近日,2020 网络安全大会(BCS2020)主办方奇安信公布了大会主题,即“内生安全 从安全框架开始”。自去年大会主题“聚合应变,内生安全”提出以来,内生安全已经成为行业共识,成为网络安全模式升级的前进方向。在今年3月,奇安信基于“内生安全”理念,正式推出了新一代网络安全框架,从顶层视角建立安全体系全景视图以指导安全建设,强化安全与信息化的融合。
因此,今年大会主题一经公布,就引起了业内的热议,内生安全为什么需要新一代网络安全框架?新一代网络安全框架又当如何指导网络安全模式升级?这一系列问题,BCS 2020会带来答案。
网络安全建设缺乏统一框架指导
过去20年,国内外在信息化建设方面,采用EA(Enterprise Architecture)方法论与TOGAF框架(开放组织体系结构框架 The Open Group Architecture Framework),引导与推动了大规模、体系化、高效整合的信息化建设,很好地支撑了各行业的业务运营。但是与信息化发展不同的是,网络安全行业一直缺乏与信息化系统工程方法相匹配的框架,指导未来的网络安全体系建设。
以往在我国的网络安全体系规划与设计中,多数情况是照搬国外的安全框架。由于国内与国外信息化发展历程不同,网络安全能力水平存在较大差异。这种照搬模式导致了安全规划因为进行套用国外框架而引发的“水土不服”。照搬模式导致政企对国内外网络安全基础差距的忽视,而过分强调新技术、新概念导入,很多时候并没有真正解决网络安全的实际问题。
当前,我国提出了更加广泛、更加深入的国家级数字化战略,在广度上包含了各行业、各领域的数字化业务运营模式的再造,在深度上驱动了政企机构对信息化支撑体系的全面升级和替换。因此照搬硬套国外的安全框架,也面临着达不到我数字化业务运营模式所必须的高标准要求。
对此有专家认为,在数字化转型、新基建建设中,需要有一套行之有效的、以系统工程方法论结合“内生安全”理念而形成的网络安全规划建设框架,引导政企机构规划和建设网络安全,使网络安全逐渐从边缘走向核心、从外挂走向内生、从“走形式”转向“实战化”,推进网络安全向基础设施化、服务化模式发展。
奇安信推出的新一代网络安全框架从“客户视角、信息化视角、网络安全顶层视角”展现出政企网络安全体系全景,通过以能力为导向的网络安全体系设计方法,规划出面向未来网络安全模式升级的重点项目库,并设计出将网络安全与信息化相融合的目标技术体系和目标运行体系,供政企参考借鉴。
图:新一代网络安全框架
内生安全从理念到落地
新一代网络安全框架,是对网络安全模式升级新方法的探索,是“内生安全”理念的有效落地。该框架融合了网络安全、系统工程、项目管理的理论和实践经验,采用“网络安全滑动标尺”模型对叠加演进的网络安全能力识别方法,结合国内外各类网络安全规范标准要求,以及大量被证明切实有效的最佳实践,全面的枚举出了政企机构网络安全所需的各类安全能力。有分析师表示,随着安全技术体系与安全运行体系的建立完善,可以实现“内生安全”的全面落地,使政企机构能够具备体系化的安全防御能力。
政企机构可参考新一代网络安全框架,采用新理念、新方法规划建设能有效应对数字化风险的新型网络安全服务化工作模式。可将“一体之两翼、驱动之双轮”作为其信息化和网络安全的战略定位,构建“关口前移,防患于未然”的网络安全防御体系,以“统一谋划”作为落实“四统一”的起点,在做好“关口前移”的基础上,推动网络安全从“局部整改”、“辅助配套”建设模式向体系化规划建设模式转变。须重点设计所需安全能力之间的依赖协同关系,以及通过安全能力的协同所能提供给信息化的安全服务。明确安全服务能力与信息化各层次的结合方式,建立以能力为中心的安全能力服务化模式。
另外政企机构还应以保护信息化资产为基础,进一步关注人员、系统、数据以及运行支撑体系之间的交互关系,进行整体防护,避免“以偏概全”的传统模式。需要面向叠加演进的基础结构安全、网络纵深防御、积极防御和威胁情报等能力,识别、设计构成网络安全防御体系的基础设施、平台、系统和工具集,并围绕可持续的实战化安全运行体系以数据驱动方式进行集成整合,从而构建出动态综合的网络安全防御体系。
围绕网络的纵深防御体系为基础,进一步围绕数据确定防御重点,围绕人员开展实战化安全运行,规划建设动态综合的网络安全防御体系,使安全能力全面覆盖云、终端、服务器、通信链路、网络设备、安全设备、工控、人员等IT要素,避免局部盲区而导致的防御体系失效;还需要将安全能力深度融入物理、网络、系统、应用、数据与用户等各个层次,确保安全能力能在IT的各层次有效集成。
随着威胁向“有组织攻击”发展,政企机构需要以可量化的方式识别能力上限和底线,打破“紧平衡”建设方式来规划、设计和建设网络安全体系。正在推动网络安全模式升级的某企业CISO表示,在进行规划与设计时,要充分考虑随时可能突发的网络安全威胁升级情况,须本着“宁可备而不用、备而少用,不可用而不备”的原则,在建设中预置可扩展的能力,在运行中预留出必要的应急资源,确保在面对网络空间重大不确定性风险时数字化运营不会受到重大影响。
据悉,在8月7日至8月16日举行的BCS 2020大会中,通过10场峰会、50多场论坛、16档100多场特色栏目,来自全球各国的数百位重磅嘉宾,将就新一代网络安全框架在不同行业、不同领域和不同场景之下的落地和实践,进行深入研讨,一起激荡思想、碰撞火花,共同把脉网络安全行业未来发展的新航向,给数字化转型升级的各类政企机构给出安全建设的指导性建议。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )