论文部分内容阅读
摘 要:互联网国家层面的网络安全应急响应机制日益完善,关键基础设施的网络安全防护要求提高,互联网安全应急响应开放中心(ESRC)是企业网络安全的重要一环。本文主要探讨央企安全管理面临的新的要求,互联网安全应急响应开放中心(ESRC)模式解决央企网络安全的社会化门户、规范吸纳社会网络安全力量、企业间交流与协作、高效和开放方面的问题。
关键词:网络安全;应急响应;央企;安全管理
前言:
信息技术广泛应用和网络空间兴起发展,极大促进经济社会繁荣进步,同时也带来新的安全风险和挑战。网络空间安全(以下简称网络安全)事关人类共同利益,事关世界和平与发展,事关各国国家安全[2]。世界各国也加强网络空间的建设,维护各自的网络空间主权。
为维护我国网络安全,保障互联网健康有序的发展,近年来,我国持续推进网络安全法律法规体系建设,完善网络安全管理体制机制,不断加强互联网网络安全监测和治理,构建互联网发展安全基础,构筑网民安全上网环境。作为网络安全保障的主体,国家监管机构、企业等各方面力量各自发挥自己的作用。
1.互联网安全响应开放中心(ESRC)
大型企业的业务模式多,涉及产品多,且部分具有互联网的在线特性,使得善意的、恶意的人都能接触到。由于当今技术发展情况和人为原因,系统具有安全漏洞不可避免。这样漏洞被外界发现不可避免。
对于安全漏洞披露,互联网工作组的“负责任的安全漏洞披露过程”基本是业界共识。互联网企业讲究“小步快跑敏捷迭代”,率先在吸引外部安全力量规范地参与进企业产品的漏洞发掘与披露方面开展了工作。
1.1 SRC概念和特点
SRC(SecurityResponse Center),即安全应急响应中心,目前没有统一的标准的定义,一般只笼统地定义为:主要针对科技互联网企业常见的安全漏洞而特别设立的机构[1]。是在实践中为了解决实际问题而产生的。
SRC的核心是一套漏洞收集平台,面向社会收集企业自身产品或者第三方的安全漏洞。从实践来看,绝大多数的SRC定位于企业自身产品和社会网络安全力量的窗口。核心之外,配套的有:漏洞奖励计划、漏洞通知和修复验证的流程管理、甚至有项目众测等。
SRC本身就是企业的一个窗口,传递企业对安全的态度。SRC一个很直接的功能就是内部安全系统的试金石。稍具规模重视安全的企业肯定有自己的安全团队和系统,那为何还会被外部发现漏洞?一定是相关团队和系统存在这样那样的疏漏所致[1]。SRC启动了企业安全的复盘、分析和改进进程。
1.2 我国SRC建设情况
(1)企业门户性质的SRC
2012年5月,腾讯率先推出腾讯安全应急响应中心(TSRC)。
2013年1月,网易也推出了漏洞报告平台。接着京东、百度、阿里等都相继推出,SRC模式基本被大型互联网企业接受并且如火如荼地开展。这一年可以称为“SRC元年”[1]。
随着安全行业的发展,像深信服、中兴、联想、华为、这样的传统企业都开展了SRC。据统计,目前所有的电商、安全厂商、通信厂商等互联网企业架设并运营自己的SRC平台。
(2)第三方平台性质的SRC
360旗下“补天”漏洞响应平台,定位侧重于处理第三方web应用漏洞等安全问题,漏洞数据同步公安部、网信办和国家漏洞库。
漏洞盒子是一个主打众包模式的漏洞发现与处理平台,帮助企业测试产品中潜在的安全风险,FreeBuf黑客与极客团队产品,具备与各企业SRC合作的窗口。
2.我国的网络安全应急响应机制
我国计算机网络应急处理体制中的牵头单位,为中国计算机网络应急处理技术协调中心(简称中国互联网应急中心,英文简称CNCERT或CNCERT/CC),成立于2001年8月。其主要职责为:“积极预防、及时发现,快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障关键信息基础设施的安全运行[2]。
CNCERT发起成立了国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)和中国互联网网络安全威胁治理联盟(CCTGA),与国内的基础电信企业、增值电信企业、域名注册服务机构、网络安全服务厂商等建立漏洞信息共享、网络病毒防范、威胁治理和情报共享等工作机制,加强网络安全信息共享和技术合作[2]。还通过公开选拔方式,选择国内安全专业厂商成为“网络安全应急服务支撑单位”,目前共有10家国家级和51家省级应急服务支撑单位。
3.央企的网络安全管理
3.1央企的网络安全管理形势
我国积极推进网络安全方面的建设,颁布并实施《网络安全法》以及一系列的配套法律规范。在网络安全法中明确了对关键基础设施的网络安全防护要求。针对关键基础设施进行网络攻击,会造成重大网络安全事件,甚至社会性事件。当经的国际国内网络安全形势下,关键基础设施处在网络攻防的火线位置。央企,是国计民生基础行业的经济实体,是这些关键基础设施的建设者和运营者,当今的网络安全形势给央企的网络安全管理提出了更高的要求。
