ISC2018觀察:對軍工行業資訊保安問題的一點思考
2 018 ISC大會如期而至,第一直觀感受是會議規模較往年仍在繼續快速擴大,各行業對網路安全的重視程度正在快速加強,也印證了齊向東董事長對安全產業發展的趨勢判斷。
安全技術正在快速迭代,新型安全理念正在逐步實現產品轉化、工程化落地實踐。但是各行業對安全形勢的判斷並未變得更樂觀,形勢甚至可能在惡化,針對敏感行業或高價值目標物件的安全威脅的檢測判定變得越來越困難,隨著IT架構的演進和管理要求的細化,安全建設可能需要回到安全的本源和原點思考,安全從 0開始,重新審視網路安全的思想、方法、技術和體系。
軍工行業作為國防安全的主要支撐力量之一,在資訊保安、保密管理方面的重視程度和人員整體安全意識方面相對較好,當前安全行業熱議、且在本次ISC大會也有研討的“零信任安全”的防護思想,與軍工體系內部一直以來的安全管理思路——“任何人都可能成為潛在的洩密者、內部人員不可信”有著殊途同歸的契合感。差異在於“零信任安全”模型得到了完整的技術實現和工程實踐,而軍工行業的大量安全思想仍然以管理制度形式通過線下執行實現,執行效率、管理成本及落實程度均存在問題。
鑑於軍工行業防護目標的特殊性,其防護要求在無法全部通過技術手段實現的情況下,只能採用被動安全防護產品 + 管理制度線下執行實現,造成業務執行效率降低和管理成本的增加,更重要的是管理制度的落實存在大量人為因素、無法保證完整一致的執行,正如 360企業安全 集團 董事長齊向東 在 之前 所提到 的 兩大失效定律:“一切違揹人性的技術與管理措施都一定會失效;一切沒有技術手段保障的管理措施一定會失效”。造成這一局面的問題包括軍工行業合規標準的滯後。
軍工行業的合規標準(以分級保護保準體系為主)當前已部分制約了安全新技術、新產品在內部IT環境的應用實踐。
毋庸置疑,分保體系標準在軍工資訊化建設初期的安全防護方面起到了不可或缺的指導作用。具體在安全建設的“滑動標尺”模型中(架構安全、被動防禦、積極防禦、威脅情報、進攻反制),分保指導體系在架構安全、被動防禦建設階段發揮了重要作用。但在網路安全形勢及安全防護技術的快速演進的過程中,面對新的積極防禦需求、威脅情報需求存在明顯缺失。
更為嚴重的問題在於,分保體系建設在安全產品選用許可方面,嚴格限制或阻礙了新型技術安全產品的應用。潛在攻擊者可能採用任何最新技術手段,造成了在攻擊技術不斷升級的情況下,新型防禦技術手段因政策性限制而無法採用。人為擴大了攻防手段的不對等程度。
軍工IT環境針對諸如APT攻擊的高階威脅的防護,當前主要通過物理隔離和傳統合規類安全產品防禦,軍工行業防護目標作為APT攻擊的重點關注行業物件之一。物理隔離雖然能夠避免直接的外部網路攻擊、減少資料竊取途徑,但是隔離網必須留有的合規輸入輸出通道完全可能成為APT攻擊的入口,對內網環境及業務資料的破壞性攻擊風險極大。
針對以上問題,通過ISC大會對行業客戶的安全理念影響,部分較為積極主動的軍工客戶也已意識到當前所面臨的真正安全隱患,並初步瞭解了新型安全技術產品的防護能力,同時正在聯合新型安全技術廠商積極推動監管機構、加快改進阻礙行業安全新技術應用的標準規範,攜手促進安全防護技術能力的提升。
(本 文作者: 360企業 安全技術專家 趙 磊)
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。