新基建為5G按下加速鍵構(gòu)建內(nèi)生安全框架勢在必行

韓永剛

以5G為代表的新基建浪潮撲面而來，但新技術(shù)也引入了新的安全風險。一旦發(fā)生重大網(wǎng)絡(luò)安全事件，將使數(shù)字化帶來的收益“一失萬無”。如何保障數(shù)字化業(yè)務(wù)的平穩(wěn)、有序和高效運營，是對新基建過程中的一次大考。

2020年開端，一場新冠疫情無形中加速了全球擁抱數(shù)字化的步伐。從疫情防控到遠程辦公，人類社會首次大范圍感受到數(shù)字化轉(zhuǎn)型帶來的效率提升。

3月4日，國家明確強調(diào)要加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進度，為我國數(shù)字化轉(zhuǎn)型按下了加速鍵。隨后，國家發(fā)改委、工信部聯(lián)合發(fā)布了《關(guān)于組織實施2020年新型基礎(chǔ)設(shè)施建設(shè)工程（寬帶網(wǎng)絡(luò)和5G領(lǐng)域）的通知》，宣布在5G領(lǐng)域?qū)嵤?大創(chuàng)新應(yīng)用提升工程，覆蓋了智慧醫(yī)療、虛擬企業(yè)專網(wǎng)、智能電網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域。

5G將加速數(shù)字化安全風險將直接影響業(yè)務(wù)運營

新冠疫情爆發(fā)后，國家大力度推動新型基礎(chǔ)設(shè)施建設(shè)、政企機構(gòu)的數(shù)字化轉(zhuǎn)型，以遠程辦公、遠程醫(yī)療、遠程教育為代表的線上應(yīng)用迎來爆發(fā)式增長。

尤其是以5G為代表的新基建，讓數(shù)字化更加深入，使原來封閉業(yè)務(wù)系統(tǒng)更加開放，數(shù)字化有更多機會能直接連企業(yè)一線生產(chǎn)業(yè)務(wù)系統(tǒng)與人員。這意味著網(wǎng)絡(luò)安全風險會直接影響業(yè)務(wù)運營，使得數(shù)字化帶來的好處 “一失萬無” 。

以新冠疫情期間嶄露頭角的“5G+智慧醫(yī)療”場景為例，依托5G低時延、高可靠、高帶寬等特性，未來遠程病理診斷、遠程手術(shù)、現(xiàn)場救治等都可實現(xiàn)，這意味著網(wǎng)絡(luò)將連接越來越多的醫(yī)療設(shè)備和數(shù)據(jù)網(wǎng)絡(luò)，并直接連接醫(yī)生和患者。而在智能制造場景下，萬物互聯(lián)使更多的自動化裝備加入連接，5G替代傳統(tǒng)工業(yè)總線實現(xiàn)柔性生產(chǎn)，在此過程中一旦遭受網(wǎng)絡(luò)攻擊，就不再只是經(jīng)濟損失，就可能對物理環(huán)境與人身安全造成威脅。

網(wǎng)絡(luò)安全將從以往的輔助工程，變成新基建中的基礎(chǔ)工程。在新基建浪潮的推動下，對于網(wǎng)絡(luò)安全，也需要從過去的零散、局部、被動的建設(shè)，升級為構(gòu)建內(nèi)生、體系化、主動有序為特點的內(nèi)生安全體系。

網(wǎng)絡(luò)安全需頂層視角亟需新一代企業(yè)網(wǎng)絡(luò)安全框架?

把網(wǎng)絡(luò)安全升級成新基建的基礎(chǔ)工程，需要一套行之有效的方法論作為指導。過去20-30年，國內(nèi)外在信息化建設(shè)方面，都采用以系統(tǒng)工程思想結(jié)合IT的企業(yè)架構(gòu)方法論，形成TOGAF框架，引導與推動了大規(guī)模、體系化、高效整合的信息化建設(shè)，很好地支撐了各行業(yè)的業(yè)務(wù)運營。

但在網(wǎng)絡(luò)安全行業(yè)，一直采用的是“局部整改”為主的安全建設(shè)模式，致使網(wǎng)絡(luò)安全體系化缺失、碎片化嚴重，網(wǎng)絡(luò)安全防御能力與數(shù)字化業(yè)務(wù)運營的保障要求嚴重不相匹配。因此，網(wǎng)絡(luò)安全行業(yè)一直盼望著能有與信息化系統(tǒng)工程方法相匹配的框架，指導未來的網(wǎng)絡(luò)安全體系建設(shè)。

