近日,2020 網(wǎng)絡(luò)安全大會(huì)(BCS2020)主辦方奇安信公布了大會(huì)主題,即“內(nèi)生安全 從安全框架開(kāi)始”。自去年大會(huì)主題“聚合應(yīng)變,內(nèi)生安全”提出以來(lái),內(nèi)生安全已經(jīng)成為行業(yè)共識(shí),成為網(wǎng)絡(luò)安全模式升級(jí)的前進(jìn)方向。在今年3月,奇安信基于“內(nèi)生安全”理念,正式推出了新一代網(wǎng)絡(luò)安全框架,從頂層視角建立安全體系全景視圖以指導(dǎo)安全建設(shè),強(qiáng)化安全與信息化的融合。
因此,今年大會(huì)主題一經(jīng)公布,就引起了業(yè)內(nèi)的熱議,內(nèi)生安全為什么需要新一代網(wǎng)絡(luò)安全框架?新一代網(wǎng)絡(luò)安全框架又當(dāng)如何指導(dǎo)網(wǎng)絡(luò)安全模式升級(jí)?這一系列問(wèn)題,BCS 2020會(huì)帶來(lái)答案。
網(wǎng)絡(luò)安全建設(shè)缺乏統(tǒng)一框架指導(dǎo)
過(guò)去20年,國(guó)內(nèi)外在信息化建設(shè)方面,采用EA(Enterprise Architecture)方法論與TOGAF框架(開(kāi)放組織體系結(jié)構(gòu)框架 The Open Group Architecture Framework),引導(dǎo)與推動(dòng)了大規(guī)模、體系化、高效整合的信息化建設(shè),很好地支撐了各行業(yè)的業(yè)務(wù)運(yùn)營(yíng)。但是與信息化發(fā)展不同的是,網(wǎng)絡(luò)安全行業(yè)一直缺乏與信息化系統(tǒng)工程方法相匹配的框架,指導(dǎo)未來(lái)的網(wǎng)絡(luò)安全體系建設(shè)。
以往在我國(guó)的網(wǎng)絡(luò)安全體系規(guī)劃與設(shè)計(jì)中,多數(shù)情況是照搬國(guó)外的安全框架。由于國(guó)內(nèi)與國(guó)外信息化發(fā)展歷程不同,網(wǎng)絡(luò)安全能力水平存在較大差異。這種照搬模式導(dǎo)致了安全規(guī)劃因?yàn)檫M(jìn)行套用國(guó)外框架而引發(fā)的“水土不服”。照搬模式導(dǎo)致政企對(duì)國(guó)內(nèi)外網(wǎng)絡(luò)安全基礎(chǔ)差距的忽視,而過(guò)分強(qiáng)調(diào)新技術(shù)、新概念導(dǎo)入,很多時(shí)候并沒(méi)有真正解決網(wǎng)絡(luò)安全的實(shí)際問(wèn)題。
當(dāng)前,我國(guó)提出了更加廣泛、更加深入的國(guó)家級(jí)數(shù)字化戰(zhàn)略,在廣度上包含了各行業(yè)、各領(lǐng)域的數(shù)字化業(yè)務(wù)運(yùn)營(yíng)模式的再造,在深度上驅(qū)動(dòng)了政企機(jī)構(gòu)對(duì)信息化支撐體系的全面升級(jí)和替換。因此照搬硬套國(guó)外的安全框架,也面臨著達(dá)不到我數(shù)字化業(yè)務(wù)運(yùn)營(yíng)模式所必須的高標(biāo)準(zhǔn)要求。
對(duì)此有專(zhuān)家認(rèn)為,在數(shù)字化轉(zhuǎn)型、新基建建設(shè)中,需要有一套行之有效的、以系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”理念而形成的網(wǎng)絡(luò)安全規(guī)劃建設(shè)框架,引導(dǎo)政企機(jī)構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全,使網(wǎng)絡(luò)安全逐漸從邊緣走向核心、從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實(shí)戰(zhàn)化”,推進(jìn)網(wǎng)絡(luò)安全向基礎(chǔ)設(shè)施化、服務(wù)化模式發(fā)展。
奇安信推出的新一代網(wǎng)絡(luò)安全框架從“客戶視角、信息化視角、網(wǎng)絡(luò)安全頂層視角”展現(xiàn)出政企網(wǎng)絡(luò)安全體系全景,通過(guò)以能力為導(dǎo)向的網(wǎng)絡(luò)安全體系設(shè)計(jì)方法,規(guī)劃出面向未來(lái)網(wǎng)絡(luò)安全模式升級(jí)的重點(diǎn)項(xiàng)目庫(kù),并設(shè)計(jì)出將網(wǎng)絡(luò)安全與信息化相融合的目標(biāo)技術(shù)體系和目標(biāo)運(yùn)行體系,供政企參考借鑒。
圖:新一代網(wǎng)絡(luò)安全框架
內(nèi)生安全從理念到落地
