2021/3/2 网络安全全景视角下的新一代企业安全框架概述 - 安全内参 | 决策者的网络安全知识库 网络安全全景视角下的新一代企业安全框架概述 “十四五”期间,政企机构可借鉴“十大工程、五大任务”进行规划,以重点项目为抓手,实现网络安全能力演进提 升,保障数字化业务平稳、可靠、高效运营。 奇安信紧扣企业数字化转型趋势和“新基建”建设要求,结合当前政府、央企、金融、运营商等大型机构 的网络安全普遍需求,借鉴国内外大型机构网络安全最佳实践和网络安全架构研究成果,提出面向“十 四五”期间的网络安全规划“十大工程、五大任务”建议框架,为政企机构提供从“甲方视角、信息化视 角、网络安全全景视角”出发的顶层规划与体系设计思路与建议。 政企机构可借鉴“十大工程、五大任务”进行规划,以重点项目为抓手,合理调配资源、完善管理机制, 使网络安全体系建设工作得到充足保障和有力推动,从而在“十四五”期间实现网络安全能力演进提升, 保障数字化业务平稳、可靠、有序和高效运营。 一、数字化转型催生新一代网络安全框架 习近平总书记在中央网络安全和信息化领导小组的第一次会议上指出:“网络安全和信息化是一体之两 翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要 处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之 势、成长治之业。”指明了网络安全与信息化相互依存、同步发展的大方向,明确了“四个统一”缺一不 可的体系化建设要求。在4·19网信工作座谈会上,总书记又提出要求:“安全是发展的前提,发展是安 全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障 体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。” 全球经济已全面进入数字化转型期,中国也将数字化转型作为重要发展战略与经济驱动力。数字化转 型是在信息化极大的降低了政企机构运营成本的基础上进一步把信息技术与政企机构业务运营、管理 流程融合在一起形成了新的业务运营模式,显著提升了业务运营效率和效益;同时物联网、云、大数 据、5G、智能制造等新技术的应用,也给政企机构带来了巨大的创新红利。 数字化转型带来了巨大的收益,但信息技术与业务的深度融合也使网络安全风险更加具有实质性的影 响,网络安全问题对业务更加具有破坏性乃至灾难性,网络安全风险等同于业务运营风险;同时新技 术的应用也对业务运营引入了更多新的风险。政企机构信息系统一旦被入侵或被破坏,将会直接危害 到业务运营,进而危害到生产安全、社会安全、甚至国家安全,以往所有的收益也将“一失万无”。数字 化转型对政企机构运营模式的转变是颠覆性的、不可逆转的,传统的信息化模式也将无法支撑目前经 济环境下的业务运行要求,因此政企机构须立足于数字化运营的高要求模式来建设网络安全体系,为 业务运营保驾护航。因此,广大政企机构应该将网络安全建设放在所有数字化转型举措的最前列。 https://www.secrss.com/articles/19016 1/12 2021/3/2 网络安全全景视角下的新一代企业安全框架概述 - 安全内参 | 决策者的网络安全知识库 2017年5月12日起,全球大规模爆发“永恒之蓝”勒索蠕虫(Wannacry)攻击事件,我国多家政府机 构、大型企业和高校内网遭到勒索病毒攻击导致数据损失严重,严重干扰了正常运营,造成了巨大损 失。2018年,多家机构发生了因数据库防护不足导致的大规模数据泄露事件,几亿用户数据遭到外 泄,对业务运营造成了不可估量的严重后果。在2019年由公安部组织的“HW”中,政企机构面对这样一 场有准备的防御战,其IT系统仍然鲜有保全。由此可见我国政企机构网络安全防护能力仍然较为薄 弱,在历次重要“战役”中暴露出的网络安全体系化欠缺、能力碎片化严重、整体协同能力差、可弹性恢 复能力严重缺失等问题亟待解决。 自2006年我国推行网络安全等级保护制度以来,政企机构已建成了基础性安防体系,保障了业务的运 行。政企机构在其信息化到数字化的发展历程中采用的企业架构(Enterprise Architecture,EA)方法论 对信息化发展起到很大的作用,引导规划建设了大规模、体系化、高效整合的业务运营体系,很好的 支撑了业务运营。但与之不同的是,在网络安全领域缺乏以复杂系统思维引导的规划与建设实践,导 致形成了以往以“局部整改”为主的安全建设模式,致使网络安全体系化缺失、碎片化严重,网络安全防 御能力与数字化业务运营的高标准保障要求严重不相匹配。长期以来,由于政企安全体系的基础设施 完备度不足,安全对信息化环境的覆盖面不全、与信息化各层次结合程度不高,安全运行可持续性 差、应急能力就绪度低、资源保障长期不充足,造成政企机构在面对“当前数字化业务的平稳、可靠、 有序和高效运营是否得到了充足的网络安全保障?”这个问题时普遍缺乏信心。 随着“十四五”期间数字化转型深入推进,政企机构网络安全形势将愈发严峻,网络安全能力不仅要达到 监管要求,更需要面向实战,保障数字化业务。习近平总书记强调,构建“关口前移,防患于未然”的网 络安全管理体系。“关口前移”是对落实网络安全防护的方法提出的重要要求,而“防患于未然”则形成了 鲜明的以防护效果为导向的指引要求。因此,政企机构应以“一体之两翼、驱动之双轮”作为其信息化和 网络安全的战略定位,以“统一谋划”作为落实“四统一”的起点,在做好“关口前移”的基础上,进一步加 强网络安全防护运行工作,将“局部整改”模式转变为体系化规划建设模式。