一、网络安全人才是经济发展和国家安全重要资源人类社会经历了农业革命、工业革命,正在经历信息革命。数字化、网络化、智能化快速推进,经济社会运行与网络空间深度融合,从根本上改变了人们生产生活方式,重塑了社会发展的新格局。网信代表着新的生产力、新的发展方向。新一轮产业升级和生产力飞跃过程中,人才作为第一位的资源将发挥关键作用。从全球范围来看,网络安全带来的风险正变得日益突出,并不断向政治、经济、文化、社会、国防等领域传导渗透。网络安全对国家安全牵一发而动全身,已成为国家安全体系的重要组成部分。网络空间的竞争,归根结底是人才竞争。信息化发达国家无不把网络安全人才视为重要资产,大力加强网络安全人才队伍的建设,满足自身发展要求和加强网络空间国际竞争力。建设网络强国需要聚天下英才而用之,要有世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队提供智力支持。在这个关键时期,能否充分认识网络安全人才和人才工作的重要性并付诸行动,关系着我们能否抓住信息化发展历史机遇,充分发挥中国人民在网络空间的聪明才智,实现网络强国战略的宏伟目标,推动实现中华民族伟大复兴中国梦。二、国外网络安全人才队伍建设随着信息技术快速发展,各国普遍将网络安全人才建设作为维护国家网络空间安全的核心需求。美国、俄罗斯、英国、德国、以色列、澳大利亚、日本、韩国等在网络安全投入上排名全球前列的国家都高度重视网络安全人才发展,把网络安全人才队伍建设列为国家的优先要务。(一)世界网络强国高度重视网络安全人才建设作为互联网的发源地和网络实力最强的国家,美国深谙网络安全人才的极端重要性,把公共领域和私营领域的网络安全人才队伍定位为保护美国国土安全和经济繁荣、确保美国竞争优势的基础。2010年美国就启动了“国家网络安全教育(NICE)”计划,要求从专业人才、储备人才以及社会公众三个层面提升整个国家的网络安全能力水平。特朗普总统执政以后奉行“美国优先”的施政纲领,国家安全战略重新转向大国竞争,人才也成为其霸权护持的一项重要战略举措。为了维持美国在网络空间的绝对优势,特朗普政府提出了新的人才建设总目标,要在激烈竞争的网络空间“建设更有优势的网络安全人才队伍”,以避免敌对国家通过网络安全人才发展“威胁美国的长期竞争力”。在网络空间“一超多强”力量格局下,其他信息化发达国家也普遍将人才建设作为网络安全战略中的重要组成部分。英国《国家网络安全战略(2016-2021年)》要求政府将立即采取行动,解决关键的网络安全专业人士供需之间不断扩大的缺口,为该领域的教育和培训注入新的活力。澳大利亚《网络安全战略》提出要建设国家网络安全人员能力,指出人才是澳大利亚实现其网络安全国家战略各项目标的基础。俄罗斯《国家信息安全学说》强调了信息安全保障人员欠缺的问题,要求发挥信息安全保障和应用信息技术领域人员的潜力。德国网络安全战略把联邦政府网络安全人事发展作为十大战略目标措施之一,要求进一步加强人员的培训,提升部门间人员合作。日本也制定了网络安全人才培养计划,设立“网络安全与信息化审议官”一职以统管人才培养工作,要求以东京奥运会为契机大力培养网络安全专家。(二)国外网络安全人才建设的政策举措和启示以美国为代表的发达国家在网络安全人才建设方面起步较早,在网络安全这一非传统领域培养专业人才进行了很多探索。从借鉴先行者经验的角度,有很多做法值得我们参考。首先美国对网络安全人才问题的重要性和紧迫性认识比较深刻,促使国会和联邦政府持续推出各种立法和行政手段进行应对。比如FISMA法案明确联邦政府部门负责人要对本部门的网络安全负总责,对安全岗位人员必须进行培训。美国由国家标准与技术研究院(NIST)牵头的国家网络安全教育(NICE)计划已经实施了十年,持续协调政产学各方面共同建设网络安全教育的生态网络。国家安全局(NSA)和国土安全部(DHS)主导的网络安全卓越学术中心(CAE)计划实施已有二十年时间,迄今已对300多所高校的网络防御、网络行动教学和研究能力进行了认定。即便如此,美国的人才危机意识依然很强,认为自己的人才缺口还在逐年增大。美国统计的网络安全岗位人才缺口2017年约为30万,到2020年已经超过47万。为此,美国政府责任署(GAO)已经连续二十年把网络安全人才问题列为联邦政府的一项高风险领域问题,要求未来还要进一步加大人才工作力度。其次美国在人才建设方面秉承标准化思路,对各种分工的网络安全人员都有明确的教育培训、考核和管理的规范。比如美国标准与技术研究院于2017年发布了SP800-181《国家网络安全人力框架》,对各类网络安全角色对应的任务,应该具备的知识、技能和能力都进行了给出了相应的描述。国防部所有承担信息保障职责的人员都需要根据国防部8570号令的要求进行培训和认证,六个月内拿不到资质的人员将无法承担相关岗位的工作。美国网络司令部最精锐的网络行动部队(CMF)更是制定了严格的网络安全培训与认证标准,对队伍进行训练并保持其战备状态。这些标准的背后是通过美国防务领域顶级的技术水平和深厚的网络安全产业基础来维系的,体现出的是美国对全频谱网络安全人才专业能力的洞察。各类人才标准互相关联和映射,体系性比较强,而且能够及时进行动态更新。通过标准化的方法,可以使高质量的人才培养模式得到复制和扩张,实现人才队伍的专业化和规模化发展。三是注重保障重点领域的人才需求,美国在军队、政府部门制定了很多吸引人才、培养人才和留住人才的办法,启用了非常规手段优先解决重点要害部门的网安人才紧缺问题。例如国防部、国家科学基金会(NSF)都针对高校设立了多项奖学金,吸引优秀的在校生攻读网络安全相关专业,鼓励其毕业后进入军队或政府部门工作。其中国防部的网络安全奖学金计划(CySP,原名信息保障奖学金计划IASP)从 2001年开始实施,截至目前已经提供了9200万美元的奖学金和教育资助经费。此外,网络安全人才短缺是各国都需要面对的难题,美国公共领域也需要同资本市场争夺高水平网络安全人才。美国军队和联邦政府部门都在设法使用一些破格用人、加强鼓励激励的措施。如,急需的网络安全人才可以通过非竞争性条件进行招聘,网络安全岗位人员破格提高薪酬和福利待遇等。三、我国网络安全人才队伍建设(一)网络安全人才培养具有优良传统和积累我国的信息安全应用可以追溯至革命战争年代的密码工作。在信息安全人才培养方面,我国也有着悠久的历史。1959年,西安电子科技大学就在钱学森的指示下在全国率先开展密码学研究。70年代之前,已有专业性院校如军事院校设置信息安全相关专业,培养以密码学为主的技术人才。世纪交替之际,多所高校开始设立信息安全相关专业。1999年,北京理工大学、西安电子科技大学等四所高校建立了信息对抗本科专业;2001年,武汉大学建立了信息安全本科专业。与此同时,国家权威信息安全测评机构中国信息安全测评中心于2002年推出“注册信息安全专业人员(CISP)”,为党政机关、国家重要信息系统和基础信息网络的安全保障提供专业信息安全培训和人员资质认定。自此以后,我国信息安全学历教育和职业培训稳步发展,人才培养体系日趋完善。(二)网络安全人才队伍建设进入快速增长期党的十八大以来,国家就网络安全人才发展做出一系列重要部署,推出多项有力措施,取得了有目共睹的成就。网络安全学科专业设置、院系建设、学历教育方面取得突破性进展。目前,全国高校网络安全相关本科专业布点233个,网络安全相关专业建设院校超过130所。2018年共招收本科生9231人,比上年增长15.8%。共有42所高校成立了专门的网络空间安全学院或研究院;西安电子科技大学、东南大学、武汉大学、华中科技大学、北京邮电大学等11所高校入选一流网络安全学院建设示范项目。与此同时,针对网络安全专业人员的在职培训工作也取得了快速发展,中国信息安全测评中心CISP人员资质业务近年来每年增长速度超过50%,累计培养信息安全专业人员数万人,为党政机关、通信、金融、能源、教育等重要行业持续输送信息安全骨干人才,已成为信息安全领域人才识别和能力评价的重要依据。(三)网络安全人才发展事业将释放巨大潜力当前我国面临的网络安全威胁和风险日益严峻复杂,个人信息泄露、网络诈骗、网络攻击等事件与日俱增;通信、金融、能源、交通、水利、公共服务、电子政务等关键信息基础设施安全遭受威胁;网络失窃密事件时有发生。为避免巨大的经济损失和严重后果,各类企事业单位已不得不重视网络安全问题,不得不重视人才,以应对这些网络安全威胁和风险。与此同时,我国网络安全法律体系的逐步建立和完善,《网络安全法》及与之配套的一系列密码管理、关键信息基础设施保护、网络安全等级保护、网络安全审查、数据出境评估、个人信息保护、数据安全保护等重要法律法规政策的影响正在今后一个时期逐步显现。