韓永剛

以5G為代表的新基建浪潮撲面而來，但新技術(shù)也引入了新的安全風(fēng)險(xiǎn)。一旦發(fā)生重大網(wǎng)絡(luò)安全事件，將使數(shù)字化帶來的收益“一失萬無”。如何保障數(shù)字化業(yè)務(wù)的平穩(wěn)、有序和高效運(yùn)營，是對新基建過程中的一次大考。

2020年開端，一場新冠疫情無形中加速了全球擁抱數(shù)字化的步伐。從疫情防控到遠(yuǎn)程辦公，人類社會(huì)首次大范圍感受到數(shù)字化轉(zhuǎn)型帶來的效率提升。

3月4日，國家明確強(qiáng)調(diào)要加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度，為我國數(shù)字化轉(zhuǎn)型按下了加速鍵。隨后，國家發(fā)改委、工信部聯(lián)合發(fā)布了《關(guān)于組織實(shí)施2020年新型基礎(chǔ)設(shè)施建設(shè)工程（寬帶網(wǎng)絡(luò)和5G領(lǐng)域）的通知》，宣布在5G領(lǐng)域?qū)嵤?大創(chuàng)新應(yīng)用提升工程，覆蓋了智慧醫(yī)療、虛擬企業(yè)專網(wǎng)、智能電網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域。

5G將加速數(shù)字化安全風(fēng)險(xiǎn)將直接影響業(yè)務(wù)運(yùn)營

新冠疫情爆發(fā)后，國家大力度推動(dòng)新型基礎(chǔ)設(shè)施建設(shè)、政企機(jī)構(gòu)的數(shù)字化轉(zhuǎn)型，以遠(yuǎn)程辦公、遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育為代表的線上應(yīng)用迎來爆發(fā)式增長。

尤其是以5G為代表的新基建，讓數(shù)字化更加深入，使原來封閉業(yè)務(wù)系統(tǒng)更加開放，數(shù)字化有更多機(jī)會(huì)能直接連企業(yè)一線生產(chǎn)業(yè)務(wù)系統(tǒng)與人員。這意味著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)會(huì)直接影響業(yè)務(wù)運(yùn)營，使得數(shù)字化帶來的好處 “一失萬無” 。

以新冠疫情期間嶄露頭角的“5G+智慧醫(yī)療”場景為例，依托5G低時(shí)延、高可靠、高帶寬等特性，未來遠(yuǎn)程病理診斷、遠(yuǎn)程手術(shù)、現(xiàn)場救治等都可實(shí)現(xiàn)，這意味著網(wǎng)絡(luò)將連接越來越多的醫(yī)療設(shè)備和數(shù)據(jù)網(wǎng)絡(luò)，并直接連接醫(yī)生和患者。而在智能制造場景下，萬物互聯(lián)使更多的自動(dòng)化裝備加入連接，5G替代傳統(tǒng)工業(yè)總線實(shí)現(xiàn)柔性生產(chǎn)，在此過程中一旦遭受網(wǎng)絡(luò)攻擊，就不再只是經(jīng)濟(jì)損失，就可能對物理環(huán)境與人身安全造成威脅。

網(wǎng)絡(luò)安全將從以往的輔助工程，變成新基建中的基礎(chǔ)工程。在新基建浪潮的推動(dòng)下，對于網(wǎng)絡(luò)安全，也需要從過去的零散、局部、被動(dòng)的建設(shè)，升級為構(gòu)建內(nèi)生、體系化、主動(dòng)有序?yàn)樘攸c(diǎn)的內(nèi)生安全體系。

網(wǎng)絡(luò)安全需頂層視角亟需新一代企業(yè)網(wǎng)絡(luò)安全框架?

把網(wǎng)絡(luò)安全升級成新基建的基礎(chǔ)工程，需要一套行之有效的方法論作為指導(dǎo)。過去20-30年，國內(nèi)外在信息化建設(shè)方面，都采用以系統(tǒng)工程思想結(jié)合IT的企業(yè)架構(gòu)方法論，形成TOGAF框架，引導(dǎo)與推動(dòng)了大規(guī)模、體系化、高效整合的信息化建設(shè)，很好地支撐了各行業(yè)的業(yè)務(wù)運(yùn)營。

但在網(wǎng)絡(luò)安全行業(yè)，一直采用的是“局部整改”為主的安全建設(shè)模式，致使網(wǎng)絡(luò)安全體系化缺失、碎片化嚴(yán)重，網(wǎng)絡(luò)安全防御能力與數(shù)字化業(yè)務(wù)運(yùn)營的保障要求嚴(yán)重不相匹配。因此，網(wǎng)絡(luò)安全行業(yè)一直盼望著能有與信息化系統(tǒng)工程方法相匹配的框架，指導(dǎo)未來的網(wǎng)絡(luò)安全體系建設(shè)。

