2022年上半年,全球范圍內(nèi)已經(jīng)發(fā)生了數(shù)十起針對(duì)政府、能源、工業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊,先后導(dǎo)致哥斯達(dá)黎加政府計(jì)算機(jī)系統(tǒng)癱瘓,意大利多個(gè)政府網(wǎng)站停擺。而自俄烏戰(zhàn)爭(zhēng)以來,網(wǎng)絡(luò)攻擊使兩國(guó)的政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)遭受到嚴(yán)重破壞,其影響范圍甚至覆蓋全球數(shù)十個(gè)國(guó)家,數(shù)千家企業(yè),對(duì)世界范圍內(nèi)的國(guó)計(jì)民生造成了巨大災(zāi)難。
在數(shù)字化不斷發(fā)展的今天,隨著網(wǎng)絡(luò)技術(shù)變革和網(wǎng)絡(luò)攻防趨勢(shì)的變化,網(wǎng)絡(luò)攻擊造成的破壞早已從互聯(lián)網(wǎng)本身延伸到了物理世界,對(duì)人們的生命財(cái)產(chǎn)安全、社會(huì)安全乃至國(guó)家安全帶來了巨大的威脅。作為維持國(guó)家機(jī)器正常運(yùn)轉(zhuǎn)的重要基礎(chǔ),政務(wù)系統(tǒng)的安全建設(shè)亟需更加有效、更加成熟的路徑和方案。
“割裂”的政務(wù)安全 《網(wǎng)絡(luò)安全法》第三章第三十一條指出,電子政務(wù)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,就可能嚴(yán)重危害到國(guó)家安全、國(guó)計(jì)民生和公共利益。 隨著監(jiān)管合規(guī)“三法一例”的陸續(xù)發(fā)布生效,數(shù)字政務(wù)的不斷深入,法律政策層面的重重加壓不僅讓網(wǎng)絡(luò)安全的高度進(jìn)一步提升,也給政府單位的網(wǎng)絡(luò)安全能力建設(shè)提出了合規(guī)性的挑戰(zhàn)。 同時(shí),網(wǎng)信、公安、主管單位常態(tài)化檢查和通報(bào)越來越多,全國(guó)性攻防實(shí)戰(zhàn)演練規(guī)模不斷擴(kuò)大,重大會(huì)議、節(jié)日期間的安全保障越發(fā)嚴(yán)峻······以上種種都說明了政府網(wǎng)絡(luò)環(huán)境的安全壓力今非昔比。 然而,當(dāng)前大部分政務(wù)系統(tǒng)還在采用“設(shè)備堆疊為主”的安全建設(shè)模式。落實(shí)到具體的政務(wù)日常中,這種方式帶來了很多弊端,如部分開發(fā)年限較久、長(zhǎng)年未更新的應(yīng)用程序積累下越來越多無人跟進(jìn)修復(fù)的脆弱性問題;面對(duì)各種新型攻擊手法,政務(wù)單位也沒有足夠多的專業(yè)人才可以實(shí)時(shí)分析安全日志、從海量日志中捕獲有效事件信息,優(yōu)化安全設(shè)備的策略配置,只能被迫采取“事后救火”的被動(dòng)方法應(yīng)對(duì)安全事件。 此外,設(shè)備堆疊的安全建設(shè)模式帶來的是割裂的防護(hù)體系,設(shè)備與設(shè)備之間各自為戰(zhàn),缺少全局的視野和相互協(xié)同的聯(lián)動(dòng)策略,不僅使得安全管理變得異常復(fù)雜,很大程度上限制了政府單位整體應(yīng)對(duì)威脅的能力。 當(dāng)下不斷發(fā)生的國(guó)際大事以及在此期間不斷傳出的網(wǎng)絡(luò)安全事件,正在向我們傳遞著一個(gè)非常危險(xiǎn)的信號(hào)——網(wǎng)絡(luò)空間安全形勢(shì)越發(fā)嚴(yán)峻,高級(jí)網(wǎng)絡(luò)攻擊正在被投入使用,政務(wù)系統(tǒng)當(dāng)前所面臨的是真正國(guó)家級(jí)的“網(wǎng)絡(luò)武器”。 為應(yīng)對(duì)這諸多挑戰(zhàn),政務(wù)單位不得不親自進(jìn)行安全運(yùn)營(yíng)體系的建設(shè)。