全社会向网络安全制度规范化过渡的过程中,人才的关键作用将日益突出。网络安全人才不到位,就无法满足相关法律法规政策的合规要求。根据工信部《关于促进网络安全产业发展的指导意见(征求意见稿)》制定的目标,我国的网络安全产业规模到2025年将超过2000亿。在未来的安全保障业务需求和政策法规合规需求推动下,网络安全人才建设的工作必将出现跨越式发展,进一步释放出巨大潜力。四、当前网络安全人才建设存在的问题我国无论是信息化还是网络安全的发展,整体来看都属于“后发”国家,网络安全人才队伍建设也存在较大的不足。中央网信办等六部门发布《关于加强网络安全学科建设和人才培养的意见》,认为“我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题,与维护国家网络安全、建设网络强国的要求不相适应。”全国人大常委会在《网络安全法》实施后的首次执法检查报告中指出,“不管是经济发达地区还是相对落后地区,网络安全技术人才都比较匮乏”。此次检查发现,网络安全人才短缺的情况主要包括网络运营单位技术人才多侧重于使用和维护,风险监控、应急处置和综合防护能力不足;关键信息基础设施核心业务系统虽然安装了防护系统,但由于缺乏高水平的安全技术人才,产品难以有效发挥作用;不少政府门户网站没有专门的网络安全技术人才,网站管理人员没有接受过系统的网络安全技能培训;受到编制、职务、薪资等因素制约,网络安全主管部门专业人才也明显不足。网络安全人才是民生急需和国家安全战略必争领域的重要资源,需要及时掌握人才现状,对存在的问题和短板进行分析研究。结合网络安全自身特点和网络安全人才发展规律,当前我国网络安全人才队伍建设还存在以下突出问题。(一)网络安全从业人员全方位短缺网络安全工作贯穿信息化建设的各个环节,无论是在数据、应用、系统、网络等工作层面,还是涉及规划、研发、建设、运营、管理、生产等业务流程,都需要有人承担网络安全职责。但目前我国网络安全从业人员整体呈现全方位短缺的态势,一是网络安全人员规模总量不足,除专业安全服务企业、特大型企业集团,以及大型互联网企业建立有规模化的网络安全人才梯队外,多数单位的网络安全人员无法满足当前工作需要。二是大量信息安全工作以“非专职”方式完成,多数网络安全从业人员需要承担非安全内容的工作,政府机关事业单位里需要“身兼数职”的现象最为显著。三是各类安全工作角色均存在人才缺口,根据《中国信息安全从业人员现状调研报告(2018-2019年度)》显示,在人才普遍短缺的前提下,从事安全建设和规划管理类的人才相对更加紧缺。(二)信息安全职业化尚处于初级阶段职业化是现代社会分工协作体系的结果,是行业发展到一定程度的标志。网络安全的职业化主要体现在对网络安全从业人员专业知识、能力和行为准则建立标准化规范,由专人专岗负责专门工作。我国《网络安全法》已对关键信息基础设施运营者“设置专门安全管理机构和安全管理负责人”做出了明确规定,同时鼓励其他网络运营者自愿参与关键信息基础设施保护体系。但目前网络安全的职业化总体来看还处在发展初级阶段。一是网络安全目前还没有统一的职业标准,对从业人员如何分级分类、应具备何种专业知识和能力水平等问题尚未建立标准规范,各用人单位的信息安全岗位设置和能力要求各行其是,差别较大。二是信息安全“人岗不匹配”情况普遍,专门的网络安全管理部门和岗位中的人员从事的不是网络安全工作,或是人员专业能力达不到岗位要求。三是社会对信息安全职业意识普遍不强,尤其是用人单位高层,或是对信息安全工作以及信息安全人才重要性的认知有待提升,或是对人才工作的重要性只有原则上的认同,在如何科学有效地加强信息安全队伍建设方面缺乏工作抓手。(三)人员能力提升需求难以得到满足战略性的人力资源管理核心在于把人看作重要的资产,通过教育培训等投入,持续提高其知识、技能和素质水平,更好地达成用人单位的业务目标。用人单位能否提供足够的培训、持续提升人才专业能力、帮助其完成自我价值实现,将在“引才”和“留才”中发挥越来越重要的作用。当前人员能力提升需求普遍难以得到满足,一是从业人员能力提升需求旺盛,新入职人员在学历教育之后普遍需要进行“二次培训”,已从业的人员也需要持续教育和终身学习。中国信息安全测评中心调研显示,当前从业人员最希望提升大数据安全、云安全、安全管理和渗透测试等方向的专业能力。二是从业人员期望获得专业资质,作为证明自己具备一定知识、能力和工作经验的凭证。调研数据显示未来一年内,有83.7%的从业人员期望获得信息安全资质证书,其中希望获取CISP证书的人员占比最高,达到68.9%。三是尽管从业人员的学习热情很高,但用人单位教育培训投入不够,对信息安全人员普遍存在“使用多、培养少”的情况,用人单位资助从业人员接受职业培训的意愿和力度也不高。(四)网络安全人才体制机制存在障碍网络安全作为跨界、交叉、融合的非传统行业,唯有在鼓励创新发展的体制机制下,才能让人才的创造活力竞相迸发、聪明才智充分涌流。当前网络安全人才发展还存在一系列制度性障碍,一是对安全从业人员考核评价手段不足,信息安全工作不易直接量化考核,信息安全成果和价值难以直接得到体现。二是人员鼓励激励机制不健全,上升空间有限,从业人员难以得到与工作投入相匹配的职业回报。三是缺乏向关键领域的人才引导机制,从业人员在职业流动中对福利性因素和发展性因素均十分看重,但当前大量关键信息基础设施运营单位在“待遇引人”、“事业留人”等方面均面临挑战,甚至自有人才流失的现象也比较严重。五、对策建议网络安全是技术更新最快的领域之一,网络空间的竞争,归根到底是人才的竞争;建设网络强国,最关键的资源是人才。建议要以现有的学历教育和职业培训工作为基础,明确人才建设的总体战略方向,充分利用各种工作机制,最大限度地加强网络安全人力资源开发力度,为国家网络安全保障提供有力的人才支撑。(一)建立体系化的网络安全人才发展规划习近平总书记在2018年全国网络安全和信息化工作会议上提出,要研究制定网信领域人才发展整体规划,推动人才发展体制机制改革,让人才的创造活力竞相迸发、聪明才智充分涌流。总书记的指示高屋建瓴,体现了对网信人才重要性和当前重点任务的深刻认识。人才建设是长期性、战略性、基础性工作,建立网络安全人才发展整体规划至关重要。对国家网络安全人才发展全局进行系统性的超前规划部署,才能争取主动局面,建设具有全球竞争力的网络安全人才队伍,为网络强国建设夯实基础。一是要构建网络安全国民教育和持续教育体系,为各类网络安全意识提升、基础教育、高等教育、职业培训、持续教育提供总体指导,为包括网络安全从业人员、后备人员以及普通公众在内的社会全体成员信息安全能力、防护技能的提升提供支撑。二是统筹推进网络安全人才发展整体工作,通盘规划网络安全人才培养、管理和使用等各项工作,明确主要任务和阶段性目标,加快网络安全人才管理体制以及人员流动配置、培养开发、考核评价和激励保障等工作机制改革。三是多主体协同共建网络安全人才生态,提高相关主管领导部门、产业界、学术界、科研院所、用人单位等相关各方的支持配合力度,有力整合资源,完善配套措施,形成推进合力,共同构建良好的网络与信息安全人才发展生态。(二)科学推进信息安全人才的职业化发展在网络安全从业人员全方位短缺的严峻形势下,职业化手段有助于明确信息安全职业的正当性、改进网络安全教育培训的针对性、促进网络安全人才供需匹配、提升网络安全职业吸引力。但作为新兴的非传统领域,网络安全的职业化不宜对不同类型从业人员简单采用“一刀切”的职业许可方式进行管理。一是要深入开展网络安全人才发展基础理论和前沿实践研究,探寻网络安全人才成长规律,形成科学的网络安全从业人员测评标准,作为安全人才职业化的发展依据,为制定人员教育培训目标、完善人才管理体系提供支撑。二是要建立兼具相对稳定性和动态灵活性的网络安全知识体系,综合网络安全专业能力图谱中核心和通用的部分,维持一个相对稳定的基础知识体系;针对细分方向和前沿领域的部分,建立动态调整的知识子域,为网络安全职业化夯实基础。以CISP为例,其知识体系大约每三年进行一次更新,既维持了稳定的知识体系结构和主要知识要点,保障了培训体系的连贯性,同时能够及时反应网络安全新技术新应用的发展趋势,确保培训内容的时效性和实用性。为响应社会的迫切需求,CISP根据技术发展趋势推出了安全开发、信息系统审计、渗透测试、大数据安全等十余个专业方向,为行业细分领域提供更加聚焦的专业培训内容,建立了日益丰富而全面的网络安全人才培养体系。