在数字化转型建设工作中 引入“零信任”安全范式,在做好网络边界及网络段防护的基础上,进一步围绕人员和资源做好安全防 护;秉承“内生安全”理念,建立数字化环境内部无处不在的“免疫力”;以“三同步”原则,推进安全和信 息化的“全面覆盖、深度融合”,建设网络安全基础设施和实战化运行体系,并通过网络安全与信息化的 技术聚合、数据聚合、人才聚合,为信息化环境各层面及运维开发等领域注入“安全基因”,从而实现全 方位的网络安全防御能力体系,保障数字化业务安全。 政企机构应以系统工程方法论来指导网络安全体系的规划、设计和建设工作,除了保护IT资产,还须 关注人员、系统、数据以及运行支撑体系之间的交互关系,进行整体防护。面向叠加演进的基础结构 安全、网络纵深防御、积极防御和威胁情报等能力,识别、设计构成网络安全防御体系的基础设施、 平台、系统和工具集,并围绕可持续的实战化安全运行体系以数据驱动方式进行集成整合,从而构建 出动态综合的网络安全防御体系。应避免“以偏概全”的传统模式,以全覆盖、层次化思路进行规划设 计。以围绕网络的纵深防御体系为基础,进一步围绕数据确定防御重点,围绕人员开展实战化安全运 行,规划建设动态综合的网络安全防御体系,使安全能力全面覆盖云、终端、服务器、通信链路、网 络设备、安全设备、工控、人员等IT要素,避免局部盲区而导致的防御体系失效;还应将安全能力深 https://www.secrss.com/articles/19016 2/12 2021/3/2 网络安全全景视角下的新一代企业安全框架概述 - 安全内参 | 决策者的网络安全知识库 度融入物理、网络、系统、应用、数据与用户等各个层次,确保安全能力能在IT的各层次有效集成。 随着威胁向“有组织攻击”发展,政企机构应以可量化的方式识别能力上限和底线,打破“紧平衡”建设方 式来规划、设计和建设网络安全体系。借鉴2020年初抗“疫情”战役的经验教训,我们在进行规划与设 计时,要充分考虑随时可能突发的网络安全威胁升级情况,须本着“宁可备而不用、备而少用,不可用 而不备”的原则,在建设中预置可扩展的能力,在运行中预留出必要的应急资源,确保在面对网络空间 重大不确定性风险时数字化运营不会受到重大影响。 政企机构应建立实战化的安全运行体系,加强人防与技防融合,根据IT运维与开发的特点将安全人员 技能、经验与先进的安全技术相适配,通过持续的安全运行输出安全价值,确保安全阵型齐整。应将 安全运行工作中大量隐性活动显性化、标准化、条令化,将安全政策要求全面落实到具体责任岗位的 细致工作事项之中。通过安全运行流程打通团队协作机制,以威胁情报为主线支撑安全运行,提升响 应速度和预防水平;健全网络安全组织,明确岗位职责,建立人员能力素质模型和培训体系,形成安 全组织常设化、建制化,确保安全运行的可持续性。建立层级化的日常工作、协同响应、应急处置机 制,做到对任务事项、事件告警、情报预警、威胁线索等各个方面的管理闭环,面对突发威胁能快速 触发响应措施,迅速、弹性恢复业务运转。 2020年3月4日,中共中央政治局常务委员会召开了重点工作的会议。会议强调“要加快推进国家规划已 明确的重大工程和基础设施建设。要加大公共卫生服务、应急物资保障领域投入,加快5G网络、数据 中心等新型基础设施建设进度。要注重调动民间投资积极性。”这一决定将进一步加快我国各行业数字 化转型进程。“新基建”应以“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”为指引, 遵循“三同步”原则,以体系化规划建设网络安全的模式,构建安全与信息化“深度融合、全面覆盖”的内 生安全体系,保障数字化业务运营。 奇安信根据会议对当前经济社会运行提出的工作要求,结合当前政府、央企、金融、运营商等大型机 构的网络安全普遍性需求,借鉴了国内外众多大型机构运行多年的网络安全最佳实践,以及最新网络 安全技术研究成果,提出面向“十四五”期间的网络安全规划“十大工程、五大任务”建议框架,为政企 机构提供从“甲方视角、信息化视角、网络安全全景视角”出发的顶层规划与体系设计思路与建议。 二、奇安信新一代企业网络安全框架概述 奇安信新一代企业网络安全框架改变了以往“概念”引导加产品堆叠为主的规划模式,而是利用系统工 程方法论,从顶层视角建立安全体系全景视图以指导安全建设,强化安全与信息化的融合,提升网络 安全能力成熟度,凸显安全对业务的保障作用。 政企机构可借鉴“十大工程、五大任务”进行规划,以重点项目为抓手,合理调配资源、完善管理机制, 使网络安全体系建设工作能够得到充足保障和有力推动,从而在“十四五”期间通过升级、替换或重构的 方式实现网络安全能力演进提升,保障数字化业务平稳、可靠、有序和高效运营。 https://www.secrss.com/articles/19016 3/12 2021/3/2 网络安全全景视角下的新一代企业安全框架概述 - 安全内参 | 决策者的网络安全知识库 新一代企业网络安全框架(内生安全框架) 该网络安全框架的整体逻辑是:促进业务目标实现->以安全能力为导向->规划安全工程项目->建设落地 安全体系(

pdf文档 网络安全全景视角下的新一代企业安全框架概述 安全内参

安全报告 > 安全 > 文档预览
中文文档 12 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
网络安全全景视角下的新一代企业安全框架概述 安全内参  第 1 页 网络安全全景视角下的新一代企业安全框架概述 安全内参  第 2 页 网络安全全景视角下的新一代企业安全框架概述 安全内参  第 3 页
下载文档到电脑,方便使用
本文档由 思安2022-10-21 10:43:18上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。