《2021十四五网络安全规划方案修订版.docx》由会员分享,可在线阅读,更多相关《2021十四五网络安全规划方案修订版.docx(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络信息安全规划方案(3 年规划)02020 年 11 月目录一、概述21.1 项目背景21.2 编制依据2二、安全现状及需求分析32.1 安全现状32.2 需求分析42.2.1 政策文件要求42.2.2 自身安全需求5三、解决思路83.1 持续改进83.2 纵深防御93.3 闭环流程93.4 非对称9四、网络安全规划方案 1. 02.1 总体建设目标 1. 02.2 参考安全模型 1. 02.2.1 IATF 框架 1. 02.2.2 自适应安全框架112.2.3 新时期的等级保护体系(等保 2.0)112.3 总体建设内容 1. 32.4 建设方案1. 42.4.1 一期建设方案(“合法、
2、合规”、“刚需”)142.4.2 二期建设方案(主动防御体系建设)182.4.3 三期建设方案(安全运营体系建设)23五、安全服务简介 2. 95.1 安全加固服务 2. 95.2 渗透测试服务 2. 95.3 风险评估服务 3. 05.4 漏洞扫描服务 3. 25.5 应急响应服务 3. 2六、安全建设任务汇总 3. 434一、概述1.1 项目背景即将到来的“十四五”,将是企业数字化战略的转型建设关键阶段,在此期间,数字经济将全面深化。为践行网络安全法安全与信息化同步规划、同步建设、同步运行的三同步思想,通过本次安全规划,建立从顶层设计、部署实施到安全运行的一整套网络安全新模 式,使网络安全
3、向面向对抗的实战化运行模式升级。同时面对现在不容乐观的整体安全态势 及各种监管要求,开展企业的网络安全建设,补足和修复企业自身的安全短板;是整个社会 和国家发展的必然趋势。1.2 编制依据中华人民共和国网络安全法关于加快推进国有企业数字化转型工作的通知中央企业负责人经营业绩考核办法GB/T25058-2019信息安全技术网络安全等级保护实施指南GB/T22239-2019信息安全技术网络安全等级保护基本要求GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T28448-2019信息系统安全等级保护测评要求GB/T18336信息技术-安全技术-信息技术安全性评估准则GB
4、/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 35281-2017信息安全技术 移动互联网应用服务器安全技术要求GB/T 35273-2017信息安全技术 个人信息安全规范GB/T 31167-2014信息安全技术 云计算服务安全指南GB/T 31168-2014信息安全技术 云计算服务安全能力要求二、安全现状及需求分析2.1 安全现状企业经过多年信息化工作和安全建设,建立了一套以实际业务安全需求和等级保护1.0 为基础框架的点状防御体系。公司网络基础设施已基本完善。建成了以电信、移动的双通道 互联网出口,带宽分别为200M/500M。整体网络架构采用三层层次
5、化模型网络架构,即由核 心层、汇聚层和接入层组成,关键网络节点处均采用冗余双机。全公司联网的办公用计算机 数百台。公司现有办公系统、项目管理系统、财务、监管系统、公文系统、视频监控管理等业务系统。整体安全建设现状如下:(1) 互联网出口冗余部署有上网行为管理、负载均衡;(2) 各区域边界上部署有下一代防火墙,并严格按照业务属性、重要程度和安全级别对区域进行边界划分和访问控制;(互联网出口、专网接入、服务器区)(3) 办公终端及服务器上部署有网络版杀毒软件和文档安全管控系统;(4) 外部用户采用VPN 接入;(5) 机房部分部署有运维管理平台、环境监控平台;(6) 整体数据中心建设采用超融合的方