三是要推进权威机构的网络和信息安全专业人才资质认定工作,有公信力的机构开展资质认定工作能够有效证明从业人员具备了相应的专业知识和能力、工作经验和业绩以及较高的职业道德水平,从而为网络与信息安全人才评价考核、选拔任用、职业晋阶提供参考依据。CISP经过多年的发展,已经建立了全面的知识体系、完备的教材体系、科学的培训方法、稳健的工作模式以及强大的师资队伍,成为行业内评价网络与信息安全专业人员综合能力的必备资质。(三)着力提升网络安全从业人员规模能力以经济社会发展和国家安全需求为导向,加强人才培养体系建设工作的前瞻性和针对性,建立贯穿网络安全从业人员学习工作全过程的终身教育制度,提高网络安全人才队伍的数量规模和整体能力。一是加大教育培训投入和工作力度,既要利用好成熟的职业培训体系,快速培养网络安全急需人才;也要在基础教育、高等教育和职业院校中深入推进网络安全教育,积极培养网络安全后备人才;全面优化教育培训的内容、类别、层次结构和行业布局,着力解决网络安全人才总量不足的突出问题。二是分类施策建设网络安全人才梯队,对于社会对网络安全基层人员的需求,开展规模化培养,尽快解决当前用人需求;对于卓越工程师和高水平研究人才的需求,在工程和科研项目基础上加强专业化培训,打造网络安全攻坚团队和骨干力量;对于网络安全核心技术人才和特殊人才的需求,探索专项培养选拔方案,塑造网络安全核心关键能力。三是结合领域特点推进网络安全教育培训供给侧改革,探索网络安全体系化知识更新与碎片化学习方式的结合、线下系统培训和线上交互培训的结合、理论知识理解和实践操作磨练的结合、金字塔层次化梯队培养和能揭榜挂帅的网络专才选拔的结合,加强专业资质测评在人才队伍建设中的引领和导向作用,创新人才培养模式,深化产教融合,贯通后备人才到从业人员的通道,推动各类学校、专业培训机构和企业通过校园教育、现代学徒制培训、任职培训、在职培训、岗位练兵、攻防竞赛、技术比武等方式,推动网络安全人才工作的高质量发展。(四)持续优化网络安全人才发展整体环境网络安全是信息技术的尖端领域,是智力最密集、最需要创新活力的领域。坚持以用为本、急用先行的原则,加快网络安全人才发展体制机制创新,制定适应网络安全特点的人才政策,让人才的创造活力竞相迸发,聪明才智充分涌流。一是提高各级党政领干部的网安意识和网安人才意识,在干部培训中将网络安全作为必修课程,引导其积极适应时代要求,强化网络安全思维,提高对人才工作重要性的认识,真正尊重人才、爱才惜才,为人才发展创造良好条件。二是加快创新网络安全从业人员评价激励机制,参考企业中激发网络安全人才活力效果最好的管理实践和经验,创新发展适应网络安全特点的薪酬制度、评价指标和鼓励激励措施,让网络安全人才价值得到尊重和体现,名正言顺地提高从业人员的经济待遇和社会地位。三是建立重点领域网络安全人才引导和优先保障机制,采取特殊政策,完善配套措施,引导和鼓励网络安全人才向国家党政机关、要害部门、重要行业、关键信息基础设施运营单位流动,确保重点领域能够招得进、用得好、留得住网络安全高端人才和紧缺人才。本文转载自----中国信息安全
云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全架构难以应对,零信任安全架构应运而生。零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,构筑以身份为基石的动态虚拟边界产品与解决方案,助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。本文首先对零信任安全的背景、定义及发展历史进行介绍,然后提出一种通用的零信任参考架构,并以奇安信零信任安全解决方案为例,对零信任参考架构的应用方案进行解读。1、零信任介绍企业的网络基础设施日益复杂,安全边界逐渐模糊。数字化转型的时代浪潮推动着信息技术的快速演进,云计算、大数据、物联网、移动互联等新兴IT技术为各行各业带来了新的生产力,但同时也给企业网络基础设施带来了极大的复杂性。企业的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施。网络安全形势不容乐观,外部攻击和内部威胁愈演愈烈。有组织的、武器化的、以数据及业务为攻击目标的高级持续攻击仍然能轻易找到各种漏洞突破企业的边界;内部业务的非授权访问、雇员犯错、有意的数据窃取等内部威胁愈演愈烈。安全事件层出不穷,传统安全架构失效背后的根源是什么呢?答案是信任。传统的基于边界的网络安全架构某种程度上假设、或默认了内网的人和设备是值得信任的,认为网络安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护就足够了。事实证明:正确的思维应该是假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠。“四个假设”彻底推翻了传统网络安全通过隔离、修边界的技术方法,彻底推翻了边界安全架构下对“信任”的假设和滥用,基于边界的网络安全架构和解决方案已经难以应对如今的网络威胁。需要全新的网络安全架构应对现代复杂的企业网络基础设施,应对日益严峻的网络威胁形势,零信任架构正是在这种背景下应运而生,是安全思维和安全架构进化的必然。1.1. 零信任定义零信任架构一直在快速发展和成熟,不同版本的定义基于不同的维度进行描述。在《零信任网络》一书中,埃文.吉尔曼(Evan Gilman)和道格.巴斯(Doug Barth)将零信任的定义建立在如下五个基本假定之上:1.网络无时无刻不处于危险的环境中。2.网络中自始至终存在外部或内部威胁。3.网络的位置不足以决定网络的可信程度。4.所有的设备、用户和网络流量都应当经过认证和授权。5.安全策略必须是动态的,并基于尽可能多的数据源计算而来。简而言之:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,其本质是以身份为基石的动态可信访问控制。NIST在最近发表的《零信任架构》(草案)中指出,零信任架构是一种网络/数据安全的端到端方法,关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施,认为零信任是一种关注数据保护的架构方法,认为传统安全方案只关注边界防护,对授权用户开放了过多的访问权限。零信任的首要目标就是基于身份进行细粒度的访问控制,以便应对越来越严峻的越权横向移动风险。基于如上观点,NIST对零信任及零信任架构定义如下:零信任(ZT)提供了一系列概念和思想,旨在面对失陷网络时,减少在信息系统和服务中执行准确的、按请求访问决策时的不确定性。零信任架构(ZTA)是一种企业网络安全规划,它利用零信任概念,并囊括其组件关系、工作流规划与访问策略。 1.2. 零信任历史从零信任的发展历史进行分析,也不难发现零信任的各种不同维度的观点也在持续发展、融合,并最终表现出较强的一致性。零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年,零信任这个术语正式出现,并指出所有的网络流量都是不可信的,需要对访问任何资源的任何请求进行安全控制,零信任提出之初,其解决方案专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。随着零信任的持续演进,以身份为基石的架构体系逐渐得到业界主流的认可,这种架构体系的转变与移动计算、云计算的大幅采用密不可分。2014年开始,Google基于其内部项目BeyondCorp的研究成果,陆续发表了多篇论文,阐述了在Google内部如何为其员工构建零信任架构。BeyondCorp的出发点在于仅仅针对企业边界构建安全控制已经不够了,需要把访问控制从边界迁移到每个用户和设备。通过构建零信任,Google成功地摒弃了对传统VPN的采用,通过全新架构体系确保所有来自不安全网络的用户能安全地访问企业业务。通过业界对零信任理论和实践的不断完善,零信任已经超越了最初的网络层微分段的范畴,演变为以身份为基石的,能覆盖云环境、大数据中心、微服务等众多场景的新一代安全解决方案。综合分析各种零信任的定义和框架,不难看出零信任架构的本质是以身份为基石的动态可信访问控制,聚焦身份、信任、业务访问和动态访问控制等维度的安全能力,基于业务场景的人、流程、环境、访问上下文等多维的因素,对信任进行持续评估,并通过信任等级对权限进行动态调整,形成具备较强风险应对能力的动态自适应的安全闭环体系。2、零信任参考架构零信任安全的关键能力可以概括为:以身份为基石、业务安全访问、持续信任评估和动态访问控制,这些关键能力映射到一组相互交互的核心架构组件,对各业务场景具备较高的适应性。