為了填補(bǔ)行業(yè)空白，奇安信發(fā)布了新一代網(wǎng)絡(luò)安全框架。該框架立足甲方視角、信息化視角和系統(tǒng)工程視角，以實(shí)體工程和支撐任務(wù)兩個(gè)維度，形成“十大工程、五大任務(wù)”，幫助各行業(yè)在數(shù)字化環(huán)境內(nèi)部建立無處不在的“免疫力”，構(gòu)建出動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系。

“十大工程、五大任務(wù)”是安全框架的落地抓手

“十大工程”和“五大任務(wù)”是新一代網(wǎng)絡(luò)安全框架的落地抓手，它適用于幾乎所有網(wǎng)絡(luò)空間各個(gè)應(yīng)用場景下的安全需求，能指導(dǎo)不同的行業(yè)輸出符合其業(yè)務(wù)特點(diǎn)的網(wǎng)絡(luò)安全架構(gòu)。

十大工程包括：

工程一：新一代身份安全。

對應(yīng)新場景下身份管理和使用模式的改變，構(gòu)建基于屬性的身份管理與訪問控制體系，全面納管數(shù)字化身份，為網(wǎng)絡(luò)安全與業(yè)務(wù)運(yùn)營奠定基礎(chǔ)。

工程二：重構(gòu)企業(yè)級網(wǎng)絡(luò)縱深防御。

對應(yīng)新技術(shù)應(yīng)用產(chǎn)生的更多網(wǎng)絡(luò)出口、更復(fù)雜的挑戰(zhàn)，采用標(biāo)準(zhǔn)化、模塊化網(wǎng)絡(luò)安全防護(hù)集群，適配網(wǎng)絡(luò)節(jié)點(diǎn)接入模式，構(gòu)建多層次網(wǎng)絡(luò)縱深防御體系。

工程三：數(shù)字化終端接入的安全防護(hù)。

對應(yīng)終端類別繁多、接入與管控、數(shù)據(jù)安全的風(fēng)險(xiǎn)，在終端和接入環(huán)境上構(gòu)建一體化終端安全技術(shù)棧，構(gòu)建全面覆蓋多場景數(shù)字化終端安全管理體系。

工程四：面向云的數(shù)據(jù)中心安全。

對應(yīng)云數(shù)據(jù)中心復(fù)雜的應(yīng)用場景，將安全能力深入融合到云數(shù)據(jù)中心多層次的網(wǎng)絡(luò)縱深和組件中，同時(shí)滿足傳統(tǒng)數(shù)據(jù)中心安全和云計(jì)算安全要求。

工程五：大數(shù)據(jù)應(yīng)用的數(shù)據(jù)安全。

對應(yīng)數(shù)據(jù)集中、流轉(zhuǎn)和應(yīng)用場景中的安全挑戰(zhàn)，以數(shù)據(jù)安全治理為基礎(chǔ)，將數(shù)據(jù)生命周期與數(shù)據(jù)應(yīng)用場景結(jié)合，嚴(yán)控?cái)?shù)據(jù)流轉(zhuǎn)與使用，加強(qiáng)行為監(jiān)控與審計(jì)，確保數(shù)據(jù)安全。

工程六：實(shí)戰(zhàn)化全局態(tài)勢感知體系。

在實(shí)戰(zhàn)化全局態(tài)勢感知體系中，現(xiàn)狀是實(shí)戰(zhàn)支撐力不足。應(yīng)覆蓋所有信息資產(chǎn)全面實(shí)時(shí)安全監(jiān)測，持續(xù)檢驗(yàn)安全防御機(jī)制的有效性、動(dòng)態(tài)分析安全威脅并及時(shí)處置。

工程七：面向資產(chǎn)/漏洞/配置/補(bǔ)丁的系統(tǒng)安全。

對應(yīng)當(dāng)前各大機(jī)構(gòu)安全體系的最短板，聚合IT資產(chǎn)、配置、漏洞、補(bǔ)丁等數(shù)據(jù)，提高漏洞修復(fù)的確定性，實(shí)現(xiàn)及時(shí)、準(zhǔn)確、可持續(xù)的系統(tǒng)安全保護(hù)。

工程八：工業(yè)生產(chǎn)網(wǎng)安全防護(hù)。

對應(yīng)企業(yè)工業(yè)生產(chǎn)網(wǎng)長期以來安全防護(hù)普遍缺失的現(xiàn)狀，面向工控網(wǎng)絡(luò)內(nèi)部、工控與IT網(wǎng)絡(luò)邊界、數(shù)據(jù)采集與運(yùn)維、集團(tuán)總部數(shù)據(jù)中心構(gòu)建多層次安全措施，強(qiáng)化縱深防御，全面掌握工業(yè)生產(chǎn)網(wǎng)的安全態(tài)勢。