6、式,超融合平台采用分布式架构和虚拟化特性为业务系统带来了极强的可靠性、稳定性;(7) 在数据备份层面,采用备份一体机和云备份的方式;(8) 在安全审计层面,采用运维审计系统和日志服务器的方式。现状分析传统的点状防御体系及被动防御思想在新的安全形势下,不足以应对新型攻击和复合型攻击,同时在应对多源低频、业务逻辑漏洞、0DAY、自动化工具等攻击方式时也显的有心无力;其次外部威胁变化过快,存在安全攻防不对等、安全技术能力不足、安全威胁动态变化、难以及时响应等情况,会导致安全事件频发。2.2 需求分析2.2.1 政策文件要求2.2.1.1 网络安全法在 2017 年颁发的中华人民共和国网络安全法中明确
7、规定了法律层面的网络安全。具体如下:“没有网络安全,就没有国家安全”,网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外,网络安全法中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程, 确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等 危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施, 留存不少于六个月的相关网络
8、日志;采取数据分类、重要数据备份和加密等措施。未履行上 述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果 的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的, 会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,
9、处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。容灾备份:第三十四条第三项规定,关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。应急演练:第三十四条第四项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练。没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正。安全检测评估:第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的
10、部门。每年没有进行安全检测评估的单位要被责令改正。关键信息基础设施的运营者网络安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。2.2.1.2 国资委发文(一)关于加快推进国有企业数字化转型工作的通知国资委在 2020 年 9 月发布的关于加快推进国有企业数字化转型工作的通知中将网络安全定义为国有企业数字化转型的四大基础之一-安全基础。在安全基础建设中指出要建 设
11、态势感知平台,加强平台、系统、数据等安全管理。使用安全可靠的设备设施、工具软件、 信息系统和服务平台,提升本质安全。同时构建网络安全基础资源库,加强安全资源储备。强化检测评估和攻防演练,加快人才队伍建设。(二)中央企业负责人经营业绩考核办法国资委于 2019 年修订印发了中央企业负责人经营业绩考核办法;考核办法较原先的考核办法增加了对网络安全工作的考核,而且十分严厉,一旦企业发生网络安全事件将对企 业负责人的考核带来负面影响,直接影响其相关考核结果。同时考核办法中指出,国有资本 参股公司、被托管和兼并企业中由国资委管理的企业负责人,其经营业绩考核参照本办法执 行。简而言之除央企以外其他各地的国
12、企可以参考本办法并结合自身的实际开展相关工作。2.2.2 自身安全需求长期以来,由于政企机构网络安全体系的基础设施完备度不足,安全对信息化环境的覆盖面不全、与信息化各层次结合程度不高,安全运行可持续性差、应急能力就绪度低、资源 保障长期不充足,导致政企机构在面对“当前数字化业务的平稳、可靠、有序和高效运营是否能够得到充分的网络安全保障以及如何充分的保障网络安全是我们首要的关注问题。具体 安全需求如下:2.2.2.1 现有建设思路无法达到安全效果的预期以往信息化工作一直存在着“重业务,轻安全”的情况,随着网络安全法相关法律、法规的颁发和实施,网络安全的重要性有了显著提高,但于此同时,网络安全的建
