網絡安全規劃研究建設實踐
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡安全規劃研究建設實踐范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:以“六統一”暨“統一規劃、統一設計、統一標準、統一建設、統一管理、統一運維”把原來分散在多部門的業務系統以業務數據應用采集、梳理為導向,以云計算、云存儲、云安全等技術手段進行分析匯聚,打通信息孤島,形成互聯互通、數據共享、業務協同、統一高效的“互聯網+”平臺。為此,以系統化方式規劃統籌網絡安全建設,推進信息系統整合提升。著力于“統籌風險,精益安全,持續推進,人機共智”從四個方向進行系統安全能力建設,確定了可實施的中長期信息系統安全建設路徑,推進業務系統整合數據共享。
關鍵詞:信息系統;網絡安全;規劃;云安全;大數據;安全治理
1基礎條件
近年來多部門整合成為一種趨勢,然而信息網絡基礎環境參差不齊,安全等級和潛在風險各不相同,存在著安全建設割裂,脆弱面無法控制等問題。其次,各應用系統之間的數據接口安全[1]、主機安全、應用安全、安全邊界劃分等均存在不同程度的風險[2]。為此,將信息安全建設作為業務信息化發展的“護航措施”,堅持以安全風險精準分析為前提,以安全合規為基本目標,以全周期立體防護為建設核心,以主動發現潛在高危風險為防護導向,結合信息安全管理體系和組織流程設計,逐步構建全網安全運營體系,實現網絡安全的綜合治理和閉環管理,為業務信息化飛速發展保駕護航。
2規劃研究
2.1能力應用方向
聚焦信息化系統業務類型和需求,梳理、匯總本部門信息系統安全建設內容,圍繞“體系合規,面向實戰,常態保護”的安全建設目標,結合《網絡安全法》[3],網絡安全等級保護,《信息安全管理體系要求》等法規和建設標準,重點建設四方面網絡安全能力暨統籌風險能力:制定體系化的風險控制機制統籌各類風險,針對各類威脅構建防御、檢測、響應閉環,將網絡安全風險控制在可接受程度;精益安全能力:制定基于信任等級授予特定訪問權限,并持續監控訪問過程,調整信任等級和訪問權限,基于信息化系統的實際業務訪問和數據交換需求,建立精益信任控制能力;持續推進能力:構建持續的安全推進能力,承接內外部安全需求,整合安全建設中各類技術,形成聚焦“人員-技術-流程”的安全運營機制,以保障安全能力落地,提升安全運行效能;人機共智能力:對不斷變化的內外部威脅和訪問行為模式,以及技術手段和流程要求,需要具備對已知場景進行學習,進一步推理未知問題,提出解決方案的能力。需要借助人員能力、機器能力、人工智能等分析、應用手段,對未知威脅進行分析研判,同時為工作人員提供輔助分析和決策支撐。
2.2安全建設方面
基于安全能力建設方向,聚焦業務保護,以“體系合規、實戰有效、常態保護”為目標,規劃信息系統網絡安全建設框架,包含:“目標、能力、措施、實踐”四個層次,自上而下牽引安全能力落地。目標層以“體系合規,實戰有效,常態保護”為建設目標,能力層構建四方面安全能力,措施層形成技術、管理、運營三方面措施手段,實踐層實現面向合規遵循、實戰對抗、業務保護等具體需求場景。
2.3建設分析
為了明確建設內容,規劃建設階段,將四方面能力細分為多個功能模塊,創新網絡安全微服務架構,每一個功能模塊對應一個安全建設實踐點。功能模塊落地實踐過程劃分為三個階段,分別是結構化安全,自適應安全,智慧化安全,依次對應逐漸增強的安全能力。將當前已具備的安全能力對標,得到當前安全能力現狀。同時用相同方法描述目標應具備的安全能力項。目標與現狀間缺失的安全能力項,定義為能力差距暨現階段建設內容。進一步將建設內容按照建設時間細分為三個階段,分別是完善結構化安全能力,全面構建自適應安全能力,初步具備智慧化安全能力。當前建設階段位于全面構建自適應安全能力的中期。
3建設實戰演練
