网络安全的建设并非一蹴而就,需要过程和投入,如果缺乏系统思考必然会导致只重视解决眼前问题,而缺乏长远的规划,这种短期行为的规划最终会造成头痛医头、顾此失彼、重复建设等问题。

纵观现有文献,规划思路多以合规为出发点,侧重于宏观的安全框架设计和产品级的安全方案,缺乏整体网络安全能力发展路线和建设过程规划的论述和考量,即仅构建了网络安全建设的远景、目标、框架,而未进行任务和行动路线的规划,虽然对后续建设有相关借鉴,但是无法指导建设的先后次序和过程规划,而实施路径对网络安全规划能否顺利和真正落地起着重要作用。

因此,本文结合等级保护合规要求和网络安全能力滑动标尺模型,对高校网络安全规划方法进行优化,特别探索了安全规划实施路径的设计,并以某高校为例,阐述了方法在高校网络规划编制及实践过程中的应用,为其他高校的规划工作提供借鉴,具有一定的理论和实践意义。

01 基于安全能力的规划思路

网络安全法将网络安全定义为:“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。

定义中指明了网络安全的目标,即使网络可靠运行和保障网络数据安全属性,同时将网络安全描述为一种能力。在国家和教育行业相关要求中,也均强调了提升网络安全防护和保障能力。

《网络安全等级保护基本要求》[1]中,描述了不同级别的等级保护对象应具备的基本安全保护能力要求,可以发现标准将网络安全能力分解成了防护、发现处置和恢复三方面;而等级保护的技术框架参考美国信息保障技术框架(IATF)设计思想,主要强调“一个中心,三重防护”,为了达到相应级别的网络安全能力,重点关注安全计算环境、安全区域边界、安全通信网络和安全管理中心等四个保障领域,针对各领域制定了控制点和要求项,作为实现安全能力的必要条件。

但是通过对国家网络安全相关标准研究发现,各现行标准中的要求均偏静态,虽然指明了不同级别安全防护应具有的能力要求和措施,但是并没有提出建设的路线指导或者建议。

网络安全能力滑动标尺模型[2]是美国系统网络安全协会(SANS)于2015年提出的指导安全防护体系能力建设的基本遵循和标准,国内也有一些学者对其结构和使用进行了研究[3-5]

图1 网络安全能力滑动标尺

网络安全能力滑动标尺模型结构如图1所示,模型将网络安全建设发展过程依据安全保护能力的成熟度分为了基础架构安全、纵深防御、主动防御、威胁情报、进攻反制五个阶段。

该模型认为,组织整体网络安全能力的提升是一个非割裂的连续过程,一个组织机构的网络安全体系的构建及能力提升应按照这五大阶段进行叠加演进,每一阶段的能力均依赖于前一阶段的建设。标尺左侧的安全能力是右侧的安全能力的基础,从左至右,安全能力不断演进,整体防护能力实现叠加,协同联动成整体的安全能力。

图2 技术、管理、运行措施映射

模型建立了一个分类框架,可以把网络安全相关的各类工作如技术措施、管理手段、运行措施等依据在网络安全中不同的作用,如图2所示映射到模型中的各个阶段,并对各阶段工作进行整体考虑。

该模型很好地解决了传统安全模型无法根据建设阶段进行安全能力成熟度评价的问题,每一阶段的安全能力都可以在模型上体现出来,随着安全措施从基础架构安全到进攻反制阶段中的不断增加,安全能力成熟度也随之提升。

《网络安全等级保护基本要求》提供了系统的对应级别的安全能力建设措施和要求,而滑动标尺模型则指明了网络安全能力建设的路线,通过对等级保护要求进行分解和对照,可以将相关的要求映射到滑动标尺模型不同的阶段。

例如,在等保二级系统基本要求中,对安全通信网络“应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段”的要求,可以映射为滑动标尺基础架构安全阶段的措施;

三级系统基本要求中安全区域边界“应对进出网络的数据流实现基于应用协议和应用内容的访问控制”的要求,作为对传统防火墙基本隔离措施的扩展,则可以映射为滑动标尺模型纵深防御阶段的措施;

同样,三级系统安全管理中心集中管控“应能对网络中发生的各类安全事件进行识别、报警和分析”的要求,作为对安全事件的检测响应,则可以映射至滑动标尺模型主动防御的阶段措施。

一旦完成了这些映射,在规划中就可以按照滑动标尺模型,从左至右地选择相应的措施,形成安全能力叠加演进的合理规划路径。

同时,结合等保测评结果和落实的措施,也可以映射出当前系统在滑动标尺模型中所处的位置。

例如高校很多系统定位为等保二级,建设主要以等保合规为主要目标展开,对照等保二级的技术要求,手段还是以基础安全域划分、传统防火墙边界隔离、终端防病毒等措施为主,对比滑动标尺模型,安全能力基本处于第一阶段基础架构安全水平;

对于普通等保三级系统,实现了如应用层防护、DMZ区域划分、邮件、无线系统安全、访问控制策略细化等要求,能通过三级测评,可以达到第二阶段纵深防御初步的能力水平;

一些建设比较好的三级系统,实现了等保要求中日志流量监测、安全事件中心、态势感知系统之类的要求,能够通过三级等保测评并获得优类的成绩,则具备了部分第三阶段主动防御的安全能力;

对于诸如金融、大型互联网等行业的系统,则在行业和业务对安全的更高需求下,可能达到后续阶段的安全能力。

而了解系统网络安全能力所处的位置,可以为网络安全规划提供出发点和依据。

综上所述,滑动标尺模型和等保标准体系从不同的角度对网络安全建设提出了解读和要求。等保标准明确了达到相应等级安全能力的偏静态措施要求,基于等保合规的网络安全工作是网络安全建设有效的必要条件。

