奇安信：從安全框架開始 政企用戶網(wǎng)絡安全向服務化轉型

日前，北京網(wǎng)絡安全大會（BCS 2020）正式對外公布了大會主題“內生安全，從安全框架開始”?！皟壬踩笔瞧姘残旁贐CS 2019大會上首次發(fā)布的網(wǎng)絡安全理念。今年3月，奇安信基于“內生安全”理念推出了新一代網(wǎng)絡安全框架，進一步推動了“內生安全”理念的落地實踐。

網(wǎng)絡安全面臨嚴峻的技術挑戰(zhàn)

隨著全球數(shù)字化轉型的深入，網(wǎng)絡安全威脅和風險日益突出，已成為關系到經(jīng)濟與生產安全、社會運行安全、國家安全層面的關鍵問題。近年來，大規(guī)模網(wǎng)絡安全事件頻發(fā)，2017年“永恒之藍”勒索病毒事件，2018年多家機構因數(shù)據(jù)庫防護不足導致大規(guī)模數(shù)據(jù)泄露事件，2020年攻擊者利用疫情為誘餌對醫(yī)療行業(yè)發(fā)動APT攻擊。

另一方面，政企用戶自身看似牢不可破的防線在實戰(zhàn)攻防演習中屢次被打穿。在2019年由某部委組織的大型實戰(zhàn)攻防演習中，政企用戶在這樣一場本應準備充分、勝算在握的防御戰(zhàn)里，其IT系統(tǒng)仍然鮮有保全。由此可見我國政企用戶網(wǎng)絡安全防護能力仍然較為薄弱，在歷次重要“戰(zhàn)役”中暴露出的網(wǎng)絡安全體系化欠缺、安全能力碎片化嚴重、整體協(xié)同能力嚴重不足、可彈性恢復能力嚴重缺失等問題亟待解決。

回顧政企用戶網(wǎng)絡安全的建設歷程，由于不同業(yè)務部門的應用系統(tǒng)種類繁多，各應用系統(tǒng)所需的網(wǎng)絡安全防護工作普遍采用“誰建設、誰使用、誰運維”的方式開展。網(wǎng)絡安全作為信息化的配套工程，由負責各業(yè)務系統(tǒng)的部門自行建設，導致各業(yè)務系統(tǒng)安全能力參差不齊、能力分散、專業(yè)性不足、總成本高，規(guī)模效應難以發(fā)揮。雖然，一些政企用戶近年來逐漸開始在其信息化部門下設安全機構，負責網(wǎng)絡安全統(tǒng)籌管理，但總體上安全仍是信息化的輔助性職責，網(wǎng)絡安全在資金保障、人才培養(yǎng)等方面并未和信息化同步發(fā)展。這種舊有的網(wǎng)絡安全配套發(fā)展模式已無法適應數(shù)字化轉型的高標準要求。

網(wǎng)絡安全與信息化應實現(xiàn)同步規(guī)劃建設和運行

隨著網(wǎng)絡安全態(tài)勢愈發(fā)嚴峻，以傳統(tǒng)模式規(guī)劃和建設的網(wǎng)絡安全體系達不到保障數(shù)字化業(yè)務發(fā)展的高標準要求。由于舊有的安全配套模式的局限性，導致政企網(wǎng)絡安全專業(yè)程度較低、安全能力割裂、總安全運行成本高、安全協(xié)同效能低下。此外，由于缺乏面向實戰(zhàn)化的安全運行，導致安全工作的延續(xù)性、穩(wěn)定性明顯不足。而且安全工作過度依賴個人能力，因為缺乏標準化的安全運行流程支撐，導致安全運行工作質量參差不齊。

上述問題極大的制約了政企數(shù)字化業(yè)務的安全可持續(xù)發(fā)展。因此，政企用戶有必要借鑒十多年來信息化工作通過IT服務化轉型取得巨大成功的經(jīng)驗，推動網(wǎng)絡安全工作的服務化轉型，從而形成一種能夠有效保障數(shù)字化業(yè)務發(fā)展的新型網(wǎng)絡安全工作模式。

