奇安信紧扣企业数字化转型趋势和“新基建”建设要求,结合当前政府、央企、金融、运营商等大型机构的网络安全普遍需求,借鉴国内外大型机构网络安全最佳实践和网络安全架构研究成果,提出面向“十四五”期间的网络安全规划“十大工程、五大任务”建议框架,为政企机构提供从“甲方视角、信息化视角、网络安全全景视角”出发的顶层规划与体系设计思路与建议。
政企机构可借鉴“十大工程、五大任务”进行规划,以重点项目为抓手,合理调配资源、完善管理机制,使网络安全体系建设工作得到充足保障和有力推动,从而在“十四五”期间实现网络安全能力演进提升,保障数字化业务平稳、可靠、有序和高效运营。
一、数字化转型催生新一代网络安全框架
习近平总书记在中央网络安全和信息化领导小组的第一次会议上指出:“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。”指明了网络安全与信息化相互依存、同步发展的大方向,明确了“四个统一”缺一不可的体系化建设要求。在4·19网信工作座谈会上,总书记又提出要求:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”
全球经济已全面进入数字化转型期,中国也将数字化转型作为重要发展战略与经济驱动力。数字化转型是在信息化极大的降低了政企机构运营成本的基础上进一步把信息技术与政企机构业务运营、管理流程融合在一起形成了新的业务运营模式,显著提升了业务运营效率和效益;同时物联网、云、大数据、5G、智能制造等新技术的应用,也给政企机构带来了巨大的创新红利。
数字化转型带来了巨大的收益,但信息技术与业务的深度融合也使网络安全风险更加具有实质性的影响,网络安全问题对业务更加具有破坏性乃至灾难性,网络安全风险等同于业务运营风险;同时新技术的应用也对业务运营引入了更多新的风险。政企机构信息系统一旦被入侵或被破坏,将会直接危害到业务运营,进而危害到生产安全、社会安全、甚至国家安全,以往所有的收益也将“一失万无”。数字化转型对政企机构运营模式的转变是颠覆性的、不可逆转的,传统的信息化模式也将无法支撑目前经济环境下的业务运行要求,因此政企机构须立足于数字化运营的高要求模式来建设网络安全体系,为业务运营保驾护航。因此,广大政企机构应该将网络安全建设放在所有数字化转型举措的最前列。
2017年5月12日起,全球大规模爆发“永恒之蓝”勒索蠕虫(Wannacry)攻击事件,我国多家政府机构、大型企业和高校内网遭到勒索病毒攻击导致数据损失严重,严重干扰了正常运营,造成了巨大损失。2018年,多家机构发生了因数据库防护不足导致的大规模数据泄露事件,几亿用户数据遭到外泄,对业务运营造成了不可估量的严重后果。在2019年由公安部组织的“HW”中,政企机构面对这样一场有准备的防御战,其IT系统仍然鲜有保全。由此可见我国政企机构网络安全防护能力仍然较为薄弱,在历次重要“战役”中暴露出的网络安全体系化欠缺、能力碎片化严重、整体协同能力差、可弹性恢复能力严重缺失等问题亟待解决。
自2006年我国推行网络安全等级保护制度以来,政企机构已建成了基础性安防体系,保障了业务的运行。政企机构在其信息化到数字化的发展历程中采用的企业架构(Enterprise Architecture,EA)方法论对信息化发展起到很大的作用,引导规划建设了大规模、体系化、高效整合的业务运营体系,很好的支撑了业务运营。但与之不同的是,在网络安全领域缺乏以复杂系统思维引导的规划与建设实践,导致形成了以往以“局部整改”为主的安全建设模式,致使网络安全体系化缺失、碎片化严重,网络安全防御能力与数字化业务运营的高标准保障要求严重不相匹配。长期以来,由于政企安全体系的基础设施完备度不足,安全对信息化环境的覆盖面不全、与信息化各层次结合程度不高,安全运行可持续性差、应急能力就绪度低、资源保障长期不充足,造成政企机构在面对“当前数字化业务的平稳、可靠、有序和高效运营是否得到了充足的网络安全保障?”这个问题时普遍缺乏信心。
