《基于数据驱动的安全策略设计与实施策略研究：以网络分区规定为例》

Summary 《基于数据驱动的安全策略设计与实施策略研究：聚焦网络隔离规定》 项目负责人：Byong-SamChoi 参加人员:HyeonchaeYang·SeolAJin·GaeunKim·MyungJinSong 1.简介：超连接、数字化转型和网络分离监管 到了全面研究网络分离法规是否合适以及在未来超连接和数字化转型时代应如何补充完善的时候了。目前，金融行业对网络分离的监管正在积极讨论中 ，如果未来放松监管或发生安全事故，监管措施可能会再次收紧。在金融、医疗健康、家庭网络及汽车等各个行业，基于连接与数据分析的创新服务如若扩展，关于安全威胁的关注以及提前引入网络分离法规以防止此类问题的呼吁将持续出现。因此，网络分离法规是一个决定国家数字化转型成功与否的关键问题，而不仅仅是特定行业成本增加的问题。 本研究旨在提出一项补充计划，针对那些不符合超连接和数字化转型时代以及未来导向安全政策方向的网络分离规定。这里的“未来导向政策”指的是能够实施未来将出现的新服务的安全政策，以及能够应用未来将出现的新安全技术的安全政策。 本研究存在的问题如下。不同行业中如金融等领域的网络分割规定存在的问题是什么？ 医疗保健、家庭网络和汽车领域，或是未来的潜在应用？面对网络安全威胁 ，如何替代网络隔离并采取有效的应对措施？在高度互联社会背景下，安全政策应遵循怎样的范式，以及需要哪些政策来实施这些策略？ 本研究在以下方面与现有研究有所不同。首先，现有研究也指出了网络隔离的问题，但缺乏对不仅包括行业和专家，还包括公众在内的多角度考虑。本研究指出，网络隔离并非完整的安全工具，并主张引入能够替代或补充网络隔离的各种安全技术来缓解网络隔离法规，以避免普遍认为降低了安全性。其次，现有研究将网络隔离视为一个应简单减轻的对象。本研究提出，根据不同的领域，网络隔离可能是必要的，特别是在防御设施和国家基础设施等需要加强的地方。第三，关于网络安全政策，如网络隔离法规的讨论在各个领域都是单独进行的。本研究提出了一个框架，用于全面分析当前存在并可能实施的主要行业（如金融、医疗健康、家庭网络和汽车），并寻找替代方案以建立一致的政策。 2.安全概述和最近的技术趋势 安全旨在通过保护硬件、软件、网络和数据等信息系统资源，确保信息的机密性、完整性和可用性，从而防止未经授权的访问、泄露、使用、阻断或破坏。机密性是指确保信息不被未经授权的个人、程序、进程等获取；完整性则是为了防止信息被未经授权的人修改、删除和生成；可用性则指的是及时为授权用户获取所需的信息、系统和资源。 安全攻击的类型包括拦截、伪造/调制和 在不确定的环境中实现稳定的市场份额增长。 阻止。拦截通过攻击者访问系统资源并查询数据来破坏安全的机密性。伪造/制造通过攻击者非法访问、更改和交付数据来破坏安全的完整性。中断阻止用户访问/使用系统资源，从而破坏了安全的可用性。 近期，安全攻击的数量日益增多，包括智能持续威胁、零日攻击和社交工程攻击。高级持续性威胁（APT）指的是利用新开发的技术/战术而非重复使用特定流程/技术，长时间内消除安全并泄露信息。零日攻击是对未知安全漏洞或未被处理的漏洞进行黑客攻击的通用术语，“零日”指的是发现漏洞的日期。社交工程并非技术方法，而是一种欺骗手段，用于诱骗人们获取机密信息，如钓鱼、养鱼、短信欺诈和鲸鱼攻击。 近期安全威胁的特点包括：一、存在大量非结构化的攻击，如高级持续威胁 （APT）；二、无论是在组织内部还是外部，攻击无处不在；三、许多攻击通过人为手段进行，例如社会工程学攻击。 安全系统由行政、技术和物理安全构成。主要的安全技术包括防火墙、多因素认证（MFA）、入侵检测/预防系统（IDS/IPS）、安全信息与事件管理（SIEM）、威胁检测与响应（XDR）。