政企网络边界安全管理的思考与探索

　　政府和企事业单位搭建内部网络满足组织管理、指挥调度、协同办公、资源共享、生产经营、公众服务等事务的网络化和数字化需求。为了保护政企网络不受外部侵害,通常将网络边界作为第一道防线,严格控制政企网络与外部网络的业务互访和数据流动。

　　在建设“数字中国”、“网络强国”等国家发展战略的有力推动下,云计算、万物互联、区块链、5G、零信任等新技术不断应用于政企网络,推动网络规模不断扩大,网络服务持续创新,网络内外交互联系需求越来越旺盛,随之而来的是各类新型网络边界应用在政企网络中不断涌现。

　　一、政企网络边界安全管理面临的风险与挑战

　　现行网络安全管理体系下的网络边界安全管理,在实践中已暴露出诸如覆盖面不全、适应性不强、弹性扩展能力不足、安全事件感知与响应滞后等问题;在政企数字化转型过程中因业务设计和应用创新的参与度不高,导致既有业务迭代和新型应用成为网络边界安全管理的监管盲区的问题;缺乏对擅自部署的违规网络边界,特别是以逃避监管为目的设计的违规网络边界设施设备和应用的发现和处置的技术手段。针对网络边界的渗透入侵正威胁着政企网络以及依托政企网络运行的关键信息基础设施和重要数据的安全,急需开展政企网络边界安全管理体系研究与实践,完善和强化政企网络整体安全保障能力。

　　二、构建政企网络边界安全管理体系的思考

　　(一)从管理对象到管理体系

　　网络边界安全管理,通常作为网络安全管理体系的管理对象之一,强调已知网络边界设施的安全防护,以及对未知网络边界设施的发现和处置,很少关注网络边界因规模体量、工作机制、应用场景、服务方式等变化带来的风险,在瞬息万变的数字业务需求和无处不在的新型网络攻击面前暴露出诸多问题。因此,需在网络安全管理体系的基础上,深入研究网络边界的业务特性和安全风险,明确管理对象,分析应用场景与服务内容,细化管理要素,构建适应时代发展需要的网络边界安全管理体系。

　　(二)从“防护罩”到“网格边界”

　　现行政企网络边界安全管理,可理解为网络边界是包裹整个网络空间的“防护罩”,在这个“防护罩”中设计若干条通道用于与外界联系。此种方式强调的是控制好通道,进而控制经通道进出的网络访问和数据流动,优点在于通道数量可控,便于安全防护措施的实施,管理手段更容易落地,缺点一是审批流程长、通道承载能力有限、交互需求适配耗时久;二是容易忽视基层部门和个人对网络边界的使用需求,导致私搭乱建违规网络边界的事件屡禁不止。随着数字时代的临近,政企数字化程度越来越高,数字化事务跨边界交互需求爆发式增长,大量前所未有的跨边界交互场景涌现,“防护罩”式安全管理正成为政企数字化转型快速推进的障碍。

　　网格边界是指在网络边界安全管理体系的作用下,将整个网络空间按需划分成大小不等的网格,基于网格内设备设施、业务应用、数据等资源的重要程度,结合网格所处的物理空间和网络空间因素,明确网格边界的安全管理要求,实施相应的安全措施,在受控的条件下提供跨边界交互服务。与安全域的域边界不同之处在于,网格边界是弹性的,比如政企云可以由一个或多个网格组成并形成一个或多个网格边界,部门的局域网也可构建网格边界并提供跨边界交互服务。

　　网格边界的安全性、交互能力以及弹性,不仅取决于网络边界安全管理体系的完善程度,还与管理体系的自动化编排、调度和处置能力息息相关,现有技术方案暂时无法发挥其全部效能,需各方共同投入,持续研究和创新。

　　(三)从强调重要应用系统和数据监管,到以用户和资源监管为核心

　　长期以来,对跨边界交互的安全监管,重心放在防止在跨边界交互过程中,重要应用系统遭到攻击破坏,重要数据被窃取、篡改或删除。这种安全管理和防护模式在数据中心机房部署核心业务并存储数据的大集中时代,具有便于管理、目标明确见效快、运维难度低等优势。随着应用系统和数据向云迁移,应用系统的更新迭代加快,新应用系统的上线周期变短,对外共享和外部流入的数据类型时刻在变,部门级云上应用甚至个人用户的跨边界需求层出不穷,现行的跨边界交互安全管理和防护模式已难以适应这些变化。

　　以用户和资源监管为核心,是将跨边界交互的安全监管重心,由交互过程移至用户和资源两个核心点,在确保安全的基础上提供适应复杂场景和多变需求的跨边界交互服务:一是监管网络边界内外两侧的应用系统和个人用户,确保用户的访问获得授权并可约束跨边界访问的网格与路径;二是将网络边界内外两侧设施设备、应用系统、数据等资源进行分类分级,监管用户能且仅能按授权对资源进行访问和使用;三是采取技术手段实现对未经授权的用户绕过监管措施访问资源、不受控的网络边界节点向用户提供跨边界交互服务等情况的发现和处置。

