新形势下广电行业网络安全标准建设思路
2019-07-31司马超群迪普科技安全产品事业部副部长
司马超群 迪普科技安全产品事业部副部长
1. 引言
近几年,世界各地网络信息安全事件频发,举几个经典的案例。第一个案例关系到美国的政治稳定,是2016年美国总统大选中的希拉里和特朗普大战。2016年,美国总统大选中,支持率遥遥领先的希拉里,因为机密邮件泄露,导致特朗普逆袭。据美国国家安全局公布,有证据表明,此次邮件泄露和俄罗斯黑客有关。第二个案例是账号绕过漏洞,事关经济命脉,在移动支付逐渐成为主角的时候,移动支付的巨头“支付宝”被披露存在无需密码可任意登录支付宝修改密码,此事件被支付宝的母公司阿里集团确认,并对客户端进行了紧急升级。第三个案例事关基础建设,2015年12月23日下午,也就是圣诞节的前两天,乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然发现家中停电。这次停电不是因为电力短缺,而是遭到了黑客攻击。第四个案例是山东徐玉玉案,事关社会稳定,2016年8月21日,山东徐玉玉因被诈骗电话骗走上大学的费用9900元,伤心欲绝,郁结于心,最终导致心脏骤停,虽经医院全力抢救,但仍不幸离世。
2017年,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融、能源、医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
国家层面,近几年对网络安全越来越重视,相继出台了网络安全政策及法律法规。
2014年2月27日,中央网络安全和信息化领导小组成立并召开第一次会议,强调努力把我国建设成为网络强国;2014年11月,举办首届国家网络安全宣传周。
2015年,四部委联合发文,印发《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》的通知(公信安〔2015〕2562号);2015年6月,举办第二届国家网络安全宣传周;2015年6月 ,第十二届全国人大常委会初次审议了《网络安全法(草案)》。
2016年,发布网络安全法。2016年4月,习近平总书记在网络安全和信息化工作座谈会上,深刻阐明网络生态事关人民利益;2016年9月,举办第三届国家网络安全宣传周;2016.11.7,发布《网络安全法》,并确定于2017年6月1日开始实施。
2. 关键信息基础设施
《网络安全法》颁布实施之后,其中出现了一个大家很关注的新词:关键信息基础设施。《网络安全法》规定,重点行业在实施等级保护的基础上,要实施关键信息基础设施的安全防护,国家在这里面总共定义了12个关键行业,这些关键行业要在等保的基础上实施关键信息基础设施的安全防护。关键信息基础设施行业基线参照表见表1,广播电视也被列入关键信息基础设施行业,涉及的业务系统包括制播系统、传输系统、播出管控系统。这几个系统被定义为关键信息基础设施,不仅要做等级保护,并且在等级保护的基础之上,还要进行关键信息基础设施的安全防护。
3. 网络安全法-关键信息基础设施:运营者关键性要求
关键信息基础设施的安全防护分几个方面,第一个方面就是对网络运营者的要求。作为广电行业的从业者,每个人都是属于或者说有某部分的职能属于网络的运营者,因为广电也提供网络的服务。对于网络的运营者来说,要防病毒和网络入侵,要制定好网络事件的应急预案,还要对服务提供实名制的服务。网络监测日志方面,要提供数据分类备份,加密网络设备与产品,产品和服务需要符合相关的标准。
作为关键信息基础设施的运营者,要在原有的网络安全防护基础之上,有专门的机构和专岗,有应急的预案,并且做定期的演练,对重要数据和个人信息要求境内存储,有定期的培训考核,保证人员有较高的网络安全素养,采购产品与服务的安全审查系统与数据的容灾备份要保密,至少每年做一次安全评估,这些都是我们要做的。
表1 关键信息基础设施行业基线参照表
4. 关键信息基础设施的防护
