奇安信紧扣企业数字化转型趋势和“新基建”建设要求,结合当前政府、央企、金融、运营商等大型机构的网络安全普遍需求,借鉴国内外大型机构网络安全最佳实践和网络安全架构研究成果,提出面向“十四五”期间的网络安全规划“十大工程、五大任务”建议框架,为政企机构提供从“甲方视角、信息化视角、网络安全全景视角”出发的顶层规划与体系设计思路与建议。
“内生安全”是把安全能力内置到信息化环境中,通过信息化系统和安全系统的聚合、业务数据和安全数据的聚合、IT人才和安全人才的三个聚合,让安全系统像人的免疫系统一样,实现自主、自适应和自成长。
1、从局部整改、辅助配套的建设模式为主,走向“深度融合、全面覆盖”的体系化建设模式;
2、面向数字化业务,以系统工程方法论结合内生安全理念,形成新一代网络安全建设框架;
3、以能力为导向的网络安全输出体系化、全局化、实战化的组件化安全能力,构建出动态综合的网络安全防御体系。
新一代网络安全框架为政企网络安全规划、设计提供思路与建议可被用于企业的网络安全体系规划与设计。框架通过叠加演进的能力分类方法,形成面向政企信息化全领域的网络安全能力体系。框架是“内生安全”理念的有效落地,他把安全能力内置到系统业务中,感知、响应对业务系统和数据的任何破坏行为,真正做到“事前防控”。达到1+1>2的“涌现”效果。
框架里面有六个组件,每个组件都有特定的作用。企业可将新一代企业网络安全框架作为模版,结合自身情况,充分利用框架中包含的规划方法、工具、项目库、参考架构、规划模型等组件,科学、严谨的规划出适合政企业务发展的新一代网络安全体系。
内生安全能力体系是保障政企机构数字化业务所必需的网络安全能力的集合。框架中网络安全能力体系是结合国内外安全领域规范标准、最佳实践、新安全技术研究以及威胁框架,枚举出保障政企机构数字化业务安全运行所需的能力集合。借鉴网络安全“滑动标尺”模型对安全能力分类,结合中国政企机构信息化普遍存在的安全领域,规划设计形成了叠加演进的网络安全能力体系。
政企机构可采用框架中的安全规划方法论指导开展自身网络安全工作,使用网络安全规划工具开展访谈、调研、路线设计工作。将网络安全、系统工程、项目管理、服务管理等理论融入网络安全规划方法中,合理使用安全规划工具,确保政企能以完整、严谨、科学的方式将安全专业知识应用于规划建设全周期,使规划出的项目(工程和任务)适合政企机构。
新一代企业网络安全框架的规划方法论,将规划过程划分为五步,分别是:现状分析、规划安全战略、展望目标安全体系、项目规划与路线图设计、可研与立项。其优点表现为:
组件化安全能力框架是将网络安全能力映射成为可执行、可建设的网络安全能力组件的重要工具。使用该框架将保障数字化业务所必需的安全能力映射到安全能力组件。安全能力组件是安全能力的实现载体,包括安全机制、技术手段、安全系统、安全管理制度、安全责任等内容。
如下图所示,通过组件化网络安全能力框架,呈现出安全能力在信息化不同层次的安全控制方式,充分反映了安全能力深度结合的思想。
新一代网络安全框架使用能力导向的EA方法论,将政企的动态综合网络安全防御体系作为一个整体进行设计,并识别出了十五个构成子系统,进一步以系统工程方式将这十五个构成子系统也作为巨系统进行设计,面向这十五个子系统设计了项目规划纲要。项目规划纲要是项目库的核心,在规划的全周期,政企参考项目规划纲要进行可研、立项、招标、初步设计、概要设计、建设和运行,确保安全能力的完整性、体系性和可落地性,进而以可实现、一贯秉承的整体视角建设达成网络安全防御目标。
它是描述安全技术能力目标状态的参考架构,以安全技术部署架构图的形式,全面表达了政企机构网络全景、信息化和网络安全的融合关系、以及安全全景,展示了网络安全技术部署的目标状态。政企机构在设计网络安全技术部署架构的过程中,以政企机构网络安全防御全景模型为工具,参考政企机构网络安全技术部署参考架构,结合自身信息化实际情况,对参考架构进行剪裁、适配,规划适合政企机构自己的网络安全技术部署架构。
展现了政企机构的整体网络布局;展现了政企机构信息化与安全的全面融合关系;展现了政企机构所必需的所有安全能力及其部署形态;发挥政企机构网络安全技术部署架构的作用。
政企机构网络安全运行体系参考架构是描述安全运行体系的目标状态参考架构,以安全运行体系参考架构图的形式,全面展现了十大工程、五大任务建成之后,安全体系与信息化协同运行的目标状态。通过安全与信息化技术聚合、数据聚合、人才聚合,构建一体化的协同运行能力。
一方面,政企机构可参考“网络安全战略规划咨询服务”内容,在奇安信咨询规划专家的指导下,规划、设计出满足自身发展的网络安全体系。
另一方面,政企机构可借鉴新一代企业网络安全框架,以能力为中心进行安全体系的规划建设,结合自身信息化现状,规划网络安全建设项目(参照十大工程五大任务),定义关键工程和任务。以项目为抓手,合理调配资源、完善管理机制,使网络安全工作能够等到充足保障和有利推进,从而在“十四五”期间通过升级、替换或重构的方式使网络安全规划得到落实,实现网络安全能力演进提升。
95015服务热线
微信公众号