13、设工作依然存在误区。在这些误区中,“重建设、轻管理”最为明显。“重建设”是指安全建设集中在安全设备采购,部署后缺乏专人运维,导致发生安全事件时不能及时发现以及动态防护。“轻 管理”是指当前日常安全工作受限于人力配备、技术资源和能力、安全运维、威胁处置、应急响应等经验不足,导致安全效果无法达到预期。2.2.2.2 高阶人才稀缺,安全事件无法有效处置网络安全的本质是攻防对抗。攻击者会不断寻找防护方的弱点,防护方也需要不断研究黑客思维,探索应对黑客攻击的方法,提升安全防护的能力和效率。随着攻防对抗的不断升级,在攻击和防御的对抗中,攻击方通常掌握着主动性,而防御方必须具备能够和攻击方相抗衡的智能。网络
14、安全是海量攻击手法和海量防御手法之间较量。意味着企业或组织要想拥有较多的 防御手法,就必须了解攻击的各个阶段,并根据各个攻击阶段评估下一阶段攻击手法,制定 防御措施。如网络攻击生命周期(Cyber Attack Life Cycle)中,在执行攻击(Execute) 前,往往有侦察(Recon)和利用(Exploit)、控制(Control)阶段。这就对单位安全人员提出了很高技术要求,既要了解攻击手法、又要精通防御手段以及安全数据分析和高执行力。在现实情况下,单位内部培养高阶安全专家成本太高,培养时间过长,即使培养出了个别高阶网络安全人才也极因各种原因造成人员流动,造成了单位的网络安全领域高阶
15、人才缺失。其次,由于当前高阶安全专家的缺失,导致安全事件无法有效处置。单位内部现有安全事件的识别基于安全设备,安全设备上只会给出描述疑似安全事件的安全日志,这会导致两个问题:大量的安全日志需要进行研判,判断是否真实存在安全信息;安全设备上只有安全日志,并无描述真实可行的处置建议,导致组织在面对安全事件时无法闭环处置,也无法持续跟进安全事件处置情况。2.2.2.3 安全系统存在孤岛效应为了应对不断升级的信息安全形势和安全威胁,大量企事业单位采用“加法式安全投入” 引入了一个又一个的安全产品;安全产品之间相互独立,导致了日志、告警、问题事件等信 息的相对独立,进一步导致了安全运维人员工作的相对独立
16、;而安全运维人员的数量是大致 不变的,采购的安全产品越多,信息越多,信息孤岛效应越明显,表现为高信息量、高误报、 高运维压力。2.2.2.4 缺乏未知威胁和潜在威胁检测能力目前企业内部署了很多安全设备和安全系统,这些安全设备系统主要基于特征、规则, 检测已知威胁没有问题,但是缺少长周期、行为分析、关联分析的未知威胁检测能力。2.2.2.5 传统安全服务无法满足现阶段实际安全需求在安全措施无法保障该有的安全效果情况下,不少企业尝试采购第三方安全服务来保障安全效果。但以往的安全服务服务水平参差不齐,服务效果不达预期,并无法满足实际网络安全需求,主要存在以下问题:服务周期不持续以往的安全服务均为周期
17、性服务,且服务间隔过大,无法应对持续性的安全威胁;从自身单位的安全事件统计来看,业务系统遭受尝试性入侵的时间普遍集中在晚间,现有缺乏应对措施。其次,服务周期过大还存在着另外一个安全隐患。以2018 年统计数据为例,2018 年共计发现了超过 15000 个新漏洞,平均每天 41 个漏洞,服务周期一旦过大,会导致单位内部的业务系统存在较多漏洞以及较长的漏洞利用时间。服务实际安全效果不佳周期性的第三方服务因为无法持续监测和主动威胁处置,会导致绝大多数安全事件发生后,已经危害到实际应用层面才被发现,同时被动式的应急响应服务极大的延长了应急处置的时间;整体安全服务存在时间滞后性和被动性,导致安全效果不
18、佳。传统持续性服务无法落地传统的第三方服务,由周期性服务转变为持续性服务所带来的人员驻场、人员驻场办公位置、人员人生安全、人员管理、服务成本剧增等问题,往往导致项目无法实际落地;2.2.2.6 互联网时代新增的安全需求互联网+、云计算、大数据、物联网、移动互联等越来越多新应用的普及和落地,也带来了新的网络安全需求。2.2.2.7 外部威胁推动(1) 国内外的反动势力、APT 组织对国内企事业单位虎视眈眈,每到国家重大时节都会针对性的对政府、企事业单位进行大规模攻击,散布反动言论。(2) 病毒、木马、蠕虫,以勒索病毒为例:从2017 年以来蔓延之今,影响领域包括政企部门、医疗服务、高 校、公共交
