吳雲坤:關鍵信息基礎設施安全防護管理平台建設的五個要點
6月29日,2018年度國家網路與信息安全信息通報工作交流研討會在安徽合肥舉行。來自公安部的領導、以及超過200名部委、央企、金融機構的網路安全負責人參與了此次研討會。本次研討會是為了貫徹黨中央對網路安全工作的新指示新要求,有效應對當前網路安全面臨的新威脅新挑戰,提升國家關鍵信息基礎設施安全防護能力和水平。
360企業安全集團總裁吳雲坤受邀發表了《關鍵信息基礎設施安全防護管理平台建設經驗》的主題演講,向與會成員單位介紹了360企業安全在態勢感知平台建設上的成功經驗。以下是演講內容摘錄。
360對態勢感知平台的理解,經歷了不斷的變化:從最早的態勢感知到現在的關鍵信息基礎設施安全防護管理平台,態勢感知平台的戰略定位已經發生了很大的變化。
態勢感知平台不單單是技術問題,而是把組織流程、技術手段綜合在一起,把組織中的能力聚合在一起。此外,態勢感知平台要重視平戰結合,要保證國家與地方、公安跟企業,以及部委間的連通性,最終形成國家大的體系。
360企業安全在態勢感知平台建設有下面一些經驗:
要點一
業務導向、安全閉環
任何企業、機構和部委建設態勢感知平台,一定要形成安全閉環。技術是支撐,而管理是根本。通報機制、評估檢查、教育培訓等都是在態勢感知平台上發展出來的管理場景。平台系統不是技術系統,技術是藏在其中的,這是整個建設過程當中非常重要的要點,這個要點就是堅持業務為導向的過程。每個企業、部委和機構,包括公安部的業務場景都不一樣,每個機構都有自己的職責,因此在安全管理、組織設計、業務流程、管理制度上都是不一樣的。每個系統都是圍繞業務系統做定製,這是整個系統建設中最基本的要點。
要點二
關口前移、系統規劃
任何機構做安全防護,都要遵照網路安全滑動標尺模型。最左邊是基礎架構安全;第二部分是被動防禦。態勢感知是在第三部分的積極防禦和第四部分的威脅情報。
關口前移不是技術問題,過去在整個安全建設思路上,更多的是查缺補漏,我們平常做的掃描、評估,整個建設思路就是查缺補漏,是在信息化建設完成之後我們做更多的工作。我們現在的信息系統規劃思路,是在早期做三同步:同步規劃、同步建設、同步運營。尤其這三年中,出現了很多新興的信息技術應用浪潮,我們可以在早期的建設過程中把態勢感知考慮進去。
態勢感知需要全要素數據採集,從硬體、安全設備到基礎服務,甚至終端、網路、業務系統有很多數據採集。如果建設態勢感知系統時沒有這些數據,態勢感知的能力是非常薄弱的。拿到這些數據不是安全問題,而是信息化的問題。
要點三
純正的大數據基因
三年前我們講「數據驅動安全」時一般會講兩點:一是我們擁有大量的數據,二是這個數據能產生出很多威脅情報,幫助用戶發現未知威脅,這其實是我們大數據基因的結果,這是一種外在的能力。
所謂純正大數據基因就是全開放的數據採集,即全要素數據,這裡面有人的數據、資產數據、身份數據、認證數據,金融行業還有很多交易數據。系統建設初期不考慮開放採集的話,未來數據就進不來。數據治理是整個態勢感知中最重要的工作,而數據治理將是持續運營的過程。
我們過去做的所有安全一般是在低位做網路防護、終端防護。態勢感知是典型的中高位能力體現,利用互聯網數據能讓中位能力得到最大的發揮。在設備採集數據和處置響應的基礎上,態勢感知系統在中位和高位中體現出價值,這一點是數據驅動安全的核心能力。
要點四
人為核心、運營驅動
安全運營驅動的一個中心點就是為人服務,這裡的人包括很多人,比如值班人員、研判分析人員。這不僅存在於建成之後,還在建設過程當中,它是持續開發的過程,從技術、運營到制度這一套體系,包括數據治理也是運營的,雲端也是運營的。
這種運營是以人為核心的運營設計,比如集團領導、安全服務人員,要做的事情都不一樣,全局決策則要依靠領導。要圍繞這些人的能力和角色設計運營流程。
要點五
攻防兼備是前提
我們公司一直講「因知攻、故善防」。態勢感知中怎麼體現這一點呢?實際上,得到威脅情報過程就是攻防兼備的過程。如果沒有攻防體現,很難實現威脅情報的提供。比如,高級威脅檢測能力與攻防的關係,還有去年的「5.12」勒索病毒攻擊事件,需要在很短的時間內,把問題搞清楚,給所有單位提供應急處理工具。所以我們認為攻防是整個態勢感知的關鍵點。
※淺談能力對抗下的終端未知威脅檢測
※360安全專家發布伺服器勒索攻擊防護建議
TAG:360企業安全 |