江苏龙网

  1. 首页 > 资讯 > 资讯 > >

网络安全|奇安信长齐向东:内生安全 从安全框架开始( 三 )


在设计的过程中 , 我们要根据政府和企业自身信息化项目的实际情况 , 对安全能力进行挑选、组合和规划 , 给出明确标准 。
再说“建起来” 。 融合是建设的关键 , 将安全能力深度融入物理、网络、系统、应用、数据与用户等各个层次 , 确保深度结合;还要将安全能力全面覆盖云、终端、服务器、通信链路、网络设备、安全设备、工控、人员等要素 , 避免局部盲区 , 实现全面覆盖 。
这种将安全能力合理地分配到正确位置的建设过程 , 就是安全能力组件化的过程 。 这种安全能力组件 , 是软件化、虚拟化、服务化的 。 科学、合理地将安全能力组件进行组合、归并 , 建立相互作用关系 , 确保了安全能力的可建设、可落地、可调度 。
在具体建设过程中 , 需要一个全景化的技术部署模型 , 全面描绘政企机构的整体网络结构 , 信息化和网络安全的融合关系 , 以及安全能力的部署形态 。
比如 , 按照区域 , 把政企机构的信息化系统分成总部、区域中心、分支机构以及网络节点等多种类型;按照业务类别和功能 , 又把政企机构的信息化系统分成了全局网络、骨干网络、区域边界、通信网络、信息系统、云平台、大数据平台、数字化终端等层级、组件 , 并标记出它们的部署位置和形态 。
在这个基础上 , 我们就可以把所有的安全能力组件 , 分别以系统、服务、软硬件资源的形态 , 合理部署到信息化系统的不同区域、节点、层级中 。 各种安全能力组件之间 , 通过网络和数据进行整体协同 , 使安全能力全面覆盖信息化所有范围 , 实现了对各个层次的管理 , 消除盲点 , 增强安全资源的丰富性、灵活性、完整性 。
第三个重点“跑得赢” 。 新基建、数字化转型 , 催生了无数新的应用场景 , 带来的安全风险剧增 , 推动网络安全从辅助工程变成了基础工程 。
缺乏安全运行的安全系统 , 相当于“靠天吃饭” 。 以前 , 由于网络攻击是小概率事件 , 就好比每年都风调雨顺 , “靠天吃饭”的网络安全也很少出事;但随着网络攻击成为大概率事件 , 好比“十年九灾” , 继续“靠天吃饭”的网络安全就会出大问题 。
内生安全体系强调安全运行 , 把管理作为关键 , 就能“人定胜天” , 跑得赢漏洞、跑得赢内鬼、跑得赢黑客 。
我们将网络安全运行的各个组件 , 以及网络安全与信息化之间聚合、协同运行的状态进行了详尽的描绘 , 使安全工作中大量隐性活动显性化、标准化、条令化 , 从而确保安全运行的可持续性 , 实现管理闭环 。
第三部分:框架的关键是组件化 。
落地内生安全 , 实现新管理模式 , 最理想的情况 , 是建设一个完整的框架 。 但现实情况是 , 大多数政府和企业的信息化系统 , 都是新老结合的 , 往往需要花若干年的时间 , 才能完成对老系统的替换 , 这是一个“立新破旧”的过程 。
从安全系统与信息化系统聚合的实施角度来看 , 如果割裂地对老系统用老办法 , 新系统用新办法 , 未来 , 当老系统被替代时 , 老的安全系统也不得不替换掉 , 造成巨大的浪费 。
这就要求我们对安全体系进行“统一设计 , 分步实施” , 在体系的基础上 , 把安全框架组件化 , 让这些组件既能是新体系的一部分 , 又能部署到老系统中 , 从而适应信息化系统这种渐进式的、“立新破旧”的过程 , 避免不断地把安全系统推倒重来 , 确保现在安全上的投资是面向未来的 。
从国际的经验看 , ISO/IEC 27000信息安全管理体系就是按照组件化的方式设计的 , 它包含14个类别 , 35个目标 , 114个控制措施;NIST 的系统安全工程也列举了从需求、设计、实现到验证、部署、维护、弃置等14个过程应该开展的安全工作 , 包括54个任务、235项活动 。 在NIST网络空间安全框架中 , 也通过IPDRR-识别、保护、检测、响应、恢复的机制 , 以及多个落地子项来构造网络安全的保护体系 。


推荐阅读


上一篇:新闻|领跑交互共享新模式 “金天合纵”新闻发布会举行

下一篇:刘喜|龙腾光电面板产品获颁TUV莱茵Eyesafe显示及硬件低蓝光认证