前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的網(wǎng)絡(luò)安全工作頂層設(shè)計(jì)研究，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

當(dāng)前，網(wǎng)絡(luò)與信息安全工作的重要性已經(jīng)逐漸被接受，網(wǎng)絡(luò)安全相關(guān)產(chǎn)業(yè)進(jìn)入一個(gè)黃金發(fā)展階段，各行業(yè)都在加強(qiáng)網(wǎng)絡(luò)安全工作投入，上線各種安全設(shè)備和系統(tǒng)，提高應(yīng)對(duì)各種安全威脅的能力。各行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域“大干快上”的同時(shí)，都非常注重網(wǎng)絡(luò)安全頂層設(shè)計(jì)，以指導(dǎo)各領(lǐng)域網(wǎng)絡(luò)安全工作的開展，光大銀行也不例外，在2006年、2008年、2013年分別請(qǐng)BCG、德勤、畢馬威設(shè)計(jì)網(wǎng)絡(luò)與信息安全管理相關(guān)規(guī)劃。目前，光大銀行網(wǎng)絡(luò)與信息安全工作內(nèi)涵和外延都較之幾年前發(fā)生巨大變化，網(wǎng)絡(luò)安全頂層設(shè)計(jì)也是呼之欲出。本文將圍繞當(dāng)前安全形勢(shì)背景、頂層設(shè)計(jì)方向、頂層設(shè)計(jì)框架方面進(jìn)行論述。（2017年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施后，行業(yè)內(nèi)將原有的信息安全、網(wǎng)絡(luò)與信息安全等稱謂逐漸改為“網(wǎng)絡(luò)安全”，本文以下內(nèi)容均采用“網(wǎng)絡(luò)安全”一詞。）

一、網(wǎng)絡(luò)安全頂層規(guī)劃的內(nèi)外部因素分析

1.網(wǎng)絡(luò)安全已經(jīng)上升到國(guó)家安全層面，安全監(jiān)管力度空前

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》在2017年6月1日正式實(shí)施，以及等級(jí)保護(hù)2.0標(biāo)準(zhǔn)、個(gè)人信息保護(hù)規(guī)范、國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例等一系列網(wǎng)絡(luò)安全相關(guān)法律法規(guī)出臺(tái)，指示的“沒有網(wǎng)絡(luò)安全，就沒有國(guó)家安全”要求得到貫徹。網(wǎng)絡(luò)安全合規(guī)是企業(yè)必須重視的重要工作內(nèi)容。

2.新技術(shù)廣泛應(yīng)用帶來網(wǎng)絡(luò)安全管理挑戰(zhàn)

當(dāng)前，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、人工智能等金融科技已在銀行業(yè)廣泛應(yīng)用，其在提升業(yè)務(wù)競(jìng)爭(zhēng)力的同時(shí)，也給銀行網(wǎng)絡(luò)安全保衛(wèi)工作帶來新的挑戰(zhàn)。網(wǎng)絡(luò)安全管理的對(duì)象、技術(shù)和范圍都發(fā)生很大變化，等保2.0標(biāo)準(zhǔn)中專門增加了云計(jì)算、移動(dòng)、大數(shù)據(jù)等方面的安全保護(hù)要求，對(duì)業(yè)務(wù)規(guī)模較大、IT應(yīng)用程度較高的銀行而言，網(wǎng)絡(luò)安全復(fù)雜度和工作量成倍增長(zhǎng)。

3.外部網(wǎng)絡(luò)攻擊模式發(fā)生巨大變化

外部網(wǎng)絡(luò)攻擊已經(jīng)從普通網(wǎng)絡(luò)犯罪發(fā)展為組織級(jí)和國(guó)家級(jí)對(duì)抗，攻擊的戰(zhàn)場(chǎng)從網(wǎng)絡(luò)和系統(tǒng)變?yōu)?ldquo;云大物移工”新技術(shù)平臺(tái)，打擊的目標(biāo)從系統(tǒng)變?yōu)閼?yīng)用邏輯和數(shù)據(jù)，攻擊武器變?yōu)橥Ω蟮睦账魅湎x、高級(jí)威脅APT、供應(yīng)鏈攻擊等，企業(yè)網(wǎng)絡(luò)安全防護(hù)與保障壓力倍增。

4.企業(yè)網(wǎng)絡(luò)安全防護(hù)對(duì)象、防護(hù)手段均呈現(xiàn)“碎片化”

外部網(wǎng)絡(luò)安全形勢(shì)發(fā)生巨大變化，企業(yè)內(nèi)部情況也不容樂觀。金融機(jī)構(gòu)防護(hù)對(duì)象復(fù)雜且分散，防護(hù)手段有防病毒、防泄露、數(shù)據(jù)漂白、網(wǎng)絡(luò)防火墻、應(yīng)用防火墻、IDS、郵件安全網(wǎng)關(guān)、黑客溯源、網(wǎng)絡(luò)準(zhǔn)入等，各類安全設(shè)備和系統(tǒng)防護(hù)策略不統(tǒng)一，各自為戰(zhàn)。防護(hù)對(duì)象和防護(hù)手段的雙重“碎片化”，使企業(yè)缺少全局洞察和集中管控手段，難以將安全防護(hù)要素貫穿全過程，導(dǎo)致防護(hù)失衡。

5.安全人員相對(duì)短缺

社會(huì)上網(wǎng)絡(luò)安全管理人員短缺，企業(yè)安全管理人員普遍配置不足。

二、網(wǎng)絡(luò)安全頂層設(shè)計(jì)的目標(biāo)