但傳統(tǒng)的安全建設(shè)模式,單只在系統(tǒng)部署、系統(tǒng)調(diào)試上就需要花掉一個(gè)月左右的時(shí)間,整個(gè)體系化的搭建最快也得六到九個(gè)月;建設(shè)資金也通常超過一百萬,后期還需額外的維護(hù)費(fèi)用;同時(shí),傳統(tǒng)建設(shè)的學(xué)習(xí)成本極高,單技術(shù)系統(tǒng)的掌握就需要至少一個(gè)月的時(shí)間,更別說體系化里包含了不止一個(gè)系統(tǒng);最后,對(duì)政務(wù)單位而言,這樣系統(tǒng)化的安全維護(hù)管理至少需要12位左右的安全專家。無論是時(shí)間、資金,還是人才上都會(huì)產(chǎn)生巨大的成本投入。 好在安全托管服務(wù)的到來為政務(wù)環(huán)境帶來了新保障。 新興的安全保障模式 何為安全托管服務(wù)MSS(Managed Security Service)?MSS指的是MSSP(托管安全服務(wù)提供商)通過在用戶網(wǎng)絡(luò)環(huán)境中部署安全組件,進(jìn)行必要的安全日志及告警信息收集,并加密上傳至云端安全運(yùn)營(yíng)中心,由安全專家團(tuán)隊(duì)在云端幫助用戶開展的持續(xù)安全運(yùn)營(yíng)。 具體到政務(wù)場(chǎng)景中,通過云端電子政務(wù)安全運(yùn)營(yíng)中心的安全能力中臺(tái),對(duì)數(shù)據(jù)進(jìn)行匯總、聚類和清洗;一旦監(jiān)測(cè)到安全事件,安全能力中臺(tái)就會(huì)將告警信息傳遞至電子政務(wù)安全運(yùn)營(yíng)服務(wù)平臺(tái);該平臺(tái)將自動(dòng)生成工單并根據(jù)事件內(nèi)容不同實(shí)時(shí)派發(fā)工單至各級(jí)安全專家,安全運(yùn)營(yíng)專家組會(huì)按照標(biāo)準(zhǔn)化流程開展安全事件的研判和響應(yīng)工作;最后再由安全專家根據(jù)處置建議線上遠(yuǎn)程響應(yīng),如無法線上處置,則會(huì)將內(nèi)容同步到本地安全服務(wù)工程師,進(jìn)行現(xiàn)場(chǎng)處置。 可以看到,MSS不單單是通過系統(tǒng)、軟件來幫助用戶解決安全問題,其核心和精華在于通過云端資源共享模式,整合了專家能力經(jīng)驗(yàn)、新興安全技術(shù)和安全產(chǎn)品能力,以高性價(jià)比方式實(shí)現(xiàn)對(duì)政務(wù)單位網(wǎng)絡(luò)的7*24小時(shí)監(jiān)測(cè)預(yù)警、實(shí)時(shí)響應(yīng),最終給政務(wù)單位提供可承諾效果的風(fēng)險(xiǎn)管控保障。 筆者在上文也提到,堆疊產(chǎn)品的傳統(tǒng)安全建設(shè)方式存在明顯短板,異常行為的整合分析、安全事件的響應(yīng)處置及后續(xù)的加固措施,依賴于安全工程師自身的經(jīng)驗(yàn)和能力,但是組織短期內(nèi)又無法快速組建一支成熟的安全團(tuán)隊(duì)。MSS“服務(wù)化”交付的形式,以“人”和“機(jī)器(安全設(shè)備/安全平臺(tái))”的有效協(xié)同,恰好可以補(bǔ)足這部分缺失。 同時(shí),與同樣以“人”為核心的傳統(tǒng)駐場(chǎng)服務(wù)相比,MSS花費(fèi)的預(yù)算成本更低、效果卻更好。由于駐場(chǎng)服務(wù)不可持續(xù),駐場(chǎng)人員難以做到24小時(shí)不間斷地監(jiān)測(cè)和防護(hù);不僅如此,傳統(tǒng)駐場(chǎng)服務(wù)會(huì)因?yàn)槿藛T流動(dòng)性過高而導(dǎo)致安全水準(zhǔn)參差不齊,這便需要政府單位花更多的時(shí)間去考量和選擇。 反觀MSS,由于其可以同時(shí)服務(wù)于多個(gè)用戶的特性,這種“共享”的消費(fèi)模式相當(dāng)于共同平攤了運(yùn)作成本,極大地節(jié)省了傳統(tǒng)駐場(chǎng)模式下的資金資源投入。 最為關(guān)鍵的是,MSS能整合全網(wǎng)、全行業(yè)的安全信息,并同時(shí)能集合大量的安全專家對(duì)安全事件進(jìn)行綜合地研判和處理,在成熟的服務(wù)流程、標(biāo)準(zhǔn)、平臺(tái)下,這些安全專家可做到7*24小時(shí)持續(xù)在線守護(hù),為用戶帶來足夠穩(wěn)定和有效的風(fēng)險(xiǎn)管控和安全檢測(cè)能力。
