一、背景情況
習近平主席強調,沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。要樹立正確的網絡安全觀,加強信息基礎設施網絡安全防護,加強網絡安全信息統籌機制、手段、平臺建設,加強網絡安全事件應急指揮能力建設,積極發展網絡安全產業,做到關口前移,防患于未然。
近年來,隨著國家對網絡空間安全越來越重視,有關網絡空間安全相關的政策、法規相繼頒布。
2016年12月,國家互聯網信息辦公室發布《國家網絡空間安全戰略》,明確了我國網絡空間治理的五大目標,提出四項原則并確定九個戰略任務。
2017年3月,外交部和國家互聯網信息辦公室發布《網絡空間國際合作戰略》,以構建網絡空間命運共同體為目標,以和平發展、合作共贏為主題,提出網絡空間國際合作的四項原則、六個戰略目標和九個行動計劃。
2017年6月1日,《中華人民共和國網絡安全法》正式實施。
2017年6月27日,國家網信辦發布了關于印發《國家網絡安全事件應急預案》的通知。預案將網絡安全事件分為四級:特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。通知明確,網絡安全事件應急處置工作實行責任追究制。
習近平主席指出,要加強黨中央對網信工作的集中統一領導,確保網信事業始終沿著正確方向前進。各地區各部門要高度重視網信工作,將其納入重點工作計劃和重要議事日程,及時解決新情況新問題。
二、2023網絡安全防護總體要求
整體規劃各單位網絡安全防護能力,建設網絡安全監測預警中心,從網絡、資產、應用和數據四個方面,打造各省/市網絡安全態勢協同響應能力,常態化監測省/市網絡安全態勢;定期開展安全攻防演練,督促各省/市應急系統網絡安全防護能力協同提升,推動網絡安全防護模式由“事后追溯”向“事前感知”轉變。建設智慧運維系統,接入省/市本級各類裝備設施及業務系統運行數據,分析異常運行狀態,提升系統運行效能。
三、專網網絡安全防護架構
(一)3層基礎防護+1個必要輔助手段
專網不直接連接互聯網/公網,面臨的攻擊相對要少很多。專網防護的主要任務是把網絡柵格化,做好邊界防護、網絡隔離和內部保護,再通過建設網絡靶場的輔助手段,培訓相關人才,增強全員網絡防護意識,鍛煉自身防衛能力。
1、邊界防護產品:信創多合一防護墻
1)融訊光通RT-F5100防火墻系列(FW、IPS、WAF、LB、AV、DFW、DAD、IFW、IAD等)以保障用戶應用安全為目標,立足于高性能的矢量操作系統和一體化引擎,通過 L2-L7 層全面威脅防御及強大應用安全管控技術,為用戶提供高性能的邊界防護和內網防護(黑/白名單)。
RT-F5100防火墻支持虛擬化、云化部署;支持通用X86平臺架構;支持“信創”飛騰CPU平臺;支持“信創”鯤鵬CPU平臺;支持工業防火墻IFW和工業安全審計IAD、FW、IPS、WAF、數據庫防火墻;支持各類大型行業客戶安全微定制。可部署于政府、金融、企業、教育等各個行業,廣泛適用于互聯網出口、網絡與服務器安全隔離、VPN 接入等多種網絡應用場景。
2)復雜網絡情況下擬態防火墻的引入
融訊光通擬態防火墻是網絡防護第一道關口,可解決防火墻在連接公網業務時,無法應對規模威脅IP攻擊問題。通過構建動態變化的網絡迷宮來增加攻擊成本和代價,使攻擊者無法定位和預測目標,從而降低威脅發生的概率,大幅提升了網絡自身的對抗能力和防御能力,扭轉了傳統網絡防御天生被動的態勢,實現了從被動到主動、從靜態到動態的突破。
動態情報更新,以及Bypass功能,讓融訊光通擬態防火墻在防火墻之外也能防護網絡安全。通過多源威脅情報進行實時信譽鑒定,按照IP信譽進行實時阻斷,可針對威脅IP進行一鍵溯源;通過某一個應用系統的威脅攻擊行為,直接在整個數據中心上進行全面防御做到實時阻斷;做到分鐘級封堵攻擊者的IP資源,可有效打擊黑客攻擊及演練攻擊的團伙行為。
2、網絡隔離產品:光閘/網閘
網閘采用“2+1”的系統架構,即兩個主機(內網主機、外網主機)和一個隔離交換模塊組成。基于自研多核多線程的SUOS安全操作系統,結合高速的隔離交換芯片實現網絡隔離,以類似船閘擺渡的工作方式實現協議轉換和數據交互。
網閘產品功能不斷創新,由最初的文件交換功能,逐步增加了數據庫同步、音視頻交換、組播代理等功能,為用戶解決了由于網間互聯帶來的安全問題。
3、內網防護產品:網絡空間安全風險管控系統(監測預警中心)+終端準入系統
1)融訊光通網絡空間安全風險管控系統基于網絡攻防融合云計算、大數據、人工智能等技術,將網絡安全被動防御模式轉變為主動防御模式,實現信息化資產的發現、監控,整體網絡安全態勢的實時呈現和動態預警。