　　(四)常态化防护与暴露面收敛相结合

　　网络边界暴露面,是指网络边界可被直接或间接收集的信息集。立足于安全管理者视角,信息集不仅包括已知可被利用发起网络攻击的弱点、缺陷等攻击面信息,还包括其他可能被用于侵害政企网络安全和相关利益的信息,例如网络边界的跨边界流转的数据类型,又如可间接推断出存在不被掌握的0day漏洞的信息。网络边界暴露面收敛,强调的是尽可能不泄露网络边界及其跨边界交互的相关信息,即便面对授权用户也仅提供其权限之内的信息。实现网络边界暴露面收敛的前提,一是需要具备感知网络边界的技术手段,二是严控对外发布信息内容及控制信息获取途径,三是对不同用户的跨边界交互服务提供不同的路径,有条件可动态提供路径。

　　从突破网络边界防护渗透进入政企网络的众多案例来看,无论是应对黑客组织发起的入侵攻击,还是应对为检验网络边界安全效能而开展的渗透测试,传统的网络边界安全措施在防不胜防的攻击手段面前略显乏力。造成这种局面的主要原因之一是安全管理者和专家往往倾向于将资源投放在网络边界的安全防护加固和安全事件的监控与处置上,而对网络边界暴露面的投入则不足以及时感知其存在并进行收敛。将常态化防护与暴露面收敛相结合,可充分发挥两者优势,较小的暴露面可放大攻击者的侦查嗅探过程与耗时,增加渗透攻击难度,令网络边界安全措施有足够的检测数据和响应时间,为安全管理者应急处置创造条件。

　　三、政企网络边界安全管理体系建设的几点建议

　　(一)完善政企网络安全顶层设计,夯实监管基础

　　政企安全管理者在网络安全整体设计中,通常参考《网络安全等级保护制度》及网络安全主管单位制定的安全管理制度,对网络边界进行安全设计,以保障网络边界不被渗透入侵为目标,主要关注网络边界设施的安全防护能力,对网络边界因设施形态、技术方案、应用场景、服务对象等方面的不同所面临的各类安全风险缺乏明确的指导,对涌现的各类跨边界交互需求如何落实安全措施也缺乏相应的规范约束。因此,需对网络边界业务充分调研和深度分析,从网络边界的管理结构、建设规划、保护对象、安全要求等各维度对网络安全顶层设计进行完善和补充,为政企网络边界安全管理体系的构建和实施打好基础。

　　(二)优化网络边界安全管理模型,细化监管颗粒度

　　传统的网络边界安全管理模型,通常包含横向边界和纵向边界两大部分,横向边界主要负责对网络外部的交互防护,纵向边界主要负责网络内部不同区域之间的交互防护,不仅颗粒度较粗,而且对边界类型的划分也不够完善。结合现网普遍的网络边界形态,可考虑补充以下内容:

　　1.关键信息基础设施的安全管理。关键信息基础设施的重要性在《关键信息基础设施安全保护条例》第一章第二条做出了明确阐述,将与其相关的边界业务安全纳入模型的必要性不言而喻。

　　2.涉云边界的安全管理。涉云边界是指云与支撑硬件平台的边界、云应用之间的边界、云应用与大数据湖的边界、云与网络内其他区域的边界、云与外部网络的边界等。

　　3.面向数据的安全管理。数据流动是网络边界的主要功能之一,但传统边界安全管理模型未将数据为管理对象纳入管理范畴。

　　4.通信链路边界的安全管理。大规模政企网络的上下级网络枢纽和城域网内距离较远的物理区域,通常采用向运营商租赁专线的方式组网,承载专线的通信链路可能同时为多家租户提供服务,需将链路边界纳入网络边界并实施安全管理。

　　5.安全域/网格边界安全管理。不论是基于安全域还是网格定义不同网络业务和安全需求的网络区域,这些网络区域也应按需纳入边界安全管理范畴。

　　(三)实施多维动态网络边界测绘,强化监管能力

　　落实网络边界安全管理,需理清全网网络边界底数,明确其所处的网络空间位置,进而掌握跨边界交互的具体情况和落实安全管理措施。

　　面对复杂多变的政企网络,可基于政企网络边界安全管理模型,根据不同管理对象的信息采集和管理要求,在网络主干、云中心、数据中心、安全域或网格等网络关键位置部署各类技术手段,实施覆盖全网的网络边界不间断测绘,辅以诸如登记备案、资产台帐等管理手段,形成实时更新的网络边界安全数据库,记录网络边界运行和服务状态,帮助管理者掌握网络边界安全形势,还可帮助管理者发现各类私自搭建的不受控网络边界和跨边界交互行为,为快速响应和处置安全风险提供数据支撑。

　　结语:

　　就网络技术和应用发展趋势而言,从用户视角来看,政企网络的边界将逐渐模糊,并在数字化转型的过程中逐渐与互联网等外部网络以某种形式融合互通;从管理者视角来看,网络边界控制颗粒度越来越细,抵御侵害的自动化和智能化程度越来越高,这也为构建政企网络边界安全管理体系这一项复杂的系统工程提出了更高要求。（广州天懋信息系统股份有限公司）