随着“十四五”期间数字化转型深入推进,政企机构网络安全形势将愈发严峻,网络安全能力不仅要达到监管要求,更需要面向实战,保障数字化业务。习近平总书记强调,构建“关口前移,防患于未然”的网络安全管理体系。“关口前移”是对落实网络安全防护的方法提出的重要要求,而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求。因此,政企机构应以“一体之两翼、驱动之双轮”作为其信息化和网络安全的战略定位,以“统一谋划”作为落实“四统一”的起点,在做好“关口前移”的基础上,进一步加强网络安全防护运行工作,将“局部整改”模式转变为体系化规划建设模式。在数字化转型建设工作中引入“零信任”安全范式,在做好网络边界及网络段防护的基础上,进一步围绕人员和资源做好安全防护;秉承“内生安全”理念,建立数字化环境内部无处不在的“免疫力”;以“三同步”原则,推进安全和信息化的“全面覆盖、深度融合”,建设网络安全基础设施和实战化运行体系,并通过网络安全与信息化的技术聚合、数据聚合、人才聚合,为信息化环境各层面及运维开发等领域注入“安全基因”,从而实现全方位的网络安全防御能力体系,保障数字化业务安全。
政企机构应以系统工程方法论来指导网络安全体系的规划、设计和建设工作,除了保护IT资产,还须关注人员、系统、数据以及运行支撑体系之间的交互关系,进行整体防护。面向叠加演进的基础结构安全、网络纵深防御、积极防御和威胁情报等能力,识别、设计构成网络安全防御体系的基础设施、平台、系统和工具集,并围绕可持续的实战化安全运行体系以数据驱动方式进行集成整合,从而构建出动态综合的网络安全防御体系。应避免“以偏概全”的传统模式,以全覆盖、层次化思路进行规划设计。以围绕网络的纵深防御体系为基础,进一步围绕数据确定防御重点,围绕人员开展实战化安全运行,规划建设动态综合的网络安全防御体系,使安全能力全面覆盖云、终端、服务器、通信链路、网络设备、安全设备、工控、人员等IT要素,避免局部盲区而导致的防御体系失效;还应将安全能力深度融入物理、网络、系统、应用、数据与用户等各个层次,确保安全能力能在IT的各层次有效集成。随着威胁向“有组织攻击”发展,政企机构应以可量化的方式识别能力上限和底线,打破“紧平衡”建设方式来规划、设计和建设网络安全体系。借鉴2020年初抗“疫情”战役的经验教训,我们在进行规划与设计时,要充分考虑随时可能突发的网络安全威胁升级情况,须本着“宁可备而不用、备而少用,不可用而不备”的原则,在建设中预置可扩展的能力,在运行中预留出必要的应急资源,确保在面对网络空间重大不确定性风险时数字化运营不会受到重大影响。
政企机构应建立实战化的安全运行体系,加强人防与技防融合,根据IT运维与开发的特点将安全人员技能、经验与先进的安全技术相适配,通过持续的安全运行输出安全价值,确保安全阵型齐整。应将安全运行工作中大量隐性活动显性化、标准化、条令化,将安全政策要求全面落实到具体责任岗位的细致工作事项之中。通过安全运行流程打通团队协作机制,以威胁情报为主线支撑安全运行,提升响应速度和预防水平;健全网络安全组织,明确岗位职责,建立人员能力素质模型和培训体系,形成安全组织常设化、建制化,确保安全运行的可持续性。建立层级化的日常工作、协同响应、应急处置机制,做到对任务事项、事件告警、情报预警、威胁线索等各个方面的管理闭环,面对突发威胁能快速触发响应措施,迅速、弹性恢复业务运转。
