数字化转型下的网络安全新需求包括:
满足等级保护合规要求:在等级保护制度上升为法律层面、具备法律约束力的基本情况下,合规要求无疑是政企机构网络安全建设的刚性需求。
应对新技术带来的安全风险:积极推动网络安全领域的新技术应用,综合运用多维安全运营能力,在面临新技术带来的安全风险时,做到魔高一尺道高一丈。
提升业务安全保障能力:在满足等级保护共性安全的基础上,以业务的持续性、稳定性、安全性为导向,积极探索个性化网络安全防护能力,提升自身业务安全保障能力。
强化内部安全风险治理:政企机构网络安全运营的重心之一是风险治理和动态平衡,并使网络安全深度融入政企机构内部治理体系。
战略发展规划落地:网络安全战略规划应与机构战略、IT战略保持一致并统筹考虑等级保护基本要求与长远战略目标,将战略目标、行动方针和行动手段融为一体。
因此,在网络安全建设的具体实践活动中,要面向等级保护要求,基于实际安全需求,依据信息化建设与网络安全“同步规划、同步建设、同步运营”的要求,做到“关口前移,防患于未然”。其中,“关口前移”是指采取积极防御的网络安全战略方针,将网络安全建设向安全体系同步设计、同步建设前移,而“防患于未然”是以防护效果为导向的网络安全战略目标。
基于上述需求分析,基于新等保的网络安全建设新思路是,明确重点,统筹考虑,积极防御,完成从符合等级保护基本要求到满足个性化安全需求的进化。
首先,基于网络安全防护的目标,综合考虑全部安全要素,以新等保的基本要求为蓝本,对网络安全架构进行全面梳理,建设满足等保基本要求、安全架构设计完善、安全资源配置合理的体系化安全能力。
其次,在满足等级保护要求的基础上,需面向网络安全最佳实践,解决网络安全最后一公里和攻防不对称的实际问题,并以“技术融合运营,运营促进管理,管理巩固安全,安全提升业务”的建设方针为指导,统筹兼顾安全技术体系、安全运营体系、安全管理体系,构筑基于自身实际需求的个性化安全体系。
1、建设纵深防御的安全技术体系。
以安全管理中心为中枢,构建态势感知能力。解决海量日志的集中安全分析、安全组件的统一策略管理、攻防对抗的高效研判分析、安全运营的多维协同响应等网络安全核心问题。
以安全通信网络为纽带,优化基础网络架构,收缩网络攻击面。基于基础架构安全评估,充分提升通信网络的负载均衡能力、流量管理能力、网络隔离能力、弹性扩展能力、密码应用能力等各项基础服务和业务保障能力。
以安全区域边界为依托,强化纵深防御,增加攻击成本。围绕安全策略的持续改进和高效运营,安全区域边界需要具备安全防护能力,实现对威胁的主动防御和继续改进;具备威胁检测能力,实现对威胁的深度检测和及时响应;具备审计分析能力,实现对威胁的有效威慑防范,力争防患未然。
以安全计算环境为重心,改进业务风险管控,加强数据动态防护。从技术角度来说,安全计算环境包含设备安全、应用安全、数据安全等部分。设备安全需要从泛终端、物理主机、虚拟主机等不同层面,加强协同联动防护机制和主动防护能力;应用安全基于DevSecOps的理念,强化安全在应用开发和运营的不同阶段的连续性、统一性;数据安全以数据内容识别、数据资产梳理、数据分级分类等安全运营服务为基础,以密码技术、访问控制、备份恢复、防泄漏、安全审计等技术为支撑,实现数据的全生命周期安全。
2、以现代身份治理框架和动态网络信任体系为核心建设安全基础设施。
在现代身份治理框架下,核心逻辑是关注身份、账号、权限三个平面及其映射关系,为人、物创建数字身份,关联身份和账号的从属、控制各个账号的权限分配。
动态网络信任体系基于现代身份治理框架,默认不信任网络内部和外部的任何人、设备、应用,以基于风险和信任持续度量的动态授权替代简单的静态二值判定授权。动态网络信任体系具备以身份为中心、持续身份认证、动态访问控制、访问环境分析等特点。
3、实现数据驱动的安全运营,建立人员、技术、流程相互结合的安全运营体系。
首先,网络安全的本质是人与人之间的攻防对抗,安全运营凸显了“人是安全的尺度”这一安全理念,通过人、技术、流程相互结合的安全运营,输出体系化安全服务和安全能力。
4、数据驱动的安全运营是指,利用大数据分析和威胁情报能力,安全运营人员可以及时了解攻击者的行动、能力及战术等信息,最大化地利用技术手段,将各安全部件协同起来,实现对各种网络安全资源的高效利用,推动被动安全向主动安全转型。
5、构建网络安全管理体系。
统筹考虑管理体系的横向协调和纵向贯通,构建涵盖安全策略、管理制度、操作规程的安全管理体系,并以自上而下的方式贯彻和融入到日常安全运营流程中,对安全技术体系、安全运营体系的策略、流程和控制措施等各个环节进行规范和约束,体现全生命周期管理、闭环管理等要求。
