企业安全建设 —体系规划思路

1 项目背景

1.1 国家越来越注重网络安全

“必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。”  主席在网络安全和信息化工作座谈会上的讲话。

1.2 安全合规监管要求越来越高

《网络安全法》《个人信息保护法》以及合规要求《信息系统等级保护2.0》《商用密码应用性安全评估》等相关合规要求。

1.3 企业数字化转型是刻不容缓

数字化转型通常伴随着新技术的应用，如云计算、大数据、物联网等。网络安全确保这些新技术的应用过程中不受到威胁，从而保障创新的顺利实施。

2 设计原则

2.1 先进性

坚持使用先进技术，强调智能化、新技术、新产品在新安全体系中的引领作用。在安全规划中引入AI、大数据、隐私计算、6G等安全技术，实现安全能力的前瞻性。

2.2 合规性

以《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》、《国家电子政务标准化指南》等相关政策标准为依据进行网络安全保障体系建设。

2.3 可行性

结合企业自身安全现状，分步骤、分阶段推进网络安全保障建设工作，结合资金、人员的情况，以最优的方式进行安全建设。

2.4 协同性

安全建设应时刻考虑与业务系统部门之间的联系，安全和业务是一体的，离开谁都无法长久，充分考虑业务系统的特性进行安全设计、建设和运营。

3 规划思路

参考SANS的安全滑动标尺模型构建企业安全保障体系，划分架构安全、被动防护、积极防御、威胁情报和攻击反制等五个阶段，每个阶段对应最佳的行动措施和资源投入，建设新型网络安全能力。以安全架构为建设指标、被动防御为主要手段、积极防御为提升、威胁情报为补充、攻击反制为最后手段。

最为重要的是首先建立“三同步”（同步规划、同步建设和同步运营）的思想来进行安全体系规划。

一是同步规划：在信息系统设计之初，按业务系统机密性、完整性和可用性的要求，进行安全同步规划设计，确保系统的安全；

二是同步建设：在信息系统上线之前，对信息系统的进行安全检查包括：基线扫描、漏洞扫描和渗透测试等手段防止系统风险。

三是同步运营：在信息系统下线之前，安全运营工作应该成为日常工作之一，确定有持续、可靠、有效的安全保障机制，能实时监测安全事件、及时发现内、外部因素导致的安全事件，快速处置降低损失。

3.1 架构安全

架构安全是企业安全建设的基础，

在安全管理方面主要构建安全工作总体方针、安全策略、管理制度、操作规程等安全管理制度。

在安全技术方面主要包括安全开发规范、第三方供应链安全规范、业务系统安全设计要求等内容。

3.2 被动防护

被动防护是指纵深防御机制，从网络侧、终端侧、应用侧等分层模型实现纵深防护，保障单点的失陷不会造成大影响。此防护有一个另外的名字“洋葱模型”。

3.3 积极防御

积极防御是指以安全运营为指导，主动进行数据分析、智能化学习，以对抗复杂、新型网络攻击。积极防御需要拥有高级安全技能人员的深入参与，持续性的输出安全成果。

3.4 威胁情报

威胁情报是购买或者共享国家或者企业的威胁情报信息，根据威胁情报信息调整安全策略与防护措施，保障别人摔过的坑，我不会掉落，以一种超前的方式规划安全风险。

3.5 攻击反制

攻击反制是指在合法合规的前提下，对黑客留下的电子信息进行溯源，对溯源出的信息系统进行反制攻击，以模仿黑客的手段来对黑客进行反击，此项能力要求极高并且合规性有带商榷。

4 总体框架

4.1 安全运营体系

构建网络一体化安全运营体系，实现“预防-防护-预防-监测-响应-恢复”的安全闭环管理。

4.1.1 风险管控

从多个维度识别可能存在的风险点：包括互联网资产发现、漏洞管理、渗透测试、代码审计等内容。

互联网暴露面管理：查找查找暴露在互联网上的所有资产，识别网络中的未报备的资产，对通过互联网接入的设备生成清单，监控资产变化情况；

漏洞管理：全面评估网络、主机、应用、数据库、中间件、安全管理等方面存在的安全风险，识别资产安全漏洞，检查现有安全措施的有效性，对风险程度做出准确评价并提供整改建议；

渗透测试：模拟黑客的攻击方法，对目标应用系统及其宿主服务器（如web、数据库、中间件服务器等），进行深度漏洞挖掘，发现系统中存在的漏洞，并提供相应的加固办法；

代码审计：检查源代码中的缺陷和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议，提高业务应用系统的安全性；

