在當今數字化時代,網絡安全已成為企業保護信息資產和業務運行的重要任務。惡意攻擊、數據泄露、網絡病毒等威脅不斷演進,給企業和個人帶來了巨大風險。為了應對這一挑戰,許多企業已經采取了一系列網絡安全措施,如制定了網絡安全政策和制度、部署了防火墻和入侵檢測系統等技術工具、建立了安全事件響應機制等。然而,這些措施往往只是零散的應對特定問題,未能形成一個有機、整體的網絡安全體系。因此,企業可能面臨諸如部門協調和合作不足、安全措施缺乏整體規劃和一致性、人才匱乏以及安全意識不足等問題和挑戰,使得企業難以全面有效地保護信息資產和業務。
為了解決這些問題,企業需要建立一個整體的網絡安全體系框架,將治理、管理、組織、制度、技術和運營等方面的安全工作有機地結合起來,形成協同作用,以實現全面的安全防護和風險管理。這樣的網絡安全體系框架不僅能夠提升企業的網絡安全能力,還能夠促進業務的可靠運行和持續發展。
在本文中,我們將介紹針對我國大多數組織普適通用的網絡安全體系框架的構成要素和體系建設的關鍵步驟,探討搭建網絡安全體系的難點和挑戰,并提供一些實用的建議和方法。通過深入理解和實施網絡安全體系建設,企業能夠更好地保護自己的信息資產和網絡安全,應對復雜多變的網絡威脅,確保業務的安全和可靠性。
一、網絡安全體系建設的驅動因素
網絡安全體系建設的驅動力主要來自以下幾個方面:
- 法律法規的要求:隨著網絡安全法律法規的不斷完善,企業面臨著越來越嚴格的合規要求。法律法規要求企業采取必要的安全措施,保護用戶的個人信息和敏感數據,防止網絡攻擊和數據泄露。這些法律法規的要求成為推動企業進行網絡安全體系建設的重要動力。
- 業務需求和風險意識:隨著數字化轉型的加速和依賴互聯網的業務模式的普及,企業對網絡安全的需求越來越迫切。業務的正常運營需要可靠的網絡安全保障,而不斷增長的網絡威脅也提醒企業要重視網絡安全風險。業務需求和風險意識推動企業將網絡安全體系建設納入戰略規劃和業務運營的重要議程。
- 市場競爭和聲譽保護:網絡安全事故和數據泄露事件不僅會對企業造成直接的經濟損失,還會嚴重影響企業的聲譽和客戶信任。在競爭激烈的市場環境中,保護客戶數據和維護良好的聲譽是企業持續發展的關鍵。為了在市場上獲得競爭優勢和保持良好的聲譽,企業積極推動網絡安全體系建設,提升網絡安全能力。
- 國際標準和合作伙伴要求:隨著全球化的發展,企業需要與跨國公司、供應鏈伙伴和合作伙伴進行信息共享和合作。為了滿足國際合作的要求,許多企業需要遵循國際標準,如ISO 27001等,來證明其網絡安全能力。國際標準和合作伙伴的要求促使企業進行網絡安全體系建設,以滿足國際標準和合作伙伴的要求,增強合作伙伴的信任。
企業應意識到這些驅動因素的重要性,并將其納入戰略規劃和決策過程中,全面推進網絡安全體系建設,有效應對網絡威脅,保護信息資產和維護業務的可持續發展。
二、網絡安全體系框架的構成要素
根據企業數字化轉型的實現情況和我國網絡安全合規要求的現狀,結合我們在國企央企和金融機構長期進行網絡安全咨詢的經驗,提出如下圖所示的網絡安全體系框架:
圖:網絡安全體系框架
1、網絡安全建設愿景
網絡安全體系是企業保障信息資產和網絡安全的重要基石,而構建一套完善的網絡安全體系框架,其目的在于更好地推動網絡安全愿景的實現。網絡安全建設愿景體現在下面五個方面:
- 管理一體化:形成面向全組織的、集中統一的網絡安全管理標準,并結合各類監管規范對于網絡安全的要求,打造融風險識別、預警、檢測、監測、保護、應急響應于一體的網絡安全管理平臺。
- 防御主動化:全面提升網絡安全防護能力,應用云原生安全、可信計算、國產密碼等自主可控制技術,開展網絡安全建設和整改加固,形成主動免疫、主動防御、整體防控的主動化的風險防御體系。