2.1. 关键能力模型零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系,通过以身份为基石、业务安全访问、持续信任评估和动态访问控制的关键能力,基于对网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立一种动态的信任关系。(如图1所示)图1 零信任架构的关键能力模型(来源:奇安信集团, 2019)零信任架构下,访问客体是核心保护的资源,针对被保护资源构建保护面,资源包括但不限于企业的业务应用、服务接口、操作功能和资产数据。访问主体包括人员、设备、应用和系统等身份化之后的数字实体,在一定的访问上下文中,这些实体还可以进行组合绑定,进一步对主体进行明确和限定。零信任架构的关键能力包括:以身份为基石、业务安全访问、持续信任评估和动态访问控制。1) 以身份为基石基于身份而非网络位置来构建访问控制体系,首先需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。在零信任安全架构中,根据一定的访问上下文,访问主体可以是人、设备和应用等实体数字身份的动态组合,在《零信任网络》一书中,将这种组合称为网络代理。网络代理指在网络请求中用于描述请求发起者的信息集合,一般包括用户、应用程序和设备共三类实体信息,用户、应用程序和设备信息是访问请求密不可分的上下文。网络代理具有短时性特征,在进行授权决策时按需临时生成。访问代理的构成要素(用户或设备)信息一般存放在数据库中,在授权时实时查询并进行组合,因此,网络代理代表的是用户和设备各个维度的属性在授权时刻的实时状态。最小权限原则是任何安全架构必须遵循的关键实践之一,然而零信任架构将最小权限原则又推进了一大步,遵循了动态的最小权限原则。如果用户确实需要更高的访问权限,那么用户可以并且只能在需要的时候获得这些特权。而反观传统的身份与访问控制相关实现方案,一般对人、设备进行单独授权,零信任这种以网络代理作为授权主体的范式,在授权决策时刻按需临时生成主体,具有较强的动态性和风险感知能力,可以极大地缓解凭证窃取、越权访问等安全威胁。2) 业务安全访问零信任架构关注业务保护面的构建,通过业务保护面实现对资源的保护,在零信任架构中,应用、服务、接口、数据都可以视作业务资源。通过构建保护面实现对暴露面的收缩,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权,业务安全访问相关机制需要尽可能工作在应用协议层。构建零信任安全架构,需要关注待保护的核心资产,梳理核心资产的各种暴露面,并通过技术手段将暴露面进行隐藏。这样,核心资产的各种访问路径就隐藏在零信任架构组件之后,默认情况对访问主体不可见,只有经过认证、具有权限、信任等级符合安全策略要求的访问请求才予以放行。通过业务隐藏,除了满足最小权限原则,还能很好的缓解针对核心资产的扫描探测、拒绝服务、漏洞利用、非法爬取等安全威胁。3) 持续信任评估持续信任评估是零信任架构从零开始构建信任的关键手段,通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。零信任架构中,访问主体是人、设备和应用程序三位一体构成的网络代理,因此在基础的身份信任的基础上,还需要评估主体信任,主体信任是对身份信任在当前访问上下文中的动态调整,和认证强度、风险状态和环境因素等相关,身份信任相对稳定,而主体信任和网络代理一样,具有短时性特征,是一种动态信任,基于主体的信任等级进行动态访问控制也是零信任的本质所在。信任和风险如影随形,在某些特定场景下,甚至是一体两面。在零信任架构中,除了信任评估,还需要考虑环境风险的影响因素,需要对各类环境风险进行判定和响应。但需要特别注意,并非所有的风险都会影响身份或主体的信任度。基于行为的异常发现和信任评估能力必不可少,包括主体(所对应的数字身份)个体行为的基线偏差、主体与群体的基线偏差、主体环境的攻击行为、主体环境的风险行为等都需要建立模型进行量化评估,是影响信任的关键要素。当然,行为分析需要结合身份态势进行综合度量,以减少误判,降低对使用者操作体验的负面影响。4) 动态访问控制动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。任何访问控制体系的建立离不开访问控制模型,需要基于一定的访问控制模型制定权限基线。零信任强调灰度哲学,从实践经验来看,也大可不必去纠结RBAC好还是ABAC好,而是考虑如何兼顾融合,建议基于RBAC模型实现粗粒度授权,建立权限基线满足企业基本的最小权限原则,并基于主体、客体和环境属性实现角色的动态映射和过滤机制,充分发挥ABAC的动态性和灵活性。权限基线决定了一个访问主体允许访问的权限的全集,而在不同的访问时刻,主体被赋予的访问权限和访问上下文、信任等级、风险状态息息相关。需要注意,并非所有的风险都对信任有影响,特别是环境风险,但风险一旦发生,就需要对应的处置策略,常见手段是撤销访问会话。因此,零信任架构的控制平面需要能接收外部风险平台的风险通报,并对当前访问会话进行按需处理,从而实现风险处置的联动,真正将零信任架构体系和企业现存的其他安全体系融合贯穿。 2.2. 基本架构原则在“关键能力模型”一节中,对“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四项零信任关键能力进行了详细描述,这些安全能力需要在零信任架构中通过架构组件、交互逻辑等进行支撑,在将安全能力进行架构映射的过程中,需要遵循一些基本架构原则,才能确保最终实现的零信任架构能切实满足新型IT环境下的安全需求。这些基本架构原则包括:全面身份化原则:对所有的访问主体需要进行身份化,包括人员、设备等,仅仅对人员进行身份管理是远远不够的;另外,访问控制的主体是网络代理,而不是孤立的人员或设备。应用级控制原则:业务访问需要尽可能工作在应用层而不是网络层,通常采用应用代理实现;应用代理需要做到全流量代理和加密,切忌不可只对应用的认证请求进行代理。安全可闭环原则:信任等级基于访问主体的属性、行为和访问上下文进行评估,并且基于信任等级对访问权限进行动态的、近实时的、自动的调整,形成自动安全闭环。业务强聚合原则:零信任架构具有内生安全属性,需要结合实际的业务场景和安全现状进行零信任架构的设计,建议将零信任安全和业务同步进行规划。零信任架构需要具备较强的适应性,能根据实际场景需求进行裁剪或扩展。多场景覆盖原则:现代IT环境具有多样的业务访问场景,包括用户访问业务、服务API调用、数据中心服务互访等场景,接入终端包括移动终端、PC终端、物联终端等,业务部署位置也多种多样。零信任架构需要考虑对各类场景的覆盖并确保具备较强的可扩展性,以便为各业务场景实现统一的安全能力。组件高联动原则:零信任各架构组件应该具备较高的联动性,各组件相互调用形成一个整体,缓解各类威胁并形成安全闭环。在零信任架构实践中,切忌不可堆砌拼凑产品组件,各产品的可联动性是零信任能力实现效果的重要基础。2.3. 核心架构组件基于前述关键能力模型和基本架构原则,零信任架构的核心逻辑架构组件如图2所示:图2 零信任架构核心逻辑架构组件 (来源:奇安信集团, 2019)1) 可信代理可信代理是零信任架构的数据平面组件,是确保业务安全访问的第一道关口,是动态访问控制能力的策略执行点。可信代理拦截访问请求后,通过动态访问控制引擎对访问主体进行认证,对访问主体的权限进行动态判定。只有认证通过、并且具有访问权限的访问请求才予以放行。同时,可信代理需要对所有的访问流量进行加密。全流量加密对可信代理也提出了高性能和高伸缩性的需求,支持水平扩展是零信任可信代理必须具备的核心能力。2) 动态访问控制引擎动态访问控制引擎和可信代理联动,对所有访问请求进行认证和动态授权,是零信任架构控制平面的策略判定点。动态访问控制引擎对所有的访问请求进行权限判定,权限判定不再基于简单的静态规则,而是基于上下文属性、信任等级和安全策略进行动态判定。动态访问控制进行权限判定的依据是身份库、权限库和信任库。其中身份库提供访问主体的身份属性,权限库提供基础的权限基线,信任库则由身份分析引擎通过实时的风险多维关联和信任评估进行持续维护。3) 信任评估引擎信任评估引擎是是零信任架构中实现持续信任评估能力的核心组件,和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据。