新基建.jpg" alt="新基建.jpg"/>
一、數(shù)字化從可選變成必選
2020年開(kāi)端,一場(chǎng)突如其來(lái)的新型冠狀疫情,,無(wú)形中加速了全球擁抱數(shù)字化的步伐,。從疫情防控到遠(yuǎn)程辦公,人類(lèi)社會(huì)首次大范圍感受到數(shù)字化轉(zhuǎn)型帶來(lái)的效率提升。數(shù)字化已經(jīng)成為治理體系和治理能力現(xiàn)代化建設(shè)的必要一環(huán),。3月4日,,中央政治局會(huì)議強(qiáng)調(diào)加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè),,為我國(guó)數(shù)字化轉(zhuǎn)型按下了加速鍵,。“新基建”將帶動(dòng)經(jīng)濟(jì)高質(zhì)量增長(zhǎng),,但新技術(shù)的應(yīng)用也引入了新的安全風(fēng)險(xiǎn),。一旦發(fā)生重大網(wǎng)絡(luò)安全事件,將使數(shù)字化帶來(lái)的收益“一失萬(wàn)無(wú)”,。如何保障數(shù)字化業(yè)務(wù)的平穩(wěn),、有序和高效運(yùn)營(yíng),是“新基建”過(guò)程中的一次大考,。
二,、安全從輔助變成基礎(chǔ)
自中央政治局會(huì)議強(qiáng)調(diào)加快新型基礎(chǔ)設(shè)施建設(shè)以來(lái),我國(guó)各地方政府紛紛公布“新基建”投資計(jì)劃,。截至目前,,全國(guó)31個(gè)省份推出了超過(guò)40萬(wàn)億的投資藍(lán)圖。網(wǎng)絡(luò)安全是“新基建”的基礎(chǔ),。以前,,網(wǎng)絡(luò)安全是輔助性工程,但在“新基建”里是基礎(chǔ)工程,?!靶禄ā睍?huì)進(jìn)一步加快網(wǎng)絡(luò)世界和物理世界的融合。這意味著兩者的邊界將基本消失,,對(duì)網(wǎng)絡(luò)的攻擊就等于對(duì)物理世界的攻擊,,直接影響人民生活、社會(huì)穩(wěn)定和國(guó)家安全,。比如,,5G遠(yuǎn)程手術(shù)遭遇網(wǎng)絡(luò)攻擊,可能會(huì)威脅到人們的生命安全,;車(chē)聯(lián)網(wǎng)遭受攻擊,,可能會(huì)直接造成車(chē)毀人亡。未來(lái),,絕大部分的安全問(wèn)題都集中在應(yīng)用場(chǎng)景上,,因此需要把安全升級(jí),作為基礎(chǔ)設(shè)施來(lái)建設(shè),。以新能源汽車(chē)充電樁為例,,未來(lái)每個(gè)充電樁都會(huì)聯(lián)網(wǎng),,當(dāng)協(xié)議出現(xiàn)漏洞,就出現(xiàn)了新的攻擊方法,,安全問(wèn)題瞬息萬(wàn)變,。傳統(tǒng)的解決方法是給每個(gè)充電樁部署安全設(shè)施,但未來(lái)充電樁會(huì)遍布城鄉(xiāng)各地,,一個(gè)個(gè)分布式解決是行不通的,。只有通過(guò)分層解耦、異構(gòu)兼容,,把安全能力資源化,、目錄化、云化,,用網(wǎng)絡(luò)調(diào)度來(lái)增減安全措施,,才能保障系統(tǒng)的正常運(yùn)轉(zhuǎn)。美國(guó)聯(lián)邦首席信息官肯特(Suzette Kent)于近日表示,,網(wǎng)絡(luò)安全必須是“高度優(yōu)先”的,,必須將其“嵌入”到技術(shù)的各個(gè)方面。她認(rèn)為,,從現(xiàn)在開(kāi)始進(jìn)行的每個(gè)技術(shù)項(xiàng)目,,都必須以網(wǎng)絡(luò)安全為基礎(chǔ)。
三,、“新基建”需要新一代網(wǎng)絡(luò)安全框架
過(guò)去20年,,國(guó)內(nèi)外在信息化建設(shè)方面,有一套行之有效的框架與方法論,,即采用以系統(tǒng)工程思想結(jié)合IT的EA(Enterprise Architecture)方法論,形成TOGAF框架(開(kāi)放組織體系結(jié)構(gòu)框架 The Open Group Architecture Framework),,引導(dǎo)與推動(dòng)了大規(guī)模,、體系化、高效整合的信息化建設(shè),,很好地支撐了各行業(yè)的業(yè)務(wù)運(yùn)營(yíng),。網(wǎng)絡(luò)安全行業(yè)一直盼望著能有與信息化系統(tǒng)工程方法相匹配的框架,指導(dǎo)未來(lái)的網(wǎng)絡(luò)安全體系建設(shè),。