(yōu)化安全設(shè)備的策略配置,只能被迫采取“事后救火”的被動方法應(yīng)對安全事件。 此外,設(shè)備堆疊的安全建設(shè)模式帶來的是割裂的防護體系,設(shè)備與設(shè)備之間各自為戰(zhàn),缺少全局的視野和相互協(xié)同的聯(lián)動策略,不僅使得安全管理變得異常復(fù)雜,很大程度上限制了政府單位整體應(yīng)對威脅的能力。 當(dāng)下不斷發(fā)生的國際大事以及在此期間不斷傳出的網(wǎng)絡(luò)安全事件,正在向我們傳遞著一個非常危險的信號——網(wǎng)絡(luò)空間安全形勢越發(fā)嚴(yán)峻,高級網(wǎng)絡(luò)攻擊正在被投入使用,政務(wù)系統(tǒng)當(dāng)前所面臨的是真正國家級的“網(wǎng)絡(luò)武器”。 為應(yīng)對這諸多挑戰(zhàn),政務(wù)單位不得不親自進行安全運營體系的建設(shè)。但傳統(tǒng)的安全建設(shè)模式,單只在系統(tǒng)部署、系統(tǒng)調(diào)試上就需要花掉一個月左右的時間,整個體系化的搭建最快也得六到九個月;建設(shè)資金也通常超過一百萬,后期還需額外的維護費用;同時,傳統(tǒng)建設(shè)的學(xué)習(xí)成本極高,單技術(shù)系統(tǒng)的掌握就需要至少一個月的時間,更別說體系化里包含了不止一個系統(tǒng);最后,對政務(wù)單位而言,這樣系統(tǒng)化的安全維護管理至少需要12位左右的安全專家。無論是時間、資金,還是人才上都會產(chǎn)生巨大的成本投入。 好在安全托管服務(wù)的到來為政務(wù)環(huán)境帶來了新保障。 新興的安全保障模式 何為安全托管服務(wù)MSS(Managed Security Service)?MSS指的是MSSP(托管安全服務(wù)提供商)通過在用戶網(wǎng)絡(luò)環(huán)境中部署安全組件,進行必要的安全日志及告警信息收集,并加密上傳至云端安全運營中心,由安全專家團隊在云端幫助用戶開展的持續(xù)安全運營。 具體到政務(wù)場景中,通過云端電子政務(wù)安全運營中心的安全能力中臺,對數(shù)據(jù)進行匯總、聚類和清洗;一旦監(jiān)測到安全事件,安全能力中臺就會將告警信息傳遞至電子政務(wù)安全運營服務(wù)平臺;該平臺將自動生成工單并根據(jù)事件內(nèi)容不同實時派發(fā)工單至各級安全專家,安全運營專家組會按照標(biāo)準(zhǔn)化流程開展安全事件的研判和響應(yīng)工作;最后再由安全專家根據(jù)處置建議線上遠(yuǎn)程響應(yīng),如無法線上處置,則會將內(nèi)容同步到本地安全服務(wù)工程師,進行現(xiàn)場處置。 可以看到,MSS不單單是通過系統(tǒng)、軟件來幫助用戶解決安全問題,其核心和精華在于通過云端資源共享模式,整合了專家能力經(jīng)驗、新興安全技術(shù)和安全產(chǎn)品能力,以高性價比方式實現(xiàn)對政務(wù)單位網(wǎng)絡(luò)的7*24小時監(jiān)測預(yù)警、實時響應(yīng),最終給政務(wù)單位提供可承諾效果的風(fēng)險管控保障。 筆者在上文也提到,堆疊產(chǎn)品的傳統(tǒng)安全建設(shè)方式存在明顯短板,異常行為的整合分析、安全事件的響應(yīng)處置及后續(xù)的加固措施,依賴于安全工程師自身的經(jīng)驗和能力,但是組織短期內(nèi)又無法快速組建一支成熟的安全團隊。MSS“服務(wù)化”交付的形式,以“人”和“機器(安全設(shè)備/安全平臺)”的有效協(xié)同,恰好可以補足這部分缺失。 