4.1.2 安全分析

依靠全流量、威胁情报和态势感知等技术手段，从网端流量分析、终端流量分析等维度，对APT攻击、定向攻击、勒索软件、web攻击、远控木马、黑市工具、数据库异常登录、恶意邮件等行为进行分析，发现高级威胁和安全事件。

4.1.3 合规管理

国家日益重视网络安全，国家及行业监管部门均已出台各项安全监管要求。依据网络安全法、等级保护的要求，对企业内容开展等级保护规划和专项安全工作规划。

4.1.4 重大保障

重大事件安全保障是在重大活动等特殊时期，以事前准备（评估检查、提升加固、重保工作部署）、事中保障（值守、监控、应急、处置）、事后总结（复盘、提升）的思路来保障重大活动期间信息系统的整体安全。

4.1.5 应急响应

在发生网络攻击、勒索病毒等重大网络安全事件时，在第一时间采取紧急措施，恢复业务到正常服务状态；同时，对发生的安全事件进行调查和分析研判，结合威胁情报，进行溯源分析和攻击链分析，掌握安全事件发生的原因。

4.2 安全技术体系

4.2.1 物理环境安全

按照等级保护、行业合规要求等相关政策，对物理环境安全进行规划设计，从物理位置选择、物理访问控制、防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温度湿度控制、电力供应、电磁防护等方面进行物理和环境安全建设，确保信息系统在安全可靠的物理环境中运行；

4.2.2 终端环境安全

以终端（服务器端、PC端和移动端等）全生命周期安全管理为核心思想，以终端的准入控制、安全管理、设备管控、行为管控、安全审计、恶意代码防护等防护等手段，保障终端安全；

4.2.3 网络边界安全

采取防火墙、IPS、微隔离等边界安全设备实现网络边界、网络内各业务区、主机与主机之间的网络安全隔离与防护；

采取路由器等边界设备设计 安全域边界，实现安全访问隔离；

4.2.4 应用系统安全

以安全左移的思想为建设思路，将业务应用系统的安全涵盖应用系统安全开发、安全编码规范、源代码安全检测、应用系统安全性提升、应用系统运行安全等方面的规划设计；

以统一用户管理、统一认证管理、统一授权管理、统一审计管理4A思想为核心，实现一人一账号，将信息系统和安全系统有机结合保障网络信息系统可见、可控、可信，解决安全设备孤岛问题。

以零信任为理念建设统一身份认证体系，通过多因子身份认证、身份与访问管理(IAM)、编排、分析、安全评级和动态权限调整等技术来确定用户是否有权限访问内部应用、数据、服务等资产，实现对数据“可用可见、可用不可见、不可用不可见”的统一授权管理

4.3 安全管理体系

安全管理体系的建设包括安全策略、组织责任、管理制度和操作流程等方面。通过构建安全管理体系，完善安全管理制度、安全管理组织及安全管理流程，从安全职责、标准、流程与规范等多个方面搭建安全管理框架，实现管理体系与技术措施、安全运营的结合。

一级目标：确定安全工作总体方针、安全策略、管理制度、操作规程安全管理；

二级要求：编写方案设计、第三方采购、软件开发、工程实施、系统交付、等级测评等安全管理要求手册；

三级操作：编写资产设备、漏洞和风险、网络和系统安全、恶意代码防范、配置管理、密码管理、变更管理、备份与恢复、安全事件处置等安全管理实操手册。

5 安全体系规划的价值

5.1 网络安全管理能力全面提升

涵盖安全管理制度、安全组织结构以及安全管理流程等多个方面，以安全职责、标准、流程和规范等为核心，构建全面的安全管理框架。全面提升网络安全管理体系，并确保其有效贯彻执行。

5.2 网络安全防护能力全面提升

以构建“积极安全防御体系”为指导理念，致力于建立以保护应用和数据为核心的安全纵深防御体系，形成全新的网络安全保障能力。

5.3 安全运营服务能力全面提升

基于积极主动的安全运营体系，有效应对内外部安全威胁，发现并阻止勒索蠕虫类攻击、黑产类攻击、高级持续威胁攻击 建设威胁及时发现、威胁快速定位、及时响应处置、业务快速恢复、系统能力持续改进等核心能力。

感兴趣的小伙伴，或者遇到任何安全问题的小伙伴都可以加我们官方客服进群互动，德斯克信息安全专家服务，为你解决信息安全问题！！！