因?yàn)榇饲?,在網(wǎng)絡(luò)安全行業(yè),一直采用的是“局部整改”為主的安全建設(shè)模式,,致使網(wǎng)絡(luò)安全體系化缺失,、碎片化嚴(yán)重,網(wǎng)絡(luò)安全防御能力與數(shù)字化業(yè)務(wù)運(yùn)營(yíng)的保障要求嚴(yán)重不相匹配,。把網(wǎng)絡(luò)安全升級(jí)成“新基建”的基礎(chǔ)工程,,就必須有一套行之有效的框架作為指導(dǎo),。奇安信的戰(zhàn)略部門(mén)從2019年開(kāi)始潛心研究,并于近日發(fā)布新一代網(wǎng)絡(luò)安全框架,。這是面向“新基建”建設(shè),、面向數(shù)字化業(yè)務(wù),以系統(tǒng)工程的方法論結(jié)合“內(nèi)生安全”的理念,,形成的網(wǎng)絡(luò)安全建設(shè)框架,。這套框架從頂層視角出發(fā),幫助各行業(yè)在數(shù)字化環(huán)境內(nèi)部建立無(wú)處不在的“免疫力”,,構(gòu)建出動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系,,全方位保障業(yè)務(wù)安全。
四,、十大工程五大任務(wù)
新一代網(wǎng)絡(luò)安全框架,,以實(shí)體工程和支撐任務(wù)兩個(gè)維度,劃分為“十大工程”和“五大任務(wù)”,。它適用于幾乎所有網(wǎng)絡(luò)空間各個(gè)應(yīng)用場(chǎng)景下的安全需求,,能指導(dǎo)不同的行業(yè)輸出符合其業(yè)務(wù)特點(diǎn)的網(wǎng)絡(luò)安全架構(gòu)。
十大工程
工程一:新一代身份安全,。對(duì)應(yīng)新場(chǎng)景下身份管理和使用模式的改變,,構(gòu)建基于屬性的身份管理與訪問(wèn)控制體系,全面納管數(shù)字化身份,,為網(wǎng)絡(luò)安全與業(yè)務(wù)運(yùn)營(yíng)奠定基礎(chǔ),。
工程二:重構(gòu)企業(yè)級(jí)網(wǎng)絡(luò)縱深防御。對(duì)應(yīng)新技術(shù)應(yīng)用產(chǎn)生的更多網(wǎng)絡(luò)出口,、更復(fù)雜的管理挑戰(zhàn),,采用標(biāo)準(zhǔn)化、模塊化的網(wǎng)絡(luò)安全防護(hù)集群,,適配網(wǎng)絡(luò)節(jié)點(diǎn)接入模式,,構(gòu)建覆蓋多層次的網(wǎng)絡(luò)縱深防御體系。
工程三:數(shù)字化終端及接入環(huán)境安全,。對(duì)應(yīng)數(shù)字化時(shí)代終端類(lèi)別繁多,、接入與管控、數(shù)據(jù)安全的風(fēng)險(xiǎn),,在終端和接入環(huán)境上構(gòu)建一體化終端安全技術(shù)棧,,構(gòu)建全面覆蓋多場(chǎng)景的數(shù)字化終端安全管理體系。
工程四:面向云的數(shù)據(jù)中心安全防護(hù),。對(duì)應(yīng)云數(shù)據(jù)中心復(fù)雜的應(yīng)用場(chǎng)景,,將安全能力深入融合到云數(shù)據(jù)中心多層次的網(wǎng)絡(luò)縱深和組件中,同時(shí)滿足傳統(tǒng)數(shù)據(jù)中心安全和云計(jì)算安全要求,。
工程五:面向大數(shù)據(jù)應(yīng)用的數(shù)據(jù)安全防護(hù),。對(duì)應(yīng)數(shù)據(jù)集中,、流轉(zhuǎn)和應(yīng)用場(chǎng)景中的安全挑戰(zhàn),以數(shù)據(jù)安全治理為基礎(chǔ),,將數(shù)據(jù)生命周期與數(shù)據(jù)應(yīng)用場(chǎng)景結(jié)合,,嚴(yán)控?cái)?shù)據(jù)流轉(zhuǎn)與使用,加強(qiáng)行為監(jiān)控與審計(jì),,確保數(shù)據(jù)安全,。
工程六:面向?qū)崙?zhàn)化的全局態(tài)勢(shì)感知體系。對(duì)應(yīng)目前重展現(xiàn)輕分析,,實(shí)戰(zhàn)支撐力不足的現(xiàn)狀,,覆蓋所有信息資產(chǎn)的全面實(shí)時(shí)安全監(jiān)測(cè),持續(xù)檢驗(yàn)安全防御機(jī)制的有效性,、動(dòng)態(tài)分析安全威脅并及時(shí)處置,。