- 運營智能化:利用云計算、大數據及威脅情報技術,建設網絡安全智慧大腦,以安全分析為核心,結合云端威脅情報,通過各種網絡安全場景及可視化手段,利用安全運營服務和安全編排自動化響應技術為組織提供高效的網絡安全服務。
- 操作實戰化:從被動的威脅應對和標準合規的模式,走向在常態化攻防演練中不斷完善的模式,在遭受網絡攻擊時具備較強的對抗能力。
恢復彈性化:在遭受網絡攻擊、業務中斷、安全事件干擾,甚至在災難事件發生時,具有快速恢復的能力。
2、網絡安全關鍵要素
- 兩根支柱:合法合規支柱和最佳實踐支柱。合法合規支柱包括法律條例、行業規章和國家標準,為企業提供了合規框架和參考標準。最佳實踐支柱包括方法論、國際實踐和國內實踐,提供了經過驗證的方法和標準,可應用于企業的網絡安全管理過程中。
- 兩大需求:業務安全需求和網絡安全需求。業務安全需求綜合考慮企業的業務特點、業務場景、業務流程和業務要求等方面,確保業務的安全性和穩定性;網絡安全需求涵蓋了網絡安全管理體系、數據安全治理、個人信息保護、關鍵信息基礎設施保護、供應鏈安全等方面的需求。
- 一個底座:信息化、數字化和智能化底座。這個底座是網絡安全體系建設的基礎,它將信息化、數字化和智能化融入網絡安全體系,以滿足業務安全和網絡安全的需求。這包括應用先進的技術和解決方案,構建安全的網絡基礎設施,保障網絡的可靠性和安全性。
3、網絡安全六大體系
本網絡安全框架由治理體系、管理體系、組織體系、制度體系、技術體系和運營體系六大安全體系組成。
- 安全治理體系負責建立治理機制和資源保障,確保網絡安全體系的有效運行和資源的合理配置。
- 安全管理體系包括管理措施、評估考核和安全培訓,以提高網絡安全管理水平。
- 安全組織體系涉及網絡安全的組織架構和職責分配,確保網絡安全工作的協調和推進。
- 安全制度體系包括網絡安全的制度和政策規定,確保網絡安全規范和合規性。
- 安全技術體系涉及網絡安全技術和工具的選擇、實施和管理。
- 安全運營體系涉及網絡安全服務和運維管理。
企業應全面把握網絡安全體系建設的重要組成部分,確保每個要素的合理規劃和有效運作,建立完善的網絡安全體系,保護信息資產和網絡安全,以應對不斷變化的網絡威脅和安全挑戰。
三、網絡安全體系建設的方法和步驟
1、構建網絡安全體系的兩根支柱
(1)合法合規支柱
合法合規是支撐網絡安全體系的重要支柱之一。在建立和維護網絡安全體系時,企業必須確保其行為符合適用的法律條例、行業規章和國家標準,以確保合法合規性。
法律條例是國家針對網絡安全領域制定的法規,這些法律條例規定了企業在網絡安全方面的法律責任和義務。此外,信創產業目前已被提升為國家安全的戰略高度,國務院、國資委、發改委、工信部等部委及地方政府部門相繼出臺與信創相關的政策,尤其是對于國企央企來說,應逐步全面落實信息化系統的信創國產化改造,規避安全風險。
行業規章是指特定行業針對網絡安全領域制定的規章和指南,旨在指導和規范該行業的網絡安全實踐。不同行業有不同的行業規章,這些行業規章為企業提供了行業特定的網絡安全要求和標準。
國家標準是由國家制定的網絡安全相關的標準,旨在規范和指導企業在網絡安全領域的實踐。企業應重視并遵守網絡安全相關國家標準,這些標準為企業提供了網絡安全等級保護和關鍵信息基礎設施安全保護的基本要求和指導,有助于企業確保網絡安全的等級保護,并保障關鍵信息基礎設施的安全運行。
通過遵守合法合規的支柱,企業能夠確保其網絡安全體系符合法律要求和行業標準,降低違規風險,保護個人隱私和敏感信息的安全,增強與利益相關方的信任,以及避免法律責任和不良影響。
