◆曹鯤鵬 蔣國兵

CSF網(wǎng)絡安全框架全面保障客戶網(wǎng)絡安全

◆曹鯤鵬 蔣國兵

（中興通訊 江蘇 210012）

CSF網(wǎng)絡安全框架從風險識別（IDENTIFY）、安全防御（PROTECT）、安全檢測（DETECT）、安全響應（Response）和安全恢復（RECOVER）五大領域定義了組織應有的安全考慮和控制，可以全面保障內部的網(wǎng)絡安全，并為全球諸多政府和組織采用。本文描述了中興通訊工程服務領域依據(jù)CSF進行安全治理的經(jīng)驗和成效，提供了可復制的經(jīng)驗。

網(wǎng)絡安全；CSF框架；識別；保護；檢測；響應；恢復；網(wǎng)絡安全生態(tài)圈

當前，由美國國家標準和技術研究院NIST（National Institute of Standards and Technology）制定的Cybersecurity Framework（下文簡稱為CSF）被包括美國、意大利和以色列在內的其他國家/地區(qū)作為其國家網(wǎng)絡安全準則的基礎，同時也被越來越多的政府和行業(yè)支持，并作為任何組織（無論其部門或規(guī)模如何）使用的推薦網(wǎng)絡安全標準。

CSF框架由五大領域組成，即風險識別（IDENTIFY）、安全防御（PROTECT）、安全檢測（DETECT）、安全響應（Response）和安全恢復（RECOVER）（見圖1），包含了管理網(wǎng)絡安全相關風險的系列標準（如ISO27001、COBIT、NIST SP800等）、指南和最佳實踐，目前已成為全球認可的權威安全評估體系。

中興通訊工程服務于2019年正式引入該網(wǎng)絡安全框架，并在對應領域建設和提升相關能力，全球局點的專業(yè)安全交付能力得到客戶認可。

1 IDENTIFY（識別）

實施安全保護的前提是識別應保護的對象（即資產(chǎn)）及對應的風險。工程服務過程中，要保護的資產(chǎn)包含部署在現(xiàn)網(wǎng)的軟硬件設備、客戶數(shù)據(jù)、文檔、工具、可移動介質等，形態(tài)各異。按照NIST SP800系列、GBT 20984等業(yè)界標準，完整的資產(chǎn)風險識別包括但不限于技術漏洞本身。

基于上述指引，中興通訊制定了適用于工程服務領域的科學風險評估程序。

目前，該程序已面向全球多個項目啟用。工程服務人員對包含物理環(huán)境、人員、安全意識、管理流程、軟硬件、服務、應急響應程序等進行完整的價值（取決于安全三要素：機密性、完整性與可用性）、威脅、脆弱性分析并根據(jù)識別的衍生風險和組織風險策略確定合理的管控舉措，可以極大地降低或規(guī)避運營商客戶的網(wǎng)絡安全風險。

表1 典型資產(chǎn)的威脅、脆弱性、風險以及對應管控舉措舉例

資產(chǎn)價值威脅脆弱性導致的風險風險管控舉措 個人工作設備高惡意軟件未安裝防病毒軟件病毒感染風險降低：按照要求統(tǒng)一安裝集防病毒和惡意軟件檢測為一體的多功能安全軟件，并對特定的合作伙伴群體進行入、離場和例行安全審計，確保電腦安全無毒接入客戶網(wǎng)絡 現(xiàn)網(wǎng)運行設備很高黑客攻擊未及時安裝相關補丁和進行安全加固設備被攻擊后導致數(shù)據(jù)泄露風險降低：定期安裝補丁和安全加固，并確保賬號密碼的復雜性和定期更新 工程服務人員高社會工程學專家的欺騙、恐嚇、冒充等缺失相關社會工程學防范意識無意泄露客戶敏感信息風險降低：包括郵件、電話在內的社攻模擬演練，持續(xù)加強人員的安全意識 ..................

2 PROTECT（保護）

依據(jù)CSF框架，中興通訊在工程服務過程中對客戶網(wǎng)絡設備等重要資產(chǎn)采用了縱深防御的安全防護。

第一道防線是物理安全。工程服務人員在進入核心機房等網(wǎng)絡安全敏感區(qū)域時，需嚴格遵守公司與客戶的物理安全要求，避免因接觸無關人員或進行不當行為而造成信息泄密等。

第二道防線是訪問控制。在交付領域，主要體現(xiàn)在登錄賬號和密碼的安全使用。對此，中興通訊制定了完整的流程規(guī)范，如“一人一賬戶”，“分權分域”，“密碼復雜度”、“密碼連續(xù)輸錯多次后自動鎖定”、“定期修改”、“禁止跨設備使用相同密碼”、“項目組人員變動時的賬號禁用或注銷”等。同時，中興通訊還會定期進行隨機的規(guī)范實施檢查，確保落地。

