某企业安全规划实战篇

1、趋势分析

本次规划项目计划采取三个方面进行分析，包括 政策趋势、 技术趋势 以及 安全现状。

1.1 政策趋势

我国的政策趋势主要是以安全方面的法律法规为主，包括信息系统等级保护2.0、商用密码应用与安全性评估、数据安全能力成熟度模型(DSMM)、数据安全治理能力评估 (DSG)、XC安全等。

1.1.1 信息系统等级保护2.0

信息安全等级保护:对信息和信息载体按照重要性等级分级别进行保护的一种工作。

1.1.2 商用密码应用与安全性评估

《密码法》第二十七条规定： 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

密码相关法律法规演进时间轴

1.1.3 数据安全能力成熟度模型(DSMM)

数据安全能力成熟度模型(DSMM)是以 GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。

1.1.4 数据安全治理能力评估 (DSG)

是中国信息通信研究院推出的 “数据安全治理能力评估”服务，旨在“以评促建”，帮助企业度量数据安全治理能力现状、助力企业发现数据安全治理能力不足、指明企业数据安全治理能力提升路径、促进行业数据安全治理能力发展。

1.1.5 XC安全

XC是国家的自主可控的重要实施方向。安全能力底座应该支持国产化操作系统、芯片、整机等能力。

1.2 技术趋势

1.2.1 云原生技术

云原生安全成熟度共分为5级，5级是最高级，1级到5级云原生安全技术水平和管理能力逐级递增，高级别需满足低级别全部能力要求，其中XX通过项最多

1.2.2 可信计算技术

1.2.3 区块链技术

区块链技术具有链上数据不可篡改、数字签名、智能合约、加密手段以及可追溯的特性，实现企业敏感数据的安全保障。

1.2.4 AI技术

结合AI技术可降低安全告警的数据量，比如机器学习对于木马病毒的家族变种具有很好的表现、比如AI结合剧本编排可提高自动化处置效率。

其他技术还有：大数据技术、边缘计算、安全中台等

1.3 安全现状

1.3.1 网络拓扑现状

本次规划共计涉及3个机房，机房1相当于内网、机房2相当于DMZ、机房3相当于互联网区。

1.3.2 安全能力现状

1.3.1 存在问题

1.3.3.1 安全管理制度缺失，流程管理不通畅

安全管理专职人员未有，完全依靠其他岗位兼职，整体管理处置、汇报流程未建立，导致安全问题未得到及时修补。人员不足一个人兼职多项安全工作。

1.3.3.2 合规建设执行偏弱，未满足全部要求

等保、密评未建立规划，基本依靠上级监督，未有规划，导致合规建设比较匆忙，未真正安全能力的真正落地。

1.3.3.3 资产安全管理混乱，存在影子IT资产

企业自身IT资产梳理庞大，大于3000台，主要依靠人力更新，及时性和准确性较少，资产未完成管理，多开放非必要和高危端口。

1.3.3.4 安全能力存在孤岛，安全能力未融合

企业自身安全设备数量多，大于50套安全设备，每个安全设备都有独立的管理平台，影响安全管理员统一安全运维，安全数据之间未融合，导致遗漏很多危险行为。

2、发展愿景

落实法律法规要求，响应国产化需求，建设安全可信云原生安全底座，健全安全研发运营体系，完善人员队伍，实现安全风险自适应处置响应能力。

3、建设方案

3.1 补齐安全能力，保障企业安全

依据合规政策，以业务系统为纬度补齐安全能力，并且打通各安全系统之间的数据连通。

3.2 构建安全制度，设立责任考核

搭建各层级的安全管理制度，设立专门监督岗位，依照管理规范执行安全操作，从顶层的安全整体要求，到最底层的巡检操作记录，层层细化。

3.3 构建XC安全底座，初步实现国产化

将安全涉及的安全能力，对CPU、操作系统、中间件、数据库等实现完全安全国产化，建设满足国家要求的信创云。以三年建设为建设蓝图，逐步推动xc安全资源逐渐占主要地位，非xc安全资源仅占小部分。

3.4 全面建设国密算法，替换国际算法

构建密码资源池，通过统一密码服务平台将密码能力提供给安全设备、业务系统使用，实现密码资源的统一管理。

3.5 全面支撑云原生体系，实现能力质变

学习信通院云原生安全体系，提升业务系统云化改造，实现IT和安全一体化，真正将安全融合进业务，实现动态扩容、按需使用、统一管理。

3.6 坚持安全左移，增强系统鲁棒性

DevSecOps的目标是将安全嵌入到DevOps的各个流程中（需求、架构、开发、测试等），从而实现安全的左移，让所有人为安全负责，将安全性从被动转变为主动，最终让团队可以更快、更安全地开发出质量更好的产品

统一前端、后端技术栈，减少开发语言，方便后续的代码审计和渗透测试工作，并不是简单地在开发的关键阶段融入安全，而是在研发人员在研发的思维、工具都进行彻底的改变。

感兴趣的小伙伴，或者遇到任何安全问题的小伙伴都可以加我们官方客服进群互动（红包多多哦），德斯克信息安全专家服务，为你解决信息安全问题！！！