工程七:面向資產(chǎn)/漏洞/配置/補(bǔ)丁的系統(tǒng)安全。對(duì)應(yīng)當(dāng)前各大機(jī)構(gòu)安全體系的最短板,,聚合IT資產(chǎn),、配置、漏洞,、補(bǔ)丁等數(shù)據(jù),,提高漏洞修復(fù)的確定性,實(shí)現(xiàn)及時(shí),、準(zhǔn)確,、可持續(xù)的系統(tǒng)安全保護(hù)。
工程八:工業(yè)生產(chǎn)網(wǎng)安全防護(hù),。對(duì)應(yīng)企業(yè)工業(yè)生產(chǎn)網(wǎng)長(zhǎng)期以來(lái)安全防護(hù)普遍缺失的現(xiàn)狀,,面向工控網(wǎng)絡(luò)內(nèi)部、工控與IT網(wǎng)絡(luò)邊界,、數(shù)據(jù)采集與運(yùn)維,、集團(tuán)總部數(shù)據(jù)中心構(gòu)建多層次安全措施,強(qiáng)化縱深防御,,全面掌握工業(yè)生產(chǎn)網(wǎng)的安全態(tài)勢(shì)。
工程九:內(nèi)部威脅防控體系,。對(duì)應(yīng)內(nèi)部人員導(dǎo)致嚴(yán)重業(yè)務(wù)損失的巨大威脅,,基于操作監(jiān)控、訪問(wèn)控制,、行為分析等手段,,結(jié)合管控制度、意識(shí)培訓(xùn)等管理措施,,提升內(nèi)部威脅防護(hù)能力,。
工程十:密碼專(zhuān)項(xiàng),。對(duì)應(yīng)密碼相關(guān)的法律要求和業(yè)務(wù)需求,秉承“內(nèi)生安全”理念規(guī)劃,、設(shè)計(jì)密碼體系,,實(shí)現(xiàn)密碼與信息系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)應(yīng)用緊密結(jié)合,。
五大任務(wù)
任務(wù)一:實(shí)戰(zhàn)化安全運(yùn)行能力建設(shè),。按次開(kāi)展的安全檢查與測(cè)評(píng)模式無(wú)法達(dá)到業(yè)務(wù)安全保障要求。應(yīng)全面涵蓋安全團(tuán)隊(duì),、安全運(yùn)行流程,、安全操作規(guī)程、安全運(yùn)行支撐平臺(tái)和安全工具等,,并持續(xù)的評(píng)估,、優(yōu)化,持續(xù)提升安全運(yùn)行成熟度,,以達(dá)成對(duì)信息系統(tǒng)的持久性防護(hù),。
任務(wù)二:應(yīng)用安全能力支撐。應(yīng)用系統(tǒng)建設(shè)過(guò)程中安全長(zhǎng)期缺位,,安全與信息化建設(shè)普遍割裂,,系統(tǒng)帶病上線,后期整改困難,。結(jié)合開(kāi)發(fā)運(yùn)行一體化(DevOps)模式,,推進(jìn)安全能力與信息系統(tǒng)持續(xù)集成,使安全屬性?xún)?nèi)生于信息系統(tǒng),,保持敏捷的同時(shí)滿足合規(guī),,使信息系統(tǒng)天然具有免疫力。
任務(wù)三:安全人員能力支撐,。人的能力決定安全體系建設(shè)和運(yùn)行的能力,。設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)、設(shè)置崗位與能力要求,,開(kāi)展能力實(shí)訓(xùn),,建設(shè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)訓(xùn)練靶場(chǎng),提升人員的實(shí)戰(zhàn)能力,,形成安全團(tuán)隊(duì)建制化,。
任務(wù)四:物聯(lián)網(wǎng)安全能力支撐。物聯(lián)網(wǎng)設(shè)備類(lèi)型碎片化,、網(wǎng)絡(luò)異構(gòu)化,、部署泛在化的特性引入了大量安全風(fēng)險(xiǎn)。結(jié)合物聯(lián)網(wǎng)“端邊云”的架構(gòu),,構(gòu)建具有靈活性,、自適應(yīng)性和邊云協(xié)同能力的物聯(lián)網(wǎng)安全支撐體系,。
任務(wù)五:業(yè)務(wù)安全能力支撐。數(shù)字化業(yè)務(wù)劇增,,由惡意操作,、誤操作行為引發(fā)的業(yè)務(wù)風(fēng)險(xiǎn)顯著增長(zhǎng)。聚合業(yè)務(wù)與行為數(shù)據(jù),,利用大數(shù)據(jù)分析技術(shù),,保護(hù)客戶(hù)隱私、交易安全,,加強(qiáng)欺詐防范,,打擊涉黃、涉政等行為,,保障業(yè)務(wù)運(yùn)營(yíng),。