2022年上半年,全球范围内已经发生了数十起针对政府、能源、工业等关键信息基础设施的网络攻击,先后导致哥斯达黎加政府计算机系统瘫痪,意大利多个政府网站停摆。而自俄乌战争以来,网络攻击使两国的政府机构和关键基础设遭受到严重破坏,其影响范围甚至覆盖全球数十个国家,数千家企业,对世界范围内的国计民生造成了巨大灾难。
在数字化不断发展的今天,随着网络技术变革和网络攻防趋势的变化,网络攻击造成的破坏早已从互联网本身延伸到了物理世界,对人们的生命财产安全、社会安全乃至国家安全带来了巨大的威胁。作为维持国家机器正常运转的重要基础,政务系统的安全建设亟需更加有效、更加成熟的路径和方案。
“割裂”的政务安全 《网络安全法》第三章第三十一条指出,电子政务一旦遭到破坏、丧失功能或者数据泄露,就可能严重危害到国家安全、国计民生和公共利益。 随着监管合规“三法一例”的陆续发布生效,数字政务的不断深入,法律政策层面的重重加压不仅让网络安全的高度进一步提升,也给政府单位的网络安全能力建设提出了合规性的挑战。 同时,网信、公安、主管单位常态化检查和通报越来越多,全国性攻防实战演练规模不断扩大,重大会议、节日期间的安全保障越发严峻······以上种种都说明了政府网络环境的安全压力今非昔比。 然而,当前大部分政务系统还在采用“设备堆叠为主”的安全建设模式。落实到具体的政务日常中,这种方式带来了很多弊端,如部分开发年限较久、长年未更新的应用程序积累下越来越多无人跟进修复的脆弱性问题;面对各种新型攻击手法,政务单位也没有足够多的专业人才可以实时分析安全日志、从海量日志中捕获有效事件信息,优化安全设备的策略配置,只能被迫采取“事后救火”的被动方法应对安全事件。 此外,设备堆叠的安全建设模式带来的是割裂的防护体系,设备与设备之间各自为战,缺少全局的视野和相互协同的联动策略,不仅使得安全管理变得异常复杂,很大程度上限制了政府单位整体应对威胁的能力。 当下不断发生的国际大事以及在此期间不断传出的网络安全事件,正在向我们传递着一个非常危险的信号——网络空间安全形势越发严峻,高级网络攻击正在被投入使用,政务系统当前所面临的是真正国家级的“网络武器”。 为应对这诸多挑战,政务单位不得不亲自进行安全运营体系的建设。但传统的安全建设模式,单只在系统部署、系统调试上就需要花掉一个月左右的时间,整个体系化的搭建最快也得六到九个月;建设资金也通常超过一百万,后期还需额外的维护费用;同时,传统建设的学习成本极高,单技术系统的掌握就需要至少一个月的时间,更别说体系化里包含了不止一个系统;最后,对政务单位而言,这样系统化的安全维护管理至少需要12位左右的安全专家。无论是时间、资金,还是人才上都会产生巨大的成本投入。 好在安全托管服务的到来为政务环境带来了新保障。 新兴的安全保障模式 何为安全托管服务MSS(Managed Security Service)?MSS指的是MSSP(托管安全服务提供商)通过在用户网络环境中部署安全组件,进行必要的安全日志及告警信息收集,并加密上传至云端安全运营中心,由安全专家团队在云端帮助用户开展的持续安全运营。 具体到政务场景中,通过云端电子政务安全运营中心的安全能力中台,对数据进行汇总、聚类和清洗;一旦监测到安全事件,安全能力中台就会将告警信息传递至电子政务安全运营服务平台;该平台将自动生成工单并根据事件内容不同实时派发工单至各级安全专家,安全运营专家组会按照标准化流程开展安全事件的研判和响应工作;最后再由安全专家根据处置建议线上远程响应,如无法线上处置,则会将内容同步到本地安全服务工程师,进行现场处置。 可以看到,MSS不单单是通过系统、软件来帮助用户解决安全问题,其核心和精华在于通过云端资源共享模式,整合了专家能力经验、新兴安全技术和安全产品能力,以高性价比方式实现对政务单位网络的7*24小时监测预警、实时响应,最终给政务单位提供可承诺效果的风险管控保障。 笔者在上文也提到,堆叠产品的传统安全建设方式存在明显短板,异常行为的整合分析、安全事件的响应处置及后续的加固措施,依赖于安全工程师自身的经验和能力,但是组织短期内又无法快速组建一支成熟的安全团队。MSS“服务化”交付的形式,以“人”和“机器(安全设备/安全平台)”的有效协同,恰好可以补足这部分缺失。 同时,与同样以“人”为核心的传统驻场服务相比,MSS花费的预算成本更低、效果却更好。由于驻场服务不可持续,驻场人员难以做到24小时不间断地监测和防护;不仅如此,传统驻场服务会因为人员流动性过高而导致安全水准参差不齐,这便需要政府单位花更多的时间去考量和选择。 反观MSS,由于其可以同时服务于多个用户的特性,这种“共享”的消费模式相当于共同平摊了运作成本,极大地节省了传统驻场模式下的资金资源投入。 最为关键的是,MSS能整合全网、全行业的安全信息,并同时能集合大量的安全专家对安全事件进行综合地研判和处理,在成熟的服务流程、标准、平台下,这些安全专家可做到7*24小时持续在线守护,为用户带来足够稳定和有效的风险管控和安全检测能力。
