政企網絡邊界安全管理的思考與探索

政府和企事業單位搭建內部網絡滿足組織管理、指揮調度、協同辦公、資源共享、生產經營、公眾服務等事務的網絡化和數字化需求。為了保護政企網絡不受外部侵害,通常將網絡邊界作為第一道防線,嚴格控制政企網絡與外部網絡的業務互訪和數據流動。

在建設“數字中國”、“網絡強國”等國家發展戰略的有力推動下,云計算、萬物互聯、區塊鏈、5G、零信任等新技術不斷應用于政企網絡,推動網絡規模不斷擴大,網絡服務持續創新,網絡內外交互聯系需求越來越旺盛,隨之而來的是各類新型網絡邊界應用在政企網絡中不斷涌現。

一、政企網絡邊界安全管理面臨的風險與挑戰

現行網絡安全管理體系下的網絡邊界安全管理,在實踐中已暴露出諸如覆蓋面不全、適應性不強、彈性擴展能力不足、安全事件感知與響應滯后等問題;在政企數字化轉型過程中因業務設計和應用創新的參與度不高,導致既有業務迭代和新型應用成為網絡邊界安全管理的監管盲區的問題;缺乏對擅自部署的違規網絡邊界,特別是以逃避監管為目的設計的違規網絡邊界設施設備和應用的發現和處置的技術手段。針對網絡邊界的滲透入侵正威脅著政企網絡以及依托政企網絡運行的關鍵信息基礎設施和重要數據的安全,急需開展政企網絡邊界安全管理體系研究與實踐,完善和強化政企網絡整體安全保障能力。

二、構建政企網絡邊界安全管理體系的思考

(一)從管理對象到管理體系

網絡邊界安全管理,通常作為網絡安全管理體系的管理對象之一,強調已知網絡邊界設施的安全防護,以及對未知網絡邊界設施的發現和處置,很少關注網絡邊界因規模體量、工作機制、應用場景、服務方式等變化帶來的風險,在瞬息萬變的數字業務需求和無處不在的新型網絡攻擊面前暴露出諸多問題。因此,需在網絡安全管理體系的基礎上,深入研究網絡邊界的業務特性和安全風險,明確管理對象,分析應用場景與服務內容,細化管理要素,構建適應時代發展需要的網絡邊界安全管理體系。

(二)從“防護罩”到“網格邊界”

現行政企網絡邊界安全管理,可理解為網絡邊界是包裹整個網絡空間的“防護罩”,在這個“防護罩”中設計若干條通道用于與外界聯系。此種方式強調的是控制好通道,進而控制經通道進出的網絡訪問和數據流動,優點在于通道數量可控,便于安全防護措施的實施,管理手段更容易落地,缺點一是審批流程長、通道承載能力有限、交互需求適配耗時久;二是容易忽視基層部門和個人對網絡邊界的使用需求,導致私搭亂建違規網絡邊界的事件屢禁不止。隨著數字時代的臨近,政企數字化程度越來越高,數字化事務跨邊界交互需求爆發式增長,大量前所未有的跨邊界交互場景涌現,“防護罩”式安全管理正成為政企數字化轉型快速推進的障礙。

網格邊界是指在網絡邊界安全管理體系的作用下,將整個網絡空間按需劃分成大小不等的網格,基于網格內設備設施、業務應用、數據等資源的重要程度,結合網格所處的物理空間和網絡空間因素,明確網格邊界的安全管理要求,實施相應的安全措施,在受控的條件下提供跨邊界交互服務。與安全域的域邊界不同之處在于,網格邊界是彈性的,比如政企云可以由一個或多個網格組成并形成一個或多個網格邊界,部門的局域網也可構建網格邊界并提供跨邊界交互服務。

網格邊界的安全性、交互能力以及彈性,不僅取決于網絡邊界安全管理體系的完善程度,還與管理體系的自動化編排、調度和處置能力息息相關,現有技術方案暫時無法發揮其全部效能,需各方共同投入,持續研究和創新。

(三)從強調重要應用系統和數據監管,到以用戶和資源監管為核心

長期以來,對跨邊界交互的安全監管,重心放在防止在跨邊界交互過程中,重要應用系統遭到攻擊破壞,重要數據被竊取、篡改或刪除。這種安全管理和防護模式在數據中心機房部署核心業務并存儲數據的大集中時代,具有便于管理、目標明確見效快、運維難度低等優勢。隨著應用系統和數據向云遷移,應用系統的更新迭代加快,新應用系統的上線周期變短,對外共享和外部流入的數據類型時刻在變,部門級云上應用甚至個人用戶的跨邊界需求層出不窮,現行的跨邊界交互安全管理和防護模式已難以適應這些變化。

以用戶和資源監管為核心,是將跨邊界交互的安全監管重心,由交互過程移至用戶和資源兩個核心點,在確保安全的基礎上提供適應復雜場景和多變需求的跨邊界交互服務:一是監管網絡邊界內外兩側的應用系統和個人用戶,確保用戶的訪問獲得授權并可約束跨邊界訪問的網格與路徑;二是將網絡邊界內外兩側設施設備、應用系統、數據等資源進行分類分級,監管用戶能且僅能按授權對資源進行訪問和使用;三是采取技術手段實現對未經授權的用戶繞過監管措施訪問資源、不受控的網絡邊界節點向用戶提供跨邊界交互服務等情況的發現和處置。

