N²SF 指南主笔者眼中的公共安全课题
Source: Byline Network
망분리 vs N²SF: 포함 관계
“N²SF를 하면 망분리를 걷어내야 한다고 생각하는데, 그건 오해”
N²SF是“风险管理哲学”中组合控制手段的结构,而网络隔离是其中最强大的安全控制之一。在国防、外交等绝对不允许外部暴露的领域,网络隔离今后仍然是理所当然的选择。
用“0 与 1 的世界已经结束”来比喻公共安全体系的变化。过去像外部互联网(1)和业务网(0)那样二元化设计,但现在出现了 0.1·0.2·0.3 等“中间区间”。与外部服务的连接点越多,安全负责人就不只是守住单一通道,而是识别中间区间的风险并调整控制。
단계적 전환이 전제
现场最大的混乱是转型方式。
“已经是 20 年前搭建的、现在仍然运行良好的系统,马上转为 N²SF 在现实上很难。”
老旧系统往往没有设计图,或者只用当时的技术标准描述,导致难以重新识别数据流向。情报院也不要求对现有系统统一强制转型。
情报院提出 N²SF 的初衷是**“从新建开始适用”。新建系统在设计阶段就要识别信息流、确定数据等级,并据此选择相应的控制措施。如果选择有依据,网络隔离也可以作为 N²SF 的一种方式被选用。关键不是是否已经做了网络隔离**,而是要经过等级划分和风险识别,能够说明为什么要做网络隔离。
在设计阶段可以通过情报院的安全性审查来发现错误;在建设·运营阶段则可以通过实态评估进行持续检查。机构可以自主判断,若判断与实际脱节,则可以通过制度再次审议,形成相应的机制。
N²SF를 도입해야 하는 이유
李哲浩代表拥有紧跟公共安全变迁的职业经历。他毕业于韩国大学,取得硕士学位后于 2004 年进入国家安全技术研究所工作,累计约 21 年从事公共网络安全工作。
2022 年底,他在政府的“中小企业派遣”项目中担任恩基白帽研究所所长,亲身感受到产业界的现实,并指出情报院提出的后网络隔离时代国家网络安全体系——“多层安全(MLS)”,正是现在的 N²SF 的前身。他将 N²SF 与美国 NIST 的**风险管理框架(RMF)**概念相连,强调基于风险管理的框架在国内同样是必要的。
金融业的“自主安全体系”、国防的“国防网络安全风险管理制度(K‑RMF)”等,名称虽不同,却都建立在风险管理这一共同点上。因此公共安全体系必须按照风险管理框架重新构建,公共部门才能跟上发展,这是他的主张。
앤플러스랩의 역할
N²SF 的引入会增加安全负责人的负担。过去只要“把所有入口都封闭,只管理一个通道”即可,但现在必须把中间区间也纳入,持续进行风险识别·审计·响应。公共组织人员流动频繁,个人难以长期积累专业经验。
因此**“当没有安全工作经验的人被任命为安全负责人时,需要有指引其从何入手的市场和工具”的认识促使他创立了 앤플러스랩。当前正研发用于结构化应对 N²SF 的咨询解决方案**。
솔루션 주요 기능
- 基于 AI 的自动等级划分支持
- 设计阶段的威胁建模(通过真实威胁案例寻找威胁)
- 当威胁过多时的优先级风险评估(在预算范围内决定先投资哪些)
核心不是自行开发各类控制产品,而是为机构在运行 N²SF 时提供判断与选择的工具和方法论。
국내 보안업계의 숙제: 연동과 표준화
N²SF 指南列出了特定情境下可能出现的威胁及推荐控制。若要用国产方案细致实现,就必须实现产品间的互联。然而目前标准化·API 共享不足,导致集成受阻;若这种局面持续,外资全栈方案可能会垄断市场。
此外,国内安全企业大多在某一细分领域拥有单一解决方案的优势。要实现集成,就需要将异构产品拼接并持续运营的能力。
앤플러스랩的目标是打造**“让客户拥有更多选择的市场”**。机构不再依赖单一安全厂商,而是可以针对 N²SF 的每一控制项列出可满足的方案候选,比较优缺点并根据预算自行选择。为此,앤플러스랩正扩大与多家安全公司的合作。
当前机构最头疼的环节是业务信息识别与安全等级划分。如果提前做好等级划分,后续的控制项设计会顺畅许多。但已有的历史数据分类仍是另一大难题,需要与安全行业共同解决。