通信世界网消息(CWW)随着组织规模的增大、网络复杂程度的指数级增长以及攻击手段的多样化和隐蔽性,网络安全风险逐日递增。为了指导组织改善网络安全、风险管理和系统恢复等能力,美国国家标准和技术研究院NIST(National Institute of Standards and Technology)于2014年制定了由系列标准(如ISO27001、COBIT、NIST SP800等)、指南和最佳实践组成的 Cybersecurity Framework (下文简称为CSF)网络安全框架。目前,CSF被包括美国、意大利和以色列等在内的诸多国家/地区作为其国家网络安全准则的基础, 同时也被越来越多的政府和行业支持,并成为更多组织使用的权威性的网络安全标准。
图1 CSF网络安全框架组成
CSF框架由五大领域组成,即资产识别(IDENTIFY)、安全保护(PROTECT)、安全检测(DETECT)、安全响应(Response)和安全恢复(RECOVER)(见图1)。该框架实现了网络安全事前、事中、事后的全过程覆盖,为协助组织分辨风险、防范及侦测威胁,以及应对安全事件和事后复原提供了全面的路线图。为向客户更为安全可信地提供产品和服务,中兴通讯于2019年正式引入CSF网络安全框架,并持续在对应领域建设和提升相关能力。经过近两年的实践,中兴通讯的交付安全能力得到全球客户认可。
识别——全面科学管理资产风险
实施安全保护的前提是识别应保护的对象(即资产)及对应的风险。工程服务过程中,要保护的资产形态各异,包含部署在现网的软硬件设备、客户数据、文档、工具、可移动介质等。
为全面指导工程服务人员对资产进行包含漏洞在内的风险识别与管控,中兴通讯全球服务产品安全团队经过深入研究,于2020年制定了对标NIST SP800系列 、GBT 20984等的科学风险评估程序。目前,该风险评估程序已面向全球多个项目启用,工程服务人员依据此程序对包括物理环境、人员、安全意识、管理流程、软硬件、服务、应急响应程序等进行完整的价值(取决于产品安全三要素:机密性、完整性与可用性)、威胁、脆弱性分析并根据识别的衍生风险和组织风险策略确定合理的管控举措,极大地降低了运营商客户的网络安全风险。
图2 典型资产的威胁、脆弱性、风险以及对应管控举措举例
保护——对核心资产设置层层抵御防线
工程服务过程中,对客户网络设备等重要资产的保护主要体现在以纵深防御为特点的层层防线设置。
第一道防线是物理安全。工程服务人员在进入核心机房等网络安全敏感区域时,需严格遵守与客户的物理安全要求,避免因接触无关人员或进行不当行为而造成信息泄密等。
第二道防线是访问控制。在交付领域,主要体现在登录账号和密码的安全使用。对此,中兴通讯制定了完整的流程规范,如“一人一账户”、“分权分域”、“密码复杂度”、“密码连续输错多次后自动锁定”、“定期修改”、“禁止跨设备使用相同密码”、“项目组人员变动时的账号禁用或注销”等。同时,中兴通讯还会定期进行随机的规范实施检查,确保相关举措的执行。
第三道防线是对重要数据的安全传递、存储和使用。中兴通讯产品软件均从指定的支撑网站下载,升级前会进行病毒扫描和完整性校验,确保未发生病毒感染和内容篡改。对客户授权后临时存储在本地个人工作电脑上的客户数据,工程服务人员严格按照中兴通讯要求进行数据分级并进行对应的安全存储(如加密等)。对客户网络数据的回传,则在遵循所在地法律法规的前提下,在客户授权后采用加密等方式进行安全传输。
检测——应对持续变化的网络安全威胁
随着内外部威胁的复杂性增长和持续变化,如果保护措施一成不变,客户网络设备的防护能力会逐渐降低甚至变得无效,最终不可避免地导致安全事件。因此,对保护措施的定期检测和持续提升需要设备提供方和网络运营者持续关注。
中兴通讯提供的产品在交付前会进行基线和相关加固配置,并通过客户或其授权的第三方的严格安全测试后才被允许正式商用。网络运维期间,除了配合客户定期的漏洞扫描和其部署在网络中的IDS/IPS/SIEM等安全设备的使用,中兴通讯还按照合同承诺定期对网络设备进行包含攻击检测在内的安全检查并配合客户重大活动进行专项安全保障。
不仅如此,中兴通讯的某些特定产品还集成了白名单程序功能,该功能在成功捕捉到入侵者在设备上启动木马、病毒等恶意应用时,会即时进行预警。
响应——7×24小时快速行动,降低安全事件负面影响
类似于故障,安全事件发生并被识别后,如何快速响应非常重要。中兴通讯客户支持中心(Customer Support Center)系统支持工程服务人员7*24小时对识别的安全事件快速上报并标记为安全事件,并根据填报的严重等级和预设的服务等级协议(Service Level Agreement,简称为SLA)自动转至对应产品的安全专家并输出匹配的遏制、缓解及根除的方案。
恢复——专业排查,最大程度修复受影响业务
当安全事件不可避免地发生后,如何快速有效地恢复需要与相关方进行充分沟通与协调,从而最大程度减少安全事件本身带来的负面影响和破坏程度。同时,因安全事件的特殊性,如何确保服务等级协议SLA达标的同时又不破坏攻击现场,及时留存证据,并对攻击链进行源头追溯等,需要平衡考虑。
中兴通讯各产品均制定了详尽的包含网络攻击在内的突发情况的应急预案,同时定期进行内部应急演练,确保满足客户预期。在攻击事件发生后,安全专家第一时间指导现场人员迅速对网络进行隔离并进行根因排查,确保恢复业务的同时完好留存相关攻击信息。
安全是一个需要持续投入、演进和提升的系统性工程。除了依托CSF框架全面提升交付能力的安全性和可信性,中兴通讯还贴近客户网络安全需求,打造覆盖产品、服务、供应链等一体化的网络安全生态圈,构建面向客户的运营安全体系架构,为网络安全全面保驾护航。