19、通、邮政等各行各业。(3) 信息泄露(企事业内部信息频频外泄引发负面舆情、徐玉玉案例、成都某卫生系统泄露 50 多万条新生婴儿和预产孕妇信息案例、华住酒店5 亿条数据泄露、菜鸟驿站一千万条快递数据泄露等)。(4) 黑客攻击(伊朗核电站;乌克兰电网;中国等国某部委、大型能源央企蔓灵花事件;网站被篡改、钓鱼网站、服务器被控制、APT 攻击、挖矿病毒等)。三、解决思路3.1 持续改进在解决安全问题的过程中,不可能一劳永逸。从早期的防火墙、防病毒,入侵检测,到现在的态势感知、威胁情报,智能分析,安全防御技术本身并没有革命性变化,本质上还是 开发检测规则,异常模式识别。实际上,安全产品、安全技术需要不断
20、的随着攻击手段的发 展而升级,也需要有人来运营,否则安全防护会成为稻草人,马奇诺防线,在变化的攻击手 段前不堪一击。早期基于系统漏洞利用的攻击是主流,安全防护对应以防火墙和入侵检测为主,对互联网只开放少量端口,互联网资产管理主要是IP 和端口的管理。随着攻击主流转变为Web 攻击,安全防护对应升级为Web 安全防护,出现了Web 应用防火墙(WAF),互联网资产管理也相应转变为对第三方应用和开发使用框架为主,不再是旧有的资产管理概念。有效的安全是持续改进,针对变化的安全形势和矛盾进行调整。3.2 纵深防御在各种入侵案例中,基本都是利用 Web 应用漏洞,攻击者获得低权限 WebShell,然后
21、通过低权限的 WebShell 上传更多文件,并尝试执行更高权限的系统命令,尝试在服务器上提升权限为Root,并进一步横向渗透,获得更多内网权限。在这个典型的攻击路径中,在任 何一个环节设置有效的安全检测和防御措施,都可能导致攻击被检测和阻止。目前在安全防 护技术没有革命性发展下,企业内部防御采用纵深防御体系,从网络层、应用层、传输层、系统层、用户层、数据层进行层层防御,能为我们提供良好的网络安全环境。3.3 闭环流程为了使网络安全有效,企业组织还必须考虑合理的利用人员和流程。当组合成单个集成 框架时,基于安全工具、人员和流程的重叠策略将产生最有效的防御。在闭环流程上以安全 事件为导向,从事前
22、、事中、事后三个维度对安全事件进行全生命周期管控。最终构建一套包括预测、检测、防御、处置响应、溯源可持续的闭环流程。3.4 非对称对于攻击者来说,只要能够找到企业系统的一个弱点,就可以达到入侵系统的目的,而 对于企业信息安全人员来说,必须找到系统的所有弱点,不能有遗漏,不能有滞后,才能保证系统不会出现问题。这种非对称是造成黑客和安全防护人员思维方式不同的根本原因,这 种非对称,也是组织信息安全工作难做的根本原因。破坏永远比建设容易。安全防护人员也 需要非对称思维。如使用基于攻击欺骗的蜜罐系统,通过在黑客必经之路上构造陷阱,混淆 其攻击目标,精确感知黑客攻击的行为,将攻击火力引入隔离的蜜罐系统,
23、从而保护真实的 资产。通过蜜罐系统记录攻击行为,获取攻击者的网络身份信息、指纹信息,对攻击者及攻击行为进行取证和溯源,及时阻断攻击。四、网络安全规划方案2.1 总体建设目标经过有步骤有计划的分步安全建设,以满足合法合规为基础安全体系框架,通过解决真 实存在的安全风险,辅以安全技术、安全管理、安全能力的提升;最终形成一套动态的可持 续的主动防御体系;以网络安全中的安全事件为导向,对安全事件的事前、事中、事后进行 全生命周期管控,通过事前监测、预警、风险评估、漏洞修复;事中防御处置;事后应急响应、威胁处置、取证溯源、漏洞验证、安全复测、事件报告等手段;构建一套动态可持续运转的安全运营体系,以此达到
24、对抗动态安全风险的目的。2.2 参考安全模型2.2.1 IATF 框架IATF,信息保障技术框架(IATF:Information Assurance urns Technical Framework )是美国国家安全局(NSA)National Security Agency 制定,用于描述其信息保障的指导性文件。2002 年,我们国家973“信息与网络安全体系研究”课题组将IATF3.0 版引进国内后,IATF 开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。IATF 提出的信息保障的核心思想是纵深防御战略(Defense in Depth)。在纵深防御战略中指