通过这种轻投入、一站式的解决方案,可以快速高效地帮助政府单位和政务系统在数字化和高级威胁的当下,以快速接入和低成本投入的方式改善安全现状,从多个维度满足威胁检测与分析需求,对抗高级别网络威胁,提升自身网络安全能力。 给政务系统穿上“战衣” 综合政务场景的需求和MSS的特质,笔者认为可以从几个方面来选择合适的MSSP。 首先,MSS的提供商必须具有丰富的用户经验和对安全风险的快速检测、分析和防御能力。其次,MSSP必须具有成熟的服务流程和保障能力,保证快速发现安全事件、及时响应安全事件,做到重大事件100%闭环。此外,MSSP所提的服务质量承诺必须是可衡量的,即要明确服务最终达成的安全效果情况,包括安全事件的响应时间和处置效率,高级威胁的检测正确率和实时性等,都得经得起广大用户的验证。 而在技术性方面,则要求MSSP的服务能力可适应当前快速变化的安全形势,要实时更新迭代,适应各类新型的安全风险。一旦政务系统被攻破,将会导致严重后果,因此能否跟得上攻击技术的进化,不断升级服务能力,对未知威胁做到快速检测、分析、防御、处置,才是对政务单位而言至关重要的因素。 最后也是最重要的一点,既然MSS是一种服务,那么对于政务安全管理人员来说,最好的服务体验就是“减轻压力”。 说白了,最好能够让政府单位将部分依靠自身人员无法完成的安全工作“托管”,即单位内部不再需要费尽心思搭建安全运营体系,也能够通过一站式部署的方式,直接获得MSS的安全能力,好比普通人通过穿上蝙蝠战衣,坐上蝙蝠战车,能够瞬间完成从布鲁斯韦恩到蝙蝠侠的蜕变。 只不过区别在于,蝙蝠侠需要具备极强的“钞能力”,而MSS只需要“共享”,投入适当的成本即可化身超级英雄,与来自国家级的网络威胁硬碰硬。 如此一来,无论是主动发现还是及时防御响应,只需要交给“蝙蝠战衣”即MSS来完成,作为维持国家机器运转的重要组成部分,政府单位就可以将人力和资源从安全应对中解放出来,更多地投入在服务国民乃至建设国家之上。 但这也有一个问题,那就是MSS必须要有承载此等重任的资格和能力。 国内首个政务网络安全运营中心 在2022年6月8日举行的“数字政府安全托管服务技术论坛”上,深信服依托于国内首个建设在国家政务网络的安全运营中心发布了政务网络安全托管服务,它突破传统安全防护的局限,通过全天候的“人机共智”服务模式为政务用户的网络安全提供专业、持续、有效的安全保障服务,并且可以实现数据不出政务网络的“安全托管”。
通过把安全专家资源池化的方式,深信服MSS让用户能随时享受到安全专家的服务。原理是将安全专家的经验固化到安全运营平台中,从资产、脆弱性、威胁、事件四个要素里全面地进行信息安全风险管理,实现精准地监测告警并输出专业的处置建议,与用户一同构建持续(7*24 小时)、主动、闭环的安全运营架构。
笔者还了解到,其实早在2018年,深信服就率先发布了面向全行业的安全托管服务。通过服务上千客户积累下的安全策略以及针对于高级威胁的检测能力,深信服MSS如今已形成可落地的SLA、多个细分安全场景以及行业化的精细运营。此次发布的政务网络安全托管服务,就是其在ToB市场上取得成功后,迈向更为细分的政务领域且得到肯定的一大步。 尽管安全市场的发展从未停止,能否始终一马当先并建立行业壁垒则需要时间的考验。但若只看现阶段深信服MSS的各种发展和趋势,笔者认为无论口碑也好、前景也罢,都是值得肯定的。 深信服在接受采访时也表示,现阶段还将持续升级自身安全运营中心的能力,通过超级自动化平台、云端智能机器人、云端安全知识库、云端高级专家团等方式打造All online的安全托管能力,其目标是为了进一步提升深信服MSS的综合实力,让其更具承载政务系统网络安全防护和能力建设的使命,具备在国家级网络威胁面前保护政务系统安全的实力,让广大政务用户安心把安全托管给深信服。 安全之于未来 数字时代的飞速发展,意味着安全已是各行各业都得重视的问题,从国家对于网络的战略部署和国际形势间的网络战来看,安全已不单单是行业、部门所能概括的内容,而是可以引申至国家、文化、传承等更多关乎于“人类命运共同体”的概念。因此,若说之后的社会发展该“围绕着安全进行”也并不为过。 从安全产品的发展趋势来看,日后云端、AI、自动化平台会越来越多。而从不法者的攻击手段来推测,接下去的安全防御必定是人与人之间的较量,单一的安全系统将会淘汰。结合这两点,在攻防时代下,安全产品必定要有相应的高级“专家服务”,甚至这服务该为主而不是为辅。 正应了那句话:安全不是一蹴而就的,也不是通过一套或几套系统就可以解决的。需要有像MSS这样“人机共智”的产品,更需要人民、社会、国家达成共识,培养出更多安全人才,塑造好全民的安全意识,这样从行业到国家才会有更理想的网络安全保障。