专题·关基保护 | 以攻验防，构建切实有效的关基安全验证体系 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 北京长亭未来科技有限公司杨坤余慧英袁胜

随着《网络安全法》《关键信息基础设施安全保护条例》《信息安全技术关键信息基础设施安全保护要求》等法规标准的相继实施，我国的关键信息基础设施保护进入了一个全新的阶段。然而，经济社会数字化转型的加速使得我国当前的关键信息基础设施面临着更加严峻的安全态势。根据中国信息安全测评中心于 2023 年 4 月发布的《全球高级持续性威胁（APT）研究报告》，2022 年涉华的 APT 攻击活动主要针对政府、金融、科研、能源医疗、电力、电信等关键信息基础设施和重要信息系统，意图进行信息窃取、经济获利、情报刺探、物理破坏等。

关键信息基础设施具有分支机构众多、业务种类复杂、信息系统庞大、建设周期漫长等特点，建设一个全面而有效的网络安全体系成为运营单位的一项长期任务，更是艰巨的挑战。近年来，在国家组织开展的实网攻防演练中发现，关键信息基础设施存在大量的网络安全隐患。例如，互联网暴露的风险点过多、非法外联问题突出，大量系统存有未修补的老旧漏洞，弱口令或口令复用问题突出，系统和网络的访问配置错误，供应链安全问题以及基层单位的防护薄弱等问题，导致恶意攻击行为经常在意想不到的地方发生。

针对发现的问题，关键信息基础设施运营单位积极建设和完善自身的网络安全体系，但在实际演练中，安全防护体系还是经常被“打穿”。究其原因，很多情况下并不是安全体系建设不够的问题，而是策略配置和设备使用不当导致安全体系的有效性不足——并不是缺乏安全措施，而是这些措施“没用好”或者“没用对”。对此，持续验证网络安全防御体系的有效性，并建立网络安全度量体系，应成为关键信息基础设施安全防护的一项重点工作。

对网络安全体系的有效性验证一直是网络安全体系建设要求之一。在等级保护 2.0 标准中，要求“应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。”《信息安全技术关键信息基础设施安全保护要求》中明确指出，“应在关键信息基础设施建设、改造、升级等环节，实现网络安全技术措施与关键信息基础设施主体工程同步规划、同步建设、同步使用，并采取测试、评审、攻防演练等多种形式验证。”

在国际上，Gartner 于 2023 年发布了 9 个网络安全趋势，其中首次提到了网络安全验证（Cybersecurity Validation）。网络安全验证是入侵和攻击模拟（BAS）技术的演进，通过模拟不同方式的网络攻击，用于验证潜在攻击者如何利用已识别的威胁暴露来攻陷安全防线，评估已建立的安全防御体系和管理流程是否真正有效，并通过可视化数据展示安全运营的真正效果。据 Gartner 预测，到 2026 年，超过 40% 的组织将使用集成平台进行网络安全验证评估。

当前，业内通常采用红蓝对抗和渗透测试的方式来验证企业的安全防御能力，但存在时效性、偶然性和不可重放性的问题，同时过于依赖攻击团队成员的个人能力，不能真正度量企业安全防线的有效性。安全验证基于自动化入侵与攻击模拟的技术框架，从攻击者的视角出发，根据企业实际的安全运营场景，构建并模拟不同类型的攻击验证场景，在不影响企业实际业务的前提下，对企业已部署的各类安全设备与安全运营流程，进行自动化和常态化的多维度验证。长亭科技认为，现有的一些防御手段如安全网关、态势感知、流量监测和溯源分析等提供的是事中和事后的防护，而安全验证就像对企业已建立的安全防线进行“体检”，可以帮助企业在事前就及时发现自身防线的失效之处，实现“自知者明”的目标；安全验证将实际的安全防御效果量化和可视化，提供详细的“体检报告”，帮助企业查缺补漏，实现真正有效的安全运营闭环。

通过长期在一线的安全实践，长亭科技认为安全验证可以帮助关键信息基础设施提升以下能力。

一是认清自身，提高合规水平。安全验证通过量化整个安全运营体系的有效性和符合程度，并用可视化的数据展现安全防线的实际防护效果，帮助运营单位用“上帝视角”看清自身的安全体系，发现并解决潜在的合规问题，以满足行业标准和监管要求。

二是发现短板，及时查漏补缺。安全验证可以主动发现现有防护体系中设备、流程、配置、策略等方面的失效点，帮助运营单位及时发现风险，弥补防护短板，大幅提升安全防线的能力和水位。

三是持续改进，实现动态防御。通过常态化和自动化的周期性持续验证，当运营单位的安全体系发生变化时，安全验证可以持续跟进整体安全状况的变化，先于攻击者发现可能出现的新的安全措施失效点，帮助运营单位及时应对新的威胁和风险。

四是提升管理，体现安全价值。安全验证可以提供数据支撑，清晰地呈现安全团队的工作价值，同时还可以帮助运营单位合理分配资源，优化网络安全策略和决策。此外，安全验证还可以帮助运营单位的安全管理部门监督和管理下属单位的安全防护措施，从而提升运营单位整体的安全能力。

当前的安全验证主要包括对企业整体安全体系的全流程验证，以及针对漏洞、弱口令、安全配置、数据泄露等不同类型的专项仿真验证。未知攻，焉知防，一个行之有效的安全验证方案强烈依赖于服务提供方长期的能力积累。作为一支在网络安全竞赛和实战攻防演练中屡获佳绩的队伍，长亭科技一直致力于攻防两端能力的建设，把实战中积累的经验和能力转化为智能化的安全运营产品和服务，从攻击者的视角出发，利用安全验证等多种方式，帮助关键信息基础设施运营单位构建主动、智能、持续、有效的安全运营体系，协助用户解决安全防线“最后一公里”的问题。

关键信息基础设施安全保护是网络安全的重中之重，新形势下更要常抓不懈。在近期举办的 2023 年国家网络安全宣传周开幕式上，中央网信办主任庄荣文在讲话中再一次强调，“面对新形势新任务新要求，要聚焦重点领域，全面加强关键信息基础设施安全防护，落实关键信息基础设施运营者主体责任和保护工作部门监管责任，确保关键信息基础设施平稳有序运行。”应对国际复杂态势，在数字经济发展的驱动下，关键信息基础设施的安全运营将进一步走向实战化、体系化和常态化，安全验证将成为其重要的基础平台，作为实现动态防御、主动防御和纵深防御的有力手段。

（本文刊登于《中国信息安全》杂志2023年第9期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情