25、出,人、技术和操作(operations 也可以译为流程)是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。人是信息系统的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系核心。2.2.2 自适应安全框架自适应安全框架(ASA)是 Gartner 于 2014 年提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。自适应安全框架(ASA)从预测、防御、检测、响应 四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防 御机制。相对于 PDR 模型,自适应
26、安全框架(ASA)框架增加了安全威胁“预测”的环节,其目的在于通过主动学习并识别未知的异常事件来嗅探潜在的、未暴露的安全威胁,更深入的诠释了“主动防御”的思想理念,这也是网络安全2.0 时代新防御体系的核心内容之一。2.2.3 新时期的等级保护体系(等保 2.0)为配合中华人民共和国网络安全法的实施,同时适应云计算、移动互联、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展, 2019 年 5 月 13 日,GBT22239-2019 信息安全技术网络安全等级保护基本要求正式发布。国家等级保护制度是以保护国家关键信息基础设施为重点的全新网络安全基本制度体 系,为有效应对国际网络
27、空间安全形势,新时期的等保不仅保护对象的范围扩大而且要求更加细化,具有以下突出的特点: 变被动防御为主动防御 变静态防御为动态防御 变单点防御为整体防御 变粗放防御为精准防御2.3 总体建设内容本次安全规划通过完善现有防御体系;采用主动防御理念,依托大数据分析平台、人工 智能、行为分析、欺骗防御、威胁事件管理等技术手段,结合第三方安全服务提供全方位、全天候、全时段的主动防护体系,保护组织核心业务不被网络攻击中断,保障组织核心业务 数据不被窃取。在对已知威胁有较强的防御能力外,对于未知威胁也具有一定的防御能力。项目整体建设内容如下:时期目标具体指标1、“合法”、“合规”:以等保 2.0、网络安全
28、法、关键信息基础设施保护条例等第一期(2021 年)第二期(2022 年)第三期(2023 年)满足“合法”、“合规”要求的同时,解决当前环境下的网络安全 “刚需”构建动态可持续的主动防御体系构建全方位的安全运营体系政策法规为标准,从安全技术、安全管理2 个方面进行查漏补缺;2、 刚需:补充有效的安全验证机制验证当前安全防护是否有效,并对发现安全风险进行控制和修复;1、 建设统一安全管理平台,将全网孤立、碎片化的信息,汇聚、关联为可视化的信息安全事件;为全网安全威胁,预警、防御应急处置提供技术支撑。2、 依托于统一安全管理平台,引入第三方周期性的安全运维服务,利用专业技术人员为纽带将整体防御体
29、系动态运转。3、 针对对外发布的 WEB 应用构建主动防护措施;1、 以资产管理、漏洞管理、威胁管理、事件管理四个维度对全网进行安全运营;完善主动防御体系,使各个环节、流程形成安全闭环;达到全天候、全时段的动态安全防护体系,以持续不间断动态运转的安全体系对抗动态的安全风险。2、 构建欺骗防御体系,欺骗恶意用户,拖延、误导攻击者的攻击行为,给予事件检测和响应更多的缓冲时间;收集攻击信息、查找内部僵尸、木马、蠕虫、恶意访问等。2.4 建设方案2.4.1 一期建设方案(“合法、合规”、“刚需”)2.4.1.1 设计思路结合 xx 网络现状、安全风险、自身需求,参照等级保护 ISO27000 的体系标