信任评估引擎持续接收可信代理、动态访问控制引擎的日志信息,结合身份库、权限库数据,基于大数据和人工智能技术,对身份进行持续画像,对访问行为进行持续分析,对信任进行持续评估,最终生成和维护信任库,为动态访问控制引擎提供决策依据。另外,信任评估引擎也可以接收外部安全分析平台的分析结果,包括:终端可信环境感知、持续威胁检测、态势感知等安全分析平台,这些外部风险源可以很好的补充身份分析所需的场景数据,丰富上下文,从而进行更精准的风险识别和信任评估。4) 身份安全基础设施身份基础设施是是实现零信任架构以身份为基石能力的关键支撑组件。身份基础设施至少包含身份管理和权限管理功能组件,通过身份管理实现各种实体的身份化及身份生命周期管理,通过权限管理,对授权策略进行细粒度的管理和跟踪分析。零信任架构的身份安全基础设施需要能满足现代IT环境下复杂、高效的管理要求,传统的静态、封闭的身份与权限管理机制已经不能满足新技术环境的要求,无法支撑企业构建零信任安全架构的战略愿景,需要足够敏捷和灵活,需要为更多新的场景和应用进行身份和权限管理。另外,为了提高管理效率,自助服务和工作流引擎等现代身份管理的关键能力也必不可少。3. 零信任安全解决方案本节以奇安信零信任安全解决方案为例,对零信任参考架构的具体实践要点进行解读。奇安信一直保持对零信任的高度关注,奇安信零信任安全解决方案基于零信任参考模型进行设计,充分利用国内外先进技术成果,结合国内典型的业务及安全现状进行完善优化,目前已经过国内大型部委和央企进行大量实践验证并得到广泛认可,具有极强的先进性和可行性。3.1. 核心产品体系奇安信零信任安全解决方案主要包括:奇安信TrustAccess动态可信访问控制平台、奇安信TrustID智能可信身份平台、奇安信ID智能手机令牌及各种终端Agent组成,如图3所示。奇安信零信任安全解决方案中,动态可信访问控制平台和智能可信身份平台逻辑上进行解耦,当客户现有身份安全基础设施满足零信任架构要求的情况下,可以不用部署智能可信身份平台,通过利旧降低建设成本。图3 奇安信零信任安全解决方案 (来源:奇安信集团, 2019)1) 奇安信TrustAccess动态可信访问控制平台奇安信TrustAccess提供零信任架构中动态可信访问控制的核心能力,可以为企业快速构建零信任安全架构,实现企业数据的零信任架构迁移。TrustAccess的核心组件包括:可信应用代理TAP、可信API代理TIP、可信访问控制台TAC、智能身份分析系统IDA、可信终端环境感知系统TESS和可信网络感知系统TNSS。可信应用代理系统TAP:可信应用代理系统TAP是零信任参考架构中的可信代理在业务访问场景的产品实现。针对企业应用级访问控制需求,实现了应用的分层安全接入、一站式应用访问、应用单点登录、应用审计等能力。可信API代理系统TIP:可信API代理系统TIP是零信任参考架构中的可信代理在数据交换场景的产品实现。针对API服务的安全保护需求,实现了API接口的统一代理、访问认证、数据加密、安全防护、应用审计等能力。可信访问控制台TAC:可信访问控制台TAC是零信任参考架构中动态访问控制引擎的产品实现。TAC为TAP/TIP提供自适应认证服务、动态访问控制和集中管理能力,针对企业的各个业务访问场景,实现了自适应认证服务、访问控制策略统一配置管理、WEB应用和API服务集中管理、动态授权、风险汇聚关联、应用审计等功能。智能身份分析系统IDA:智能身份分析系统IDA是零信任参考架构中信任评估引擎的产品实现。IDA基于身份及权限信息、TAP/TIP/TAC访问日志、可信环境感知上报的属性和风险评估、其他外部分析平台上报的日志及事件进行综合风险关联判定,利用大数据分析和人工智能技术,构建信任评估模型进行持续信任评估,为TAC提供信任等级作为决策依据。可信终端环境感知系统TESS:可信终端环境感知系统TESS提供各种场景的终端环境的安全状态和环境感知,为IDA提供实时的终端可信度的判断依据,是IDA的重要数据源。可信网络环境感知系统TNSS:可信网络环境感知系统TNSS提供网络环境的安全状态和环境感知,为IDA提供实时的网络可信度的判断依据,是IDA的重要数据源。2) 奇安信TrustID智能可信身份平台奇安信TrustID智能可信身份平台是零信任参考架构身份安全基础设施的产品实现,是一种现代身份与权限管理系统。TrustID可为企业提供更高级、更灵活的现代身份与权限管理能力,当TrustAccess自带的基础身份和权限管理能力,或企业现有的身份基础设施无法满足企业的管理需求时,可借助TrustID对身份与权限管理方面的能力进行提升,达到零信任架构对身份安全基础设施的能力要求。除了为TrustAccess服务,TrustID也可为企业的业务系统和其他需要身份、认证、授权的场景提供身份及权限基础服务。奇安信TrustID也支持对接企业现有的外部身份源系统,包括PKI、4A、AD等,通过将企业现有的身份源进行汇聚和同步,形成完善的身份生命周期管理能力,为TrustAccess提供身份基础设施服务。3) 奇安信零信任安全解决方案与参考架构的关系奇安信零信任安全解决方案在零信任参考架构的基础上对产品组件进行了拆分和扩展,但在总体架构上保持了高度一致,将其产品组件映射到零信任参考架构如图4所示:图4 奇安信零信任安全解决方案与参考架构的关系 (来源:奇安信集团, 2019)另外,奇安信零信任安全解决方案和奇安信丰富的安全产品和平台之间可以实现联动,比如,和奇安信的移动安全解决方案联动,可以实现强大的移动零信任解决方案;和奇安信的数据安全解决方案联动,可以实现数据访问场景的零信任解决方案;和奇安信云安全管理平台联动,可以实现云及虚拟化场景的零信任解决方案。3.2. 典型场景方案下面以一个典型应用场景为例,描述奇安信零信任安全解决方案的逻辑原理。此应用场景数据子网需要保护的资源包括业务应用和API服务,用户/外部平台子网的用户终端需要访问业务应用,外部应用需要通过接口调用API服务,方案逻辑图如图5所示,本图只是逻辑原理图,实际物理部署需要根据具体的网络拓扑、安全分区情况确定。图5 典型场景方案 (来源:奇安信集团, 2019)在此方案中,通过在用户子网和数据子网之间部署逻辑的零信任访问控制区构建端到端的零信任解决方案。通过可信应用代理接管所有的用户终端业务访问请求,通过可信API代理接管所有的外部应用API调用请求,所有的访问请求通过可信访问控制台进行身份验证及动态授权。可信终端感知系统持续对终端进行感知和评估,可信网络感知系统持续对网络流量进行感知和评估,并生成安全事件上报至智能身份分析平台,智能身份分析平台综合访问日志信息、安全事件信息、身份与权限信息进行信息关键和信任评估,为可信访问控制台输出信任等级作为权限判定或撤销的依据。4、结束语零信任架构对传统的边界安全架构思想重新进行了评估和审视,并对安全架构思路给出了新的建议:默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用,而是应该基于认证、授权和加密技术重构访问控制的信任基础,并且这种授权和信任不是静态的,它需要基于对访问主体的信任评估进行动态调整。零信任架构是一种全新的安全理念和架构,认为不应该仅仅在企业网络边界上进行粗粒度的访问控制,而是应该对企业的人员、设备、业务应用、数据资产之间的所有访问请求进行细粒度的访问控制,并且访问控制策略需要基于对请求上下文的信任评估进行动态调整,是一种应对新型IT环境下已知和未知威胁的“内生安全”机制。点击下载:《零信任架构及解决方案》白皮书(完整版)本文来源于——中国信息安全