近年来，安全技术正从公司内部特定边界扩展至整个企业，并且使用方式正在进化，以利用各种类型的数据分析和人工智能，而不仅仅是依赖硬件设备。 近来，零信任（ZeroTrust）作为一种新的安全范式引起了关注。随着云计算服务的普及和COVID-19疫情的影响，传统内部与外部网络之间的界限变得模糊，需要一种基于信任的访问控制模型，而不仅仅局限于内部和外部网络边界。零信任的概念是在用户请求访问信息资源时不相信任何事物，始终进行验证（“永不信任，总是验证”）。 无论信息资源的实际或逻辑位置如何，所有主体都被假设为“不可信攻击者” ，只有在尝试访问信息资源的主体得到充分验证后，才允许访问该资源。零信任模型具有应对威胁的能力、高效/有效的安全系统等优势，但也存在部署耗时耗资、需要高性能计算资源以及增加管理难度和负担等缺点。 3.国内安全政策的现状与问题——以网络分离规制为中心 网络隔离规定要求企业将外部通讯网络（如互联网）与内部业务系统分开。由于这会阻断商务电脑的互联网连接，在简单意义上，每位员工需使用两台电脑交替使用。编写报告数据和编程时应使用没有互联网连接的办公电脑，而发送邮件或查找新闻时则应使用没有接入公司内网的互联网电脑。通过商务电脑与互联网电脑之间的安全USB传输，可以将商业数据以电子邮件的形式与外界共享。 网络分离具体分为物理网络分离和逻辑网络分离。物理网络分离彻底阻断了公司内部工作PC与外部互联网PC之间的物理连接。而逻辑网络分离则是一种方法，即公司的内部工作PC与外部互联网PC之间有物理连接，但只能通过单独的软件来实际使用互联网。 网络隔离政策的优势在于，首先，它可以通过互联网阻止威胁。由于提前切断了互联网接入，因此可以降低公司内部系统遭受恶意代码或病毒等安全事故的可能性。其次，它直观且易于理解。由于只是切断了互联网连接，因此无需了解复杂技术，政策制定者和普通用户都能轻松理解其运作原理。 公众，而不是安全专家，更喜欢网络分离。 一、网络隔离政策的劣势降低了企业效率。由于需要额外购买个人电脑、软件和网络设备，企业的投资成本增加，数据、分析与开发工具以及开源资源物理上被分离，使得软件开发变得不便，从而降低工作效率。二、存在人才流失的担忧。受网络隔离政策影响的行业如金融可能因开发者视角下吸引力的下降而出现优秀人才流失。三、国内安全产业的发展受到阻碍。长期而言 ，若企业过于关注遵守网络隔离政策而非根据实际情况进行安全投入，可能 会导致安全投资减少。四、通过各种渠道（如内部人员）面临威胁。网络隔离是一种专注于特定路径（如企业系统与互联网）的边界安全模型，对其他途径的准备不足。例如，内部系统与外部互联网之间通过USB的数据交换路径暴露于安全威胁，特别易受内部的安全威胁。过去十年中发生的许多网络攻击事件都是由内部员工、外包员工、服务员工或外包公司员工等信任用户所造成。 综上所述，网络分离在直接渠道中对威胁具有相对较好的保密性和完整性保护，但对于间接渠道的威胁则缺乏保密性和完整性。在可用性方面，可以说它非常不足，因为难以为授权用户提供及时的信息、系统和资源访问。 在美国和欧盟地区，网络分离被认定为一种安全技术之一，并推荐对于需要高度安全性的资产采用此方法，但并非强制性要求。机构和公司通常自主决定是否引入并实施网络分离策略。美国联邦网络安全与基础设施安全局（CISA）建议对IT网络、工业技术（OT）网络等进行网络分割。 高安全资产和其他资产。然而，这里的网络部门与国内的网络隔离不同，后者阻止了互联网的访问，因为它涉及到将整个网络划分为多个子网络，并对每个子网络分别进行安全管理的概念。 此外，美国和欧盟正在积极推行政策以转向零信任体系。