2020年3月4日,中共中央政治局常务委员会召开了重点工作的会议。会议强调“要加快推进国家规划已明确的重大工程和基础设施建设。要加大公共卫生服务、应急物资保障领域投入,加快5G网络、数据中心等新型基础设施建设进度。要注重调动民间投资积极性。”这一决定将进一步加快我国各行业数字化转型进程。“新基建”应以“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”为指引,遵循“三同步”原则,以体系化规划建设网络安全的模式,构建安全与信息化“深度融合、全面覆盖”的内生安全体系,保障数字化业务运营。
奇安信根据会议对当前经济社会运行提出的工作要求,结合当前政府、央企、金融、运营商等大型机构的网络安全普遍性需求,借鉴了国内外众多大型机构运行多年的网络安全最佳实践,以及最新网络安全技术研究成果,提出面向“十四五”期间的网络安全规划“十大工程、五大任务”建议框架,为政企机构提供从“甲方视角、信息化视角、网络安全全景视角”出发的顶层规划与体系设计思路与建议。
二、奇安信新一代企业网络安全框架概述
奇安信新一代企业网络安全框架改变了以往“概念”引导加产品堆叠为主的规划模式,而是利用系统工程方法论,从顶层视角建立安全体系全景视图以指导安全建设,强化安全与信息化的融合,提升网络安全能力成熟度,凸显安全对业务的保障作用。
政企机构可借鉴“十大工程、五大任务”进行规划,以重点项目为抓手,合理调配资源、完善管理机制,使网络安全体系建设工作能够得到充足保障和有力推动,从而在“十四五”期间通过升级、替换或重构的方式实现网络安全能力演进提升,保障数字化业务平稳、可靠、有序和高效运营。
新一代企业网络安全框架(内生安全框架)
该网络安全框架的整体逻辑是:促进业务目标实现->以安全能力为导向->规划安全工程项目->建设落地安全体系(技术+运行)->提升安全能力->促进业务目标。网络安全框架的核心目标是促进政企数字化业务。为实现该业务目标,网络安全建设应以网络安全能力为导向,遵循叠加演进的网络安全能力滑动标尺模型,在基础架构、纵深防御、积极防御、威胁情报等不同类别的安全能力方面,找准能力差距,明确具体的安全能力目标。为有效形成和持续提升网络安全能力,根据甲方用户的信息化建设视角,规划网络安全领域的十大工程和五大任务,这些工程和任务基本覆盖了信息化建设的各种场景,也可以根据实际规划需要进行组合或拆分。在安全项目建设过程中,主要落脚点是安全技术体系和安全运行体系,其中安全技术体系反映了各个安全技术领域的能力和部署方式,安全运行体系则是为了克服安全产品无效堆叠的弊端,着眼实战化要求,提升安全运行能力,打通人+技术+流程,以实现识别-防护-检测-响应的有效闭环。
三、网络安全能力滑动标尺模型
我们认为,网络安全建设应以网络安全能力为导向。而国际知名网络安全研究机构SANS提出的网络安全“滑动标尺”模型正是这样一种网络安全能力模型。以奇安信为代表的国内能力型安全厂商,在取得共识后对该模式进行了延伸拓展,形成了叠加演进的网络空间安全能力分析模型,为国内各大政企网络机构的安全建设工作提供能力参考框架。
该模型将网空安全能力分为五大类别,即结构安全(Architecture)、纵深防御(Defense in Depth)、积极防御(Active Defense)、威胁情报(Intelligence)和反制进攻(Counter)。其中,结构安全、纵深防御、积极防御、威胁情报这4类能力是一个完备的企业级网络空间安全防御体系所需的,而反制进攻能力主要由国家级网络防御体系提供(故不重点描述)。各类安全能力的具体含义是:
