全球网络安全形势日益严峻,针对政务网络的攻击持续发生,政务网络安全防御体系面临巨大挑战。
面对网络安全建设和运营的诸多短板,以及网络安全专业人员匮乏的两难局面,选择专业网络安全外包服务将会成为政府部门的不二选择,可以从人力、能力、资源等各方面快速补充短板,提升网络安全保障水平。
政务网络安全风险隐患凸显
1、网络安全威胁形势严峻,全球安全事件频发
近年来,政务网络和政务信息系统作为关键信息基础设施的重要部分,成为网络攻击的重点目标,针对政务网络的攻击事件层出不穷。
2015年,美国联邦人事管理局(OPM)遭到两次黑客入侵攻击,造成超过2210万联邦雇员个人信息遭到泄露。2019年初,新闻媒体就连续报道了几次重大政务网络数据被窃的消息,包括澳大利亚维多利亚州政府3万名雇员个人信息被外泄,美国俄克拉荷马州政府服务器意外暴露3TB敏感数据。
美国白宫发布的2018财年FISMA 报告指出,即使美国政府在网络安全领域开展了许多工作,许多部门仍会遭受大量网络攻击,在2018财年,国土安全部遭受网络攻击1127次,司法部遭受网络攻击1188次,国务院遭受网络攻击4560次,而健康和人类服务部遭受网络攻击达9678次(下图)。
近年来,我国网络安全监管机构组织开展了网络安全实战化攻防演习,检验我国政府部门所建立的网络安全体系能否达到相应的防护能力。演习结果表明,我国政府政务网络中也存在不少问题,不能有效防范高级网络安全威胁。
2、各国政府进一步提高网络安全合规要求
为了指导和督促政务网络安全能力建设,各国加快出台相关网络安全政策措施。美国在能源、政务等领域出台了多项网络安全法案;2019年,美国国会发布《州网络弹性法案》,支持各州扩大网络安全产品和服务采购,并为各州解决网络安全问题提供资金支持。澳大利亚“数据泄露事件通报(NDB)”规定了各职能实体在应对数据泄露事件方面的具体要求。加拿大更新《保护个人信息和电子文件法案》等。
我国也高度重视网络安全保护工作,以“建设网络强国”为战略目标,提出一系列重大举措,完成了一系列战略部署。《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》、GBT 22239-2019《信息安全技术网络安全等级保护基本要求》等法规标准陆续发布,提高了政务网络安全的合规要求。
3、政府部门信息技术升级对网络安全工作提出更高要求
近些年来,云计算、大数据、移动互联网等在电子政务网络中深入应用,人工智能、5G、物联网正被积极引入电子政务网络;在技术升级和系统迁移的过程中,由于各类信息基础设施的实际情况千差万别,也无法无法一步到位实现转型。这些信息化新技术、新应用将可能导致大规模数据泄露、高危漏洞、智能犯罪等网络安全新问题,在这个转型的过程中,就需要安全服务来保障业务的正常运行。
电子政务网络安全正在出现三大变化:从传统PC、服务器、网络转变为云计算、大数据、泛终端、新边界;防护思想从“风险发现、查缺补漏”转变为“关口前移、系统规划”;安全防护技术从传统的围墙式防护转变为利用大数据等技术对安全威胁进行检测与响应。
专业安全服务是应对安全挑战的必然选择
为了有效应对当前日益严峻的网络安全威胁形势,落实各类法律法规和政策标准的要求,政府部门需要从多方面开展工作,提升政务网络安全防护能力,而采购专业的网络安全服务是其应对安全挑战的必然选择。
1、需要通过安全服务来增强网络安全防御能力
网络安全是动态而不是静态的,它是人与人在网络上对抗的体现,因此,要保障网络安全,仅仅部署一些网络安全设备是不够的,必须要通过安全服务工作,及时响应网络安全情况的变化,实现网络安全设备的能力,通过多种手段来处置网络安全事件。
2、需要采购服务的形式来提升安全运营人员能力
网络攻防是一个不对称的战争,防守方需要全面设防,但攻击方只要突破一点就可能实现目的。由于政务网络存有大量敏感数据并对国家治理有重要影响,网络攻击方往往会组织高水平的的队伍实施攻击。识别、处置这样的网络攻击,需要高水平的网络安全专家协同开展工作。但是,政府部门不可能投入大量资源来维护这样的专家队伍,因此,政府部门自身的网络安全人员是难以胜任其网络安全服务工作的。发生在政务网络的多个APT攻击案例证实了这一点。
