2020年开端,一场新冠疫情无形中加速了全球拥抱数字化的步伐。从疫情防控到远程办公,人类社会首次大范围感受到数字化转型带来的效率提升。
3月4日,国家明确强调要加快5G网络、数据中心等新型基础设施建设进度,为我国数字化转型按下了加速键。随后,国家发改委、工信部联合发布了《关于组织实施2020年新型基础设施建设工程(宽带网络和5G领域)的通知》,宣布在5G领域实施7大创新应用提升工程,覆盖了智慧医疗、虚拟企业专网、智能电网、车联网等领域。
5G将加速数字化
安全风险将直接影响业务运营
新冠疫情爆发后,国家大力度推动新型基础设施建设、政企机构的数字化转型,以远程办公、远程医疗、远程教育为代表的线上应用迎来爆发式增长。
尤其是以5G为代表的新基建,让数字化更加深入,使原来封闭业务系统更加开放,数字化有更多机会能直接连企业一线生产业务系统与人员。这意味着网络安全风险会直接影响业务运营,使得数字化带来的好处 “一失万无” 。
以新冠疫情期间崭露头角的“5G+智慧医疗”场景为例,依托5G低时延、高可靠、高带宽等特性,未来远程病理诊断、远程手术、现场救治等都可实现,这意味着网络将连接越来越多的医疗设备和数据网络,并直接连接医生和患者。而在智能制造场景下,万物互联使更多的自动化装备加入连接,5G替代传统工业总线实现柔性生产,在此过程中一旦遭受网络攻击,就不再只是经济损失,就可能对物理环境与人身安全造成威胁。
网络安全将从以往的辅助工程,变成新基建中的基础工程。在新基建浪潮的推动下,对于网络安全,也需要从过去的零散、局部、被动的建设,升级为构建内生、体系化、主动有序为特点的内生安全体系。
网络安全需顶层视角
亟需新一代企业网络安全框架
把网络安全升级成新基建的基础工程,需要一套行之有效的方法论作为指导。过去20-30年,国内外在信息化建设方面,都采用以系统工程思想结合IT的企业架构方法论,形成TOGAF框架,引导与推动了大规模、体系化、高效整合的信息化建设,很好地支撑了各行业的业务运营。
但在网络安全行业,一直采用的是“局部整改”为主的安全建设模式,致使网络安全体系化缺失、碎片化严重,网络安全防御能力与数字化业务运营的保障要求严重不相匹配。因此,网络安全行业一直盼望着能有与信息化系统工程方法相匹配的框架,指导未来的网络安全体系建设。
为了填补行业空白,奇安信发布了新一代网络安全框架。该框架立足甲方视角、信息化视角和系统工程视角,以实体工程和支撑任务两个维度,形成“十大工程、五大任务”,帮助各行业在数字化环境内部建立无处不在的“免疫力”,构建出动态综合的网络安全防御体系。
“十大工程、五大任务”
是安全框架的落地抓手
“十大工程”和“五大任务”是新一代网络安全框架的落地抓手,它适用于几乎所有网络空间各个应用场景下的安全需求,能指导不同的行业输出符合其业务特点的网络安全架构。
十大工程包括:
工程一:新一代身份安全。
对应新场景下身份管理和使用模式的改变,构建基于属性的身份管理与访问控制体系,全面纳管数字化身份,为网络安全与业务运营奠定基础。
工程二:重构企业级网络纵深防御。
对应新技术应用产生的更多网络出口、更复杂的挑战,采用标准化、模块化网络安全防护集群,适配网络节点接入模式,构建多层次网络纵深防御体系。
工程三:数字化终端接入的安全防护。
对应终端类别繁多、接入与管控、数据安全的风险,在终端和接入环境上构建一体化终端安全技术栈,构建全面覆盖多场景数字化终端安全管理体系。
工程四:面向云的数据中心安全。
对应云数据中心复杂的应用场景,将安全能力深入融合到云数据中心多层次的网络纵深和组件中,同时满足传统数据中心安全和云计算安全要求。
工程五:大数据应用的数据安全。
对应数据集中、流转和应用场景中的安全挑战,以数据安全治理为基础,将数据生命周期与数据应用场景结合,严控数据流转与使用,加强行为监控与审计,确保数据安全。
工程六:实战化全局态势感知体系。
在实战化全局态势感知体系中,现状是实战支撑力不足。应覆盖所有信息资产全面实时安全监测,持续检验安全防御机制的有效性、动态分析安全威胁并及时处置。
工程七:面向资产/漏洞/配置/补丁的系统安全。
对应当前各大机构安全体系的最短板,聚合IT资产、配置、漏洞、补丁等数据,提高漏洞修复的确定性,实现及时、准确、可持续的系统安全保护。
工程八:工业生产网安全防护。
对应企业工业生产网长期以来安全防护普遍缺失的现状,面向工控网络内部、工控与IT网络边界、数据采集与运维、集团总部数据中心构建多层次安全措施,强化纵深防御,全面掌握工业生产网的安全态势。
工程九:内部威胁防控体系。
对应内部人员导致严重业务损失的巨大威胁,基于操作监控、访问控制、行为分析等手段,结合管控制度、意识培训等管理措施,提升威胁防护能力。
工程十:密码专项。
对应密码相关的法律要求和业务需求,秉承“内生安全”理念规划、设计密码体系,实现密码与信息系统、数据和业务应用紧密结合。
五大任务包括:
任务一:实战化安全运行能力建设。
按次开展的安全检查与测评模式无法达到业务安全保障要求。应全面涵盖安全团队、安全运行流程、安全操作规程、安全运行支撑平台和安全工具等,并持续的评估、优化,持续提升安全运行成熟度,以达成对信息系统的持久性防护。
任务二:应用安全能力支撑。
应用系统建设过程中安全长期缺位,安全与信息化建设普遍割裂,系统带病上线,后期整改困难。结合开发运行一体化(DevOps)模式,推进安全能力与信息系统持续集成,使安全属性内生于信息系统,保持敏捷的同时满足合规,使信息系统天然具有免疫力。
任务三:安全人员能力支撑。
人的能力决定安全体系建设和运行的能力。应设计企业网络安全团队、设置岗位与能力要求,开展能力实训,建设网络安全实战训练靶场,提升人员的实战能力,形成安全团队建制化。
任务四:物联网安全能力支撑。
物联网设备类型碎片化、网络异构化、部署泛在化的特性引入了大量安全风险。结合物联网“端边云”的架构,构建具有灵活性、自适应性和边云协同能力的物联网安全支撑体系。
任务五:业务安全能力支撑。
数字化业务剧增,由恶意操作、误操作行为引发的业务风险显著增长。聚合业务与行为数据,利用大数据分析技术,保护客户隐私、交易安全,加强欺诈防范,打击涉黄、涉政等行为,保障业务运营。
网络安全需要更前瞻理念
打破“紧平衡”
据统计,截止到3月1日,全国有13个省市发布了2020年重点项目投资计划清单,涉及新基建总投资金额约为34万亿元。可以说,新基建为基础的数字经济转型对于中国网络安全行业是机会,更是巨大的挑战。从本次新冠疫情防控看,国家在医疗卫生、应急方案,都将留有备用的资源,以应对突发型威胁。而网络安全要支撑好新基建环境下的数字化转型的深入,也需要被看作一个“复杂系统”,进行体系化的、主动的、有节奏的构建,打破“紧平衡”。