為了填補行業(yè)空白，奇安信發(fā)布了新一代網(wǎng)絡(luò)安全框架。該框架立足甲方視角、信息化視角和系統(tǒng)工程視角，以實體工程和支撐任務(wù)兩個維度，形成“十大工程、五大任務(wù)”，幫助各行業(yè)在數(shù)字化環(huán)境內(nèi)部建立無處不在的“免疫力”，構(gòu)建出動態(tài)綜合的網(wǎng)絡(luò)安全防御體系。

“十大工程、五大任務(wù)”是安全框架的落地抓手

“十大工程”和“五大任務(wù)”是新一代網(wǎng)絡(luò)安全框架的落地抓手，它適用于幾乎所有網(wǎng)絡(luò)空間各個應(yīng)用場景下的安全需求，能指導不同的行業(yè)輸出符合其業(yè)務(wù)特點的網(wǎng)絡(luò)安全架構(gòu)。

十大工程包括：

工程一：新一代身份安全。

對應(yīng)新場景下身份管理和使用模式的改變，構(gòu)建基于屬性的身份管理與訪問控制體系，全面納管數(shù)字化身份，為網(wǎng)絡(luò)安全與業(yè)務(wù)運營奠定基礎(chǔ)。

工程二：重構(gòu)企業(yè)級網(wǎng)絡(luò)縱深防御。

對應(yīng)新技術(shù)應(yīng)用產(chǎn)生的更多網(wǎng)絡(luò)出口、更復雜的挑戰(zhàn)，采用標準化、模塊化網(wǎng)絡(luò)安全防護集群，適配網(wǎng)絡(luò)節(jié)點接入模式，構(gòu)建多層次網(wǎng)絡(luò)縱深防御體系。

工程三：數(shù)字化終端接入的安全防護。

對應(yīng)終端類別繁多、接入與管控、數(shù)據(jù)安全的風險，在終端和接入環(huán)境上構(gòu)建一體化終端安全技術(shù)棧，構(gòu)建全面覆蓋多場景數(shù)字化終端安全管理體系。

工程四：面向云的數(shù)據(jù)中心安全。

對應(yīng)云數(shù)據(jù)中心復雜的應(yīng)用場景，將安全能力深入融合到云數(shù)據(jù)中心多層次的網(wǎng)絡(luò)縱深和組件中，同時滿足傳統(tǒng)數(shù)據(jù)中心安全和云計算安全要求。

工程五：大數(shù)據(jù)應(yīng)用的數(shù)據(jù)安全。

對應(yīng)數(shù)據(jù)集中、流轉(zhuǎn)和應(yīng)用場景中的安全挑戰(zhàn)，以數(shù)據(jù)安全治理為基礎(chǔ)，將數(shù)據(jù)生命周期與數(shù)據(jù)應(yīng)用場景結(jié)合，嚴控數(shù)據(jù)流轉(zhuǎn)與使用，加強行為監(jiān)控與審計，確保數(shù)據(jù)安全。

工程六：實戰(zhàn)化全局態(tài)勢感知體系。

在實戰(zhàn)化全局態(tài)勢感知體系中，現(xiàn)狀是實戰(zhàn)支撐力不足。應(yīng)覆蓋所有信息資產(chǎn)全面實時安全監(jiān)測，持續(xù)檢驗安全防御機制的有效性、動態(tài)分析安全威脅并及時處置。

工程七：面向資產(chǎn)/漏洞/配置/補丁的系統(tǒng)安全。

對應(yīng)當前各大機構(gòu)安全體系的最短板，聚合IT資產(chǎn)、配置、漏洞、補丁等數(shù)據(jù)，提高漏洞修復的確定性，實現(xiàn)及時、準確、可持續(xù)的系統(tǒng)安全保護。

工程八：工業(yè)生產(chǎn)網(wǎng)安全防護。

對應(yīng)企業(yè)工業(yè)生產(chǎn)網(wǎng)長期以來安全防護普遍缺失的現(xiàn)狀，面向工控網(wǎng)絡(luò)內(nèi)部、工控與IT網(wǎng)絡(luò)邊界、數(shù)據(jù)采集與運維、集團總部數(shù)據(jù)中心構(gòu)建多層次安全措施，強化縱深防御，全面掌握工業(yè)生產(chǎn)網(wǎng)的安全態(tài)勢。