通過這種輕投入、一站式的解決方案,可以快速高效地幫助政府單位和政務(wù)系統(tǒng)在數(shù)字化和高級(jí)威脅的當(dāng)下,以快速接入和低成本投入的方式改善安全現(xiàn)狀,從多個(gè)維度滿足威脅檢測(cè)與分析需求,對(duì)抗高級(jí)別網(wǎng)絡(luò)威脅,提升自身網(wǎng)絡(luò)安全能力。 給政務(wù)系統(tǒng)穿上“戰(zhàn)衣” 綜合政務(wù)場(chǎng)景的需求和MSS的特質(zhì),筆者認(rèn)為可以從幾個(gè)方面來選擇合適的MSSP。 首先,MSS的提供商必須具有豐富的用戶經(jīng)驗(yàn)和對(duì)安全風(fēng)險(xiǎn)的快速檢測(cè)、分析和防御能力。其次,MSSP必須具有成熟的服務(wù)流程和保障能力,保證快速發(fā)現(xiàn)安全事件、及時(shí)響應(yīng)安全事件,做到重大事件100%閉環(huán)。此外,MSSP所提的服務(wù)質(zhì)量承諾必須是可衡量的,即要明確服務(wù)最終達(dá)成的安全效果情況,包括安全事件的響應(yīng)時(shí)間和處置效率,高級(jí)威脅的檢測(cè)正確率和實(shí)時(shí)性等,都得經(jīng)得起廣大用戶的驗(yàn)證。 而在技術(shù)性方面,則要求MSSP的服務(wù)能力可適應(yīng)當(dāng)前快速變化的安全形勢(shì),要實(shí)時(shí)更新迭代,適應(yīng)各類新型的安全風(fēng)險(xiǎn)。一旦政務(wù)系統(tǒng)被攻破,將會(huì)導(dǎo)致嚴(yán)重后果,因此能否跟得上攻擊技術(shù)的進(jìn)化,不斷升級(jí)服務(wù)能力,對(duì)未知威脅做到快速檢測(cè)、分析、防御、處置,才是對(duì)政務(wù)單位而言至關(guān)重要的因素。 最后也是最重要的一點(diǎn),既然MSS是一種服務(wù),那么對(duì)于政務(wù)安全管理人員來說,最好的服務(wù)體驗(yàn)就是“減輕壓力”。 說白了,最好能夠讓政府單位將部分依靠自身人員無法完成的安全工作“托管”,即單位內(nèi)部不再需要費(fèi)盡心思搭建安全運(yùn)營(yíng)體系,也能夠通過一站式部署的方式,直接獲得MSS的安全能力,好比普通人通過穿上蝙蝠戰(zhàn)衣,坐上蝙蝠戰(zhàn)車,能夠瞬間完成從布魯斯韋恩到蝙蝠俠的蛻變。 只不過區(qū)別在于,蝙蝠俠需要具備極強(qiáng)的“鈔能力”,而MSS只需要“共享”,投入適當(dāng)?shù)某杀炯纯苫沓?jí)英雄,與來自國(guó)家級(jí)的網(wǎng)絡(luò)威脅硬碰硬。 如此一來,無論是主動(dòng)發(fā)現(xiàn)還是及時(shí)防御響應(yīng),只需要交給“蝙蝠戰(zhàn)衣”即MSS來完成,作為維持國(guó)家機(jī)器運(yùn)轉(zhuǎn)的重要組成部分,政府單位就可以將人力和資源從安全應(yīng)對(duì)中解放出來,更多地投入在服務(wù)國(guó)民乃至建設(shè)國(guó)家之上。 但這也有一個(gè)問題,那就是MSS必須要有承載此等重任的資格和能力。 國(guó)內(nèi)首個(gè)政務(wù)網(wǎng)絡(luò)安全運(yùn)營(yíng)中心 在2022年6月8日舉行的“數(shù)字政府安全托管服務(wù)技術(shù)論壇”上,深信服依托于國(guó)內(nèi)首個(gè)建設(shè)在國(guó)家政務(wù)網(wǎng)絡(luò)的安全運(yùn)營(yíng)中心發(fā)布了政務(wù)網(wǎng)絡(luò)安全托管服務(wù),它突破傳統(tǒng)安全防護(hù)的局限,通過全天候的“人機(jī)共智”服務(wù)模式為政務(wù)用戶的網(wǎng)絡(luò)安全提供專業(yè)、持續(xù)、有效的安全保障服務(wù),并且可以實(shí)現(xiàn)數(shù)據(jù)不出政務(wù)網(wǎng)絡(luò)的“安全托管”。
