12月16日，“2021网络安全创新发展高峰论坛”成功举办，本次论坛由国家信息中心《信息安全研究》杂志社主办，公安部第一研究所、中国网络安全产业联盟、新华网客户端等单位共同协办。青藤COO程度受邀出席，并在会上分享了《针对关键信息基础设施的加强型保护措施》内容，为确保关系国计民生的关键信息基础设施安全提出了应对之策。

^{青藤COO程度发表演讲}

关键信息基础设施加强型保护的五个方面

NIST发布的《改善关键基础设施网络安全框架》（CSF）提出，改善关键基础设施主要需要五项核心功能，包括：识别（Identify）、保护（Protect）、检测（Detect）、响应（Respond）、恢复（Recover）。组织可利用这些功能管理网络安全风险，包括组织信息、启动风险管理决策、解决威胁问题以及根据之前活动经验进行优化。组织可以根据现有方法对功能进行优化调整，用于事件管理，展示网络安全投资的效果，例如，提高组织对安全事件的响应和业务恢复效率，降低对服务交付的影响。

^{图1：网络安全框架的五项功能}

识别能力的加强

识别能力帮助组织了解系统、人员、资产、数据的网络安全相关风险。只有在了解组织业务、支持关键业务的资源以及相关的网络安全风险时，才能使组织根据其风险管理策略和业务需求将资源集中投入到优先级高的工作中。关键信息基础设施安全防御，需要在持续监测的基础上，提升对资产、风险、业务的的识别能力。

^{图2：资产、风险、业务的识别能力}

其中对于资产识别能力，要加强到细粒度资产信息。资产是安全防护的前提，只有知道自己要保护什么，才有可能把安全做好。青藤做主机安全，强大的资产清点能力是有效安全防御的基石，看清资产后，后续的安全手段才有的放矢。青藤通过全自动化的实时资产梳理，为客户提供超细粒度资产信息，外到操作系统，中到应用框架，小到代码组件都能精准发现。

^{图3：资产发现能力}

保护能力的加强

保护能力的加强对于限制或遏制潜在网络安全事件的影响起到支持作用。关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益，对其进行安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则，通过纵深防御、零信任微隔离技术、数据安全治理等增强安全保障能力。

● 纵深防御，覆盖安全最后一公里

越来越多的攻击方式可以绕过已有的安全设备，已有的网络边界安全设备无法应对层出不穷的主机和应用漏洞攻击。组织需要通过层次化、纵深式的防御技术体系的部署，形成对内外部攻击威胁的纵深防御能力，提升整个防御体系的主动性。

^{图4：网络边界安全防护}

现阶段的威胁行为不断更新升级，新的威胁活动不断浮出水面，它们造成的破坏可能不会立即显现出来。纵深安全防御必须具备智能的工具和强大的分析溯源能力，以便在攻击者建立持久化机制、泄露数据之前识别和解决潜在的高级威胁。

● 通过微隔离实现零信任防护

随着数字化转型时代到来，网络边界开始模糊，网络内部日益复杂。传统安全理念越来越难以应对新的安全要求。以零信任为代表的安全理念已经成为新的选择，其中Gartner、Forrester等全球IT咨询机构都将零信任作为新一代的安全指导思想。零信任的核心是“从不信任，始终验证”，而微隔离是实现零信任的最佳方案之一。为了强化关基安全保护能力，青藤采用零信任理念打造青藤零域·微隔离安全平台，通过细粒度的网络隔离技术，实现多种环境中东西向流量的隔离，有效阻止攻击者进入内网后的横向移动行为。

^{图5：微隔离是实现零信任的核心架构之一}

● 数据安全治理

根据国际权威咨询机构IDC测算，2025年中国将成为全球最大的数据资源拥有地区，其数据总量将是美国的1.56倍。对于拥有重要数据资产的各类关基行业组织，数据安全治理尤为重要。在大数据时代，面对数量庞大、格式多样、相互掺杂的复杂数据环境，关基安全保护需要建立系统的数据安全治理体系，提高数据安全保护能力。关基组织可以借鉴Gartner的数据安全治理整体框架，从前期规划、具体目标到技术支撑形成自上而下的数据安全体系。

^{图6：数据安全治理整体框架}

检测能力的加强

现在很多企业逐步完成数字化转型，这也引入了更多的攻击可能。这期间安全运维部门也在不断完善纵深防御体系。但是同时，黑客也在不断提升攻击技术手段，导致高级威胁层出不穷，如0day、供应链、APT等。关基企业想要抵挡住专业的攻击活动，需要转变防御思维模式，化被动为主动，提升持续检测能力，实现持续监控、持续防御威胁的安全运营，及时发现网络安全事件。

^{图7：被动安全检测和主动安全检测比较}

对于拥有成熟安全运营中心的组织来说，威胁狩猎是一项必不可少的技能。青藤猎鹰·威胁狩猎平台，联通多个数据源，根据ATT&CK框架进行联动分析，能够更简单、有效地帮助关基企业解决安全数据汇集、数据挖掘、事件回溯、安全能力整合，助力关基企业更好地追踪异常活动，发现潜在威胁。

^{图8：威胁狩猎框架}

关键信息基础设施防御体系在攻击发生之前，能否感知预警，发生之后能否抗得住，是检验威胁防御能力的有效证明。威胁狩猎过程要始终假设攻击者已进入组织内部，并且已产生了违规行为，不断搜寻，不要等待告警发生，尽可能在告警发生之前找到攻击者。

响应能力的加强

关键信息基础设施安全建设正从过去“找漏洞”的阶段，上升到构建积极主动的防御能力阶段。这其中重要的一环就是响应能力，响应能力的加强能够在漏洞无法避免的情况下，一旦漏洞被黑客利用，能够及时发现、及时修复、及时响应并反制，并将业务恢复到常态。关键信息基础设施的安全响应能力建设，可以借助编排与自动化技术，将人、设备、流程进行三位一体的融合，提高安全运营各环节的效率。

^{图9：人、设备、流程进行三位一体的安全运营}

恢复能力的加强

现如今的网络安全更多的是强调如何防御，然而当真正面临恶意攻击时，系统或设施的适应能力，以及事故发生后的恢复、补救能力也非常重要。强大的恢复能力可以保证业务在可接受范围内的连续性，这也是加强关基防护重要的一环。企业组织需要创建事件响应流程，加强恢复能力，以减轻网络安全事件的影响。

^{图10：事件响应恢复流程}

关键信息基础设施每年都在发生各种黑客攻击事件，包括恶意软件、数据窃取、网络入侵等，这就需要一种补救、修复措施，保证企业能够快速恢复业务运作，将损失最小化。面对不同意图的攻击，事件补救恢复程序也不尽相同。

^{图11：不同事件的补救恢复程序}

写在最后

关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，需要实行重点保护。青藤可以从识别、保护、检测、响应和恢复能力五个方面出发，帮助金融、电子政务、能源、交通、公共服务等关键信息基础设施领域企业全面提升安全能力，夯实数字中国、智慧中国和网络强国建设的安全基石，为国家网络安全工作提供支撑，提升国家关键信息基础设施安全保障能力和水平。

长按识别二维码下载《针对关键信息基础设施的加强型保护措施》详细ppt内容