核心提示:奇安信董事長齊向東首次對外披露了奇安信面向新型基礎設施建設的新一代網(wǎng)絡安全框架。
近日�,奇安信董事長齊向東首次對外披露了奇安信面向新基建(新型基礎設施建設)的新一代網(wǎng)絡安全框架�����。齊向東認為,本次新冠肺炎疫情加速了全球開啟數(shù)字化轉(zhuǎn)型的步伐���,在這個數(shù)字化升級進程中��,絕大部分安全問題集中在應用場景上���,并和業(yè)務深度關聯(lián),安全將從輔助性工程變成基礎設施����。
為適應這種形式,奇安信推出了面向新基建建設��、面向數(shù)字化業(yè)務的新一代網(wǎng)絡安全框架���,并在此框架下�,發(fā)布了更落地的"十大工程五大任務"�����,可以適用于各個應用場景���,指導不同行業(yè)輸出安全架構����。
數(shù)字化從可選變成必選
2020年開端��,一場突如其來的新冠肺炎疫情����,無形中加速了全球擁抱數(shù)字化的步伐。從疫情防控到遠程辦公��,人類社會首次大范圍感受到數(shù)字化轉(zhuǎn)型帶來的效率提升�����。數(shù)字化已經(jīng)成為治理體系和治理能力現(xiàn)代化建設的必要一環(huán)�。
3月4日,中央政治局會議強調(diào)加快5G網(wǎng)絡����、數(shù)據(jù)中心等新型基礎設施建設,為我國數(shù)字化轉(zhuǎn)型按下了加速鍵����。
新基建將帶動經(jīng)濟高質(zhì)量增長�����,但新技術的應用也引入了新的安全風險����。一旦發(fā)生重大網(wǎng)絡安全事件�����,將使數(shù)字化帶來的收益“一失萬無”��。如何保障數(shù)字化業(yè)務的平穩(wěn)���、有序和高效運營����,是新基建過程中的一次大考�。同樣的,美國國防部在數(shù)字現(xiàn)代化戰(zhàn)略中確立的四個優(yōu)先事項中���,把網(wǎng)絡安全排在了第一位����,其他三個事項分別是:人工智能;云���;指揮���、控制和通信(C3)。
安全從輔助變成基礎
齊向東認為��,網(wǎng)絡安全是新基建的基礎��。以前��,網(wǎng)絡安全是輔助性工程����,但在新基建里是基礎工程��。新基建會進一步加快網(wǎng)絡世界和物理世界的融合��。這意味著兩者的邊界將基本消失����,對網(wǎng)絡的攻擊就等于對物理世界的攻擊,直接影響人民生活�、社會穩(wěn)定和國家安全����。
在他看來���,未來絕大部分的安全問題都集中在應用場景上�,因此需要把安全升級�����,作為基礎設施來建設�。以新能源汽車充電樁為例,未來每個充電樁都會聯(lián)網(wǎng)�,當協(xié)議出現(xiàn)漏洞,就出現(xiàn)了新的攻擊方法���,安全問題瞬息萬變���。傳統(tǒng)的解決方法是給每個充電樁部署安全設施,但未來充電樁會遍布城鄉(xiāng)各地����,一個個分布式解決是行不通的。只有通過分層解耦、異構兼容�,把安全能力資源化、目錄化����、云化,用網(wǎng)絡調(diào)度來增減安全措施��,才能保障系統(tǒng)的正常運轉(zhuǎn)����。
新一代網(wǎng)絡安全框架
過去20年,國內(nèi)外在信息化建設方面�����,有一套行之有效的框架與方法論���,即采用以系統(tǒng)工程思想結(jié)合IT的EA(Enterprise Architecture)方法論,形成TOGAF框架(開放組織體系結(jié)構框架 The Open Group Architecture Framework)����,引導與推動了大規(guī)模、體系化��、高效整合的信息化建設,很好地支撐了各行業(yè)的業(yè)務運營��。
網(wǎng)絡安全行業(yè)一直盼望著能有與信息化系統(tǒng)工程方法相匹配的框架����,指導未來的網(wǎng)絡安全體系建設。因為此前���,在網(wǎng)絡安全行業(yè)�����,一直采用的是“局部整改”為主的安全建設模式���,致使網(wǎng)絡安全體系化缺失、碎片化嚴重�,網(wǎng)絡安全防御能力與數(shù)字化業(yè)務運營的保障要求嚴重不相匹配。
把網(wǎng)絡安全升級成新基建的基礎工程�����,就必須有一套行之有效的框架作為指導���。齊向東要求奇安信的戰(zhàn)略部門���,從2019年開始潛心研究��,并計劃于近日發(fā)布新一代網(wǎng)絡安全框架�。這是面向新基建建設�����、面向數(shù)字化業(yè)務����,以系統(tǒng)工程的方法論結(jié)合“內(nèi)生安全”的理念,形成的網(wǎng)絡安全建設框架�。
這套框架從頂層視角出發(fā),幫助各行業(yè)在數(shù)字化環(huán)境內(nèi)部建立無處不在的“免疫力”�����,構建出動態(tài)綜合的網(wǎng)絡安全防御體系��,全方位保障業(yè)務安全�。
十大工程五大任務
新一代網(wǎng)絡安全框架�����,以實體工程和支撐任務兩個維度,劃分為“十大工程”和“五大任務”�。它適用于幾乎所有網(wǎng)絡空間各個應用場景下的安全需求,能指導不同的行業(yè)輸出符合其業(yè)務特點的網(wǎng)絡安全架構�。
十大工程