第三道防線是對重要數(shù)據(jù)的安全傳遞、存儲和使用。中興通訊產(chǎn)品軟件均從指定的支撐網(wǎng)站下載，升級前會進行病毒掃描和完整性校驗，確保未發(fā)生病毒感染和內容篡改。對客戶授權后臨時存儲在本地個人工作電腦上的客戶數(shù)據(jù)，工程服務人員嚴格按照中興通訊要求進行數(shù)據(jù)分級并進行對應的安全存儲（如加密等）。對客戶網(wǎng)絡數(shù)據(jù)的回傳，則在遵循所在地法律法規(guī)的前提下，在客戶授權后采用SFTP、SSHv2等協(xié)議進行安全傳輸。

3 DETECT（檢測）

隨著內外部威脅的復雜性增長和持續(xù)變化，如果保護措施一成不變，客戶網(wǎng)絡設備的防護能力會逐漸降低甚至變得無效，最終不可避免導致安全事件。因此，對保護措施的定期檢測和持續(xù)提升需要設備提供方和網(wǎng)絡運營者持續(xù)關注。

中興通訊產(chǎn)品在交付前會進行基線和相關加固配置，并在通過客戶或第三方的嚴格安全測試后才允許正式商用。運維期間，除了配合客戶定期的漏洞掃描和其部署在網(wǎng)絡中的IDS/IPS/SIEM等安全設備的使用，中興通訊還按照合同承諾定期對網(wǎng)絡設備進行包含攻擊檢測在內的安全檢查并配合客戶重大活動進行專項安全保障。

不僅如此，中興通訊的某些特定產(chǎn)品還集成了白名單程序功能：該功能在成功捕捉到入侵者成功在設備上啟動木馬、病毒等惡意應用時，會即時進行預警。

4 RESPOND（響應）

類似于故障，安全事件發(fā)生并被識別后，如何快速響應非常重要。目前，中興通訊擁有遍布全球的客戶支持中心（Customer Support Center）系統(tǒng)。CSC系統(tǒng)支持工程服務人員7*24小時對識別的安全事件快速上報并標記為安全事件，并根據(jù)填報的嚴重等級和預設的服務等級協(xié)議（Service Level Agreement，簡稱為SLA）自動轉至對應產(chǎn)品的安全專家并輸出匹配的遏制、緩解及根除的方案。

5 RECOVER（恢復）

當安全事件不可避免地發(fā)生后，如何快速有效地恢復需要與相關方進行充分溝通與協(xié)調，從而最大程度減少安全事件本身帶來的負面影響和破壞程度。同時，因安全事件的特殊性，如何確保服務等級協(xié)議SLA（Service Level Agreement）達標的同時又不破壞攻擊現(xiàn)場，及時留存證據(jù)，并對攻擊鏈進行源頭追溯等，需要平衡考慮。

中興通訊各產(chǎn)品均制定了詳盡的包含網(wǎng)絡攻擊在內的突發(fā)情況的應急預案，有明確的責任人和處理要求，同時定期進行內部應急演練，確保滿足客戶預期。在攻擊事件發(fā)生后，安全專家會第一時間介入，指導現(xiàn)場人員迅速對網(wǎng)絡進行隔離并進行根因排查，確?；謴蜆I(yè)務的同時完好留存相關攻擊信息。

6 結束語

安全是一個需要持續(xù)投入、持續(xù)演進、持續(xù)提升的系統(tǒng)性工程。除了依托CSF框架全面提升交付能力的安全性和可信性，中興通訊工程服務領域還貼近客戶安全需求，積極協(xié)同供應鏈和產(chǎn)品領域共同打造一體化網(wǎng)絡安全生態(tài)圈，構建面向客戶的運營安全體系架構，為網(wǎng)絡安全全面保駕護航。

[1]NIST. Framework for Improving Critical InfrastructureCybersecurity V1.1[R].

[2]NIST. Guide for Conducting Risk Assessments-NIST Special Publication 800-30 Revision 1[R].

[3]Start with Security-A Guide for Business Lessons Learned from FTC Cased.

[4]NIST. Computer Security Incident Handling Guide-NIST Special Publication 800-61 Revision 2[R].

[5]郭鑫.信息安全風險評估手冊[M].機械工業(yè)出版社，2020.

[6][美]ShonHarris，F(xiàn)ernandoMaymi.CISSP認證考試指南（第7版）[M]. 清華大學出版社，2018.01.