30、准;结合网络安全法及行业政策发文对网络安全建设的影响,充分考虑到当前网络安全建设的远景规划和发展,建设符合国家政策法规、能抵抗基本安全风险的综合安全体系。2.4.1.2 建设内容本次一期项目建设内容分为 2 个部分:一、是参照等级保护制度、网络安全法及行业主管部门的相关发文,对现有安全技术体系、安全管理体系进行差距分析,依据差距分析的结果进行安全建设和整改。二、是引入第三方有效的安全验证机制,验证当前安全防护是否有效,并对发现的安全风险进行控制和修复;2.4.1.2 安全建设2.4.1.2.1 基础安全技术框架网络安全等级保护制度是我国网络安全领域的基本保障体系,从合法合规层面来讲所有 的网络
31、安全建设都必须参照网络安全等级保护制度的要求。参照信息安全技术 网络安全等级保护基本要求第三级的标准对xx 网络空间环境进行整体差距分析;针对差距分析的结果,从物理安全、安全区域边界、安全通信网络、安全计算环境、安全管理中心及管理安全等方面着手,完善管理制度、优化安全策略、调整网络结构、增加必要的软硬件设备或系 统。其中,部分差距分析中发现的安全风险问题,可以通过修改设备配置、优化部署方式、完善策略部署、修复漏洞、升级更新组件、加强管理措施得以解决,其他的整改内容则需要 新购软硬件设备或系统进行项目建设才能完成。参照信息安全技术网络安全等级保护基本要求第三级的要求,差距分析及安全建设建议如下:
32、序控制项控制点安全建设建议号1. 安 全 区 域边界- 边界防护b)应能够对非授权设备私自联到内部网络的行为进行限制或检查; c)应能够对内部用户非授权联到外部网络的行为进行限制或检查;采取接入认证或IP/Mac 绑定的技术方式,实现人员认证、防私接、非法外联检测等功能。2. 安 全 区 域d)应限制无线网络的使用,确保无线网络通无线局域网需与有线网边界- 边界防护过受控的边界防护设备接入内部往来络设置明显的网络边界,边界之间通过安全网关进行安全防护。3. 安 全 区 域b)应在关键网络节点处对垃圾邮件进行检在已有出口网关上配置边界- 垃圾邮件防范测和防护,并维护垃圾邮件防护机制的升级和更新。
33、垃圾邮件检测和防护策略、定期升级特征库;4. 安 全 区 域 c) 应采取技术措施对网络行为进分析,实现 部署能基于行为、流边界- 入侵 对网络攻击特别是新型网络攻击的分析 量、风险事件等不依防范靠特征库、规则进行分析的安全设备5. 安 全 管 理中心- 安全审计a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;部署数据库审计系统, 对数据库运维、操作进行审计6. 安 全 管 理d)应分散在各个设备商的审计数据进行收部署综合日志审计系中心- 集中管控7. 安 全 管 理
34、中心- 集中管控集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控统,所有日志留存时间不低于 6 个月网络中划分出安全管理区8. 安 全 管 理f)应能对网络中发生的各类安全事件进行设置统一安全管理中中心- 集中管控识别、报警和分析。心,对各类安全事件、威胁信息汇总分析,识别、报警。2.4.1.2.2 网络安全管理体系安全管理内容涉及:信息安全政策、信息安全组织、 信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、系统的开发和维护、持续运营管理等等,是一个庞大、复杂的系统工程。仅仅依靠
35、技术手段来对业务应用系统进行安全保障, 这样的思想是非常错误。 必须要做到“领导重视,严格执行有关管理制度,建立信息安全防范意识,技术手段切实可行、有效”,做到“技管并重”才有可能做到真正意义的信息安全。从系统的管理和运维者的角度来看, 技术层面和管理层面必须相互结合、 配合良好, 其中,尤其需要强调管理的重要性,应以“七分管理,三分技术”的配比来设计安全体系。技术层面通过部署相应的安全产品或技术手段实现, 管理层面则需要完善的信息安全管理组织机构、 严格的信息安全管理制度和人员安全意识和技能培训、考核等手段来实现。管理安全要求包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全