工程一:新一代身份安全。對應新場景下身份管理和使用模式的改變���,構建基于屬性的身份管理與訪問控制體系�,全面納管數(shù)字化身份���,為網(wǎng)絡安全與業(yè)務運營奠定基礎�����。
工程二:重構企業(yè)級網(wǎng)絡縱深防御�。對應新技術應用產(chǎn)生的更多網(wǎng)絡出口�、更復雜的管理挑戰(zhàn),采用標準化���、模塊化的網(wǎng)絡安全防護集群����,適配網(wǎng)絡節(jié)點接入模式�,構建覆蓋多層次的網(wǎng)絡縱深防御體系����。
工程三:數(shù)字化終端及接入環(huán)境安全����。對應數(shù)字化時代終端類別繁多、接入與管控�����、數(shù)據(jù)安全的風險��,在終端和接入環(huán)境上構建一體化終端安全技術棧����,構建全面覆蓋多場景的數(shù)字化終端安全管理體系。
工程四:面向云的數(shù)據(jù)中心安全防護��。對應云數(shù)據(jù)中心復雜的應用場景���,將安全能力深入融合到云數(shù)據(jù)中心多層次的網(wǎng)絡縱深和組件中��,同時滿足傳統(tǒng)數(shù)據(jù)中心安全和云計算安全要求。
工程五:面向大數(shù)據(jù)應用的數(shù)據(jù)安全防護��。對應數(shù)據(jù)集中、流轉(zhuǎn)和應用場景中的安全挑戰(zhàn)�,以數(shù)據(jù)安全治理為基礎,將數(shù)據(jù)生命周期與數(shù)據(jù)應用場景結(jié)合���,嚴控數(shù)據(jù)流轉(zhuǎn)與使用����,加強行為監(jiān)控與審計��,確保數(shù)據(jù)安全��。
工程六:面向?qū)崙?zhàn)化的全局態(tài)勢感知體系�。對應目前重展現(xiàn)輕分析,實戰(zhàn)支撐力不足的現(xiàn)狀��,覆蓋所有信息資產(chǎn)的全面實時安全監(jiān)測�,持續(xù)檢驗安全防御機制的有效性、動態(tài)分析安全威脅并及時處置���。
工程七:面向資產(chǎn)/漏洞/配置/補丁的系統(tǒng)安全���。對應當前各大機構安全體系的最短板,聚合IT資產(chǎn)��、配置、漏洞���、補丁等數(shù)據(jù)�,提高漏洞修復的確定性���,實現(xiàn)及時����、準確���、可持續(xù)的系統(tǒng)安全保護���。
工程八:工業(yè)生產(chǎn)網(wǎng)安全防護。對應企業(yè)工業(yè)生產(chǎn)網(wǎng)長期以來安全防護普遍缺失的現(xiàn)狀����,面向工控網(wǎng)絡內(nèi)部、工控與IT網(wǎng)絡邊界�、數(shù)據(jù)采集與運維、集團總部數(shù)據(jù)中心構建多層次安全措施��,強化縱深防御,全面掌握工業(yè)生產(chǎn)網(wǎng)的安全態(tài)勢�。
工程九:內(nèi)部威脅防控體系。對應內(nèi)部人員導致嚴重業(yè)務損失的巨大威脅��,基于操作監(jiān)控���、訪問控制、行為分析等手段�����,結(jié)合管控制度�、意識培訓等管理措施,提升內(nèi)部威脅防護能力��。
工程十:密碼專項����。對應密碼相關的法律要求和業(yè)務需求,秉承“內(nèi)生安全”理念規(guī)劃�����、設計密碼體系���,實現(xiàn)密碼與信息系統(tǒng)��、數(shù)據(jù)和業(yè)務應用緊密結(jié)合��。
五大任務
任務一:實戰(zhàn)化安全運行能力建設����。按次開展的安全檢查與測評模式無法達到業(yè)務安全保障要求。應全面涵蓋安全團隊�、安全運行流程、安全操作規(guī)程���、安全運行支撐平臺和安全工具等�����,并持續(xù)的評估���、優(yōu)化,持續(xù)提升安全運行成熟度����,以達成對信息系統(tǒng)的持久性防護。
任務二:應用安全能力支撐�����。應用系統(tǒng)建設過程中安全長期缺位,安全與信息化建設普遍割裂���,系統(tǒng)帶病上線����,后期整改困難��。結(jié)合開發(fā)運行一體化(DevOps)模式��,推進安全能力與信息系統(tǒng)持續(xù)集成����,使安全屬性內(nèi)生于信息系統(tǒng)�,保持敏捷的同時滿足合規(guī),使信息系統(tǒng)天然具有免疫力��。
任務三:安全人員能力支撐�����。人的能力決定安全體系建設和運行的能力���。設計企業(yè)網(wǎng)絡安全團隊���、設置崗位與能力要求�,開展能力實訓����,建設網(wǎng)絡安全實戰(zhàn)訓練靶場,提升人員的實戰(zhàn)能力����,形成安全團隊建制化。
任務四:物聯(lián)網(wǎng)安全能力支撐�。物聯(lián)網(wǎng)設備類型碎片化、網(wǎng)絡異構化���、部署泛在化的特性引入了大量安全風險���。結(jié)合物聯(lián)網(wǎng)“端邊云”的架構,構建具有靈活性��、自適應性和邊云協(xié)同能力的物聯(lián)網(wǎng)安全支撐體系���。
任務五:業(yè)務安全能力支撐���。數(shù)字化業(yè)務劇增���,由惡意操作、誤操作行為引發(fā)的業(yè)務風險顯著增長����。聚合業(yè)務與行為數(shù)據(jù),利用大數(shù)據(jù)分析技術��,保護客戶隱私��、交易安全����,加強欺詐防范����,打擊涉黃、涉政等行為�,保障業(yè)務運營。