北京时间3月12日晚,微软发布安全公告披露了一个最新的SMB远程代码执行漏洞(CVE-2020-0796),攻击者利用该漏洞无须权限即可实现远程代码执行,一旦被成功利用,其危害不亚于永恒之蓝,全球10万台服务器或成首轮攻击目标。SMB(Server Message Block)协议作为一种局域网文件共享传输协议,常被用来作为共享文件安全传输研究的平台。由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码,受黑客攻击的目标系统只要开机在线即可能被入侵。据了解,凡政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点,如Windows家用版、专业版、企业版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标,Windows 7不受影响。根据腾讯安全网络资产风险检测系统提供的数据,目前全球范围可能存在漏洞的SMB服务总量约10万台,直接暴露在公网,可能成为漏洞攻击的首轮目标。海外安全机构为这个漏洞起了多个代号,如SMBGhost、EternalDarkness(“永恒之黑”),可见其危害之大。 腾讯安全专家介绍,SMB远程代码执行漏洞与“永恒之蓝”系列漏洞极为相似,都是利用Windows SMB漏洞远程攻击获取系统最高权限,黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于永恒之蓝,政企用户应高度重视、谨慎防护。 除了直接攻击SMB服务端造成远程代码执行(RCE)外,“永恒之黑”漏洞的亮点在于对SMB客户端的攻击,攻击者可以通过构造一个“特制”的网页、压缩包、共享目录、OFFICE文档等,向攻击目标发送,一旦被攻击者打开则瞬间触发漏洞受到攻击。针对该漏洞,腾讯安全已在第一时间启动应急响应,并为企业用户提供全套解决方案。在“永恒之黑”意外被海外安全厂商披露后,腾讯安全威胁情报中心基于威胁情报数据库及智能化分析系统,第一时间对该漏洞的影响范围、利用手法进行分析,并实时进行安全态势感知,为企业用户提供主动的安全响应服务。腾讯安全专家建议政企用户及时更新Windows完成补丁安装,防范可能存在的入侵风险。同时,腾讯安全目前已启动应急响应方案,率先推出了SMB远程代码执行漏洞扫描工具。政企用户只需登录网址(https://pc1.gtimg.com/softmgr/files/20200796.docx)下载并填写《获取SMB远程代码执行漏洞扫描工具申请书》,发送至邮箱es@tencent.com获取授权后,即可使用该工具远程检测全网终端安全漏洞。腾讯安全终端安全管理系统也已实现升级,企业网管可采用全网漏洞扫描修复功能,全网统一扫描、安装KB4551762补丁,拦截病毒木马等利用该漏洞的攻击。 腾讯安全终端安全管理系统拦截漏洞攻击此外,腾讯安全网络资产风险检测系统、腾讯安全高级威胁检测系统可全面检测企业网络资产是否受安全漏洞影响,帮助及时感知企业网络的各种入侵渗透攻击风险,防患于未然。——本文来自中国信息安全
随着新一轮科技革命和产业变革的孕育兴起,数字经济热潮席卷全球。我国高度重视大数据在推动数字经济发展中的作用,党的十九届四中全会首次提出将“数据”作为生产要素参与分配,为数据赋予了新的历史使命。为贯彻国家大数据战略,更好地释放工业数据对质量变革、效率变革、动力变革的驱动作用,工业和信息化部办公厅印发了《工业数据分类分级指南(试行)》(以下简称《指南》),指导企业提升数据管理能力,加速数字化转型,助力制造业高质量发展。一、迎机遇,工业数据成为驱动产业创新发展的主引擎(一)工业数据是数字化转型升级的必然产物近年来,我国两化深度融合步伐明显加快,在需求分析、研发设计、生产制造、运行维护直至报废回收的产品全生命周期中,以数据为纽带逐渐实现物理世界和信息世界的无缝链接,数据量呈爆炸式增长。随着服务型制造、共享制造等新业态新模式的涌现,智能化设计、网络化协同制造、个性化定制服务等场景将积累更加丰富的工业数据资源。(二)工业数据资源不断释放蕴藏的巨大能量大数据技术在工业领域用户需求精准分析、生产过程改进优化、营销管理智能决策等方面发挥的作用日益显现,工业数据成为新的生产要素资源。数据流带动技术流、资金流、人才流、物资流,提升资源优化配置能力,促进全要素生产率提升,成为带动业务创新发展、推动供给侧结构性改革、实现包容性增长和可持续发展的重要驱动力。 (三)工业互联网平台加速实现海量数据汇聚工业互联网平台作为工业全要素、全产业链、全价值链连接的枢纽,全面采集产品设计、生产工艺、设备运行、运营管理等海量工业数据资源,实现数据的有效整合、深度分析以及快速处理。我国工业互联网平台已进入发展快车道,赋能效用日益显现,为进一步挖掘工业数据价值、重塑生产制造和服务体系提供支撑,给经济创新发展注入了新动能。二、促管理,分类分级是释放工业数据潜能的必由路径(一)工业数据具有复杂性差异性特征 从数据形态看,种类繁多、价值不一。复杂多样的业务场景导致工业数据存在时序、非时序、结构化、非结构化等多种形式,承载信息、应用领域、重要程度等各不相同,实时性、连续性、稳定性需求差异较大。从数据流向看,路径复杂、主体多样。工业数据在企业内部研发、生产、运维、管理等环节之间互通,在上下游企业间、平台间流转,涉及设备厂商、工业企业、平台企业、服务商等相关方,加大了流向跟踪、风险定位、责任追溯等数据管理难度。(二)分类分级是工业数据管理的基础区分工业数据的类型和重要级别是部署细粒度、层次化数据管理措施,促进数据充分利用、有序流动和安全共享的前提。一方面,有利于明确差异化数据管理要求,引导企业建立工业数据管理机制,按类逐级排查管理风险、统筹部署防护策略、合理分配资源,切实提升数据管理水平。另一方面,有利于确定不同数据的共享范围,在遵循“最小知情原则”的前提下打破信息孤岛,促进跨企业、跨行业、跨区域的工业数据关联分析与深度挖掘,加快工业生产智能转型步伐。(三)贯彻落实分类分级管理相关要求2015年,国务院发布《促进大数据发展行动纲要》,要求建立数据分类目录等标准规范体系。2016年,工业和信息化部印发《大数据产业发展规划(2016-2020年)》,部署了开展数据资源分类、开放共享等基础通用标准研制的重点任务。同年印发的《工业控制系统信息安全防护指南》提出应根据风险评估结果对数据信息进行分级分类管理。2018年国标委发布《数据管理能力成熟度评估模型》(GB/T 36073-2018,以下简称DCMM),将数据分类分级作为数据管理能力第2级(受管理级)至第5级(优化级)的基本要求。三、重实践,积极稳妥提升指南内容的科学性与合理性(一)坚持问题导向、目标导向、结果导向工业数据分类分级是一项较为复杂的系统性工作。在《指南》编制过程中,我们组织国家工业信息安全发展研究中心、中国电子技术标准化研究院等单位深入研究工业数据的内涵与特征,广泛调研数据管理突出问题和迫切需求,多次与地方工业和信息化主管部门、行业主管部门、领域专家及企业代表研讨,以可操作、可实施为目标,以实践效果为牵引,提出基于数据业务属性的分类分级管理方法。(二)坚持试验验证、边试边改、逐步完善《指南》初稿完成后,在江苏、广东、四川、江西4个地区和钢铁、烟草2个行业开展了工业数据分类分级试验验证,赴14家企业对近600类工业数据进行定级分析。通过深入企业现场逐条检验《指南》主要内容,不断总结经验、迭代优化,在分类分级方法设计方面注重兼顾科学性和可操作性,在颗粒度把握方面尽量平衡全局通用性、行业灵活性和横向可扩展性,最终形成了试行版本。 四、抓落实,推动工业数据分类分级管理走向实践深耕(一)组织宣贯培训面向地方工业和信息化主管部门、工业企业和工业互联网平台企业等,详细解读和宣贯《指南》内容,结合前期试验验证成果,就工业数据分类分级方法、工作流程、管理和防护要点等进行培训,普及工业数据管理的先进知识经验,为《指南》的落地实施奠定基础。(二)推动标准研制进一步细化《指南》内容,加快推进工业数据分类分级管理相关配套标准的立项研制、送审报批等工作,与DCMM形成互为补充、相互衔接的国家标准体系,引导企业对标诊断与行业最佳实践之间的差距,通过数据防护技术应用、管理流程优化、组织体系变革等方式,实现数据管理能力跃升。(三)开展试点示范鼓励有条件的地方和行业开展工业数据分类分级试点示范,按照边试点、边总结、边推广的思路,探索形成可复制、可推广的实施路径和模式,引领带动行业内、区域内企业落实工业数据管理主体责任。根据试点结果进一步完善《指南》内容,视情择期修订。 (来源:工信微报)