例如，拜登总统签署的《实施国家网络安全执行命令》要求联邦政府采用零信任（ZTA）加速向云服务的转变，并要求每个部门负责人在60天内制定建立该系统的计划。 4.主要行业安全威胁、对策及政策分析 本章节全面识别了各行业中的安全威胁类型，分析了应对这些威胁的安全技术的当前状态和优劣势，探讨了如国内与国际网络分离规定等安全政策的现状，并提出了相关政策建议。目标行业将选取四个：金融、医疗健康、家庭网络以及汽车，这些行业当前或未来可能实施网络分离规定。为了深入行业讨论，向各行业安全专家提供了书面建议。 5.结论：超连接和数字化转型时代的安全策略 它提出了三项基于数据的安全政策任务，涵盖了网络隔离和零信任，并阐述了实施这些任务所需的三个必要条件。 首要任务是转变网络分割的概念并调整监管对象。韩国目前使用的网络分割概念实际上是物理上或逻辑上断开互联网，可以说这实际上是在进行网络封锁。为了提高保密性、完整性和 安全可用性方面，网络分离的概念应从当前的物理和逻辑中心扩展，包括结构网络分离。此外，网络分离的监管主题应限于关键功能资产。需要进行物理、逻辑和结构网络分离的任务至关重要的资产应以积极的方式指定，但其他资产应留给机构自主选择是否进行网络分离。 第二个任务是零信任模型的试点引入和推广。与其将网络分离监管的主体限制在必要的功能资产上，不如积极考虑引入可以说是一种替代方案的零信任模式。然而，尽管零信任模式在韩国得到了积极的讨论，但目前已经应用的具体案例还不多，因此最好推动逐步引入，而不是全面引入。零信托的推出 ，要求对所有资产的重要性进行分类，对所有想要访问资产的实体进行识别和认证，并根据每个资产的重要性对每个实体进行授权，不仅仅是通过投资基金，还需要改变公司的工作方式、组织结构和文化。因此,优选尝试新构建的系统而不是现有的传统系统。还可以考虑通过在公共部门提前介绍成功案例来介绍成功案例。例如，可以开发零信任参考模型并将其应用于智能城市中基于云的交通系统，以通过呈现成功案例来促进对相关公司的传播。 第三项任务是通过反映产业和企业的特性来区分安全政策。引入物理/逻辑/结构网络分离或零信任的可能性应考虑可用计算资源的大小以及功能的重要性进行评估。一般来说，如果可用的计算资源规模低于某个水平，则无法引入零信任。越接近核心功能的功能，引入物理/逻辑/结构网络分离就越重要。根据各行业的特点，决定是否引入物理/逻辑/结构网络分离或零信任是必要的。 可用计算机资源的规模以及对计算机资源付费意愿的高低。可用计算机资源规模越大、愿意支付的意愿越高，引入零信任模型就越容易；反之，若可用资源规模较小且支付意愿较低，则采用网络隔离等替代方法的难度就更大。此外，应根据企业的规模或安全级别制定差异化的安全策略。对于销售额或用户数量低于一定门槛的企业，可能可以排除或暂停应用某些信息安全法规 ；如果信息安全性水平高，甚至可以放宽如网络隔离等规定。 首要要求需聚焦于预先的数据分类，以重要性为核心。分类步骤的数量越高 ，数据管理的细节越深，但分类和管理的成本也随之增加，因此国内外的数据分类体系主要划分为3至5个阶段。为了提升数据分类的有效性和可实施性 ，选择分类器时应考虑其专长与一致性。 第二个前提条件是加强事后的监管，例如在事故发生后提高处罚级别。为了使事后监管有效运行，合理利用惩罚性赔偿制度至关重要。在安全领域的事后监管要发挥有效作用，需要在未来提高损害赔偿比例，并根据数据的重要性及公司的故意或过失情况设定不同的赔偿比例。 第三项必备条件是在长远来看，有必要改变所有生态系统成员的认知。需要转变观念，将安全范围从公司的内部和外部边界扩展到整个公司，从阻止安全方法的连接转变为在公司内外调动所有可能的手段。在制定安全政策时，通过考虑不仅包括行业或专家，也包括普通公众在内的各种视角形成社会共识至关重要。