同時,與同樣以“人”為核心的傳統(tǒng)駐場服務(wù)相比,MSS花費的預(yù)算成本更低、效果卻更好。由于駐場服務(wù)不可持續(xù),駐場人員難以做到24小時不間斷地監(jiān)測和防護;不僅如此,傳統(tǒng)駐場服務(wù)會因為人員流動性過高而導(dǎo)致安全水準(zhǔn)參差不齊,這便需要政府單位花更多的時間去考量和選擇。 反觀MSS,由于其可以同時服務(wù)于多個用戶的特性,這種“共享”的消費模式相當(dāng)于共同平攤了運作成本,極大地節(jié)省了傳統(tǒng)駐場模式下的資金資源投入。 最為關(guān)鍵的是,MSS能整合全網(wǎng)、全行業(yè)的安全信息,并同時能集合大量的安全專家對安全事件進行綜合地研判和處理,在成熟的服務(wù)流程、標(biāo)準(zhǔn)、平臺下,這些安全專家可做到7*24小時持續(xù)在線守護,為用戶帶來足夠穩(wěn)定和有效的風(fēng)險管控和安全檢測能力。
通過這種輕投入、一站式的解決方案,可以快速高效地幫助政府單位和政務(wù)系統(tǒng)在數(shù)字化和高級威脅的當(dāng)下,以快速接入和低成本投入的方式改善安全現(xiàn)狀,從多個維度滿足威脅檢測與分析需求,對抗高級別網(wǎng)絡(luò)威脅,提升自身網(wǎng)絡(luò)安全能力。 給政務(wù)系統(tǒng)穿上“戰(zhàn)衣” 綜合政務(wù)場景的需求和MSS的特質(zhì),筆者認(rèn)為可以從幾個方面來選擇合適的MSSP。 首先,MSS的提供商必須具有豐富的用戶經(jīng)驗和對安全風(fēng)險的快速檢測、分析和防御能力。其次,MSSP必須具有成熟的服務(wù)流程和保障能力,保證快速發(fā)現(xiàn)安全事件、及時響應(yīng)安全事件,做到重大事件100%閉環(huán)。此外,MSSP所提的服務(wù)質(zhì)量承諾必須是可衡量的,即要明確服務(wù)最終達(dá)成的安全效果情況,包括安全事件的響應(yīng)時間和處置效率,高級威脅的檢測正確率和實時性等,都得經(jīng)得起廣大用戶的驗證。 而在技術(shù)性方面,則要求MSSP的服務(wù)能力可適應(yīng)當(dāng)前快速變化的安全形勢,要實時更新迭代,適應(yīng)各類新型的安全風(fēng)險。一旦政務(wù)系統(tǒng)被攻破,將會導(dǎo)致嚴(yán)重后果,因此能否跟得上攻擊技術(shù)的進化,不斷升級服務(wù)能力,對未知威脅做到快速檢測、分析、防御、處置,才是對政務(wù)單位而言至關(guān)重要的因素。 最后也是最重要的一點,既然MSS是一種服務(wù),那么對于政務(wù)安全管理人員來說,最好的服務(wù)體驗就是“減輕壓力”。 說白了,最好能夠讓政府單位將部分依靠自身人員無法完成的安全工作“托管”,即單位內(nèi)部不再需要費盡心思搭建安全運營體系,也能夠通過一站式部署的方式,直接獲得MSS的安全能力,好比普通人通過穿上蝙蝠戰(zhàn)衣,坐上蝙蝠戰(zhàn)車,能夠瞬間完成從布魯斯韋恩到蝙蝠俠的蛻變。 只不過區(qū)別在于,蝙蝠俠需要具備極強的“鈔能力”,而MSS只需要“共享”,投入適當(dāng)?shù)某杀炯纯苫沓売⑿?,與來自國家級的網(wǎng)絡(luò)威脅硬碰硬。 如此一來,無論是主動發(fā)現(xiàn)還是及時防御響應(yīng),只需要交給“蝙蝠戰(zhàn)衣”即MSS來完成,作為維持國家機器運轉(zhuǎn)的重要組成部分,政府單位就可以將人力和資源從安全應(yīng)對中解放出來,更多地投入在服務(wù)國民乃至建設(shè)國家之上。 但這也有一個問題,那就是MSS必須要有承載此等重任的資格和能力。 