思科的2018年安全性能基准研究显示,46%的安全专业人士使用的产品来自11家或更多的供应商,这导致理解这些告警的挑战越来越大。当安全团队无法理解设备的告警时,威胁就会溜走。据研究,平均44%的警报没有被调查,而在那些经调查认为的警报中,近一半(49%)问题没有被纠正。
针对政府部门网络安全专业人才匮乏的情况,采购网络安全服务成为其最有效的解决方案。
3、需要通过采购服务的形式来降低成本、提升效能
网络安全的预警、高级威胁的检测与溯源、重要时期的网络安全保障等网络安全服务工作,不仅需要高水平的网络安全专家队伍,还需要先进的网络安全专业工具、网络安全大数据等资源。对于这样一个庞大的工作体系,从经济的角度分析,采购服务可以有效降低成本、提升效能。而且,通过政府部门的采购服务,可以支持网络安全服务产业的专业化发展,实现良性循环。
总之,政府部门通过采购专业的安全服务,可以实现以下几方面的收益:
(1)快速补充专业的网络安全技术人员:政府网络信息化和网络安全人力资源缺乏,可通过安全服务进行有效补充;
(2)快速提升专业的网络安全人员能力:通过外包专业的网络安全攻防人员、管理咨询人员等,可提升网络安全专业技能;
(3)合理控制成本:针对一些固定资产的采购,可以通过服务的方式使固定成本转变为可变成本;
(4)加速资源的调配和协同:通过服务商的介入可以加速对各类网络安全资源的调配,快速协同不同能力、技术领域的各类人才,提升网络安全事件的处置和响应能力。
中美安全服务领域存在较大差距
与美国相比,中国网络安全服务市场还处于萌芽发展阶段,网络安全投资构成以安全硬件产品为主,硬件投资占比超过61.3%。在采购网络安全服务时,我们政企机构仍采取单点、分散的保护模式,导致责任边界不清晰,服务质量难以保证,影响了网络安全整体保障能力的提升。
1、网络安全服务主要类型
国际上,网络安全服务一般分为三类:专业安全服务(Professional Security Services,PSS)、托管安全服务(也称为可管理安全服务,Managed Security Services,MSS)以及教育培训。专业安全服务(PSS)包括咨询和集成安全服务两类,托管安全服务(MSS)可区分为基于客户设备、自带设备以及提供服务(SaaS)三类,教育培训又包括安全意识培训、技术培训和认证培训三类。
IDC将PSS和MSS进一步细分,如下图所示。
PSS和MSS的构成
我国网络安全服务的分类与国际上不同,但具体工作内容是一致的。
2、美国具有发达的网络安全服务市场
根据IDC的测算,2018年,美国网络安全服务市场规模为194亿美元,占全球安全服务市场总额的24%。到2023年,美国整体安全服务市场将达到288亿美元,CAGR为8.2%。具体情况为:
美国的PSS部分(IT咨询和系统集成)持续稳定增长,到2023年将达到110亿美元,CAGR为3.3%。其中,IT咨询在2023年将达到51亿美元,CAGR为5.2%。系统集成服务系统集成服务包括软件和硬件的部署和支持服务,业务规模将达到59亿美元,CAGR略低于1.7%。
美国的MSS部分到2023年将达到169亿美元,CAGR为12.4%。
美国的教育培训部分到2023年将达到8.9亿美元,CAGR为7.3%。
根据美国总统令《加强联邦网络和关键基础设施网络安全》(EO 13800)的规定:美国联邦政府各部门领导应在法律允许的范围内优先采购共享IT服务,包括邮件、云和网络安全服务[1]。因此,美国联邦政务高度重视政务网络的安全工作。近年来,美国联邦政府网络安全的投资无论是比例还是增速都非常明显的高于 IT 投资的平均水平。FY2015 年推动“网络安全国家行动计划”(CNAP)增加大量网络安全预算,2017财年为了支持CNAP计划在网络安全领域的预算为190亿美元,占当年IT投资总预算的 42%。
3、中国安全服务市场仍处萌芽阶段
相比之下,中国的网络安全市场起步较晚,安全硬件产品仍然是中国用户的主要需求,安全服务市场还处于萌芽发展阶段。但是,越来越多中国的传统安全厂商以及云服务提供商都开始进行安全服务方面的战略布局,希望通过服务的方式提升企业级用户整体的安全能力。