該系統采用軟硬件一體化產品形態,自動化運行方式,完成快速部署,操作簡易,維護便捷,雙引擎漏掃實現事前主動發現安全風險、主動驗證風險可利用性、主動修復風險等,從而構建起網絡安全主動防御風險體系。
網絡空間安全風險管控系統旁路部署于專用網絡內部的核心交換機上。
2)零信任泛終端安全網關(終端準入系統)
融訊光通零信任泛終端安全網關,通過以邊緣交換機或路由器覆蓋范圍為網格元的“最小網格化主動防御”體系,解決了網絡邊界模糊化后的海量物聯網終端引入的“終端是什么?”、“終端合法嗎?”、“終端安全嗎?”、“終端有防護嗎?”這四個物聯網安全的核心問題,實現了海量物聯網終端的精準資產管理、安全準入管控和東西向安全,從而有效防止了“通過終端發起的網絡攻擊行為或安全事件”,符合等保2.0在物聯網領域擴展的規范要求,為物聯網建設保駕護航。
零信任泛終端安全網關能做到以資產流量深度DPI解析的安全;以資產流量AI自學習的零信任;以資產為中心的精準準入管控,緊貼業務邏輯,基于流量的多種技術完美融合,共同構建全新立體式最小網格化主動安全防御。
它支持多種組網方式:旁路、鏡像;直連、在線;混合模式。
4、必要輔助手段:網絡靶場實訓演練系統
1)網絡安全的特點是環境搭建復雜,需要花費巨大的人力、物力。我們日常的應用系統、辦公系統和生產系統不能直接用來測試或網絡實戰。我們可以通過建設大規模深層次的網絡虛實仿真靶場進行攻防研究、網絡攻防測試及業務網絡模擬,復現和應急演練、網絡作戰。虛實仿真靶場旨在為應急演練和安全測評提供快速搭建實驗場景的能力,一鍵部署的能力,真實場景模擬復現的能力和虛實結合的能力。
2)融訊光通網路靶場搭建依托底層的技術優勢,能夠在虛擬網絡中接入真實設備,實現共同組網,實現虛實節點替換,搭建更為復雜的網絡環境,組成大規模的攻防研究場景;通過可視化拖拽完成拓撲搭建,后臺依托底層先進的SDN技術,完成網絡仿真拓撲一鍵部署;與物聯網,人工智能,工控安全設備等進行聯動,建設大型科研場景。
3)典型示例:
四、專網網絡安全防護標準
(一)大力推進等保通建設
信息安全等級保護(標準)與專網網絡基礎防護(架構)融合共生,信創多合一防火墻和終端準入系統,本就是信息安全等級保護的基本內容之一。不論在等保建設中增加主動防御手段,還是在專網網絡基礎防護中量化建設標準,都是為了更好的保障專網安全。信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查等內容。
1、信息安全等級保護是國家信息安全保障的基本制度、基本策略和基本方法。公安部從2019年12月1日強制實施等保2.0,要求黨政軍,各企事業單位的信息系統滿足等保2.0的合規要求,這是強制性要求。
2、通常情況過等保,滿足等保合規,需要采購很多網絡安全硬件設備,建設成本很高。等保通就是買一臺服務器和一個硬件多合一防火墻,服務器里面全用虛擬化配置。這樣既能通過等保測評,便于后臺管理,滿足等保合規要求,還能節省經費、增強時效,可謂一舉多得。
3、融訊光通以“主動防御、簡易部署、安全合規、動態擴充”為核心,打造專用于解決等保2.0/3.0建設難點與痛點的快速解決方案,幫助用戶實現統一的安全運營及管理,提高安全運維效率。同時,通過等保一體機還可以提供的定制化安全增值服務,實現全網動態監測、精確感知、主動防護。
4、融訊光通等保二級、三級套餐防護,綜合了審計類、防護類和主機安全類三大塊:
5、融訊光通等保二級采用一臺服務器,等保三級根據冗余需求,采用兩臺服務器配置。服務器內置多種產品虛擬機。
6、典型部署。
五、總結
2016年4月,習近平總書記在網絡安全和信息化工作座談會上指出“網絡安全的本質是對抗,對抗的本質是攻防兩端能力的較量”。
據國家信息安全漏洞共享平臺(CNVD)統計,2020年共收錄安全漏洞20704個,繼續呈上升趨勢,同比增長27.9%。其中,0day漏洞數量為8902個(占 43.0%),同比增長56.0%。基于國家信息安全漏洞共享平臺(CNVD)的統計數據,可以預測2022年企事業單位內網的安全漏洞數量還將不斷增加,甚至變得越來越復雜。由于內網Web應用的保護嚴重不足,攻擊者利用安全漏洞的攻擊行為將變本加厲,尤其借助自動化的工具,在短時間內以更高效、隱蔽的方式對Web進行漏洞掃描和探測,使得企事業單位面臨更為嚴重的安全風險和損失。
隨著我國云計算、大數據、物聯網、人工智能等技術的飛速發展,外部網絡威脅持續進化,變得更加棘手、難以應對。面對多變的國際形勢,作為國家信息安全的守護者,我們必須打鐵自身硬,聯合研發”御敵于外,殲敵域內“的技術并廣泛推廣應用;共同錘煉“來者能戰,戰則必勝”的強大能力并全力付諸實施!