(2)最佳實踐支柱
網絡安全最佳實踐是支撐網絡安全框架的另一個重要支柱。最佳實踐包括了方法論、國際實踐和國內實踐,為企業的網絡安全管理過程提供了經過驗證的方法和標準。
在方法論方面,有一些知名的實踐模型,如Gartner數字安全模型、網絡安全滑動標尺模型、NIST網絡安全框架等,它們提供了評估和改進企業網絡安全的框架和方法。
國際實踐方面,ISO國際標準化組織制定了一系列與信息安全相關的標準,包括ISO 27001信息安全管理體系、ISO 27701隱私信息管理體系、ISO 20000信息技術服務管理體系、ISO 22301業務連續性管理體系等。這些國際標準為企業提供了全球認可的最佳實踐,可用于制定和實施網絡安全管理措施。
國內實踐方面,國家標準化管理委員會制定了一系列與信息安全相關的推薦性國家標準,包括《信息安全技術 網絡安全事件分類分級指南(GB/T 20986-2023)》《信息安全技術 網絡數據處理安全要求(GB/T 41479-2022)》《信息安全技術 個人信息安全規范(GB/T 35273-2020)》《信息安全技術 信息安全風險評估方法(GB/T 20984-2022)》《信息安全技術 數據安全能力成熟度模型(GB/T 37988-2019)》等。這些國內標準結合了國內環境和需求,為企業提供了適用于中國的最佳實踐。
通過遵循這些最佳實踐,企業可以借鑒已經驗證過的方法和標準,提升網絡安全管理的有效性和可持續性。同時,這些實踐也幫助企業與國際標準和行業最佳實踐保持一致,提升在全球范圍內的信任和合規性。
2、確定業務安全需求
為確保網絡安全體系與業務需求緊密相融,企業應全面分析業務的關鍵要素,如其功能、特性、技術實現方式、市場發展動向、用戶規模、業務流程與規則、數據流動方式、個人信息處理方式,以及對個人信息主體權益的保護等。這樣的分析有助于評估潛在的安全威脅和影響。業務安全評估涵蓋了業務應用、業務平臺、業務運行以及業務數據的各個安全方面。
業務安全風險評估模型(YD/T 3169-2020)
- 業務應用安全評估:關注用戶的規模、類型、相關性和身份驗證方法,來識別是否存在如用戶賬戶信息泄露等的安全風險。同時,信息的主題、生成、傳播、接收和存儲方式等也需進行審查,以便識別并確認是否存在違法信息或其他安全風險。
- 業務平臺安全評估:對承載業務的服務器、數據中心或節點的物理位置分布進行評估,判斷是否存在跨境數據傳輸的安全風險;同時,評估與其他企業合作的合規性,以確保業務信息安全。
- 業務運行安全評估:對業務規則的合規性、業務流程的合理性以及相應的技術保障措施的完備性進行評估,以識別業務運行中是否存在安全漏洞;此外,對通信過程進行評估,確認其中是否存在欺詐行為、違法傳播等風險。
- 業務數據安全評估:對數據采集、存儲、傳輸、加工等環節及個人信息安全風險進行評估,確認是否存在數據泄露等安全風險。
對已識別的業務安全風險進行深入地分析與評估,綜合考量企業的網絡安全管理措施和技術保障能力,確保對這些業務安全風險具有可行的控制和管理策略。這些工作將有助于企業確定全面地業務安全需求,從而為建立網絡安全體系提供明確的目標和方向。
3、確定網絡安全需求
在確保網絡和信息資產的安全方面,企業需要考慮多個網絡安全需求,以建立全面的網絡安全體系。這些需求包括但不限于網絡安全管理體系建設、數據安全治理、個人信息保護、關鍵信息基礎設施保護、信息技術應用創新(信創)、國產密碼、供應鏈安全、互聯網攻擊面管理和安全運營中心建設等。
- 網絡安全管理體系:是指組織內部制定的一系列策略、規程和措施,旨在確保網絡安全的有效管理和監控。它涵蓋了安全政策制定、風險管理、安全事件響應和管理評審等方面,以保護組織的網絡和信息資產免受威脅和攻擊。常用的網絡安全管理體系參考標準是ISO 27001和等級保護2.0。