工程九：內(nèi)部威脅防控體系。

對應(yīng)內(nèi)部人員導致嚴重業(yè)務(wù)損失的巨大威脅，基于操作監(jiān)控、訪問控制、行為分析等手段，結(jié)合管控制度、意識培訓等管理措施，提升威脅防護能力。

工程十：密碼專項。

對應(yīng)密碼相關(guān)的法律要求和業(yè)務(wù)需求，秉承“內(nèi)生安全”理念規(guī)劃、設(shè)計密碼體系，實現(xiàn)密碼與信息系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)應(yīng)用緊密結(jié)合。

五大任務(wù)包括：

任務(wù)一：實戰(zhàn)化安全運行能力建設(shè)。

按次開展的安全檢查與測評模式無法達到業(yè)務(wù)安全保障要求。應(yīng)全面涵蓋安全團隊、安全運行流程、安全操作規(guī)程、安全運行支撐平臺和安全工具等，并持續(xù)的評估、優(yōu)化，持續(xù)提升安全運行成熟度，以達成對信息系統(tǒng)的持久性防護。

任務(wù)二：應(yīng)用安全能力支撐。

應(yīng)用系統(tǒng)建設(shè)過程中安全長期缺位，安全與信息化建設(shè)普遍割裂，系統(tǒng)帶病上線，后期整改困難。結(jié)合開發(fā)運行一體化（DevOps）模式，推進安全能力與信息系統(tǒng)持續(xù)集成，使安全屬性內(nèi)生于信息系統(tǒng)，保持敏捷的同時滿足合規(guī)，使信息系統(tǒng)天然具有免疫力。

任務(wù)三：安全人員能力支撐。

人的能力決定安全體系建設(shè)和運行的能力。應(yīng)設(shè)計企業(yè)網(wǎng)絡(luò)安全團隊、設(shè)置崗位與能力要求，開展能力實訓，建設(shè)網(wǎng)絡(luò)安全實戰(zhàn)訓練靶場，提升人員的實戰(zhàn)能力，形成安全團隊建制化。

任務(wù)四：物聯(lián)網(wǎng)安全能力支撐。

物聯(lián)網(wǎng)設(shè)備類型碎片化、網(wǎng)絡(luò)異構(gòu)化、部署泛在化的特性引入了大量安全風險。結(jié)合物聯(lián)網(wǎng)“端邊云”的架構(gòu)，構(gòu)建具有靈活性、自適應(yīng)性和邊云協(xié)同能力的物聯(lián)網(wǎng)安全支撐體系。

任務(wù)五：業(yè)務(wù)安全能力支撐。

數(shù)字化業(yè)務(wù)劇增，由惡意操作、誤操作行為引發(fā)的業(yè)務(wù)風險顯著增長。聚合業(yè)務(wù)與行為數(shù)據(jù)，利用大數(shù)據(jù)分析技術(shù)，保護客戶隱私、交易安全，加強欺詐防范，打擊涉黃、涉政等行為，保障業(yè)務(wù)運營。

網(wǎng)絡(luò)安全需要更前瞻理念打破“緊平衡”

據(jù)統(tǒng)計，截止到3月1日，全國有13個省市發(fā)布了2020年重點項目投資計劃清單，涉及新基建總投資金額約為34萬億元?？梢哉f，新基建為基礎(chǔ)的數(shù)字經(jīng)濟轉(zhuǎn)型對于中國網(wǎng)絡(luò)安全行業(yè)是機會，更是巨大的挑戰(zhàn)。從本次新冠疫情防控看，國家在醫(yī)療衛(wèi)生、應(yīng)急方案，都將留有備用的資源，以應(yīng)對突發(fā)型威脅。而網(wǎng)絡(luò)安全要支撐好新基建環(huán)境下的數(shù)字化轉(zhuǎn)型的深入，也需要被看作一個“復雜系統(tǒng)”，進行體系化的、主動的、有節(jié)奏的構(gòu)建，打破“緊平衡”。

責任編輯：徐培炎

xupy@staff.ccidnet.com