目前,中央企业已经在媒体、物资采购等方面资源整合和协作,成立了“央企媒体联盟”、“央企电商联盟”等组织。我国网络安全行业的“国家队”-中国电子信息产业集团,联合网络安全厂商-北京奇安信科技有限公司,于2019年5月宣布,将合作推进“央企网络安全响应中心”的建设。
3.2央企的网络安全管理面临的问题
(1)網络安全形势严峻,现有网络安全管理机制和能力面临极大挑战;
(2)各央企的网络安全方面的建设水平层次不齐;
(3)央企的网络安全管理,沿袭传统管理思路和手段,各自为战;
(4)央企的网络安全处于总体封闭状态,与社会网络安全力量没有交流和协作渠道;
(5)央企内部安全资产管理、网络攻防人员管理、网络安全漏洞动态监测等俱需要更加开放、高效,与社会接轨。
4.ESRC对于加强央企网络安全管理的意义
央企搭建互联网安全应急中心(ESRC),可作用于网络安全管理的诸多方面。
(1)央企网络安全管理与互联网的思路与方式接轨,直面网络安全方面的挑战,使央企网络安全更有效纳入国家网络安全应急处理响应体系;
(2)搭建了央企网络安全的门户,促进了交流与开放,为央企与互联网企业、央企之间的网络安全交流与协作提供了渠道,使协作与互助成为可能;
(3)引导网络安全社会力量规范纳入央企的攻防安全体系,为央企引入新的安全测试方式;
(4)使央企内部的安全资产管理、网络攻防人员管理、安全态势动态监测,更加高效和开放,网络安全防护能力和保障能力大大增强。
5.总结
在新的网络安全时代下,国家层面的网络安全应急处理响应机制的发展,对关键基础设施的网络安全的防护要求,都对央企的网络安全管理提出了更高的要求;互联网企业的安全应急中心(ESRC)模式的发展,给央企的网络安全管理提供了新的思路与方式。互联网安全应急中心(ESRC)模式,能构建央企网络安全门户,促进交流与协作,引导社会安全力量规范安全攻防体系,可有效加强央企的网络安全管理。
参考文献
[1] 腾讯安全应急响应中心.《企业安全应急响应中心建设理论与实践》.2015
[2] 国家互联网应急中心.国家计算机网络应急技术处理协调中心.《2018年中国互联网网络安全报告》.北京:人民邮电出版社,2019.
[3] 国家互联网应急中心.国家计算机网络应急技术处理协调中心.《2019年上半年我国互联网网络安全态势》.2019
[4] 聂君.李燕.何杨军.企业安全建设指南[M].北京:人民邮电出版社.2019.3 379-387.393-396
关键词:网络安全;应急响应;央企;安全管理
前言:
信息技术广泛应用和网络空间兴起发展,极大促进经济社会繁荣进步,同时也带来新的安全风险和挑战。网络空间安全(以下简称网络安全)事关人类共同利益,事关世界和平与发展,事关各国国家安全[2]。世界各国也加强网络空间的建设,维护各自的网络空间主权。
为维护我国网络安全,保障互联网健康有序的发展,近年来,我国持续推进网络安全法律法规体系建设,完善网络安全管理体制机制,不断加强互联网网络安全监测和治理,构建互联网发展安全基础,构筑网民安全上网环境。作为网络安全保障的主体,国家监管机构、企业等各方面力量各自发挥自己的作用。
1.互联网安全响应开放中心(ESRC)
大型企业的业务模式多,涉及产品多,且部分具有互联网的在线特性,使得善意的、恶意的人都能接触到。由于当今技术发展情况和人为原因,系统具有安全漏洞不可避免。这样漏洞被外界发现不可避免。
对于安全漏洞披露,互联网工作组的“负责任的安全漏洞披露过程”基本是业界共识。互联网企业讲究“小步快跑敏捷迭代”,率先在吸引外部安全力量规范地参与进企业产品的漏洞发掘与披露方面开展了工作。
1.1 SRC概念和特点
SRC(SecurityResponse Center),即安全应急响应中心,目前没有统一的标准的定义,一般只笼统地定义为:主要针对科技互联网企业常见的安全漏洞而特别设立的机构[1]。是在实践中为了解决实际问题而产生的。
SRC的核心是一套漏洞收集平台,面向社会收集企业自身产品或者第三方的安全漏洞。从实践来看,绝大多数的SRC定位于企业自身产品和社会网络安全力量的窗口。核心之外,配套的有:漏洞奖励计划、漏洞通知和修复验证的流程管理、甚至有项目众测等。
SRC本身就是企业的一个窗口,传递企业对安全的态度。SRC一个很直接的功能就是内部安全系统的试金石。稍具规模重视安全的企业肯定有自己的安全团队和系统,那为何还会被外部发现漏洞?一定是相关团队和系统存在这样那样的疏漏所致[1]。SRC启动了企业安全的复盘、分析和改进进程。
1.2 我国SRC建设情况
(1)企业门户性质的SRC
2012年5月,腾讯率先推出腾讯安全应急响应中心(TSRC)。