- 數據安全治理:涉及組織對數據的全生命周期管理,包括數據分類分級、數據安全風險評估、數據安全體系建設等,以確保數據的機密性、完整性和可用性,防止數據泄露和濫用。《數據安全法》、Gartner的DSG框架、微軟的DGPC框架、GB/T 37988、GB/T 41479是常被采用的數據安全治理方法論。
- 個人信息保護:是指企業應遵循相關法律法規和隱私保護準則,對個人信息進行影響評估并采取保護措施,保護個人信息的安全和權益,減少潛在的安全風險和法律風險。《個人信息保護法》、GB\T 35273、GB\T 39335、ISO 27701是在開展個人信息保護時重要的參考資料。
- 關鍵信息基礎設施:涉及對國家關鍵信息基礎設施的安全保護,確保其正常運行和抵御各類威脅和攻擊。《關鍵信息基礎設施安全保護條例》和GB/T 39204是指導關鍵信息基礎設施安全保護建設的法規和標準。
- 信創產業:是維護國家安全、數字經濟持續健康發展的重要保障,企業應依據相關的政策和要求,進行信創國產化改造,提高自主知識產權的核心技術和產品的研發與應用,增強信息技術產業的自主控制能力。信創安全關注網絡安全產品自身的國產化和安全性,以及信創安全產品的適配范圍。
- 國產密碼:是指使用本國自主研發和生產的密碼技術和產品,以保障信息傳輸和存儲的安全。“密評”是在等保測評基礎上增加的對密碼使用的新要求。
- 供應鏈安全:是為了保護整個供應鏈中的信息和資產免受威脅和攻擊,包括供應商風險評估、合同管理、供應商安全要求等方面的措施。供應鏈安全清單包括供應鏈產品清單、供應鏈企業清單、供應鏈產品安全隱患清單、供應鏈企業安全隱患清單、供應鏈安全隱患整改清零清單,是供應鏈安全建設的基礎。
- 互聯網攻擊面:是指組織的互聯網資產面臨的各類攻擊和威脅,包括網絡釣魚、惡意軟件、拒絕服務、應用漏洞、數據泄露等,需要采取相應的防護和相應措施。互聯網攻擊面的理論基礎來自Gartner的分析報告。
- 安全運營中心:是建立負責網絡安全監控、事件響應和威脅情報分析的中心,通過實時監測和分析網絡流量和安全事件,快速識別和應對潛在的安全威脅。
這些網絡安全需求的制定是為了保護組織的網絡和信息資產的安全,防范各類威脅和攻擊,確保業務的持續運行和數據的保密性、完整性和可用性。通過建立相應的安全策略、規程和措施,組織能夠有效應對各類網絡安全挑戰,提升整體的安全防護能力,并獲得可靠的網絡和信息資產安全保障。
4、創建信息化、數字化和智能化的安全需求
為了確保網絡安全體系與業務需求的緊密結合,企業應建立一個穩固的信息化、數字化和智能化底座,利用先進的信息技術和智能技術,構建一個全面、高效和靈活的基礎設施,為網絡安全體系提供全方位的支持和依托,以應對日益復雜的威脅和風險,提高業務的安全性、效率和創新能力。
信息化、數字化、智能化作為新一輪科技革命的突出特征,也是新一代企業信息技術的核心;其中信息化是基礎,數字化是信息化到了一定階段的必然產物,未來會繼續向智能化發展。三個階段有著不同的特征和安全管理要求。
- 信息化安全:其核心內涵是傳統業務的信息化處理,以結構化業務信息系統、數據倉庫等為主要載體,風險管控要求包括邊界防護安全、應用開發安全、系統運維安全、業務連續性安全等;
- 數字化安全:此階段是把數據作為戰略資產,用數字化手段重構企業發展和運營模式,以微服務化業務信息系統、數據池、數據湖、中臺等為主要載體,風險管控要求包括云安全、移動互聯安全、數據安全、態勢感知與預警、物聯網安全、工業互聯網安全、數字業務安全、數字化轉型風險控制等;
