◆馬玉成 周莉 周繼輝 楊志兵

（青海省市場(chǎng)監(jiān)督管理局 青海 810000）

1 基礎(chǔ)條件

近年來多部門整合成為一種趨勢(shì)，然而信息網(wǎng)絡(luò)基礎(chǔ)環(huán)境參差不齊，安全等級(jí)和潛在風(fēng)險(xiǎn)各不相同，存在著安全建設(shè)割裂，脆弱面無法控制等問題。其次，各應(yīng)用系統(tǒng)之間的數(shù)據(jù)接口安全[1]、主機(jī)安全、應(yīng)用安全、安全邊界劃分等均存在不同程度的風(fēng)險(xiǎn)[2]。為此，將信息安全建設(shè)作為業(yè)務(wù)信息化發(fā)展的“護(hù)航措施”，堅(jiān)持以安全風(fēng)險(xiǎn)精準(zhǔn)分析為前提，以安全合規(guī)為基本目標(biāo)，以全周期立體防護(hù)為建設(shè)核心，以主動(dòng)發(fā)現(xiàn)潛在高危風(fēng)險(xiǎn)為防護(hù)導(dǎo)向，結(jié)合信息安全管理體系和組織流程設(shè)計(jì)，逐步構(gòu)建全網(wǎng)安全運(yùn)營體系，實(shí)現(xiàn)網(wǎng)絡(luò)安全的綜合治理和閉環(huán)管理，為業(yè)務(wù)信息化飛速發(fā)展保駕護(hù)航。

2 規(guī)劃研究

2.1 能力應(yīng)用方向

聚焦信息化系統(tǒng)業(yè)務(wù)類型和需求，梳理、匯總本部門信息系統(tǒng)安全建設(shè)內(nèi)容，圍繞“體系合規(guī)，面向?qū)崙?zhàn)，常態(tài)保護(hù)”的安全建設(shè)目標(biāo)，結(jié)合《網(wǎng)絡(luò)安全法》[3]，網(wǎng)絡(luò)安全等級(jí)保護(hù)，《信息安全管理體系要求》等法規(guī)和建設(shè)標(biāo)準(zhǔn)，重點(diǎn)建設(shè)四方面網(wǎng)絡(luò)安全能力暨統(tǒng)籌風(fēng)險(xiǎn)能力：制定體系化的風(fēng)險(xiǎn)控制機(jī)制統(tǒng)籌各類風(fēng)險(xiǎn)，針對(duì)各類威脅構(gòu)建防御、檢測(cè)、響應(yīng)閉環(huán)，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制在可接受程度；精益安全能力：制定基于信任等級(jí)授予特定訪問權(quán)限，并持續(xù)監(jiān)控訪問過程，調(diào)整信任等級(jí)和訪問權(quán)限，基于信息化系統(tǒng)的實(shí)際業(yè)務(wù)訪問和數(shù)據(jù)交換需求，建立精益信任控制能力；持續(xù)推進(jìn)能力：構(gòu)建持續(xù)的安全推進(jìn)能力，承接內(nèi)外部安全需求，整合安全建設(shè)中各類技術(shù)，形成聚焦“人員-技術(shù)-流程”的安全運(yùn)營機(jī)制，以保障安全能力落地，提升安全運(yùn)行效能；人機(jī)共智能力：對(duì)不斷變化的內(nèi)外部威脅和訪問行為模式，以及技術(shù)手段和流程要求，需要具備對(duì)已知場(chǎng)景進(jìn)行學(xué)習(xí)，進(jìn)一步推理未知問題，提出解決方案的能力。需要借助人員能力、機(jī)器能力、人工智能等分析、應(yīng)用手段，對(duì)未知威脅進(jìn)行分析研判，同時(shí)為工作人員提供輔助分析和決策支撐。

2.2 安全建設(shè)方面

基于安全能力建設(shè)方向，聚焦業(yè)務(wù)保護(hù)，以“體系合規(guī)、實(shí)戰(zhàn)有效、常態(tài)保護(hù)”為目標(biāo)，規(guī)劃信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)框架，包含：“目標(biāo)、能力、措施、實(shí)踐”四個(gè)層次，自上而下牽引安全能力落地。目標(biāo)層以“體系合規(guī)，實(shí)戰(zhàn)有效，常態(tài)保護(hù)”為建設(shè)目標(biāo)，能力層構(gòu)建四方面安全能力，措施層形成技術(shù)、管理、運(yùn)營三方面措施手段，實(shí)踐層實(shí)現(xiàn)面向合規(guī)遵循、實(shí)戰(zhàn)對(duì)抗、業(yè)務(wù)保護(hù)等具體需求場(chǎng)景。