36、运维管理等五部分内容。建议:参考信息安全技术 网络安全等级保护基本要求的要求,结合单位已有管理制度和实际情况,建立和完善网络安全管理制度体系,建立满足自身信息安全要求、合理、有效的安全管理制度体系。2.4.1.2.3 现有安全风险控制根据木桶原理,木桶所能容纳水的多少是由木桶壁中最短那块木头决定的,同样,一个 网络系统中最主要的威胁是由最薄弱的安全漏洞决定的,往往解决最主要的安全问题可以使 系统的安全性有很大提高。现有安全风险控制旨在解决当前环境下真实存在的安全威胁问 题。定期的安全验证有利于及时发现、评估、修复、确认和改进安全防护体系中的脆弱点。定期的安全风险控制能不断提升整体的安全防护能力
37、。安全风险控制采用结果验证的方式;结果验证是通过多种渠道安全渗透机制和攻防对抗演习等,先于对手发现自己的漏洞和弱点。多种渠道安全渗透机制目前常见的就是第三方服务机构和安全众测,攻防对抗演习需要企业组织具有较高攻防技能的安全人员,也可外聘外部专业机构完成,用于检测安全技术和安全管理框架的有效性。注:结果验证指安全风险评估、渗透测试、攻防演练等。2.4.1.3 其他安全建设要求中华人民共和国网络安全法参照 2017 年 6 月 1 日实施的中华人民共和国网络安全法对网络运营者的要求,文件要求及安全建议如下:适序用单位条款号要求号主区分体安全建设建议1.非关二十一键信条国家实行网络安全等级保护制度。
38、网络运营者应当按照网络安全等级保 护制度的要求,履行安全保护义务。等级保护测评、整改、备案2. 息基二十一(三)采取监测、记录网络运行状态、网部署综合日3. 网络运础设条 第络安全事件的技术措施,并按照规定留存施单三项规相关的网络日志不少于六个月;位定三十四(二)定期对从业人员进行网络安全教条 第二育、技术培训和技能考核;项规定志审计系统定期安全技能 / 安全意识/安全认证培训4. 营三十四(四)制定网络安全事件应急预案,并定定期应急演练者关键信息条 第四期进行演练; 项规定基础5. 关键信息基础设施的运营者应当自行或设施定期风险评估单位第三十八条者委托网络安全服务机构对其网络的安全性和可能存
39、在的风险每年至少进行一 次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全 保护工作的部门。及风险控制注:(1)国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。(2) 关键信息基础设施的定义: 参照 2019 年发布的关键信息基础设施安全保护条例(征求意见稿)关键信息基础设施单位范围如下 政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; 电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位; 国防科工、大型装备、化工、食品药品等行业领域科研生产单位; 广播电台、电视
40、台、通讯社等新闻单位; 其他重点单位。(3) 国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域 的关键信息基础设施,并按程序报送识别结果。关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。2.4.2 二期建设方案(主动防御体系建设)2.4.2.1 设计思路以自适应安全框架为安全模型,构建具有持续的基于异常的安全动态检测与响应能力, 并在此基础上做到对安全风险事件的预测和控制。结合安全技术、人员、闭环流程的补充, 建立一套可运转、
41、可持续的主动防御体系,实现高安全等级结构化保护,改变被动防护的局 面。2.4.2.2 建设内容二期项目建设内容为构建人机结合分析、持续监测、安全事件流程闭环为核心的主动安全防御体系;具体建设内容分为以下3 个部分:一、建设以大数据分析、机器学习技术为基础的态势感知平台;打破传统被动防御体系中的信息孤岛,以态势感知平台作为主动防御体系中的安全大脑,统筹全网安全态势和安全建设工作;二、依托于态势感知平台的数据支撑,引入闭环流程和人员服务,建立对安全事件事前、事中、事后的全生命周期管控;三、根据主动防御体系设计理念,补充针对WEB 应用和数据库的主动防御措施。2.4.2.3 安全建设2.4.2.3.