在中国网络安全服务市场中,主要的用户是银行、运营商等企业用户,但是,网络安全服务需求层次逐步从国家向省级、地市延伸,从大型企业向中小型企业延伸,从核心业务安全监控向全面业务安全保护扩展,从网络实施阶段的安全布置向网络运行过程的安全维护延伸。
但是我国企业在采购网络安全服务时,仍然长期采取单点、分散的保护模式,依赖市场上各类资质不一、能力参差不齐的安全服务商。这种模式网络安全责任边界不清晰,服务质量难以保证,监管难度大。针对单独系统采取独立的安全防护,缺乏系统、全面、专业的安全防护规划,网络安全整体保障能力亟待提升。
目前国内网络安全领域的重要企业,均在开展行业解决方案策划和推广工作,从产品导向型企业向服务导向型企业转变,以适应未来用户定制化服务和细分市场等发展趋势。未来三年,随着云计算、大数据与智慧城市的快速发展,更多的大型企业趋向于定制化安全服务,安全服务市场将持续增长,基于软件及服务的安全产品市场将是下一个爆发点。国内综合的网络安全厂商以及大型云服务商都能提供网络安全服务,典型的网络安全服务企业共有60余家。
根据赛迪咨询的测算,2018年我国网络安全市场整体规模达到495.2亿元,其中安全服务占13.8%,约为68.3亿元(约合10亿美元)。根据IDC的测算,2018年,美国网络安全服务市场规模为194亿美元,是中国的19倍。
提升政务网络安全能力的四项建议
2019年底,国务院办公厅印发《国家政务信息化项目建设管理办法》,规定“对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。”这对政务网络安全工作提出了更明确的要求。
根据这次调研的情况,笔者对我国政务网络安全工作提出如下建议:
1 尽快补充建设基本的网络安全防护措施
保障网络安全是政府各部门的法定责任。《网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《刑法》都对发生重要安全事故、泄露个人信息、拒不履行信息网络安全管理义务等行为提出了明确的处罚规定,包括罚款、管制、拘役甚至有期徒刑。
目前,政府部门的网络安全防护能力参差不齐,有些部门/单位网络安全基础防护能力尚未建立,建议按照等保或分保要求,建设或者配齐网络安全软硬件系统,包括防病毒、防火墙、入侵防范、加密、日志审计、态势感知、容灾备份等网络安全防范措施。
2 通过采购安全服务保障政务网络安全运行
当前,网络攻击技术日新月异,尤其是针对政务网络的APT组织往往有敌对国家的政府资源支持,攻击手法非常高超,一般的信息化运维团队无法识别和处置,必须要依靠专业的网络安全团队,借助先进的网络安全技术和工具,依托网络安全大数据,来进行识别、处置和溯源等工作。
当勒索病毒在网络大范围传播时,以及在网络“重保”期间,都需要大量的网络安全人员同时开展各项监测与处置工作;各政府部门不可能一直维持如此大规模的网络安全运维团队,因此,也需要采购网络安全服务,借助网络安全服务人员来协调处置工作。
3 逐年增加网络安全服务工作内容与预算
目前,我国网络安全产业规模只占全球网络安全产值的6.7%。全球网络安全服务已经占据了网络安全产业60%的市场规模,而我国网络安全服务只占网络安全产业的13.8%。我国网络安全安全服务产业的绝对值和相对比例都远远低于国际水平。
建议我国各级政府部门对标国际现有水平,加大网络安全和网络安全服务的投入,尽快提升我国政务网络的安全防护能力。
4 创新采购政务网络安全服务的运营方式
网络安全服务对人员的技术水平要求高,需要专业的网络安全工具平台和网络安全大数据资源作为支持;对于政府部门而言,网络安全只是其保障工作之一,不可能投入大量资源建设并运营规模庞大的专业团队。
因此,政府部门应该在保证政治可靠、团队可控的前提下,大胆创新,采购网络安全服务。
(本文节选自《政务网络安全服务调研报告》,私信“朋友圈转发截图”,即可索取报告全文。)
关于作者
郑新华:高级工程师、虎符智库专家、现任奇安信集团高级研究员、中国系统工程学会监事,北京信息科技大学兼职硕士生导师,拥有CISSP、CSEP等认证。曾参与策划和实施中国探月工程和我国多个重大航天工程的软件工程及信息化工作。主持或参与制定标准十余部,参与编写专著近十部。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。