近日,一种勒索病毒GlobeImposter再次变种后在网上传播,目前该病毒已在多个省份出现感染情况。一旦感染该勒索病毒,网络系统的数据库文件将被病毒加密,并须支付勒索资金才能恢复文件。一、GlobeImposter勒索病毒的危害GlobeImposter是目前流行的一类勒索病毒,此次变种为3.0版本,它会加密磁盘文件并篡改后缀名*4444形式,同时在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。由于GlobeImposter3.0采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件,如需恢复重要资料只能被迫支付赎金。通过分析发现,该病毒不具备主动传播性,被感染设备均是由黑客渗透进入内网后,在目标主机上人工植入,该病毒具有极强的破坏性和针对性,目前很难被破解。二、GlobeImposter勒索病毒的攻击手法该病毒的主要攻击步骤如下:第一步对服务器进行渗透。黑客通过弱口令爆破、端口扫描等攻击手法,利用3389等远程登陆开放端口,使用自动化攻击脚本,用密码字典暴力破解管理员账号。第二步对内网其他机器进行渗透。攻击者在打开内网突破口后,会在内网对其他主机进行口令爆破,利用网络嗅探、多协议爆破等工具实施爆破。第三步植入勒索病毒。在内网横向移动至一台新的主机后,会尝试进行手动或用工具卸载主机上安装的防护软件,手动植入勒索病毒。第四步运行病毒。病毒自动执行程序,对电脑内文件进行加密,完成病毒攻击过程。三、网络安全提示经安全专家分析,存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上、未做好内网安全隔离、Windows服务器、终端未部署或未及时更新杀毒软件等漏洞和风险的信息系统更容易遭受该病毒侵害。针对上述情况,请及时开展以下几方面的工作:一是及时开展自查验证。为有效应对此次事件,国家网络与信息安全信息通报中心专门设立“互联网暴露系统查询云平台”(cii.gov110.cn),使用邀请码“37b853ace4”自主注册。登录后通过输入网段、域名、网站名称等关键字,可查询各自暴露在互联网上的IP、端口等网络设备信息,及时采取安全加固措施,进一步提高安全防范的针对性。二是及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。三是严格控制端口管理。尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389;建议关闭远程桌面协议。四是合理划分内网安全域。重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限。五是强化业务数据备份。对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性;建立安全灾备预案,同时,做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击,影响业务连续性。六是加强应急处置,加强监测。
近日,两则消息再次让5G成为关注焦点。一则是“中国铁塔”在港交所主板上市,成为今年以来全球最大首次公开募股,一个重要原因是该公司将为未来5G网络建设提供站址资源和服务;另一则是德勤关于中美两国5G发展的报告。当前全球5G布局竞争已经拉开帷幕,各国都希望在这场颠覆性技术革命中抢占先机。 运用空间巨大 说起5G,很多人的第一印象是上网快,“飞一般的网速”,视频通话、线上直播、网络购物、网络游戏等再也不用担心网速问题。这只是5G的一个最基本的运用,随着5G商用的步伐越来越近,更多与5G相关的应用场景将出现。 比如,借助5G高网速、低时延特性,无人驾驶汽车会敏锐探测并避开周围物体,从而真正实现大规模运用;远程医疗的内容将更丰富,诊疗也会更准确、更及时,医疗资源共享将成为现实;而借助于万物互联,制造业会变得更智慧化,能连接起从原材料到生产到消费者全过程;而且,5G比4G更安全。 未来5G将广泛与各行业、垂直领域合作,是虚拟现实与增强现实、智慧城市、智慧农业、工业互联网、智能电网、车联网、应急安全等领域的基础性技术。因此,5G商用空间充满想象。 高通预测,到2035年,5G将在全球创造12.3万亿美元的经济产出,预计2020年至2035年间,5G拉动全球经济增长贡献将达到约3万亿美元,与当前印度国内生产总值相当。德勤近日发布的报告则指出,由于5G带来“未开发经济潜力的时代”,率先采用5G通信的国家将获得“不成比例的收益”。 先发优势明显 在推动5G发展上,中国企业积极主动,不仅打破了国际通信行业巨头在专利标准方面的垄断,还有望成为“领头羊”。在技术方面,根据联合国世界知识产权组织数据,2017年中国企业的专利申请量同比增长13.4%,而华为和中兴通讯已连续5年成为全球最大的两家专利申请者。在5G领域,华为约拥有所有专利的10%,中兴通讯专利全球超过1700件。有机构认为,中国企业正在5G领域建立一个庞大的知识产权库。 在标准制定方面,2016年11月17日,华为公司提出的极化码成为5G短码解决方案;2017年12月,中国移动等企业完成了5G空口场景和需求研究项目,成为5G标准无线空口技术标准的制定者。这意味着中国企业在5G规则制定上拥有更多话语权。 据了解,中国从2015年9月就启动5G技术研发试验,目前正处于试验第三阶段,预计到今年年底,5G产业链主要环节基本达到预商用水平。同时,中国电信设备厂商也积极与全球多家电信运营商合作,共同试验5G设备。 在全球多家咨询机构和市场调研机构看来,目前美国以及中国、韩国等亚洲国家站在第一梯队,中国优势尤其明显。德勤认为,中国自2015年以来花费在5G领域的投资已经比美国多出240亿美元,已建成支持5G通信的基站数为35万座,而美国同期不到3万座。未来5年中国5G产业总体市场投资将超万亿美元,美国想要跟上节奏,必须花费中国投资的2.67倍。 全球竞争加剧 今年以来,多个国家都在加快推动5G发展。韩国宣布将在2019年3月开始5G商业化应用,成为全球第一个推出商用化5G网络的国家;瑞典的爱立信与英特尔等企业合作,完成了3.5GHz频段端到端的非独立组网标准5G数据呼叫;美国移动通信巨头威瑞森电信宣布,今年将在美国11座城市进行5G试验性运营;在中国,华为早前推出了全球第一款5G商用芯片以及端到端全系列5G产品,联想则于近日推出首款带有5G模块的手机。 这是自2018年6月14日第五代移动通信技术标准(5GNR)推出后,全球在5G布局上竞争加剧的反映。除了商业运用领域,未来随着5G技术的深入发展,标准制定和部署的争夺将更加激烈。正如某国外知名电信公司首席执行官所言,5G是网络领域的“蓝海”,掌握主导权是未来发展的关键所在。 中国在宏观层面积极支持5G发展。《“十三五”规划纲要》《“十三五”国家信息化规划》《国家信息化发展战略纲要》《信息通信行业发展规划(2016-2020年)》等重要文件中,均提出要积极推进5G产业发展。近两年,中国还采取了取消漫游费等一系列提速降费措施,支持建设了目前全球最大的5G试验外场。
在《SophosLabs 2019年网络威胁报告》中不仅探讨了网络威胁形势在过去1年来的变化,还预测了相关趋势对2019年网络安全的影响。下面就是其预测的7大网络攻击趋势:·资本类网络罪犯趋向锁定目标发动有预谋的勒索软件攻击,以获取数以百万美元的赎金2018年,手动交付、针对性勒索软件攻击技术的提升,让网络犯罪分子获得了数百万美元的收益。这类攻击与那些通过大量电邮自动散播的撒网式攻击截然不同,与由网络机械人传送的相比,手动操控的针对性勒索软件会造成更严重的破坏,因为真人攻击者能够寻找并监视受害者、作多角度思考、解决问题克服障碍,甚至借由删除备份来迫使受害者交付赎金。这种由黑客手动操作,逐步深入目标网络的“互动式攻击”日益流行。Sophos专家深信诸如SamSam、BitPaymer和Dharma等勒索软件在诈取金钱方面的成功,将促使2019年有更多的模彷攻击出现。·网络罪犯正采用现成的Windows系统管理工具本年度报告揭示了有越来越多主流攻击者采取进阶型持续威胁 (Advanced Persistent Threat,简称APT) 技巧,通过现成的IT工具进入目标系统,以完成从服务器窃取敏感资料或投放勒索软件等各种任务:·把管理工具变成网络攻击工具具有讽刺意味的是,这就像“网络版第22条军规”,网络犯罪分子正在利用基本的或是内置的Windows IT管理工具,包括PowerShell文件以及Windows Scripting执行文件,向系统用户发动恶意软件攻击。·网络罪犯正在设置数字版多米诺骨牌通过将在事件序列结束时发动攻击的一系列不同脚本类型链接在一起,黑客可以在IT经理检测到网络运行中的威胁之前触发连锁反应,一旦黑客攻入就很难停止正在执行的有效负载。·网络罪犯利用最新Office漏洞饵骗受害者Office漏洞利用向来都是黑客的攻击途径之一,但近来网络罪犯的注意力由旧有Office文档的漏洞转移到较近期出现的漏洞上。·EternalBlue成为挖矿劫持攻击的主要工具尽管EternalBlue漏洞利用这种与修补程序更新相关的Windows威胁已出现了一年有多,它仍然深受网络罪犯欢迎。EternalBlue与挖矿软件的结合,把恼人的业余爱好转化为有机会赚钱的非法职业。恶意软件在多种企业网络横向散播,让挖矿劫持者得以迅速感染多台设备,增加了对黑客的支付,也为用户带来沉重的损失。·针对流动应用与物联网的恶意程序成持续威胁随着源自流动恶意软件的威胁迅猛增加,恶意软件的影响已超出企业基建架构的范围。在2018年,非法的Android应用程序不断增多,导致更多恶意软件被推送到手机、平板电脑和其他物联网设备上。与此同时,无论家居或商业机构都采用更多上网设备,罪犯不断想出新的方法劫持这些设备,作为大型僵尸网络攻击的节点。在2018年,VPNFilter恶意软件引证了这类武器化恶意软件,能够赋予那些并无明确用户介面的嵌入式系统和网络设备极大破坏力。此外,Mirai Aidra、Wifatch和Gafgyt恶意软件也会发动自动化攻击以劫持连网设备,并使之成为僵尸网络的节点,参与分散式阻截服务攻击,加密货币挖矿及网络渗透。