对关键信息基础设施的防护,迪普科技认为主要分为两个方面。一个方面是我们要应对的一些检查,这个是我们工作中比较重要的一个部分,我们都受到上级部门的监管,关键信息基础设施要做现场的迎检。在做现场的迎检之外,日常主要要做好安全建设的工作,这些是帮助我们做到法律法规要求的方面,同时也是自身安全建设中需要做到的部分。关键信息基础设施防护工作的主要内容见图2。
5. 网络安全法执法案例
结合《网络安全法》实施以来,我们来分析一下已经遭到法律处罚的企业的实际案例,这些企业究竟出现了哪些问题。概括起来,就是“六大不应该”。
(1)该管的不管
图1 关键信息基础设施对运营者的关键性要求
图2 关键信息基础设施防护工作的主要内容
处罚实例:2017年8月,腾讯微信、新浪微博、百度贴吧被立案调查,初查认为其未加强对用户发布的信息的管理,网站中存在法律、行政法规禁止发布或者传输的信息(传播暴力恐怖、虚假谣言、淫秽色情),涉嫌违反《网络安全法》等法律法规。处罚实例:2017年8月,同花顺金融网、配音秀网被认定存在导向不正、低俗恶搞等有害信息,违反《网络安全法》第47条、第68条,被暂停有关系统运行,有关人员面临严肃追责。
(2)该干的不干
处罚实例:2017年7月,汕头某公司被认定未按规定履行网络安全等级测评义务,未及时履行网络安全义务,违反《信息安全等级保护管理办法》第14条第1款和《网络安全法》第21条第5项,被警告处罚并责令改正。
处罚实例:2017年7月,四川一网站被认定未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务,违反《网络安全法》第21条、第59条,直接负责的主管人员被罚款5000元,机构被罚款1万元。
(3)该留的不留
处罚实例:2017年7月,重庆某公司被认定在提供互联网数据中心服务时,未依法留存用户登录相关网络日志,违反《网络安全法》第21条、第59条,被警告处罚并责令限期整改。
(4)该禁的不禁
处罚实例:2017年8月,宿迁市某公司提供互联网接入服务的服务器被认定存在涉及法律、行政法规禁止传输的信息(反动信息),违反《网络安全法》第47条、第68条,被给予警告处罚并被要求立即整改。
处罚实例:2017年8月,淘宝网部分店铺被认定存在售卖破坏计算机信息系统工具、售卖违禁管制物品、贩卖非法VPN工具、贩卖网络账号等突出问题,违反《网络安全法》第47条、第68条,被给予警告并责令改正。下架违法违规商品,对违法违规店铺进行严肃处理。
(5)该改的不改
处罚实例:2017年7月,山西忻州市某省直事业单位网站被认定在2017年6月至7月间存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报,违反《网络安全法》第21条、第59条,被警告处罚并责令改正。
(6)该审的不审
处罚实例:2017年8月,BOSS直聘被认定在用户提供信息发布服务过程中,为未提供真实身份信息的用户提供信息发布服务,未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散,违反《网络安全法》第24条、61条、47条、68条,约谈法人代表,被责令整改。
处罚实例:2017年8月,蘑菇街互动网、虾米音乐网被认定存在违法违规账号注册等问题,违反《互联网用户账号名称管理规定》第4条至第8条和《网络安全法》第24条、第61条,被责令暂停新用户注册7天。
从以上案例可以看到,《网络安全法》现在已纳入到法律的范围之内,对于网络安全的处罚已经开始,并且以后只会更加严格。我们要做的就是按照这个标准去做,而不是去违反它。
6.《网络安全法》与网络安全等级保护制度
以上已提及《网络安全法》与网络等级保护制度,网络安全等级现在是等保1.0到2.0的过渡,1.0到2.0还是有很多的不同,《网络安全法》开始颁布和实施时,对关键信息基础设施防护方面,到底什么是关键信息,关键信息基础设施怎么去做防护,最开始是没有规定的。从表1关键信息基础设施行业基线参照表可以看到,现在已经明确到关键信息基础设施的行业、行业子类、关键设施类别、关键业务清单和关键设施(关键系统)。关键信息基础设施在网络安全等级保护制度的基础上,要实施重点防护,要落实等级保护,原则上是不低于第三级,就是最低要过三级等保,否则安全防护是不合理的。等保2.0跟等保1.0最主要的差别,是在云计算、移动互联、物联网的扩展要求和工业方面的公共的扩展要求,从定义方面更加扩大了《网络安全法》的范畴。