工程九：內(nèi)部威脅防控體系。

對應(yīng)內(nèi)部人員導(dǎo)致嚴(yán)重業(yè)務(wù)損失的巨大威脅，基于操作監(jiān)控、訪問控制、行為分析等手段，結(jié)合管控制度、意識培訓(xùn)等管理措施，提升威脅防護(hù)能力。

工程十：密碼專項(xiàng)。

對應(yīng)密碼相關(guān)的法律要求和業(yè)務(wù)需求，秉承“內(nèi)生安全”理念規(guī)劃、設(shè)計(jì)密碼體系，實(shí)現(xiàn)密碼與信息系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)應(yīng)用緊密結(jié)合。

五大任務(wù)包括：

任務(wù)一：實(shí)戰(zhàn)化安全運(yùn)行能力建設(shè)。

按次開展的安全檢查與測評模式無法達(dá)到業(yè)務(wù)安全保障要求。應(yīng)全面涵蓋安全團(tuán)隊(duì)、安全運(yùn)行流程、安全操作規(guī)程、安全運(yùn)行支撐平臺和安全工具等，并持續(xù)的評估、優(yōu)化，持續(xù)提升安全運(yùn)行成熟度，以達(dá)成對信息系統(tǒng)的持久性防護(hù)。

任務(wù)二：應(yīng)用安全能力支撐。

應(yīng)用系統(tǒng)建設(shè)過程中安全長期缺位，安全與信息化建設(shè)普遍割裂，系統(tǒng)帶病上線，后期整改困難。結(jié)合開發(fā)運(yùn)行一體化（DevOps）模式，推進(jìn)安全能力與信息系統(tǒng)持續(xù)集成，使安全屬性內(nèi)生于信息系統(tǒng)，保持敏捷的同時(shí)滿足合規(guī)，使信息系統(tǒng)天然具有免疫力。

任務(wù)三：安全人員能力支撐。

人的能力決定安全體系建設(shè)和運(yùn)行的能力。應(yīng)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)、設(shè)置崗位與能力要求，開展能力實(shí)訓(xùn)，建設(shè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)訓(xùn)練靶場，提升人員的實(shí)戰(zhàn)能力，形成安全團(tuán)隊(duì)建制化。

任務(wù)四：物聯(lián)網(wǎng)安全能力支撐。

物聯(lián)網(wǎng)設(shè)備類型碎片化、網(wǎng)絡(luò)異構(gòu)化、部署泛在化的特性引入了大量安全風(fēng)險(xiǎn)。結(jié)合物聯(lián)網(wǎng)“端邊云”的架構(gòu)，構(gòu)建具有靈活性、自適應(yīng)性和邊云協(xié)同能力的物聯(lián)網(wǎng)安全支撐體系。

任務(wù)五：業(yè)務(wù)安全能力支撐。

數(shù)字化業(yè)務(wù)劇增，由惡意操作、誤操作行為引發(fā)的業(yè)務(wù)風(fēng)險(xiǎn)顯著增長。聚合業(yè)務(wù)與行為數(shù)據(jù)，利用大數(shù)據(jù)分析技術(shù)，保護(hù)客戶隱私、交易安全，加強(qiáng)欺詐防范，打擊涉黃、涉政等行為，保障業(yè)務(wù)運(yùn)營。

網(wǎng)絡(luò)安全需要更前瞻理念打破“緊平衡”

據(jù)統(tǒng)計(jì)，截止到3月1日，全國有13個(gè)省市發(fā)布了2020年重點(diǎn)項(xiàng)目投資計(jì)劃清單，涉及新基建總投資金額約為34萬億元?？梢哉f，新基建為基礎(chǔ)的數(shù)字經(jīng)濟(jì)轉(zhuǎn)型對于中國網(wǎng)絡(luò)安全行業(yè)是機(jī)會(huì)，更是巨大的挑戰(zhàn)。從本次新冠疫情防控看，國家在醫(yī)療衛(wèi)生、應(yīng)急方案，都將留有備用的資源，以應(yīng)對突發(fā)型威脅。而網(wǎng)絡(luò)安全要支撐好新基建環(huán)境下的數(shù)字化轉(zhuǎn)型的深入，也需要被看作一個(gè)“復(fù)雜系統(tǒng)”，進(jìn)行體系化的、主動(dòng)的、有節(jié)奏的構(gòu)建，打破“緊平衡”。

責(zé)任編輯：徐培炎

xupy@staff.ccidnet.com