但是网络安全呈现出复杂、多样趋势,高校仅以合规导向进行安全建设,难以满足实际安全需求,所以不应仅限于对标等保要求某功能“有没有、做没做”,而应开展能力导向的网络安全建设。

合理的实施路径规划则是网络安全建设有效的充分条件,滑动标尺模型提出了安全能力演进提升的动态方向,可以直观地映射当前“可确认、可度量”的安全能力级别,并为规划实施路径指明起点和方向。两者并不矛盾,而且可以相互结合,在实践中共同指导网络安全的规划和建设。

02 规划案例实践

本节基于笔者参与的某高校网络安全规划案例,对结合等保和网络安全能力滑动标尺模型,以能力为导向的规划路径实际应用进行讨论。

规划背景

该高校已经进行了初步的网络安全建设,部分信息系统完成了等保的定级备案和测评工作,在等保测评过程中依照合规要求进行了相应的整改,获得了等保通过的测评结论,但是在实际运行过程中,各类安全事件还是时有发生。

为了提高网络安全能力,该高校计划配合信息化建设三年规划,制定网络安全三年规划,为下一步网络安全建设提供具有操作性的指导。

现状分析

该校共进行了10个等保二级系统的测评工作,其中技术方面包含物理机房1个,共22个测评项;网络全局共计28个测评项;网络设备8台,安全设备13台,共178个测评项;服务器55台,495个测评项;数据库10个,70个测评项;应用系统10个,共91个测评项;管理方面测评覆盖10个系统,共计619个测评项;同时根据校外访问权限及系统业务特点等,测评过程中从互联网对其中的6个系统进行了漏洞扫描,在服务器区域对9个系统进行了扫描。

整个测评工作范围覆盖了该校主要信息系统,而其他未定级和测评的信息系统网络安全运行模式和安全防护机制与这些系统也基本相似,测评结果能够基本真实地反映学校当前的安全状况,因此本次规划的现状分析以等级保护测评结果为基础。

依据测评结果,整体上当前该校网络安全工作路线以关注合规为主,安全规划建设和考核大多采用了对标、合规等思想;组织机构上网络安全管理部门和业务、运行部门分离;网络安全工作流程上安全制度和流程的设计和执行分离,重建设而轻执行;技术上主要使用产品级的安全方案,仅限于某功能“有没有、做没做”,安全产品堆叠却无法发挥实效;人员上以管理和合规为主,缺乏专业安全技术人员。

进一步对等保具体要求项测评结果情况进行汇总和统计,结合系统情况对其中不符合和部分符合项进行分析,形成当前网络安全的主要问题,其中部分主要问题见表1,对安全管理等层面也进行了类似的汇总和分析。

表1 主要技术问题示例

建设路线规划

结合上文分析结果,按照规划思路,将当前安全措施和相关问题映射至滑动标尺模型,经分析当前该校的网络安全基本处于滑动标尺模型的第一阶段。

以此为出发点,并结合该校信息化三年规划的建设愿景,结合网络安全能力滑动标尺模型的阶段划分,确定了该校网络安全三年规划的年度工作目标,如图3所示。即通过三年时间,逐年提高,最终建立具备主动防御能力的网络安全体系。

图3 基于安全能力滑动标尺的规划年度工作目标

为实现此年度工作目标,将规划内容进一步分解,技术上延续等保“一个中心,三重防护”的技术框架,将等保管理要求中安全管理机构和安全人员管理内容整合成安全组织框架,将等保管理要求中安全管理制度、安全建设管理和安全运维管理内容整合成安全体系框架,最终将年度工作目标具体分解到技术、组织、体系三个维度,形成总体规划年度建设路线,如图4所示。

图4 总体规划年度建设路线

在技术、组织、体系三个维度的各自年度目标基础上,分别进行具体内容的进一步分解,结合图2中技术、管理、运行措施与网络安全能力滑动标尺模型各阶段的映射关系,形成各维度年度具体的工作内容,并结合工作内容,形成考核指标等。形成的安全技术规划年度建设内容路线如图5所示,其他组织、体系、考核指标等维度的规划路线思路类似。

图5 安全技术规划年度建设内容路线

参考等保相关要求和网络安全业界最佳实践,将各维度年度建设内容划分成具体的执行任务,并结合各具体任务的依赖关系等,生成规划的实施计划路线甘特图,如图6所示。

图6 规划实施计划路线

最终形成了网络安全建设覆盖从远景、目标、框架到任务、行动路线的完整规划内容。

实施路径对网络安全规划能否顺利和真正落地起着重要作用,而既有研究主要构建高校网络安全建设的远景、目标、框架,但是缺乏对具体行动路线和任务规划的研究。

本文将网络安全能力滑动标尺模型与等保相关标准要求相结合,形成了以网络安全能力叠加演进发展为导向的网络安全规划方法,并结合某高校网络安全三年规划的设计实例展示了此方法的具体应用,丰富了现有的研究视角,为高校网络安全规划思路提供可行的借鉴和参考。

参考文献

[1]信息安全技术网络安全等级保护基本要求[S].2019.

[2]Lee R M.The Sliding Scale of Cyber Security [Z].2015.

[3]刘卫群,王建忠,袁帅,等.基于安全滑动标尺的航天领域专用网络纵深防御体系研究[A].第八届中国指挥控制大会论文集[C].2020.

[4]李化玉.基于网络安全滑动标尺的安全防护体系建设探讨[J].科技视界.2019(10):228-229.

[5]段垚,从网络安全滑动标尺模型谈信息系统安全防护[J].数字化用户.2019,25(16):56-57.

作者:庄严(中国科学技术大学网络信息中心)

声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。