新一代網(wǎng)絡(luò)安全框架,是對(duì)網(wǎng)絡(luò)安全模式升級(jí)新方法的探索,是“內(nèi)生安全”理念的有效落地。該框架融合了網(wǎng)絡(luò)安全、系統(tǒng)工程、項(xiàng)目管理的理論和實(shí)踐經(jīng)驗(yàn),采用“網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺”模型對(duì)疊加演進(jìn)的網(wǎng)絡(luò)安全能力識(shí)別方法,結(jié)合國(guó)內(nèi)外各類(lèi)網(wǎng)絡(luò)安全規(guī)范標(biāo)準(zhǔn)要求,以及大量被證明切實(shí)有效的最佳實(shí)踐,全面的枚舉出了政企機(jī)構(gòu)網(wǎng)絡(luò)安全所需的各類(lèi)安全能力。有分析師表示,隨著安全技術(shù)體系與安全運(yùn)行體系的建立完善,可以實(shí)現(xiàn)“內(nèi)生安全”的全面落地,使政企機(jī)構(gòu)能夠具備體系化的安全防御能力。
政企機(jī)構(gòu)可參考新一代網(wǎng)絡(luò)安全框架,采用新理念、新方法規(guī)劃建設(shè)能有效應(yīng)對(duì)數(shù)字化風(fēng)險(xiǎn)的新型網(wǎng)絡(luò)安全服務(wù)化工作模式。可將“一體之兩翼、驅(qū)動(dòng)之雙輪”作為其信息化和網(wǎng)絡(luò)安全的戰(zhàn)略定位,構(gòu)建“關(guān)口前移,防患于未然”的網(wǎng)絡(luò)安全防御體系,以“統(tǒng)一謀劃”作為落實(shí)“四統(tǒng)一”的起點(diǎn),在做好“關(guān)口前移”的基礎(chǔ)上,推動(dòng)網(wǎng)絡(luò)安全從“局部整改”、“輔助配套”建設(shè)模式向體系化規(guī)劃建設(shè)模式轉(zhuǎn)變。須重點(diǎn)設(shè)計(jì)所需安全能力之間的依賴協(xié)同關(guān)系,以及通過(guò)安全能力的協(xié)同所能提供給信息化的安全服務(wù)。明確安全服務(wù)能力與信息化各層次的結(jié)合方式,建立以能力為中心的安全能力服務(wù)化模式。
另外政企機(jī)構(gòu)還應(yīng)以保護(hù)信息化資產(chǎn)為基礎(chǔ),進(jìn)一步關(guān)注人員、系統(tǒng)、數(shù)據(jù)以及運(yùn)行支撐體系之間的交互關(guān)系,進(jìn)行整體防護(hù),避免“以偏概全”的傳統(tǒng)模式。需要面向疊加演進(jìn)的基礎(chǔ)結(jié)構(gòu)安全、網(wǎng)絡(luò)縱深防御、積極防御和威脅情報(bào)等能力,識(shí)別、設(shè)計(jì)構(gòu)成網(wǎng)絡(luò)安全防御體系的基礎(chǔ)設(shè)施、平臺(tái)、系統(tǒng)和工具集,并圍繞可持續(xù)的實(shí)戰(zhàn)化安全運(yùn)行體系以數(shù)據(jù)驅(qū)動(dòng)方式進(jìn)行集成整合,從而構(gòu)建出動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系。
圍繞網(wǎng)絡(luò)的縱深防御體系為基礎(chǔ),進(jìn)一步圍繞數(shù)據(jù)確定防御重點(diǎn),圍繞人員開(kāi)展實(shí)戰(zhàn)化安全運(yùn)行,規(guī)劃建設(shè)動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系,使安全能力全面覆蓋云、終端、服務(wù)器、通信鏈路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控、人員等IT要素,避免局部盲區(qū)而導(dǎo)致的防御體系失效;還需要將安全能力深度融入物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)與用戶等各個(gè)層次,確保安全能力能在IT的各層次有效集成。
隨著威脅向“有組織攻擊”發(fā)展,政企機(jī)構(gòu)需要以可量化的方式識(shí)別能力上限和底線,打破“緊平衡”建設(shè)方式來(lái)規(guī)劃、設(shè)計(jì)和建設(shè)網(wǎng)絡(luò)安全體系。正在推動(dòng)網(wǎng)絡(luò)安全模式升級(jí)的某企業(yè)CISO表示,在進(jìn)行規(guī)劃與設(shè)計(jì)時(shí),要充分考慮隨時(shí)可能突發(fā)的網(wǎng)絡(luò)安全威脅升級(jí)情況,須本著“寧可備而不用、備而少用,不可用而不備”的原則,在建設(shè)中預(yù)置可擴(kuò)展的能力,在運(yùn)行中預(yù)留出必要的應(yīng)急資源,確保在面對(duì)網(wǎng)絡(luò)空間重大不確定性風(fēng)險(xiǎn)時(shí)數(shù)字化運(yùn)營(yíng)不會(huì)受到重大影響。
據(jù)悉,在8月7日至8月16日舉行的BCS 2020大會(huì)中,通過(guò)10場(chǎng)峰會(huì)、50多場(chǎng)論壇、16檔100多場(chǎng)特色欄目,來(lái)自全球各國(guó)的數(shù)百位重磅嘉賓,將就新一代網(wǎng)絡(luò)安全框架在不同行業(yè)、不同領(lǐng)域和不同場(chǎng)景之下的落地和實(shí)踐,進(jìn)行深入研討,一起激蕩思想、碰撞火花,共同把脈網(wǎng)絡(luò)安全行業(yè)未來(lái)發(fā)展的新航向,給數(shù)字化轉(zhuǎn)型升級(jí)的各類(lèi)政企機(jī)構(gòu)給出安全建設(shè)的指導(dǎo)性建議。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )