一、背景情况
习近平主席强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。
近年来,随着国家对网络空间安全越来越重视,有关网络空间安全相关的政策、法规相继颁布。
2016年12月,国家互联网信息办公室发布《国家网络空间安全战略》,明确了我国网络空间治理的五大目标,提出四项原则并确定九个战略任务。
2017年3月,外交部和国家互联网信息办公室发布《网络空间国际合作战略》,以构建网络空间命运共同体为目标,以和平发展、合作共赢为主题,提出网络空间国际合作的四项原则、六个战略目标和九个行动计划。
2017年6月1日,《中华人民共和国网络安全法》正式实施。
2017年6月27日,国家网信办发布了关于印发《国家网络安全事件应急预案》的通知。预案将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。通知明确,网络安全事件应急处置工作实行责任追究制。
习近平主席指出,要加强党中央对网信工作的集中统一领导,确保网信事业始终沿着正确方向前进。各地区各部门要高度重视网信工作,将其纳入重点工作计划和重要议事日程,及时解决新情况新问题。
二、2023网络安全防护总体要求
整体规划各单位网络安全防护能力,建设网络安全监测预警中心,从网络、资产、应用和数据四个方面,打造各省/市网络安全态势协同响应能力,常态化监测省/市网络安全态势;定期开展安全攻防演练,督促各省/市应急系统网络安全防护能力协同提升,推动网络安全防护模式由“事后追溯”向“事前感知”转变。建设智慧运维系统,接入省/市本级各类装备设施及业务系统运行数据,分析异常运行状态,提升系统运行效能。
三、专网网络安全防护架构
(一)3层基础防护+1个必要辅助手段
专网不直接连接互联网/公网,面临的攻击相对要少很多。专网防护的主要任务是把网络栅格化,做好边界防护、网络隔离和内部保护,再通过建设网络靶场的辅助手段,培训相关人才,增强全员网络防护意识,锻炼自身防卫能力。
1、边界防护产品:信创多合一防护墙
1)融讯光通RT-F5100防火墙系列(FW、IPS、WAF、LB、AV、DFW、DAD、IFW、IAD等)以保障用户应用安全为目标,立足于高性能的矢量操作系统和一体化引擎,通过 L2-L7 层全面威胁防御及强大应用安全管控技术,为用户提供高性能的边界防护和内网防护(黑/白名单)。
RT-F5100防火墙支持虚拟化、云化部署;支持通用X86平台架构;支持“信创”飞腾CPU平台;支持“信创”鲲鹏CPU平台;支持工业防火墙IFW和工业安全审计IAD、FW、IPS、WAF、数据库防火墙;支持各类大型行业客户安全微定制。可部署于政府、金融、企业、教育等各个行业,广泛适用于互联网出口、网络与服务器安全隔离、VPN 接入等多种网络应用场景。
2)复杂网络情况下拟态防火墙的引入
融讯光通拟态防火墙是网络防护第一道关口,可解决防火墙在连接公网业务时,无法应对规模威胁IP攻击问题。通过构建动态变化的网络迷宫来增加攻击成本和代价,使攻击者无法定位和预测目标,从而降低威胁发生的概率,大幅提升了网络自身的对抗能力和防御能力,扭转了传统网络防御天生被动的态势,实现了从被动到主动、从静态到动态的突破。
动态情报更新,以及Bypass功能,让融讯光通拟态防火墙在防火墙之外也能防护网络安全。通过多源威胁情报进行实时信誉鉴定,按照IP信誉进行实时阻断,可针对威胁IP进行一键溯源;通过某一个应用系统的威胁攻击行为,直接在整个数据中心上进行全面防御做到实时阻断;做到分钟级封堵攻击者的IP资源,可有效打击黑客攻击及演练攻击的团伙行为。
2、网络隔离产品:光闸/网闸
网闸采用“2+1”的系统架构,即两个主机(内网主机、外网主机)和一个隔离交换模块组成。基于自研多核多线程的SUOS安全操作系统,结合高速的隔离交换芯片实现网络隔离,以类似船闸摆渡的工作方式实现协议转换和数据交互。
网闸产品功能不断创新,由最初的文件交换功能,逐步增加了数据库同步、音视频交换、组播代理等功能,为用户解决了由于网间互联带来的安全问题。
3、内网防护产品:网络空间安全风险管控系统(监测预警中心)+终端准入系统
1)融讯光通网络空间安全风险管控系统基于网络攻防融合云计算、大数据、人工智能等技术,将网络安全被动防御模式转变为主动防御模式,实现信息化资产的发现、监控,整体网络安全态势的实时呈现和动态预警。
该系统采用软硬件一体化产品形态,自动化运行方式,完成快速部署,操作简易,维护便捷,双引擎漏扫实现事前主动发现安全风险、主动验证风险可利用性、主动修复风险等,从而构建起网络安全主动防御风险体系。