42、1 态势感知平台基于大数据技术平台,对企业内部全面的安全信息(包括互联网出口防火墙、服务器区 防火墙、专网接入防火墙、上网行为管理设备、负载均衡、日志审计系统、杀毒软件等安全设备进行集中采集、存储和分析,在满足国家和行业合规要求的基础上,利用人机交互分析、 智能分析引擎、和可视化等手段,结合丰富的威胁情报,对企业面临的外部攻击、内部违规 行为进行检测,为企业建立快速有效的威胁检测、分析、处置能力和全网安全态势感知能力, 使得企业的信息安全可知、可见、可控。 具体需要实现未知威胁防护、威胁发现和快速响应、事件统一管理、信息安全自动运维、内部行为审计、资产脆弱性检查、安全事件溯源取证,具体功能如下
43、:未知威胁防护:利用大数据分析的模型算法和处理能力,对海量的信息进行连续、实时计算,利用统计分析、关联分析和机器学习等多种技术手段来检测流量和用户行为的异常模式,发现潜在威胁。威胁发现和快速响应:加入威胁情报,大幅缩短威胁发现时间,降低组织风险;通过短信和邮件快速响应信息安全告警,大幅缩短响应时间;支持设备联动,通过平台告警和处置建议,快速进行防御策略变更。事件统一管理:事件(日志、网络流)统一管理,提供安全事件的监控, 分析, 处置和风险评估的统一平台;实现安全事件分析的统一化,集约化;可根据组织的安全事件的实际处 理流程将流程固化到平台中,通过预设的响应方式实现信息安全事件实时,提高运维效
44、率。信息安全自动运维:将原始事件信息转译成通俗易懂的字段,轻松读懂事件内容;支持 任意字段分类统计,便于安全分析;通过事件归并和关联模型匹配,降低安全事件误报率; 支持原始事件分级,重点关注海量事件中的重要和告警事件;提供多种分析图表,通过事件 关系图、事件和弦图、事件河流图,轻松进行安全事件分析;支持事件显示字段自定义,关键信息尽收眼底;安全分析可视化,降低分析人员的技术成本及时间成本。内部行为审计:内部员工有意或无意的违规行为能够及时准确的发现;内置内部用户违规威胁分析模型,广泛覆盖多种内部场景。(内部人员不满破坏系统、欲离职人员窃取数据等);违规行为精确定位到人;违规行为看得见、看得懂。
45、资产脆弱性检查:对资产脆弱性具有自动化检查功能,并能提供相应的解决方案知识库。安全事件溯源取证:基于攻击链模型,将告警之间的时序关系、因果关系进行关联分析,从而还原整个攻击链;通过告警追踪,关联事件列表直接展示。2.4.2.3.2 安全事件闭环依托于态势感知平台和平台厂商线上运营平台,通过持续监测的方式,可以7*24 小时不间断,永不休息监测单位的网络安全状态,全面认识安全事件的全貌并及时跟进闭环。在线上无法处置的安全事件,及时反馈给线下人员,能够第一时间进行安全处置,能降低和最大力度控制安全隐患和风险。整体事件闭环模型如下:(1) 事前流程(2) 事中流程(3) 事后流程2.4.2.3.3 WEB 应用主动防御我们可以将企业网络的边界初略的分外部互联网环境和内部局域网环境;外部互联网环境主要承载着企业对外发布的 WEB 应用和整个