國內(nèi)首個政務(wù)網(wǎng)絡(luò)安全運營中心 在2022年6月8日舉行的“數(shù)字政府安全托管服務(wù)技術(shù)論壇”上,深信服依托于國內(nèi)首個建設(shè)在國家政務(wù)網(wǎng)絡(luò)的安全運營中心發(fā)布了政務(wù)網(wǎng)絡(luò)安全托管服務(wù),它突破傳統(tǒng)安全防護的局限,通過全天候的“人機共智”服務(wù)模式為政務(wù)用戶的網(wǎng)絡(luò)安全提供專業(yè)、持續(xù)、有效的安全保障服務(wù),并且可以實現(xiàn)數(shù)據(jù)不出政務(wù)網(wǎng)絡(luò)的“安全托管”。
通過把安全專家資源池化的方式,深信服MSS讓用戶能隨時享受到安全專家的服務(wù)。原理是將安全專家的經(jīng)驗固化到安全運營平臺中,從資產(chǎn)、脆弱性、威脅、事件四個要素里全面地進行信息安全風(fēng)險管理,實現(xiàn)精準(zhǔn)地監(jiān)測告警并輸出專業(yè)的處置建議,與用戶一同構(gòu)建持續(xù)(7*24 小時)、主動、閉環(huán)的安全運營架構(gòu)。
筆者還了解到,其實早在2018年,深信服就率先發(fā)布了面向全行業(yè)的安全托管服務(wù)。通過服務(wù)上千客戶積累下的安全策略以及針對于高級威脅的檢測能力,深信服MSS如今已形成可落地的SLA、多個細(xì)分安全場景以及行業(yè)化的精細(xì)運營。此次發(fā)布的政務(wù)網(wǎng)絡(luò)安全托管服務(wù),就是其在ToB市場上取得成功后,邁向更為細(xì)分的政務(wù)領(lǐng)域且得到肯定的一大步。 盡管安全市場的發(fā)展從未停止,能否始終一馬當(dāng)先并建立行業(yè)壁壘則需要時間的考驗。但若只看現(xiàn)階段深信服MSS的各種發(fā)展和趨勢,筆者認(rèn)為無論口碑也好、前景也罷,都是值得肯定的。 深信服在接受采訪時也表示,現(xiàn)階段還將持續(xù)升級自身安全運營中心的能力,通過超級自動化平臺、云端智能機器人、云端安全知識庫、云端高級專家團等方式打造All online的安全托管能力,其目標(biāo)是為了進一步提升深信服MSS的綜合實力,讓其更具承載政務(wù)系統(tǒng)網(wǎng)絡(luò)安全防護和能力建設(shè)的使命,具備在國家級網(wǎng)絡(luò)威脅面前保護政務(wù)系統(tǒng)安全的實力,讓廣大政務(wù)用戶安心把安全托管給深信服。 安全之于未來 數(shù)字時代的飛速發(fā)展,意味著安全已是各行各業(yè)都得重視的問題,從國家對于網(wǎng)絡(luò)的戰(zhàn)略部署和國際形勢間的網(wǎng)絡(luò)戰(zhàn)來看,安全已不單單是行業(yè)、部門所能概括的內(nèi)容,而是可以引申至國家、文化、傳承等更多關(guān)乎于“人類命運共同體”的概念。因此,若說之后的社會發(fā)展該“圍繞著安全進行”也并不為過。 從安全產(chǎn)品的發(fā)展趨勢來看,日后云端、AI、自動化平臺會越來越多。而從不法者的攻擊手段來推測,接下去的安全防御必定是人與人之間的較量,單一的安全系統(tǒng)將會淘汰。結(jié)合這兩點,在攻防時代下,安全產(chǎn)品必定要有相應(yīng)的高級“專家服務(wù)”,甚至這服務(wù)該為主而不是為輔。 正應(yīng)了那句話:安全不是一蹴而就的,也不是通過一套或幾套系統(tǒng)就可以解決的。需要有像MSS這樣“人機共智”的產(chǎn)品,更需要人民、社會、國家達(dá)成共識,培養(yǎng)出更多安全人才,塑造好全民的安全意識,這樣從行業(yè)到國家才會有更理想的網(wǎng)絡(luò)安全保障。