作者:李凤辉,360企业安全技术专家
新型智慧城市建设,是党中央、国务院基于我国信息化和新型城镇化发展现状作出的重大决策。然而,越来越复杂的信息系统及大量云计算、物联网、大数据、人工智能等新兴技术的应用,给城市网络安全带来巨大挑战。
由于智慧城市中存在大量涉及国家安全、经济发展和社会公共利益的重要数据,一旦出现网络安全问题,就可能出现极其严重的后果。
通常我们关注城市网络安全的主要两方面风险:
一、内在风险:表现在城市内网络设施不可用、各种信息/应用系统自身存在缺陷或漏洞、有意或无意的泄漏破坏等;
二、外在风险:表现在各信息系统外部甚至是跨地域的网络攻击、APT活动、敲诈勒索病毒、僵尸木马程序、病毒蠕虫破坏、间谍软件等
目前网络安全监管在城市范围内缺少整体的安全运营中心,无法及时掌握城市网络安全现状并进行态势评估。
《中华人民共和国网络安全法》发布后,对监管机构明确了方向和措施,例如:
第五条指出“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”
第八条“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。”
第五十一条“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”
第五十二条“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”
网络安全监管机构作为城市安全的虚拟大脑,需要对城市的网络安全形势有清晰的把握。
建立基础数据平台,将城市范围内基础信息系统(国内等级保护、安全审查等措施已实行多年,城市关键信息基础设施均已逐步纳入安全监管)逐步纳入监管范围,形成城市网络资源库(包含单位信息、信息系统、域名、IP、服务类型、面向群体等基础信息数据),针对多源异构数据进行采集、汇聚、标记、关联、检索等,基于业务场景做差异化的防护,将结构化、半结构化、非结构数据进行融合治理;
充分利用互联网、安全厂商、第三方安全机构的网络安全情报能力,形成城市网络安全情报库(如黑域名、黑IP、APT组织信息、攻击手段、利用工具、漏洞信息等),提升情报信息可信性;
通过共享数据资源,打通内外业务平台,建立业务专题库(如虚拟身份、重点人员、可疑人员、涉恐涉黄、反共黑客、)
在监管侧,通过技术手段建立数据安全检测模块(如IP、域名、网址等)、流量安全检测模块(如DDoS、APT、CC、跨站、注入等)、终端安全检测模块(如僵木蠕毒、东西向南北向异常等)、分析建模模块(如建模引擎、资产探索、特征工程、模型训练、模型评估、模型投产运行等)、可视化管理模块(如视图打点、攻击画像、案件串并、身份拓线、圈子刻画、跨行业应用等)等;
加强威胁事件定位及数据留存,让网络监管在行使职权的时候有法可依,讲究证据;监管方协助发掘事件原因,规范事件通告预警处理流程,将监管执法的业务属性,通过智能化、自动化技术手段融合进应用层系统供监管机构使用;
利用情报信息主导监管方实现精确指挥调度、快速行动打击、有效管控防范等职能的开展与落地。
作为城市网络空间安全领域的监管机构,有责任掌握网络安全趋势、缩小风险暴露面积、降低影响程度,就需要进行有效的分析、预测、研判、处置、追溯,能全面分析网络安全态势,评估社会影响,监督和指导全社会的网络空间安全防护建设。利用大数据技术加强协同、分析、处理能力。促使监管业务的落实从点到面、从外到内、从南北向到东西向立体防御、从网络安全向数据驱动的安全进行转变,依托大数据的自主建模、AI分析、海量数据处理、威胁追溯及攻击画像等技术,做好基础数据治理工作,提升监管机构在人、地、物、事、组织的多维综合分析能力。同时,在与第三方安全机构、安全公司的合作中,不仅是安全产品、安全技术的引入,还需要考虑建立标准的接口、统一的平台、上层的业务协同。
网络安全无止境,无论攻防双方都在博弈、较量中提升各自的能力,唯有魔高一尺道高一丈,方能立于安(bu)全(bai)之地。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