网络空间安全风险管控系统旁路部署于专用网络内部的核心交换机上。
2)零信任泛终端安全网关(终端准入系统)
融讯光通零信任泛终端安全网关,通过以边缘交换机或路由器覆盖范围为网格元的“最小网格化主动防御”体系,解决了网络边界模糊化后的海量物联网终端引入的“终端是什么?”、“终端合法吗?”、“终端安全吗?”、“终端有防护吗?”这四个物联网安全的核心问题,实现了海量物联网终端的精准资产管理、安全准入管控和东西向安全,从而有效防止了“通过终端发起的网络攻击行为或安全事件”,符合等保2.0在物联网领域扩展的规范要求,为物联网建设保驾护航。
零信任泛终端安全网关能做到以资产流量深度DPI解析的安全;以资产流量AI自学习的零信任;以资产为中心的精准准入管控,紧贴业务逻辑,基于流量的多种技术完美融合,共同构建全新立体式最小网格化主动安全防御。
它支持多种组网方式:旁路、镜像;直连、在线;混合模式。
4、必要辅助手段:网络靶场实训演练系统
1)网络安全的特点是环境搭建复杂,需要花费巨大的人力、物力。我们日常的应用系统、办公系统和生产系统不能直接用来测试或网络实战。我们可以通过建设大规模深层次的网络虚实仿真靶场进行攻防研究、网络攻防测试及业务网络模拟,复现和应急演练、网络作战。虚实仿真靶场旨在为应急演练和安全测评提供快速搭建实验场景的能力,一键部署的能力,真实场景模拟复现的能力和虚实结合的能力。
2)融讯光通网路靶场搭建依托底层的技术优势,能够在虚拟网络中接入真实设备,实现共同组网,实现虚实节点替换,搭建更为复杂的网络环境,组成大规模的攻防研究场景;通过可视化拖拽完成拓扑搭建,后台依托底层先进的SDN技术,完成网络仿真拓扑一键部署;与物联网,人工智能,工控安全设备等进行联动,建设大型科研场景。
3)典型示例:
四、专网网络安全防护标准
(一)大力推进等保通建设
信息安全等级保护(标准)与专网网络基础防护(架构)融合共生,信创多合一防火墙和终端准入系统,本就是信息安全等级保护的基本内容之一。不论在等保建设中增加主动防御手段,还是在专网网络基础防护中量化建设标准,都是为了更好的保障专网安全。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等内容。
1、信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。公安部从2019年12月1日强制实施等保2.0,要求党政军,各企事业单位的信息系统满足等保2.0的合规要求,这是强制性要求。
2、通常情况过等保,满足等保合规,需要采购很多网络安全硬件设备,建设成本很高。等保通就是买一台服务器和一个硬件多合一防火墙,服务器里面全用虚拟化配置。这样既能通过等保测评,便于后台管理,满足等保合规要求,还能节省经费、增强时效,可谓一举多得。
3、融讯光通以“主动防御、简易部署、安全合规、动态扩充”为核心,打造专用于解决等保2.0/3.0建设难点与痛点的快速解决方案,帮助用户实现统一的安全运营及管理,提高安全运维效率。同时,通过等保一体机还可以提供的定制化安全增值服务,实现全网动态监测、精确感知、主动防护。
4、融讯光通等保二级、三级套餐防护,综合了审计类、防护类和主机安全类三大块:
5、融讯光通等保二级采用一台服务器,等保三级根据冗余需求,采用两台服务器配置。服务器内置多种产品虚拟机。
6、典型部署。
五、总结
2016年4月,习近平总书记在网络安全和信息化工作座谈会上指出“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”。
据国家信息安全漏洞共享平台(CNVD)统计,2020年共收录安全漏洞20704个,继续呈上升趋势,同比增长27.9%。其中,0day漏洞数量为8902个(占 43.0%),同比增长56.0%。基于国家信息安全漏洞共享平台(CNVD)的统计数据,可以预测2022年企事业单位内网的安全漏洞数量还将不断增加,甚至变得越来越复杂。由于内网Web应用的保护严重不足,攻击者利用安全漏洞的攻击行为将变本加厉,尤其借助自动化的工具,在短时间内以更高效、隐蔽的方式对Web进行漏洞扫描和探测,使得企事业单位面临更为严重的安全风险和损失。
随着我国云计算、大数据、物联网、人工智能等技术的飞速发展,外部网络威胁持续进化,变得更加棘手、难以应对。面对多变的国际形势,作为国家信息安全的守护者,我们必须打铁自身硬,联合研发”御敌于外,歼敌域内“的技术并广泛推广应用;共同锤炼“来者能战,战则必胜”的强大能力并全力付诸实施!
