业内专家谈"网上谍影":政企单位如何打赢无声的信息战?


    提及“间谍”这个词,大众的印象往往都还停留在《伪装者》、《碟中谍》等剧中塑造的形象上,认为间谍与自己相距甚远,但却不知,其实境外间谍针对我国的刀光剑影从未停止。11月22日,央视《焦点访谈》栏目就《中华人民共和国反间谍法实施细则》颁布一周年,制作了反间防谍主题节目《网上谍影》。没有网络安全,就没有国家安全。随着互联网的广泛应用,互联网逐渐成为了境外间谍情报机关窃取我国家机密的重要渠道,危害我国家安全的事件时有发生。维护网络安全和国家秘密安全,是各级涉密单位、涉密人员乃至全社会的共同责任。
    
    国家关键信息泄露,看不见的网络世界也刀光剑影
    2018年以来,境外间谍情报机关对我国党政机关、科研院所、军工单位等实施了多轮次大规模的网络攻击窃密活动,造成我国境内数百台计算机设备被攻击控制,数十万份文档资料被窃取,涉及政治、经济、军事、外交、科技等多个领域。在本期《网上谍影》中,讲述了三起政企单位因为网络安全问题泄露国家重要机密信息的案例。
    针对焦点访谈提及的这三类政企单位信息安全泄露问题,笔者采访了知道创宇政企产品线安全专家肖磊,针对政企单位如何避免信息泄露问题,以及如何构建政企单位自身的网络安全防护体系做出了详细解读。
    
