5月1日,《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关基保护要求》)正式实施,网络安全检测评估作为关键信息基础设施安全保护工作的六个主要内容及活动之一,成为落实保护关键信息基础设施安全的重要要求。同时,在安全防护内容中,针对安全建设管理,明确提出“应在关键信息基础设施建设、改造、升级等环节,实现网络安全技术措施与关键信息基础设施主体工程同步规划、同步建设、同步使用,并采取测试、评审、攻防演练等多种形式验证。必要时,可建设关键业务的仿真验证环境予以验证。”
由此可见,在网络和数据安全由“形式合规”向“实质合规”加强的背景下,安全测试评估、风险验证等工作正以国家标准步入关键信息基础设施安全建设的舞台中央,开启跃迁式、规模化发展。
与此同时,根据标准要求,“数据安全防护、风险评估、应急演练、攻防演练、教育培训”等内容也被重点提及,意味着在未来的关基保护检查工作中,运营者需要重点关注相关能力建设,弥补相关短板,保护关键信息基础设施业务连续运行。
安全测试评估是关基安全保护工作的关键环节
作为直接关系国家安全、国计民生和公共利益的重要基础设施,关键信息基础设施安全防护成为网络安全工作的重中之重。《关基保护要求》是在国家网络安全等级保护制度基础上,对《网络安全法》《关键信息基础设施安全保护条例》关于保护关键信息基础设施运行安全要求的严格落实,提出了“以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防”的关键信息基础设施安全保护3项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出111条安全要求,为运营者开展关键信息基础设施保护工作指明任务重点。
检测评估作为关键信息基础设施安全标准体系中的重要组成部分,与其他5方面内容息息相关、相互关联——通过持续的安全测试评估,可以有效识别关基安全风险,强化安全防护,同时对运营和安全管理的各个阶段可能存在的网络安全风险进行常态化监测和预警,并通过实战化攻防演练,提升主动防御能力和安全事件闭环处置能力。由此可见,测试评估的作用及影响贯穿于关键信息基础设施安全保护的全生命周期,是关基安全保护工作的关键环节。
“数字风洞”产品体系支撑国家级关基安全测试评估演练
值得关注的是,刚刚结束不久的网络安全“奥运会”-第三届“网鼎杯”,就是一场覆盖17大关键行业、数千家重要行业单位、数万人参加的超大规模关基安全测试评估实践,并且生动诠释了“以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防”的关基安全保护基本原则。
以关键业务为核心的整体防控:结合关键业务实践和安全时事热点事件,基于永信至诚“数字风洞”产品体系和平行仿真技术,构建覆盖12400+节点、3000+场景的高仿真业务环境,以保护关键业务为目标开展全场景安全测试评估,体系化检测各个关键业务运行所涉及的不同业务特点和技术方向的信息系统、业务网络场景,验证各类信息、资产的脆弱性与威胁,提升整体防控能力。
以风险管理为导向的动态防护:融入数据安全、IPv6、5G、IoT、人工智能安全、工业互联网等在内的六大数字化安全场景,结合共同防御、实景防御、人工智能漏洞挖掘、靶场挑战、攻防实战等动态化方式,检验数万名网络安全守护者的应急处置和风险防范能力。
以信息共享为基础的协同联防:以“基于实践、有序协同、高效处置、发挥合力”为设计思路设置共同防御环节,为数字化转型中社会面安全风险共同应对及消除创造接近实战的测试评估环境,提高全社会关键单位整体安全风险防范和应对能力,构建各单位和监管机关信息共享、协同联动的共同防护机制,为实现关基安全保护跨部门、跨行业、跨地域的整体防控和联防联控探索了新路径。
作为此次大规模关基安全测试评估演练的关键支撑单位,永信至诚依托过去多年来在网络靶场领域的深厚技术积累及上千家政企用户网络安全建设的丰富实战经验,首创“数字风洞”产品体系,开启并领跑安全测试评估专业赛道,以“3×3×3×(产品×服务)安全感公式”为方法论,解决城市、行业和单位等不同用户群体,关于人、系统和数据在规划、运营和处置周期中的持续测试验证与优化提升等问题,帮助用户通过反复测试评估最终无限接近安全,实现安全“证无”。
目前“数字风洞”产品体系已经在军工、公安、金融、电信、电力、医疗、交通等各关基行业,以及数据安全、工业互联网安全、人工智能安全、信创安全等重要领域实现产品和场景落地。
永信至诚响应落实关基安全测试评估工作要求
《关基保护要求》的发布,为关基运营者及相关人员提供了工作指引和依据,并与《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》《密码法》等共同构成国家关基安全法规体系。标志着我国网络安全产业进入了以关键信息基础设施安全保护为重点的新时代,同时也意味着,关基运营者在网络和数据安全建设工作中将面临更加严格的监管标准和要求。
安全测试评估作为关基保护的重要基础,按照标准要求将贯穿在安全管理的各个阶段和全生命周期。在统筹发展与安全,全面深化实质合规的背景下,迎来体系化发展新阶段。
可以预见的是,作为数字化安全测试评估的基础设施,永信至诚“数字风洞”产品体系将在关基保护中发挥关键支撑,跃迁式创新推动安全测试评估专业赛道发展。
同时,永信至诚作为网络靶场和人才建设领军者,也将基于春秋云境网络靶场、春秋云阵蜜罐系统、春秋云势态势感知、春秋云实人才培养、春秋云服安服管控平台、春秋云服系列服务、春秋云测安全众测、春秋云盾安全工具等系列产品及“产品乘服务”创新理念,为《关基保护要求》提到的“数据安全防护、风险评估、应急演练、攻防演练、教育培训”等要求提供专业支撑,开启规模化发展新征程,切实强化关键信息基础设施安全保护能力,全面助力网络强国和数字中国建设。