2013年1月,网易也推出了漏洞报告平台。接着京东、百度、阿里等都相继推出,SRC模式基本被大型互联网企业接受并且如火如荼地开展。这一年可以称为“SRC元年”[1]。
随着安全行业的发展,像深信服、中兴、联想、华为、这样的传统企业都开展了SRC。据统计,目前所有的电商、安全厂商、通信厂商等互联网企业架设并运营自己的SRC平台。
(2)第三方平台性质的SRC
360旗下“补天”漏洞响应平台,定位侧重于处理第三方web应用漏洞等安全问题,漏洞数据同步公安部、网信办和国家漏洞库。
漏洞盒子是一个主打众包模式的漏洞发现与处理平台,帮助企业测试产品中潜在的安全风险,FreeBuf黑客与极客团队产品,具备与各企业SRC合作的窗口。
2.我国的网络安全应急响应机制
我国计算机网络应急处理体制中的牵头单位,为中国计算机网络应急处理技术协调中心(简称中国互联网应急中心,英文简称CNCERT或CNCERT/CC),成立于2001年8月。其主要职责为:“积极预防、及时发现,快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障关键信息基础设施的安全运行[2]。
CNCERT发起成立了国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)和中国互联网网络安全威胁治理联盟(CCTGA),与国内的基础电信企业、增值电信企业、域名注册服务机构、网络安全服务厂商等建立漏洞信息共享、网络病毒防范、威胁治理和情报共享等工作机制,加强网络安全信息共享和技术合作[2]。还通过公开选拔方式,选择国内安全专业厂商成为“网络安全应急服务支撑单位”,目前共有10家国家级和51家省级应急服务支撑单位。
3.央企的网络安全管理
3.1央企的网络安全管理形势
我国积极推进网络安全方面的建设,颁布并实施《网络安全法》以及一系列的配套法律规范。在网络安全法中明确了对关键基础设施的网络安全防护要求。针对关键基础设施进行网络攻击,会造成重大网络安全事件,甚至社会性事件。当经的国际国内网络安全形势下,关键基础设施处在网络攻防的火线位置。央企,是国计民生基础行业的经济实体,是这些关键基础设施的建设者和运营者,当今的网络安全形势给央企的网络安全管理提出了更高的要求。
目前,中央企业已经在媒体、物资采购等方面资源整合和协作,成立了“央企媒体联盟”、“央企电商联盟”等组织。我国网络安全行业的“国家队”-中国电子信息产业集团,联合网络安全厂商-北京奇安信科技有限公司,于2019年5月宣布,将合作推进“央企网络安全响应中心”的建设。
3.2央企的网络安全管理面临的问题
(1)網络安全形势严峻,现有网络安全管理机制和能力面临极大挑战;
(2)各央企的网络安全方面的建设水平层次不齐;
(3)央企的网络安全管理,沿袭传统管理思路和手段,各自为战;
(4)央企的网络安全处于总体封闭状态,与社会网络安全力量没有交流和协作渠道;
(5)央企内部安全资产管理、网络攻防人员管理、网络安全漏洞动态监测等俱需要更加开放、高效,与社会接轨。
4.ESRC对于加强央企网络安全管理的意义
央企搭建互联网安全应急中心(ESRC),可作用于网络安全管理的诸多方面。
(1)央企网络安全管理与互联网的思路与方式接轨,直面网络安全方面的挑战,使央企网络安全更有效纳入国家网络安全应急处理响应体系;
(2)搭建了央企网络安全的门户,促进了交流与开放,为央企与互联网企业、央企之间的网络安全交流与协作提供了渠道,使协作与互助成为可能;
(3)引导网络安全社会力量规范纳入央企的攻防安全体系,为央企引入新的安全测试方式;
(4)使央企内部的安全资产管理、网络攻防人员管理、安全态势动态监测,更加高效和开放,网络安全防护能力和保障能力大大增强。
5.总结
在新的网络安全时代下,国家层面的网络安全应急处理响应机制的发展,对关键基础设施的网络安全的防护要求,都对央企的网络安全管理提出了更高的要求;互联网企业的安全应急中心(ESRC)模式的发展,给央企的网络安全管理提供了新的思路与方式。互联网安全应急中心(ESRC)模式,能构建央企网络安全门户,促进交流与协作,引导社会安全力量规范安全攻防体系,可有效加强央企的网络安全管理。
参考文献
[1] 腾讯安全应急响应中心.《企业安全应急响应中心建设理论与实践》.2015
[2] 国家互联网应急中心.国家计算机网络应急技术处理协调中心.《2018年中国互联网网络安全报告》.北京:人民邮电出版社,2019.
[3] 国家互联网应急中心.国家计算机网络应急技术处理协调中心.《2019年上半年我国互联网网络安全态势》.2019
[4] 聂君.李燕.何杨军.企业安全建设指南[M].北京:人民邮电出版社.2019.3 379-387.393-396