等保的合规要求是:二级等保通过总分要求≥60分,无高危安全漏洞;三级等保通过总分要求≥75分,无高危安全漏洞。
7. 迪普科技慧眼安全检测平台
慧眼安全检测平台整体架构见图4。
首先是资产盘点,能做到在网设备的精准识别,例如路由器、交换机、防火墙、业务系统的服务器,以及PC等等。对于迪普科技来说,我们还能识别物联感知的设备。我们做的一个比较突出的方面,是在视频监控这方面能识别出摄像头,包括摄像头关联的厂家、型号、软件版本、链路延时等。
图3 网络安全等级保护制度
图4 慧眼安全检测平台整体架构
第二个是安全检测,做到检测模块协同作战。
第三个是漏洞检测,做到人工经验综合验证,除通用漏洞扫描设备都有的系统安全检测模块和弱口令检测模块外,我们还具有基于迪普科技在安全服务方面经验和手段的高危漏洞检测模块和行业专项检测模块。漏洞检测其实是属于绑定在一起的一个功能,我们在系统安全和外部安全检测之后,会检测出很多漏洞,迪普科技可提供很完善的漏洞库规则,例如系统安全检测有38000多条特征库,有60多类外部安全检测模块,检测出漏洞之后,送漏洞验证模块,并给出解决方案。例如一个微软的漏洞,我们会给出微软的官方解决方案,下面还有一个迪普科技的解决方案,因为微软给出的打补丁解决方案,可能很多人说,我业务系统打不了补丁,一打这个补丁业务就要挂。迪普科技可以从厂商的层面推荐用什么样的设备,添加什么样的策略能阻止漏洞。
最后一个是专家服务,可以提供定制化的安全体验。图5是慧眼安全检测平台检测流程。首先是资产盘点,因为做安全更关注的是我的资产,比如说服务器里面某几台服务器是我的关键业务,或者是生产网里面非常重要的业务,这些业务是我的资产,这些资产的安全我很重视。然后进行安全检测,安全检测后再做漏洞的验证和漏洞的校验,发现潜在的威胁。最后是输出结果报表。例如做合规的自查,除检测产品之外,我们更关心的是如何过等保。等保要求很多很杂,跟很多产品有一个映射的关系。例如,某一些要求,用防火墙这个产品就可以满足,你部署防火墙,开启功能之后,等保测评会认为,你有这个功能的防范手段,分就拿到了。
图6是等保二级合规设计与对应产品举例,等保二级合规下产品的映射关系包括:下一代防火墙,入侵检测和防御系统,上网行为管理系统和主机防病毒。
图7是等保二级合规下迪普科技产品解决方案。
由图7可见,等保二级合规下,技术设备方面,迪普科技FW下一代防火墙,最高能得到20.05;迪普科技IPS入侵检测与防御系统最高能得14.46分;安全管理方面,迪普科技一站等保建设咨询服务(含高危安全漏洞检测)可以得到57.87分。
7. 传统设备部署方式的局限性
传统设备部署方式的局限性表现为:
(1)运维复杂,用户工作量大;
(2)问题故障难定位;
(3)网络节点多,可靠性差;
(4)性能瓶颈,可扩展性差;
(5)主备部署,资源浪费。
典型的简单互联网出口拓扑,包括与互联网连接的路由器,负载均衡设备,防火墙设备,入侵防御设备及核心交换机,还有公安部82号令要求的上网行为管理设备,运维复杂,用户工作量大,故障难定位。
针对传统设备部署方式的局限性,迪普科技的解决方案是采用一台DXP系列融合安全网关设备,融合安全网关设备中集成了应用交付业务模块、防火墙业务模块、入侵防御业务模块、行为管理及流控业务模块,其优点是整机对外是一个IP、一个界面管理;多种检测工具+专业服务;一个节点,核心部件冗余设计;功能、性能灵活扩展;双活部署。
8. 结束语
图5 慧眼安全检测平台检测流程
迪普科技的愿景是让网络变得更加简单、智能、安全。迪普科技专注网络、安全及应用交付领域,持续创新,为客户提供领先的产品与解决方案,创造更大的价值。迪普科技已经得到了大批用户的认可,例如迪普科技在三大电信运营商,联通、移动、电信中都有很多设备部署。
(本文根据作者在第七届广播电视传媒产业论坛暨第五届中国广播电视紫金论坛上的发言整理。)
图6 等保二级合规设计与对应产品举例
图7 等保二级合规下迪普产品解决方案