2.3 建設(shè)分析

為了明確建設(shè)內(nèi)容，規(guī)劃建設(shè)階段，將四方面能力細(xì)分為多個(gè)功能模塊，創(chuàng)新網(wǎng)絡(luò)安全微服務(wù)架構(gòu)，每一個(gè)功能模塊對(duì)應(yīng)一個(gè)安全建設(shè)實(shí)踐點(diǎn)。功能模塊落地實(shí)踐過程劃分為三個(gè)階段，分別是結(jié)構(gòu)化安全，自適應(yīng)安全，智慧化安全，依次對(duì)應(yīng)逐漸增強(qiáng)的安全能力。將當(dāng)前已具備的安全能力對(duì)標(biāo)，得到當(dāng)前安全能力現(xiàn)狀。同時(shí)用相同方法描述目標(biāo)應(yīng)具備的安全能力項(xiàng)。目標(biāo)與現(xiàn)狀間缺失的安全能力項(xiàng)，定義為能力差距暨現(xiàn)階段建設(shè)內(nèi)容。進(jìn)一步將建設(shè)內(nèi)容按照建設(shè)時(shí)間細(xì)分為三個(gè)階段，分別是完善結(jié)構(gòu)化安全能力，全面構(gòu)建自適應(yīng)安全能力，初步具備智慧化安全能力。當(dāng)前建設(shè)階段位于全面構(gòu)建自適應(yīng)安全能力的中期。

3 建設(shè)實(shí)戰(zhàn)演練

信息系統(tǒng)安全建設(shè)通過建立自適應(yīng)安全為核心理念的網(wǎng)絡(luò)安全管理與運(yùn)營機(jī)制，在已有安全建設(shè)基礎(chǔ)上，主要建設(shè)成果包括以下幾個(gè)方面：

3.1 構(gòu)建基本風(fēng)險(xiǎn)控制閉環(huán)能力

通過下一代防火墻、態(tài)勢(shì)感知檢測(cè)響應(yīng)、安全云端、安全運(yùn)營平臺(tái)，初步構(gòu)建“網(wǎng)-端-云-平臺(tái)”一體化框架進(jìn)行風(fēng)險(xiǎn)控制閉環(huán)?？蚣苤?，下一代防火墻、態(tài)勢(shì)感知檢測(cè)響應(yīng)等網(wǎng)絡(luò)和端點(diǎn)安全設(shè)備持續(xù)采集網(wǎng)絡(luò)和端點(diǎn)側(cè)流量日志，安全云端和本地安全運(yùn)營平臺(tái)通過發(fā)現(xiàn)和關(guān)聯(lián)流量日志中各類攻擊威脅失陷標(biāo)志，找出入侵攻擊鏈，進(jìn)一步在網(wǎng)絡(luò)和端點(diǎn)側(cè)進(jìn)行控制處置，切斷攻擊鏈。

3.2 建立初步的信任評(píng)估和控制機(jī)制

以上網(wǎng)行為管理和SSL VPN 設(shè)備組件為基礎(chǔ)，對(duì)接各類型終端，入網(wǎng)前基于設(shè)備狀態(tài)和身份信息進(jìn)行信任等級(jí)判定。并建立內(nèi)部應(yīng)用訪問身份認(rèn)證機(jī)制。下一階段工作通過零信任技術(shù)建立更全面的訪問前信息采集和持續(xù)評(píng)估能力，進(jìn)一步打通網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)訪問的身份和信任判決及控制。