1)结构安全类别的安全能力:是在信息化环境中的基础设施结构组件和应用系统中嵌入/实现的安全能力。具体包括网络分区分域、系统安全(资产/配置/漏洞/补丁管理)、应用开发安全、身份与访问、数据安全、日志采集等。其主要防御意图是收缩IT环境各个层面的攻击暴露面。这类安全能力需要在网络与信息系统的规划、设计、建设和维护过程中充分考虑,有较强的内生安全含义。反映了安全与IT的深度结合。
2)纵深防御类别的安全能力:是以层次化方式部署的附加在网络、系统、应用环境等IT基础架构之上的相对静态、被动、外挂式的安全能力。具体包括网络边界防护、数据中心边界防护、局域网络安全、广域网络安全、终端安全、主机加固等。通常无需人员持续介入,其防御思想是通过层次化防御,逐层收缩攻击暴露面来消耗攻击者资源,以阻止中低水平攻击者的攻击活动。
3)积极防御类别的安全能力:是强调持续监控的更加积极、主动、动态的体系化安全能力。具体包括日志汇聚、安全事件分析、安全编排与自动化、内部威胁防控等安全能力。通常需要安全分析人员依托托态势感知平台进行安全事件的分析、研判和响应处置。其防御思想是通过体系化监控,及时发现和阻止中高水平攻击者的攻击活动。
4)威胁情报类别的安全能力:是强调引入企业外部威胁情报信息以增强对企业内部网络威胁的识别、理解和预见性的安全能力。具体包括情报收集、情报生产、情报使用、情报共享等安全能力。它既包括引入企业外部威胁情报,也包括生产加工企业内部威胁情报。其防御思想是通过扩大威胁视野(即从企业内部转向企业外部),填补已知威胁的知识缺口并驱动积极防御过程,为更全面及时地发现和阻止高水平攻击者的攻击活动提供决策支持。
5)反制进攻类别的安全能力:是以自卫为目的针对网络攻击者采取合法反制措施和网络反击行动的能力。具体包括取证溯源、攻击链阻断、网络渗透等攻击性网络安全能力。其防御思想是采用进攻方式达成防御效果。
我们在安全规划中使用该滑动标尺模型的原因,在于其具有如下的关键特性:
1)反映能力导向的建设思路:该模型适合指导安全建设;而大家熟知的CARTA模型、PPDR模型则主要用于安全评估,并不太适用于安全建设。这种能力导向的建设思路,实际上贯穿了后面将要介绍的十大工程和五大任务之中。
2)反映安全能力的成熟度:该模型反映了安全能力的成熟度,在标尺上位于左侧的类别可为其右侧的其他类别建立必要的基础支撑,使右侧类别更易实现、更有用且占用更少的资源。
3)反映投入与产出的关系:该模型有助于理解资源投入与产出价值的关系。如下图所示,比较而言,五种类别的安全价值依次减小,而资源投入却逐步增加。组织应该根据对投资回报的期望情况,确定重点实施何种类别的安全能力,以及何时将重点转移到其他类别。一般而言,如果组织在结构安全和纵深防御方面采取的措施欠佳,则很难通过积极防御措施取得成效,更别说尝试威胁情报和反制进攻。因此,组织应该先从标尺左侧的类别开始投入资源(左侧类别所需的资源投入通常更小),打好扎实的基础,然后再逐步转移到标尺右侧的各个类别(右侧类别所需的资源投入通常更大)。
在实现结构安全和纵深防御这两个基础类别的安全能力时,非常重要的一点是确保安全能力的深度结合、全面覆盖。深度结合是指安全能力需要与信息技术栈紧密结合;全面覆盖是指安全能力要覆盖所有的业务场景,包括连接、访问、共享、数据、服务、指挥控制、态势感知等。比如,在下面的云数据中心场景中,我们给出了安全能力在IT不同层次的安全控制方式,充分反映了深度结合的思想。
四、“十大工程、五大任务”概述
新一代网络安全框架在规划层面,以实体工程和支撑能力两个维度,将网络安全体系规划内容划分为十大工程和五大任务。
十四五期间的“十大工程”和“五大任务”
关于图中工程与任务的主要区别:工程一般由安全团队主导建设,任务则是安全团队辅助参与;工程一般产生安全系统、平台,可由安全厂商的产品进行搭建;任务一般形成能力、流程、制度,可由安全厂商的服务进行支持。
