随着组织规模的增大、网络复杂程度的指数级增长,以及攻击手段的多样化和隐蔽性,网络安全风险逐日递增。为了指导组织改善网络安全、风险管理和系统恢复等能力,美国国家标准和技术研究院NIST(National Institute of Standards and Technology)于2014年制定了由系列标准(ISO27001、COBIT、NIST SP800等)、指南和最佳实践组成的网络安全框架(Cybersecurity Framework,CSF)。目前,CSF被包括美国、意大利和以色列等在内的诸多国家/地区作为其国家网络安全准则的基础,同时也被越来越多的政府和行业支持,并成为更多组织使用的权威性网络安全标准。
CSF框架由五大领域组成,即资产识别(Identify)、安全保护(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recover)(见图1)。该框架实现了网络安全事前、事中、事后的全过程覆盖,为协助组织分辨风险、防范及侦测威胁,以及应对安全事件和事后复原提供了全面的路线图。为向客户更为安全可信地提供产品和服务,中兴通讯于2019年正式引入CSF网络安全框架,并持续在对应领域建设和提升相关能力。经过近两年的实践,中兴通讯的交付安全能力得到全球客户认可。
图1 CSF网络安全框架组成
识别:全面科学管理资产风险
实施安全保护的前提是识别应保护的对象(即资产)及对应的风险。工程服务过程中,要保护的资产形态各异,包含部署在现网的软硬件设备、客户数据、文档、工具、可移动介质等。
为全面指导工程服务人员对资产进行风险识别与管控,中兴通讯全球服务产品安全团队经过深入研究,于2020年制定了对标NIST SP800系列、GBT 20984等标准的科学风险评估程序。目前,该风险评估程序已面向全球多个项目启用,工程服务人员依据此程序对物理环境、人员、安全意识、管理流程、软硬件、服务等进行完整的价值、威胁、脆弱性分析,并根据识别的衍生风险和组织安全策略确定合理的管控举措,极大地降低了客户的网络安全风险。
保护:对核心资产设置多层抵御防线
工程服务过程中,对客户网络设备等重要资产的保护主要体现在以纵深防御为特点的层层防线设置。
第一道防线是物理安全。工程服务人员在进入核心机房等网络安全敏感区域时,需严格遵守与客户约定的物理安全要求,避免因接触无关人员或进行不当行为而造成信息泄密等。
第二道防线是访问控制。在交付领域,主要体现在登录账号和密码的安全使用。目前,中兴通讯已制定了完整的流程规范(如“一人一账户”“密码复杂度”“禁止跨设备使用相同密码”等)指导工程服务人员现场规范动作。同时,中兴通讯定期进行随机的规范实施检查,确保相关举措的执行。
第三道防线是对重要数据的安全传递、存储和使用。中兴通讯产品软件均从指定的支撑网站下载,升级前会进行病毒扫描和完整性校验,确保未发生病毒感染和内容篡改。对客户授权后临时存储在本地个人工作电脑上的客户数据,工程服务人员严格按照中兴通讯要求进行数据分级并进行对应的安全存储(如加密等)。如出于故障处理目的回传日志等数据,工程服务人员在遵循所在地法律法规并获取客户授权后采用加密等方式对数据进行安全传输。
检测:应对持续变化的网络安全威胁
随着攻击技术的迅猛发展,内外部威胁的复杂性也在不断变化,如果保护措施一成不变,客户网络设备的防护能力会逐渐降低甚至失效,最终导致安全事件。因此,对保护措施的定期检测和提升需要设备提供方和网络运营者持续关注。
中兴通讯提供的产品在交付前会进行基线和相关加固配置,在通过客户或其授权的第三方的严格安全测试后才正式商用。网络运维期间,除了配合客户定期的漏洞扫描和其部署在网络中的IDS/IPS/SIEM等安全设备的使用,中兴通讯还按照合同承诺定期对网络设备进行包含攻击检测在内的安全检查,并配合客户重大活动进行专项安全保障。
中兴通讯的某些特定产品还集成了白名单程序功能,该功能在成功捕捉到入侵者在设备上启动木马、病毒等恶意应用时,会即时预警。
响应:7×24小时快速行动,降低安全事件负面影响
安全事件发生并被识别后,快速响应非常重要。中兴通讯客户支持中心系统支持工程服务人员7×24小时对识别的安全事件快速上报并标记为安全事件,并根据填报的严重等级和预设的服务等级协议(Service Level Agreement,SLA)自动转至对应产品的安全专家,继而输出匹配的遏制、缓解及根除方案。
恢复:专业排查,最大程度修复受影响业务
当安全事件不可避免地发生后,如何快速有效地恢复需要与相关方进行充分沟通与协调,尽力减轻安全事件本身带来的负面影响和破坏程度。因安全事件的特殊性,如何在确保SLA达标的同时又不破坏攻击现场,及时留存证据,并对攻击链进行源头追溯等,需要平衡考虑。
中兴通讯各产品均制定了详尽的包含网络攻击在内的突发情况的应急预案,同时定期进行内部应急演练。在攻击事件发生后,安全专家第一时间指导现场人员迅速采取遏制、限制等动作(如对网络进行隔离等)并进行根因排查和根除,确保威胁源得到控制、业务有效恢复。
安全是一个需要持续投入、演进和提升的系统性工程,除了依托CSF框架全面提升交付能力的安全性和可信性,中兴通讯还贴近客户网络安全需求,不断打造覆盖产品、服务、供应链等一体化的网络安全生态圈,并致力于构建面向客户的全面运营安全体系架构,为网络安全保驾护航。
.png)
.png)
.png)