圖：網(wǎng)絡安全與信息化同步規(guī)劃建設運行模式

從安全框架開始，網(wǎng)絡安全開始向服務化轉型

為適應數(shù)字化業(yè)務轉型對有效安全保障的更高要求，政企用戶需要把握住“十四五”規(guī)劃的契機，推動網(wǎng)絡安全向服務化轉型。目前，奇安信提出的新一代網(wǎng)絡安全框架已為政企“十四五”網(wǎng)絡安全規(guī)劃、設計提供了成熟的思路與建議。該框架從“甲方視角、信息化視角、網(wǎng)絡安全頂層視角”展現(xiàn)出政企網(wǎng)絡安全體系全景，通過以能力為導向的網(wǎng)絡安全體系設計方法，規(guī)劃出面向“十四五”期間的建設實施項目庫（重點工程與任務），并設計出將網(wǎng)絡安全與信息化相融合的目標技術體系和目標運行體系。

圖：新一代網(wǎng)絡安全框架

要實現(xiàn)網(wǎng)絡安全向服務化轉型，須滿足以下關鍵點：

首先，須加強網(wǎng)絡安全體系化規(guī)劃建設，夯實網(wǎng)絡安全防御基礎。要以體系化的高水平安全規(guī)劃為牽引，通過科學、高質的項目建設快速補齊短板、夯實網(wǎng)絡安全基礎，要以整體化、集中化、規(guī)模化的方式規(guī)劃建設 “安全基礎設施” ，確保信息化系統(tǒng)建立在安全“底座”之上，形成具備“精細化安全管控、體系化安全防御、實戰(zhàn)化安全運行”的動態(tài)、綜合的網(wǎng)絡安全防御體系。

其次，以安全運行服務持續(xù)輸出安全能力。為了實現(xiàn)網(wǎng)絡安全的服務化轉型，需要對共性的安全技術能力采用集中化、平臺化方式統(tǒng)一建設，形成網(wǎng)絡安全基礎設施，并據(jù)此開展日?；?、建制化、規(guī)程化和可持續(xù)的實戰(zhàn)化網(wǎng)絡安全運行，同時以標準目錄定義的運行服務形式向信息化環(huán)境以及信息化運維與開發(fā)等工作輸出安全能力。

再次，需要加強網(wǎng)絡安全運行與信息化運行的聚合。使網(wǎng)絡安全運行與信息化運行緊密聚合，在信息化的工作流程中，以強管控方式強制插入安全控制，并通過“調用”安全運行服務來落實安全控制，以消除以往信息化工作與網(wǎng)絡安全防護工作存在的零散、割裂等弊病，通過多方協(xié)同實現(xiàn)對安全隱患和安全事件的閉環(huán)處理，從而使安全運行能力內生于信息化環(huán)境。

最后，形成“面向成效、事件閉環(huán)、循環(huán)提升”的安全運行服務化體系。面向威脅入侵、漏洞及配置缺陷、安全策略優(yōu)化、威脅對抗、響應處置等工作，形成與信息化團隊的緊密結合，建立內生結合了信息化和網(wǎng)絡安全、以數(shù)據(jù)驅動流程的標準化、服務化的網(wǎng)絡安全模式，以可持續(xù)方式開展網(wǎng)絡安全運行，并實現(xiàn)網(wǎng)絡安全防御體系的自我驅動、循環(huán)提升機制，逐步提高網(wǎng)絡安全工作成熟度，實現(xiàn)從網(wǎng)絡安全運行向網(wǎng)絡安全運營的蛻變。

綜合上述，安全運行服務化轉型是在數(shù)字化轉型的大背景下，網(wǎng)絡安全為適應新的數(shù)字化業(yè)務發(fā)展需求而亟需邁出的重要一步。網(wǎng)絡安全作為業(yè)務發(fā)展的保障基礎，通過向服務化轉型，其“安全基礎設施”地位將凸顯，將獲得更多政策、資金、人才的支持。安全服務化將促進安全的“基礎設施化”，全面提升網(wǎng)絡安全的專業(yè)性、高效性、協(xié)同性。安全服務化使安全工作的延續(xù)性、有效性得到明顯提升，促進安全工作以常態(tài)化、整體化、協(xié)同化方式運轉，使安全工作的效能全面提升，面向對抗的實戰(zhàn)化運行能力顯著加強，持續(xù)輸出安全價值。