- 智能化安全:此階段是以算力為基礎,以數據為核心,讓機器輔助人決策,以移動化、智能化信息系統、數據海等為載體,風險管控要求包括萬物互聯安全、邊緣計算安全、區塊鏈安全、數字貨幣安全、人工智能安全、新型數字倫理等。
5、建設網絡安全體系
在確定了業務安全需求和網絡安全需求的基礎上,企業可以搭建起完善的網絡安全體系。網絡安全體系包括了治理體系、管理體系、組織體系、制度體系、技術體系和運營體系幾大組成部分。
(1)治理體系
治理體系是網絡安全體系的核心,它涉及建立治理機制和資源保障,以確保網絡安全體系的有效運行和資源的合理配置。
(2)管理體系
管理體系涉及制定和實施一系列管理手段和方法,以確保網絡安全的有效管理和控制。企業應建立相應的安全策略、規程和流程,規范各項安全措施的實施和執行。
(3)組織體系
組織體系涉及網絡安全的組織架構和職責分配。企業應建立自上而下的覆蓋決策、管理、執行和監督四個層面的網絡安全組織架構,明確網絡安全部門和相關崗位的職責和權限,確保網絡安全工作的有效落實。
(4)制度體系
制度體系涉及網絡安全的制度和政策規定。為確保網絡安全要求得到有效落實,企業應指定或授權專門的部門或人員負責安全管理制度的制定。建立適應網絡安全要求的制度框架,形成包括安全策略、管理制度、操作規程、記錄表單等在內的全面的安全管理制度體系。定期對安全管理制度的合理性和適用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂。
(5)技術體系
技術體系涉及網絡安全技術和工具的選擇、實施和管理,以確保網絡的安全性和可靠性。在建立技術體系時,企業應根據具體需求和風險評估選擇適當的技術和工具,如網絡安全、終端安全、數據安全、云安全、工控安全等,并進行適當的配置、實施和管理,以提供全面的網絡安全保護。同時,持續地監測和更新技術體系,及時應對新的威脅和漏洞,確保網絡安全的持續有效性。
(6)運營體系
運營體系是網絡安全管理中的重要組成部分,企業應提供全面的網絡安全服務和運維管理,確保網絡的安全性和穩定性。安全服務包括安全服務目錄、服務編排和服務接口的定義和管理。安全運維是保證網絡安全的重要環節,包括分析識別、監測預警、安全防護、主動防御、檢測評估、事件處置等工作。
四、網絡安全體系建設的難點和挑戰
網絡安全體系的建設是一個持久的過程,在建設過程中,企業會面臨著一些重要的難點和挑戰,如:
- 合規性與法律要求:網絡安全體系建設需要符合相關法律法規和行業標準的要求。企業需要了解和遵守這些法規,確保網絡安全體系的合規性。
- 資源投入與管理:網絡安全體系建設需要大量的資源,包括技術、人員和資金等。企業需要確保合理的資源投入,并有效地管理這些資源,以支持網絡安全體系的持續運行。
- 快速變化的威脅環境:網絡安全威脅日新月異,攻擊者的技術和手段不斷演變。因此,網絡安全體系需要不斷適應和應對不斷變化的威脅環境。
- 復雜的技術要求:網絡安全體系建設需要綜合應用各種技術和工具,如防火墻、入侵檢測系統、加密技術等。這些技術的復雜性要求企業擁有專業的技術人員和高度的技術能力。
- 企業文化和意識變革:網絡安全是全員參與的事務,需要建立全員的安全意識和文化。然而,企業文化和習慣的改變是一個復雜的過程,需要時間和精心的管理。
面對這些挑戰,企業應制定合適的戰略和計劃,建立專業的團隊和合作伙伴關系,加強人才培養和員工意識教育培訓,進行定期評估和持續改進。只有通過持續地努力和創新,才能有效地應對網絡安全體系建設的難點和挑戰,建立起堅實的網絡安全體系,保護企業的利益和客戶的信任,推動業務的持續發展和創新。