针对每个工程/任务,我们绘制了总体架构图,全面展现了该领域的安全能力全景,以及能力组件之间的逻辑联系,对规划落地起到指引作用。
针对每个工程/任务,我们还阐述了该领域的建设背景、覆盖内容、建设要点以及与IT关键业务聚合点、工程主要参与方、覆盖点、建成系统与交付成果、对接系统,用以帮助政企机构在规划、设计中把握要点,明确各相关部门、组织的协同职责,打通与其它系统的交互。
工程一:新一代身份安全
大数据、物联网、云计算等技术的应用改变了传统身份管理和使用模式,传统身份管理无法满足数字化身份管理需求。本工程立足于信息化和网络安全双基础设施的定位,构建基于属性的身份管理与访问控制体系,全面纳管数字化身份,为网络安全与业务运营奠定基础,保障业务运营。
工程二:重构企业级网络纵深防御
混合云、物联网、工业生产网、卫星通信等技术应用产生更多网络出口,管理复杂、安全风险剧增。本工程采用标准化、模块化的网络安全防护集群,适配网络节点接入模式,构建覆盖多层次的网络纵深防御体系,保障业务运营。
工程三:数字化终端及接入环境安全
数字化时代终端安全管理的复杂性上升,终端类别繁多、管控难度加大,接入安全、数据安全风险剧增。本工程在终端和接入环境上构建一体化终端安全技术栈,构建全面覆盖多场景的数字化终端安全管理体系,保障业务运营。
工程四:面向云的数据中心安全防护
云数据中心将逐渐取代传统数据中心,应用场景日趋复杂,多种业务混合交织,业务风险增大。本工程立足于面向混合云模式,将安全能力深入融合到云数据中心多层次的网络纵深和组件中,同时满足传统数据中心安全和云计算安全要求,保障业务运营。
工程五:面向大数据应用的数据安全防护
数据集中导致风险集中,数据流转产生更多攻击面、数据应用场景繁多复杂,数据风险加大。本工程以数据安全治理为基础,将数据生命周期与数据应用场景结合,严控数据流转与使用,加强行为监控与审计,确保数据安全,保障业务运营。
工程六:面向实战化的全局态势感知体系
以往态势感知系统重视安全数据展现却忽略安全运行所需要的安全数据分析能力,支撑安全实战的有效性不足。本工程覆盖所有信息资产的全面实时安全监测,持续检验安全防御机制的有效性、动态分析安全威胁并及时处置。实现全面安全态势分析、逐级钻取调查、安全溯源和取证,保障业务运营。
工程七:面向资产/漏洞/配置/补丁的系统安全
资产、配置、漏洞、补丁是安全工作的基础,但却是各大机构的安全体系的最短板。本工程建设以数据驱动的系统安全运行体系,聚合IT资产、配置、漏洞、补丁等数据,提高漏洞修复的确定性,实现及时、准确、可持续的系统安全保护,夯实业务系统安全基础,保障IT及业务有序运行。
工程八:工业生产网安全防护
工业生产是生产类企业的根基与命脉,但长期以来企业工业生产网安全防护普遍缺失。本工程面向工控网络内部、工控与IT网络边界、数据采集与运维、集团总部数据中心构建多层次安全措施,强化纵深防御,并全面掌握工业生产网的安全态势,保护工控生产运行安全,保障业务运营。
工程九:内部威胁防控体系
内部人员违规、越权、滥权等异常操作或无意识操作将导致严重的业务损失。本工程构建内部威胁安全管控体系,基于操作监控、访问控制、行为分析等手段,结合管控制度、意识培训等管理措施,提升内部威胁防护能力,保障业务运营。
工程十:密码专项
本工程秉承“内生安全”理念,规划、设计密码体系,实现密码与信息系统、数据和业务应用紧密结合,支撑业务系统密码服务需求,满足密码相关的法律要求。
任务一:实战化安全运行能力建设
数字化时期的威胁瞬息万变,按次开展的安全检查与测评模式无法达到业务安全保障要求。本任务建立实战化的安全运行体系,全面涵盖安全团队、安全运行流程、安全操作规程、安全运行支撑平台和安全工具等,并持续的评估、优化,持续提升安全运行成熟度,以达成对信息系统的持久性防护,保障业务运营。