    国家对网络安全和信息安全保护方面有哪些政策和法规要求?
    首先是等级保护制度,我国从1997年开始实行计算机信息系统等级保护制度,随着网络安全等级保护条例(征求意见稿)的发布,等级保护也进入了2.0时代,我们看到等级保护的内涵发生了较大的变化,变化体现在保护范围、保护内容、建设的具体要求都有一定的变化,如保护范围从计算机信息系统到信息系统再到网络安全,其范围是在不断扩大的,随之而来的是保护内容也出现了扩大。
    其次,《网络安全法》的颁布和实施,社会各界对网络安全的重视程度有所提升。网络安全也有法可依了,这算一个质的飞跃,政企事业单位只要有相关的网络资产和业务承载系统,都需要进行等级保护,且对网络运营者的责任进行了界定,如果不遵守等级保护的要求,网络运营者肯定会受到相应的处罚。如果政企事业单位的信息系统属于关键信息基础设施,那就需要在等级保护基础上增强防护。《关键信息基础设施保护条例》(征求意见稿)是网络安全法的延伸,针对影响国计民生的行业,根据特定的业务需求,针对网络和信息方面的保护也做了进一步的要求。
    最后就是各行各业根据行业特点,在等保和《网络安全法》的基础上做了进一步细化,如电力行业2014年电信行业颁布了《关于电信行业的网络安全和信息安全的管理办法》,还有18年国家能源局也颁布了《加强电力行业网络安全指导意见》。
    此外,政企事业单位也有前瞻性、目标性的软约束,如《国家十三五信息安全规划》就对安全立法做了相应的规划,未来将出台《个人信息保护法》,《未成年保护条例》,以及《密码法》等相应的法律,一旦这些法律条文出台,政企就需要针对相应的安全风险采取相应的防护手段。
    除了政策和法规之外,国家也在相应的技术层面推动网络安全和信息保护,比如说最近的IP v6的规模部署和这个行动计划,因为IPv6是强制要求进行加密,它相比IP4更安全,尤其对政府和大型的商业网站和应用,要求强制性的上IP v6,在今年年底要求完成,这也是一个强制性的合规性要求。
    随着互联网的发展和应用,目前国内的政企单位安全意识和安全能力水平如何?
    国内的政企在安全意识和安全能力上是有较大的提升的,可以从三个方面看,一个是刚才提到的政策推动,就是不管愿意不愿意,等保要求你必须执行。这个是顶层设计的要求,并且如果你不符合相关要求,比如说网络安全每年的公安检查,如果检查到信息系统不符合安全要求,或者是一旦出现网络安全事件你没有进行相应的等保建设,那么不管是公司还是网络安全负责人都会受到相应的惩罚,尤其是政府单位,这个是后果非常严重的。第二点是在国家网络安全周的宣贯下,国内安全公司的安全能力也逐渐跟上了国际一线水平,并在一些领域实现了弯道超车,我国的杀毒软件,在国际上参加评级评奖都获得了很出色的成绩,另一方面,国内云安全领域的一些企业,包括知道创宇,也跟随着咱们国内的企业开始出海,然后开始为走出去的企业保驾护航。
    第三点的话,随着移动互联网的普及,一旦出现安全事件,信息的传播是非常快的,一些政企单位得到通知就会迅速进行自检。检查自身是否会面临同样的风险,然后进行查漏补缺。
    不过,我们也应该看到政企单位的安全技术团队能力有限,大部分的小型企业和中端的政府部门都没有自己的安全团队,即使他们拥有较强的安全意识,但是缺乏相应的抓手,知道可能存在信息泄露的问题,但是不具体了解问题出现的来源,此外对安全的认知还停留在碎片化的层级,没有形成整体规划的安全思路和思维。
    这个也跟网络安全市场上的宣传有很大关系,目前安全的大概念被包装出来很多细分的内容,造成一些单位无所适从,他们无法鉴别和选择更适合自己的安全产品,不了解产品之间的差异,如果一个企业花费了很大的成本采购了一套安全设备, 但是却没有起到想象中的防护效果,这就会对信心造成极大打击。也就是说虽然整体的安全意识有较大的提高,但是在纵深的层次上,他还没有达到一定的高度。
    安全问题一般是怎样出现的?尤其对涉密的政企单位来说,又有哪些方面需要重点防范?
    安全问题的来源主要是两种,一部分是外部的,一部分是内部造成的。外部就是说,比如你的系统本身比较脆弱存在一些漏洞,系统没有及时打补丁或者提供解决方案,就有可能会被别有用心的人利用,然后进入你的系统进行内网渗透。而内部造成的安全问题可能是别人发送钓鱼邮件,然后你点一下邮件之后可能就被对方获取了你的信息,然后对方会以此为跳板的,进一步的进入你的系统,然后去获取更大的信息;还有一类的就是内部管理制度没有建立起来,对于系统的操作权限没有明确的界定,导致没有权限的人获取了不该获得信息;再有一类是无意识的泄露,如很多企业为了便利性需求,都使用企业微信进行办公,无意识的就把重要文档泄露给第三方无关人员了。
    一般涉密政企单位都是隔离网,觉得进行物理隔离和加密就比较安全了,但是在现在安全攻击黑客越来越专业和攻击来源不确定性的背景下,涉密网络也越来越不安全了,而且因为隔离导致系统升级不够及时,一旦出现安全风险,在内部的传播速度是比较快的,比如今年爆发的勒索病毒,同时涉密网络中一机两用的现象也比较普遍。针对涉密信息系统的保护在原有加密和隔离的基础,我们建议及时升级系统,采购新的安全设备或服务,如在终端上部署企业终端管理系统,对流量中的威胁进行检测等多种防护手段来增强防护。同时需要构建安全管理制度,严格规范员工的日常行为,明确责任,并进行日常安全宣贯。
    政企单位应该如何构建自身的网络安全跟信息安全防护机制?
    随着互联网+的推进,现在很多的业务都搬上互联网了,不管从服务效率还是竞争力考虑,互联网和移动互联网成为了很好的服务抓手。但是网上承载的业务越多,所包含的敏感信息也就越多,风险性是逐渐增长的。那么不同体量的政企单位如何构建自己的安全防护机制呢?对于大型的政企单位而言,他本身的资产规模比较大,需要防护的内容也比较多,建设信息安全防护机制可能周期也较长。这个时候一旦出现信息泄漏,影响范围是比较大的。 所以大型的政企单位应该建立态势感知体系,目前无论是从政策角度还是从实践的角度,态势感知都可以对企业的业务资产进行持续性的监控,无论是流量、资产还是终端可以全方位的监测风险点。针对每个不同的风险点进行一个整体的规划来保护信息安全。
    针对小型体量的政企单位,它组织结构也比较简单,同时也没有相应的安全团队,这种情况建议他们从市场采购SaaS服务,会比较节省资源,也不需要后期的运维。SaaS服务尤其是针对小型的事业单位来说,它本身一般都具有主机防护,数据库防护,还有这个云端的web系统防护,web系统呢,因为主要是对外的,一般会成为别人主要的攻击的一个点。应用了SaaS服务,你只需要简单的几步,比如说你通过DNS指向接入云防护平台,后期的所有的运维和威胁报告等等数据,都是由这个SaaS服务商提供的。对企业来说就是没有消息就是最好的消息,没有消息就意味着你没有出现任何的安全风险。
    作为知名的网络安全企业,知道创宇如何帮助政企单位构建安全体系的?
    知道创宇作为行业内领先的网络安全企业,也有一些成功的经验和成熟的产品可以给大家借鉴。从两个维度来说,一个是结合企业体量来看一个是从企业的具体业务需求来看。比如说企业已经建设好了一部分内容的话,可以考虑采购一些安全的模块,目前知道创宇的安全产品已经全面覆盖了云、管、端,有一系列的产品能够完全满足政企单位的安全需求。
    对于大型企事业单位,知道创宇能够从态势感知能力上对他们进行支撑。知道创宇的态势感知产品目前已经被多地市的公关、政府和企业采用,我们的态势感知不仅是能够从资产普查这个角度,从流量的角度,终端应用的一个角度,然后呢同时还可以对接第三方的数据源,第三方数据源对接到我们的态势感知平台上进行综合的分析,最终以可视化的形式进行展现。同时还可以对安全风险、安全事件进行通报预警,并且与我们的情报系统进行关联,能够对这个攻击进行溯源。
    对于中小型政企单位来说,我们还有诸多的安全模块可以提供给政企单位,目前也有众多重量级单位应用。比如说像知道创宇的云安全防护平台,目前知道创宇云安全是国内市场占有率第一的云安全平台,然后从上线到现在,没有发生过一例被黑事件,在云安全平台背后也有知道创宇专业的安全团队运维,然后24小时对平台进行维护。基本上能堵住一切不管是之前的已知漏洞还是未知漏洞,能为政企单位提供强有力的保护,确保信息不被泄露。