通過把安全專家資源池化的方式,深信服MSS讓用戶能隨時(shí)享受到安全專家的服務(wù)。原理是將安全專家的經(jīng)驗(yàn)固化到安全運(yùn)營(yíng)平臺(tái)中,從資產(chǎn)、脆弱性、威脅、事件四個(gè)要素里全面地進(jìn)行信息安全風(fēng)險(xiǎn)管理,實(shí)現(xiàn)精準(zhǔn)地監(jiān)測(cè)告警并輸出專業(yè)的處置建議,與用戶一同構(gòu)建持續(xù)(7*24 小時(shí))、主動(dòng)、閉環(huán)的安全運(yùn)營(yíng)架構(gòu)。
筆者還了解到,其實(shí)早在2018年,深信服就率先發(fā)布了面向全行業(yè)的安全托管服務(wù)。通過服務(wù)上千客戶積累下的安全策略以及針對(duì)于高級(jí)威脅的檢測(cè)能力,深信服MSS如今已形成可落地的SLA、多個(gè)細(xì)分安全場(chǎng)景以及行業(yè)化的精細(xì)運(yùn)營(yíng)。此次發(fā)布的政務(wù)網(wǎng)絡(luò)安全托管服務(wù),就是其在ToB市場(chǎng)上取得成功后,邁向更為細(xì)分的政務(wù)領(lǐng)域且得到肯定的一大步。 盡管安全市場(chǎng)的發(fā)展從未停止,能否始終一馬當(dāng)先并建立行業(yè)壁壘則需要時(shí)間的考驗(yàn)。但若只看現(xiàn)階段深信服MSS的各種發(fā)展和趨勢(shì),筆者認(rèn)為無論口碑也好、前景也罷,都是值得肯定的。 深信服在接受采訪時(shí)也表示,現(xiàn)階段還將持續(xù)升級(jí)自身安全運(yùn)營(yíng)中心的能力,通過超級(jí)自動(dòng)化平臺(tái)、云端智能機(jī)器人、云端安全知識(shí)庫、云端高級(jí)專家團(tuán)等方式打造All online的安全托管能力,其目標(biāo)是為了進(jìn)一步提升深信服MSS的綜合實(shí)力,讓其更具承載政務(wù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)和能力建設(shè)的使命,具備在國(guó)家級(jí)網(wǎng)絡(luò)威脅面前保護(hù)政務(wù)系統(tǒng)安全的實(shí)力,讓廣大政務(wù)用戶安心把安全托管給深信服。 安全之于未來 數(shù)字時(shí)代的飛速發(fā)展,意味著安全已是各行各業(yè)都得重視的問題,從國(guó)家對(duì)于網(wǎng)絡(luò)的戰(zhàn)略部署和國(guó)際形勢(shì)間的網(wǎng)絡(luò)戰(zhàn)來看,安全已不單單是行業(yè)、部門所能概括的內(nèi)容,而是可以引申至國(guó)家、文化、傳承等更多關(guān)乎于“人類命運(yùn)共同體”的概念。因此,若說之后的社會(huì)發(fā)展該“圍繞著安全進(jìn)行”也并不為過。 從安全產(chǎn)品的發(fā)展趨勢(shì)來看,日后云端、AI、自動(dòng)化平臺(tái)會(huì)越來越多。而從不法者的攻擊手段來推測(cè),接下去的安全防御必定是人與人之間的較量,單一的安全系統(tǒng)將會(huì)淘汰。結(jié)合這兩點(diǎn),在攻防時(shí)代下,安全產(chǎn)品必定要有相應(yīng)的高級(jí)“專家服務(wù)”,甚至這服務(wù)該為主而不是為輔。 正應(yīng)了那句話:安全不是一蹴而就的,也不是通過一套或幾套系統(tǒng)就可以解決的。需要有像MSS這樣“人機(jī)共智”的產(chǎn)品,更需要人民、社會(huì)、國(guó)家達(dá)成共識(shí),培養(yǎng)出更多安全人才,塑造好全民的安全意識(shí),這樣從行業(yè)到國(guó)家才會(huì)有更理想的網(wǎng)絡(luò)安全保障。