来源:光明网
2024年是网络强国战略提出10周年,也是完成“十四五”规划目标任务的关键年。为积极发挥行业示范引领作用,助力各行业用户提升安全防护策略,光明网网络安全频道携手中国信息通信研究院云计算与大数据研究所、《信息安全研究》杂志社,在浙江大学网络空间安全学院、《中国金融电脑》杂志社、青藤云安全等单位支持下,联合推出《安全洞察·大咖说》系列访谈活动,国家体育总局体彩中心技术管理处副处长张宁接受记者专访。
记者:2024 年是实现“十四五”规划目标任务的关键一年。国家体育总局体彩中心在围绕推进数字化转型持续深化,构筑安全防护屏障上做了哪些相关工作并取得重要成果?
张宁: “十四五”时期,体育彩票提出了“建设负责任、可信赖、高质量发展的国家公益彩票”战略转型发展的目标,我们这个行业也高度依赖信息技术,依托“技术创新促进高质量发展”总体思路,超前部署完成了“第三代体育彩票全业务统一运营支撑平台”项目的建设工作,实现了核心业务全面上云。
体育彩票行业将安全视作“生命线”,在开展第三代核心系统建设的同时,也启动了安全保障能力建设工作,围绕安全管理、安全运营、安全技术这三个方面,进行了系统的深化完善。
在安全管理方面,我们构建以风险为指引涵盖安全治理、安全组织、监督考核的安全管理框架。促进安全管理的组织结构更加清晰,流程更加顺畅,管理效能和运营效率都得到明显提升。
在安全运营方面,我们建立了覆盖技术研发、系统运维、业务运营等领域的网络安全运营体系。以“需求导向和问题导向”制定安全与业务深度融合的核心流程,实现了安全运营闭环管理。
在安全技术方面,我们以夯实网络安全技术防护基础,强化主动防御、自动化运营分析能力为总体建设思路。立足于体育彩票技术架构特性构建网络安全“三道防线”,规划建设“三库、四中心、两平台”,实现资产统一管理、智能威胁分析、风险自动化处置、安全工作量化展示,实战化安全对抗能力和常态化安全运营效率得到了全面提升。
记者:国家体育总局体彩中心在围绕用户安全使用系统服务和业务数据上,采取了哪些技术举措?
张宁:体彩安全技术能力建设的核心思路是构建“规范化、平台化、服务化”的安全能力,面向应用和数据保护提供统一的安全支撑。
我们围绕数据安全方面,建设密码技术服务平台,打造了密码合规应用的强力“心脏”。实现了密码技术的合规应用、集中管理,提供基于云计算技术的弹性伸缩能力,接口封装大幅降低了我们的开发集成工作量,应用授权也降低了敏感数据流动带来的泄露风险,最大程度地保护了数据安全。
面对接入环境比较复杂的特性,建设统一接入服务,打造了应用系统的专属“门禁”。譬如我们针对专用终端打造了设备接入的服务层,针对用户访问管理应用打造了统一管理门户,针对第三方服务接入打造了开放平台,这些措施大幅收缩系统的暴露面,实现了集身份认证、授权控制、传输加密、完整性校验、安全防护检测为一体的统一接入控制,保护应用和数据的安全。
面对用户访问量大的特性,我们建立可信身份认证能力,打造去伪存真的“火眼金睛”。打造一套可信身份认证的识别系统,通过组合注册用户的实名认证、基于密码技术的双因素验证、移动端身份绑定关联登录、访问终端环境指纹检测等技术措施,在不需要记忆密码的情况下,实现用户身份真实性的有效鉴别。
记者:云原生安全作为网络安全领域全新技术范畴,成为各行业用户关注的新焦点。国家体育总局体彩中心云原生安全方面有哪些实践经验?
张宁:体育彩票采用的是混合云总体技术架构,即传统数据中心安全架构加云计算安全能力,这样做的好处是既能保证已有边界防护能力的持续有效,又能提升内网东西向防护能力和主机安全防护能力。体彩在云原生技术实践方面有这样的几点体会。
一是助力资产配置管理和细粒度访问控制。云计算平台为我们提供了资源统一管理能力和软件定义安全策略的能力,让我们为实施这种安全资产的管理和配置奠定了基础;其访问控制策略的统一管理和细粒度的控制能力,为基于资产属性和访问角色实施隔离访问控制都提供了非常大的便利;而云计算技术的可视化展示能力,也大幅提高了我们对安全事件的分析和排查效率。
二是通过云原生技术实现了安全资源开箱即用和自动化集成。云计算给我们提供了资源弹性的供给,结合敏捷开发模式实现服务高效集成交付。同时,我们通过云原生的安全标准化镜像配置、安全代理服务预装等方式随资源的需要进行部署,并自动由云平台进行纳管,大大缩短了安全产品集成时间,提升了安全基线管理效率。
三是优化了安全应急处置分析的流程。我们利用云资源的虚拟化特性,可以将被攻陷的资源灵活迁移到隔离区域,第一时间阻断攻击影响,同时用干净的镜像环境去快速创建资源恢复业务,大幅提高攻击溯源分析和业务恢复的效率。
记者:面对日益复杂的网络环境,能否围绕软件供应链安全、未知威胁、勒索及护航新型基础设施等方面,与同业机构有哪些经验分享?
张宁:体育彩票应该说一直通过“引进、消化、吸收、再创新”的方式,学习借鉴先进行业实践经验去完善我们自有的网络安全防护体系。具体到当前比较突出的网络安全威胁,也有几点体会。
一是充分利用公有云去防护来自互联网侧的安全风险。我们将面向公众访问的信息系统统一收敛在公有云上,充分发挥公有云的弹性伸缩、按量计费、敏捷迭代、威胁情报资源丰富、自动化处置脚本开箱即用的特性,与数据中心内构建的安全防护措施形成有效互补,形成主动防御的“两道防线”,防范未知威胁,有效收敛攻击面,清洗攻击流量,减小数据中心安全防线的抵御负担。
二是坚持三个“做好”,防范来自供应链的安全风险。即做好软件组件和版本成分分析工作,关注漏洞预警并及时修复。做好攻击面收缩,合理划分安全域和网络结构,有效隔离攻击的影响,避免直接开放互联网访问。做好安全开发管理,建立贯穿系统全生命周期的安全开发体系,并且通过流程和工具实施控制,消除开发过程引入的安全缺陷。
三是坚持底线思维,完善数据备份机制。“勒索”病毒防护必须做好最后一道防线——数据的备份恢复。我们使用不可更改的存储设备保存备份,设置自动备份计划,建设多副本的备份存储能力,严格控制对备份操作和备份存储服务的访问,避免备份在本地落地,并定期进行备份恢复验证。
(监制:张宁 统筹:李政葳 拍摄:陆野
制作:刘昊、曾震宇 撰文:辛华)