任务二:应用安全能力支撑
应用系统建设过程中安全长期缺位,安全与信息化建设普遍割裂,系统带病上线,后期整改困难。本任务结合开发运行一体化(DevOps)模式,推进安全能力与信息系统持续集成,使安全属性内生于信息系统,保持敏捷的同时满足合规,使信息系统天然具有免疫力,保障业务运营。
任务三:安全人员能力支撑
人是安全的尺度,人的能力决定安全体系建设和运行的能力。本任务设计企业网络安全团队、设置岗位与能力要求,开展能力实训,建设网络安全实战训练靶场,提升人员的实战能力,形成安全团队建制化,保障业务运营。
任务四:物联网安全能力支撑
物联网设备类型碎片化、网络异构化、部署泛在化的特性引入了大量安全风险。本任务结合物联网“端边云”的架构,构建具有灵活性、自适应性和边云协同能力的物联网安全支撑体系,保障业务运营。
任务五:业务安全能力支撑
数字化业务剧增,由恶意操作、误操作行为引发的业务风险显著增长,造成政企机构利益、声誉的巨大损失。本任务聚合业务与行为数据,利用大数据分析技术,保护客户隐私、交易安全,加强欺诈防范,打击涉黄、涉政等行为,保障业务运营。
五、技术体系与运行体系
前面提到,安全建设的落脚点是安全技术体系和安全运行体系。十大工程五大任务的技术体系如下图所示:
企业网络安全体系部署全景图
1)全景图包含了企业客户的各种业务场景,比如在总部级,包括总部数据中心、总部灾备中心、总部互联网出口/入口、总部运行中心、总部网络中心、总部办公区等;在区域级,包括区域数据中心、区域网络中心、区域运行中心、开发中心、区域互联网出口/入口等;在分支级,包括智慧园区、工业生产区、驻外机构、服务网点等。
2)全景图区分了信息化组件(以绿色标记)和网络安全组件(以红色标记)类型,展示了网络安全与信息化结合的方式。体现了内生安全之义。
2)全景图对不同的网络链路类型进行了标注,区分了业务网络链路、管理网络链路、管理/业务网络链路、外部网络链路。
3)全景图还标注了所有的数据流向,比如对互联网入口和出口进行了明确区分。
下图对一个具体的场景,即企业主数据中心,进行局部放大:
可以看到,此数据中心划分为多个区域,如大数据平台区、DMZ区(包含对外开放的各种应用系统的前置服务器等)、基础信息系统区(包含邮件、企业网盘、即时通信、目录服务、ITSM等基础性信息系统)、应用系统区(包含人力资源、OA、ERP、电商平台等企业应用系统)、数据中心出入口、云平台管理区、企业级安全平台区等;
以红色表示的各种安全组件,按需部署在上述的各个区域中。比如大数据平台区部署了数据安全交换、数据脱敏等;基础信息系统区针对邮件系统部署邮件安全网关,针对企业网盘系统部署数据泄露检测、办公文件安全备份等;数据中心出入口部署了一套网络安全栈;企业级安全平台区则集中部署了各种全局性的安全平台,如身份类、密码类、数据安全类、终端类、系统安全类、态势类等多种安全管理平台;云平台管理区部署了云平台底层网络安全防护类、云平台安全管理类、安全资源池类、主机代理类、系统安全类等多种安全套件,还对各类套件进行了组件分解。此外,主机代理类、安全资源池、网络分区隔离组件、分布式扫描器等安全组件广泛地分布在各个安全区域中。
十大工程五大任务的运行目标状态如下图所示:
十大工程五大任务的运行目标状态图
该运行图表现了十五项工程/任务之间的关联关系,所建安全系统/平台之间的数据流关系,安全系统/平台与IT运维管理、应用开发之间的集成关系。反映了确保十大工程五大任务有效运行所不可或缺的关系性、流程性约束关系,是对我们反复强调安全运行的最好注解。
声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。