信息系統安全建設通過建立自適應安全為核心理念的網絡安全管理與運營機制,在已有安全建設基礎上,主要建設成果包括以下幾個方面:
3.1構建基本風險控制閉環能力
通過下一代防火墻、態勢感知檢測響應、安全云端、安全運營平臺,初步構建“網-端-云-平臺”一體化框架進行風險控制閉環。框架中,下一代防火墻、態勢感知檢測響應等網絡和端點安全設備持續采集網絡和端點側流量日志,安全云端和本地安全運營平臺通過發現和關聯流量日志中各類攻擊威脅失陷標志,找出入侵攻擊鏈,進一步在網絡和端點側進行控制處置,切斷攻擊鏈。
3.2建立初步的信任評估和控制機制
以上網行為管理和SSLVPN設備組件為基礎,對接各類型終端,入網前基于設備狀態和身份信息進行信任等級判定。并建立內部應用訪問身份認證機制。下一階段工作通過零信任技術建立更全面的訪問前信息采集和持續評估能力,進一步打通網絡、應用、數據訪問的身份和信任判決及控制。
3.3建立本地化安全運營能力
基于安全運營平臺,將全網終端威脅、網絡攻擊及業務系統安全通過大屏可視化的方式呈現,結合外部安全服務專家專屬服務化的方式,實現了網絡安全的閉環響應與處置,同時為內部人員提供信息安全知識與技能,沉淀本地知識經驗庫;基于安全運營平臺分析結果進行決策,指導各部門開展網絡安全工作;通過網絡安全運營平臺指導安全建設,提供安全策略優化指導,全面提升系統安全運營能力。
3.4構建針對未知威脅防控的人機共智能力
基于本地安全運營平臺、下一代防火墻、態勢感知檢測響應等設備組件中人工智能算法,借助安全云端的全球威脅情報和安全大數據分析輔助,初步構建針對已知和未知Web攻擊、僵尸網絡、各類型病毒、漏洞利用、部分APT攻擊和異常業務行為的檢測識別能力。通過演練成果應用,實現了滿足等級保護2.0合規要求,具備在實戰化攻防對抗中抵御攻擊、快速恢復能力,同時日常服務運維過程中對各類型業務和數據提供常態化安全防護。
4創新性與價值
信息系統安全建設基于自身信息化業務需求和網絡安全監管法規要求,以“體系合規,面向實戰,常態保護”為目標,“統籌風險,精益安全,持續推進,人機共智”為安全能力構建方向,逐步推進建設落地。規劃建設過程,體現了以下幾方面特色和優勢:(1)體系化統籌,從高層要求、監管法規等業務和內外部需求出發,從風險、安全、推進、智能四方面,體系化地規劃安全能力和落地過程[5]。(2)全面保障,整個建設理念和框架覆蓋的保護對象從物理環境,到網絡、主機、邊界等各層面,并對各類型業務和場景具有普適性。(3)面向未來,利用人機共智的三位一體能力,以及階段性演進的成熟度坐標,規劃面向未來的能力演進體系。(4)有效落地,創新網絡安全微服務架構,提升自動化管理效率,利用專家服務和輔助決策降低人員門檻,進一步通過可視化指標體系呈現安全建設績效。
5結束語
通過信息化、數字化手段為業務構筑高質量發展基石應用,在這一過程中,面對內外部威脅的不斷增加,合規監管日趨嚴格,人員能力水平有限等挑戰,聚焦信息化系統業務類型和需求,以系統、全局、科學的方式進行網絡安全統籌規劃、建設落地,有效提升信息系統安全防護能力和運行效能,為各業務系統提供高質量的網絡安全防護和數據共享安全。
參考文獻:
[1]馬玉成.青海省市場監管信息系統運維規范.
[2]陶利軍.浙江省市場監管信息化建設回顧與展望[J].中國市場監管研究,2019,000(002):58-61.
[3]董楊慧,謝友寧.大數據視野下的數據泄露與安全管理——基于90個數據泄露事件的分析[J].情報雜志,2014(11):154-158.
[4]李艷,王純子,黃光球,等.網絡安全態勢感知分析框架與實現方法比較[J].電子學報,2019,47(04):161-179.
[5]王春暉.《網絡安全法》六大法律制度解析[J].南京郵電大學學報(自然科學版),2017(1).
作者:馬玉成 周莉 周繼輝 楊志兵 單位:青海省市場監督管理局