(四)常態化防護與暴露面收斂相結合

網絡邊界暴露面,是指網絡邊界可被直接或間接收集的信息集。立足于安全管理者視角,信息集不僅包括已知可被利用發起網絡攻擊的弱點、缺陷等攻擊面信息,還包括其他可能被用于侵害政企網絡安全和相關利益的信息,例如網絡邊界的跨邊界流轉的數據類型,又如可間接推斷出存在不被掌握的0day漏洞的信息。網絡邊界暴露面收斂,強調的是盡可能不泄露網絡邊界及其跨邊界交互的相關信息,即便面對授權用戶也僅提供其權限之內的信息。實現網絡邊界暴露面收斂的前提,一是需要具備感知網絡邊界的技術手段,二是嚴控對外發布信息內容及控制信息獲取途徑,三是對不同用戶的跨邊界交互服務提供不同的路徑,有條件可動態提供路徑。

從突破網絡邊界防護滲透進入政企網絡的眾多案例來看,無論是應對黑客組織發起的入侵攻擊,還是應對為檢驗網絡邊界安全效能而開展的滲透測試,傳統的網絡邊界安全措施在防不勝防的攻擊手段面前略顯乏力。造成這種局面的主要原因之一是安全管理者和專家往往傾向于將資源投放在網絡邊界的安全防護加固和安全事件的監控與處置上,而對網絡邊界暴露面的投入則不足以及時感知其存在并進行收斂。將常態化防護與暴露面收斂相結合,可充分發揮兩者優勢,較小的暴露面可放大攻擊者的偵查嗅探過程與耗時,增加滲透攻擊難度,令網絡邊界安全措施有足夠的檢測數據和響應時間,為安全管理者應急處置創造條件。

三、政企網絡邊界安全管理體系建設的幾點建議

(一)完善政企網絡安全頂層設計,夯實監管基礎

政企安全管理者在網絡安全整體設計中,通常參考《網絡安全等級保護制度》及網絡安全主管單位制定的安全管理制度,對網絡邊界進行安全設計,以保障網絡邊界不被滲透入侵為目標,主要關注網絡邊界設施的安全防護能力,對網絡邊界因設施形態、技術方案、應用場景、服務對象等方面的不同所面臨的各類安全風險缺乏明確的指導,對涌現的各類跨邊界交互需求如何落實安全措施也缺乏相應的規范約束。因此,需對網絡邊界業務充分調研和深度分析,從網絡邊界的管理結構、建設規劃、保護對象、安全要求等各維度對網絡安全頂層設計進行完善和補充,為政企網絡邊界安全管理體系的構建和實施打好基礎。

(二)優化網絡邊界安全管理模型,細化監管顆粒度

傳統的網絡邊界安全管理模型,通常包含橫向邊界和縱向邊界兩大部分,橫向邊界主要負責對網絡外部的交互防護,縱向邊界主要負責網絡內部不同區域之間的交互防護,不僅顆粒度較粗,而且對邊界類型的劃分也不夠完善。結合現網普遍的網絡邊界形態,可考慮補充以下內容:

1.關鍵信息基礎設施的安全管理。關鍵信息基礎設施的重要性在《關鍵信息基礎設施安全保護條例》第一章第二條做出了明確闡述,將與其相關的邊界業務安全納入模型的必要性不言而喻。

2.涉云邊界的安全管理。涉云邊界是指云與支撐硬件平臺的邊界、云應用之間的邊界、云應用與大數據湖的邊界、云與網絡內其他區域的邊界、云與外部網絡的邊界等。

3.面向數據的安全管理。數據流動是網絡邊界的主要功能之一,但傳統邊界安全管理模型未將數據為管理對象納入管理范疇。

4.通信鏈路邊界的安全管理。大規模政企網絡的上下級網絡樞紐和城域網內距離較遠的物理區域,通常采用向運營商租賃專線的方式組網,承載專線的通信鏈路可能同時為多家租戶提供服務,需將鏈路邊界納入網絡邊界并實施安全管理。

5.安全域/網格邊界安全管理。不論是基于安全域還是網格定義不同網絡業務和安全需求的網絡區域,這些網絡區域也應按需納入邊界安全管理范疇。

(三)實施多維動態網絡邊界測繪,強化監管能力

落實網絡邊界安全管理,需理清全網網絡邊界底數,明確其所處的網絡空間位置,進而掌握跨邊界交互的具體情況和落實安全管理措施。

面對復雜多變的政企網絡,可基于政企網絡邊界安全管理模型,根據不同管理對象的信息采集和管理要求,在網絡主干、云中心、數據中心、安全域或網格等網絡關鍵位置部署各類技術手段,實施覆蓋全網的網絡邊界不間斷測繪,輔以諸如登記備案、資產臺帳等管理手段,形成實時更新的網絡邊界安全數據庫,記錄網絡邊界運行和服務狀態,幫助管理者掌握網絡邊界安全形勢,還可幫助管理者發現各類私自搭建的不受控網絡邊界和跨邊界交互行為,為快速響應和處置安全風險提供數據支撐。

結語:

就網絡技術和應用發展趨勢而言,從用戶視角來看,政企網絡的邊界將逐漸模糊,并在數字化轉型的過程中逐漸與互聯網等外部網絡以某種形式融合互通;從管理者視角來看,網絡邊界控制顆粒度越來越細,抵御侵害的自動化和智能化程度越來越高,這也為構建政企網絡邊界安全管理體系這一項復雜的系統工程提出了更高要求。（文 | 廣州天懋信息系統股份有限公司 鄒凱）

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：