3.3 建立本地化安全運(yùn)營能力

基于安全運(yùn)營平臺(tái)，將全網(wǎng)終端威脅、網(wǎng)絡(luò)攻擊及業(yè)務(wù)系統(tǒng)安全通過大屏可視化的方式呈現(xiàn)，結(jié)合外部安全服務(wù)專家專屬服務(wù)化的方式，實(shí)現(xiàn)了網(wǎng)絡(luò)安全的閉環(huán)響應(yīng)與處置，同時(shí)為內(nèi)部人員提供信息安全知識(shí)與技能，沉淀本地知識(shí)經(jīng)驗(yàn)庫；基于安全運(yùn)營平臺(tái)分析結(jié)果進(jìn)行決策，指導(dǎo)各部門開展網(wǎng)絡(luò)安全工作；通過網(wǎng)絡(luò)安全運(yùn)營平臺(tái)指導(dǎo)安全建設(shè)，提供安全策略優(yōu)化指導(dǎo)，全面提升系統(tǒng)安全運(yùn)營能力。

3.4 構(gòu)建針對(duì)未知威脅防控的人機(jī)共智能力

基于本地安全運(yùn)營平臺(tái)、下一代防火墻、態(tài)勢(shì)感知檢測(cè)響應(yīng)等設(shè)備組件中人工智能算法，借助安全云端的全球威脅情報(bào)和安全大數(shù)據(jù)分析輔助，初步構(gòu)建針對(duì)已知和未知Web 攻擊、僵尸網(wǎng)絡(luò)、各類型病毒、漏洞利用、部分APT 攻擊和異常業(yè)務(wù)行為的檢測(cè)識(shí)別能力。

通過演練成果應(yīng)用，實(shí)現(xiàn)了滿足等級(jí)保護(hù)2.0 合規(guī)要求，具備在實(shí)戰(zhàn)化攻防對(duì)抗中抵御攻擊、快速恢復(fù)能力，同時(shí)日常服務(wù)運(yùn)維過程中對(duì)各類型業(yè)務(wù)和數(shù)據(jù)提供常態(tài)化安全防護(hù)。

4 創(chuàng)新性與價(jià)值

信息系統(tǒng)安全建設(shè)基于自身信息化業(yè)務(wù)需求和網(wǎng)絡(luò)安全監(jiān)管法規(guī)要求，以“體系合規(guī)，面向?qū)崙?zhàn)，常態(tài)保護(hù)”為目標(biāo)，“統(tǒng)籌風(fēng)險(xiǎn)，精益安全，持續(xù)推進(jìn)，人機(jī)共智”為安全能力構(gòu)建方向，逐步推進(jìn)建設(shè)落地。規(guī)劃建設(shè)過程，體現(xiàn)了以下幾方面特色和優(yōu)勢(shì)：

（1）體系化統(tǒng)籌，從高層要求、監(jiān)管法規(guī)等業(yè)務(wù)和內(nèi)外部需求出發(fā)，從風(fēng)險(xiǎn)、安全、推進(jìn)、智能四方面，體系化地規(guī)劃安全能力和落地過程[5]。

（2）全面保障，整個(gè)建設(shè)理念和框架覆蓋的保護(hù)對(duì)象從物理環(huán)境，到網(wǎng)絡(luò)、主機(jī)、邊界等各層面，并對(duì)各類型業(yè)務(wù)和場(chǎng)景具有普適性。

（3）面向未來，利用人機(jī)共智的三位一體能力，以及階段性演進(jìn)的成熟度坐標(biāo)，規(guī)劃面向未來的能力演進(jìn)體系。

（4）有效落地，創(chuàng)新網(wǎng)絡(luò)安全微服務(wù)架構(gòu)，提升自動(dòng)化管理效率，利用專家服務(wù)和輔助決策降低人員門檻，進(jìn)一步通過可視化指標(biāo)體系呈現(xiàn)安全建設(shè)績效。

5 結(jié)束語

通過信息化、數(shù)字化手段為業(yè)務(wù)構(gòu)筑高質(zhì)量發(fā)展基石應(yīng)用，在這一過程中，面對(duì)內(nèi)外部威脅的不斷增加，合規(guī)監(jiān)管日趨嚴(yán)格，人員能力水平有限等挑戰(zhàn)，聚焦信息化系統(tǒng)業(yè)務(wù)類型和需求，以系統(tǒng)、全局、科學(xué)的方式進(jìn)行網(wǎng)絡(luò)安全統(tǒng)籌規(guī)劃、建設(shè)落地，有效提升信息系統(tǒng)安全防護(hù)能力和運(yùn)行效能，為各業(yè)務(wù)系統(tǒng)提供高質(zhì)量的網(wǎng)絡(luò)安全防護(hù)和數(shù)據(jù)共享安全。