2018年9月,全国信息安全标准化技术委员会归口的17项国家标准正式发布。这些国家标准将于4月1日起正式实施。清单如下: 1. GB/T 36618-2018 《信息安全技术 金融信息服务安全规范》  内容概述:该标准规定了金融信息服务提供商提供金融信息服务时的基本原则、服务过程要求、技术要求和管理要求。其中,技术要求部分主要涵盖基础设施安全、软件安全、网络安全、数据安全、运行安全、容灾和恢复六个方面。 2.GB/T 36619-2018 《信息安全技术 政务和公益机构域名命名规范》 2. GB/T 36619-2018 《信息安全技术 政务和公益机构域名命名规范》  内容概述:该标准主要针对由于命名不规范,使得政务和公益机构网站公众识别度不高,再加上一些虚假网站恶意利用造成负面影响等问题,对政务和公益机构域名的命名规范做出可依据的规范说明,包含基本规则、中文规则、英文规则等。 3. GB/T 36626-2018 《信息安全技术 信息系统安全运维管理指南》 3. GB/T 36626-2018 《信息安全技术 信息系统安全运维管理指南》内容引言:本标准提供了信息系统安全运维管理体系的指导和建议,给出了安全运维策略、安全运维组织的管理、安全运维规则和安全运维支撑系统等方面相关活动的目的、要求和实施指南。本标准可用于指导各组织信息系统安全运维管理体系的建立和运行。 4. GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》》  内容引言:网络安全等级保护测评过程包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四个基本测评活动。本标准为方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。  网络安全等级保护相关的测评标准主要有GB/T 22239、GB/T 28448和GB/T 28449等。其中GB/T 22239是网络安全等级保护测评的基础性标准,GB/T 28448针对GB/T 22239中的要求,提出了不同网络安全等级的测评要求;GB/T 28449主要规定了网络安全等级保护测评工作的测评过程,本标准与GB/T 28448和GB/T 28449的区别在于:GB/T 28448主要描述了针对各级等级保护对象单元测评的具体测评要求和测评流程,GB/T 28449则主要对网络安全等级保护测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,不涉及测评中具体的测试方法和技术。本标准对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要素,重点关注具体技术的实现功能、原则等,并提出建议供使用,因此本标准在应用于网络安全等级保护测评时可作为对GB/T 28448和GB/T 28449的补充。 GB/T 36630《信息安全技术 信息技术产品安全可控评价指标》包含以下五部分: 5.GB/T 36630.1-2018 《信息安全技术 信息技术产品安全可控评价指标 第1部分:总则》   内容引言:随着信息技术应用的日益深入,信息技术产品设计实现的复杂度不断提升,设计的生命周期环节越来越多,人为设置的后门、不可控的产品供应链、不能持续的产品服务、未经授权的数据收集和使用等潜在的不可控因素不断增多,严重损害应用方的权益,甚至可能危害国家安全和公共利益。  依据《中华人名共和国网络安全法》网络产品和服务安全审查办法(试行)》等要求,为提高信息技术产品安全可控水平,防范网络安全风险,维护国家和公共安全,进而满足信息技术产品应用方安全可控需求,增强应用方信心,推动信息技术产业健康、快速发展,特制定GB/T 36630。 6.GB/T 36630.2-2018 《信息安全技术 信息技术产品安全可控评价指标 第2部分:中央处理器》 7.GB/T 36630.3-2018 《信息安全技术 信息技术产品安全可控评价指标 第3部分:操作系统》 8.GB/T 36630.4-2018 《信息安全技术 信息技术产品安全可控评价指标 第4部分:办公套件》 9.GB/T 36630.5-2018 《信息安全技术 信息技术产品安全可控评价指标 第5部分:通用计算机》 10. GB/T 36631-2018 《信息安全技术 时间戳策略和时间戳业务操作规则》   内容引言:随着信息技术的发展,越来越多的传统应用被网络应用所代替,如电子商务、数字出版等网络应用,传统的记录时间方式再互联网环境下已不适用于证明时间是否发生在某一时刻,引发对可信第三方时间戳服务的需求。为此,国内多家证书认证机构及专业公司陆续开展了时间戳相关的业务服务,为电子取证、版权服务、电子商务等业务提供权威的、可信赖的、公正的第三方的时间戳服务。2003年,《电子签名法》颁布,为时间戳业务服务的进一步发展提供了法律保障。  为规范时间戳业务发展,本标准针对第三方时间戳服务机构,在时间戳策略、时间戳业务操作规则等应包含的时间戳标识、时间戳管理、时间戳关联方的责任与义务等内容进行规范。本标准在制定过程中参考了国内外的相关规范,结合我国时间戳服务、应用的特点进行了调整和扩充。  适用范围:时间戳机构编制时间戳策略和时间戳业务操作规则等活动。 11.GB/T 36633-2018 《信息安全技术 网络用户身份鉴别技术指南》 .GB/T   内容摘要:该标准给出了网络环境下用户身份鉴别的主要过程和常见鉴别技术存在的威胁,并规定了抵御威胁的方法。适用于网络环境下用户身份鉴别系统的设计、开发与测试。  网络用户身份鉴别的一般过程包括:注册和发放过程、提交和验证以及断言过程。该标准对鉴别过程的威胁和抵御威胁的策略进行相关规定。 12.GB/T 36635-2018 《信息安全技术 网络安全监测基本要求与实施指南》  适用范围:本标准规定了网络安全监测的基本要求,给出了网络安全监测框架和实施指南。本标准适用于系统或网络安全监测的实施,网络安全监测产品的设计开发,网络安全监测服务的提供等。 13.GB/T 36639-2018 《信息安全技术 可信计算规范 服务器可信支撑平台》   适用范围:本标准规定了服务器可信支撑平台的功能和安全性要求,并描述了服务器可信支撑平台的组成结构。  本标准适用于可信计算体系下服务器可信支撑平台的设计、生产、集成、管理和测试。 14. GB/T 36644-2018 《信息安全技术 数字签名应用安全证明获取方法》  内容引言:参与数字签名生成或验证的实体取决于过程的真实性,该真实性可以通过获取私钥拥有属性的安全证明、公钥有效性的安全证明、数字签名的生成时间来保证。本标准旨在规定一套数字签名应用安全证明获取方法,用以规范数字签名应用安全证明过程,主要应用于需要提供数字签名生成过程安全性和对签名生成时间有明确要求的签名应用场景。  适用范围:需要提供数字签名生成过程安全性和对签名生成时间有明确要求的签名应用场景。 以下推荐性标准采用了ISO、IEC等国际国外组织的标准,由于涉及版权保护问题,国家标准全文公开系统暂不提供在线阅读服务。如需正式标准出版物,请联系中国标准出版社。 15.GB/T 15843.6-2018 《信息技术 安全技术 实体鉴别 第6部分:采用人工数据传递的机制》 16.GB/T 34953.2-2018 《信息技术 安全技术 匿名实体鉴别 第2部分:基于群组公钥签名的机制》 17.GB/T 36624-2018 《信息技术 安全技术 可鉴别的加密机制》

服务电话

15680379520 赵老师