各企業(yè)做好網(wǎng)絡(luò)安全工作要著眼于網(wǎng)絡(luò)戰(zhàn)，應(yīng)將日常網(wǎng)絡(luò)安全管理工作上升為網(wǎng)絡(luò)安全保衛(wèi)工作。在設(shè)計(jì)網(wǎng)絡(luò)安全頂層規(guī)劃時(shí)，一定要側(cè)重網(wǎng)絡(luò)戰(zhàn)，要有危機(jī)意識(shí)和憂患意識(shí)，要敢于作出判斷：內(nèi)部系統(tǒng)一定還有沒被發(fā)現(xiàn)的漏洞、一定有已經(jīng)發(fā)現(xiàn)但還沒有修補(bǔ)的漏洞、系統(tǒng)已經(jīng)被滲透、內(nèi)部人員是不可靠的。光大銀行網(wǎng)絡(luò)安全頂層規(guī)劃的目標(biāo)就是打贏“企業(yè)層面”的網(wǎng)絡(luò)戰(zhàn)，提升“能攻善守”的能力。“能攻善守”的能力可以具化為三點(diǎn)：適應(yīng)新技術(shù)應(yīng)用的能力、應(yīng)對(duì)多樣化未知威脅的能力、滿足監(jiān)管機(jī)構(gòu)合規(guī)監(jiān)管需求的能力。

三、基于能力導(dǎo)向的網(wǎng)絡(luò)安全頂層規(guī)劃框架

為網(wǎng)絡(luò)戰(zhàn)而生的網(wǎng)絡(luò)安全頂層設(shè)計(jì)應(yīng)突出攻防兼?zhèn)?，體現(xiàn)出積極防御相關(guān)的網(wǎng)絡(luò)安全工作。網(wǎng)絡(luò)安全頂層設(shè)計(jì)框架如圖1所示。上述網(wǎng)絡(luò)安全頂層規(guī)劃模型通過建立一個(gè)分類框架，將與網(wǎng)絡(luò)安全防御相關(guān)的各類工作都納入到框架中整體考慮，解決“淘汰演進(jìn)”給業(yè)界帶來的長(zhǎng)期困擾，從更系統(tǒng)化的“疊加演進(jìn)”視角考慮整個(gè)防御體系。

1.基礎(chǔ)安全

基礎(chǔ)安全是指原有傳統(tǒng)安全加固相關(guān)的網(wǎng)絡(luò)安全管理工作，這部分非常重要，是整個(gè)網(wǎng)絡(luò)安全工作的基礎(chǔ)，具體包括安全組織管理、安全制度管理、網(wǎng)絡(luò)安全域劃分、安全配置加固、云平臺(tái)內(nèi)生安全、大數(shù)據(jù)安全、IT資產(chǎn)管理、安全架構(gòu)、安全基線、安全漏洞管理、開發(fā)生命周期安全等。基礎(chǔ)不牢地動(dòng)山搖，這部分工作應(yīng)長(zhǎng)期重視且必須做好。

2.被動(dòng)防御

被動(dòng)防御是指靜態(tài)的安全防護(hù)設(shè)備和系統(tǒng)，這部分靠設(shè)備內(nèi)置的安全策略監(jiān)控、抵御內(nèi)外部安全威脅，是網(wǎng)絡(luò)安全防護(hù)體系的重要一環(huán)。具體包括縱深防護(hù)體系設(shè)計(jì)、傳統(tǒng)安全防護(hù)設(shè)備（網(wǎng)絡(luò)防火墻、應(yīng)用防火墻、入侵檢測(cè)、防病毒網(wǎng)關(guān)、防病毒軟件、網(wǎng)絡(luò)安全準(zhǔn)入等）。以上兩部分是偏靜態(tài)的綜合防御，即我們常說的“傳統(tǒng)防御體系”。

3.積極防御

積極防御強(qiáng)調(diào)人的參與，要求安全分析人員通過監(jiān)控和響應(yīng)網(wǎng)絡(luò)威脅，利用自動(dòng)化工具完善防御體系。具體包括安全分析、追蹤溯源、響應(yīng)處置、安全威脅建模、安全攻防技術(shù)研發(fā)等。

4.安全情報(bào)

情報(bào)的重要性不言而喻，準(zhǔn)確的情報(bào)將使網(wǎng)絡(luò)攻防效果事半功倍，從海量日志中收集、提煉有效的安全威脅和攻擊線索形成情報(bào)，引領(lǐng)基礎(chǔ)安全、被動(dòng)防御和積極防御工作，使整個(gè)網(wǎng)絡(luò)安全防御體系動(dòng)起來、活起來。具體工作包括各類日志信息收集、清洗、分析，整合外部情報(bào)等。

5.進(jìn)攻防御

最好的防御就是進(jìn)攻，但對(duì)企業(yè)而言，攻擊對(duì)手不是重點(diǎn)，而是應(yīng)配合監(jiān)管機(jī)構(gòu)、公安部門做好進(jìn)攻反制的準(zhǔn)備。具體包括法律手段、證據(jù)收集、網(wǎng)絡(luò)空間對(duì)抗技術(shù)儲(chǔ)備等。這三個(gè)舉措是偏動(dòng)態(tài)的積極防御，是企業(yè)要努力建設(shè)攻防兼?zhèn)浞烙w系中的重要內(nèi)容，是企業(yè)未來增量人力、增量資金密集投入的領(lǐng)域。上述頂層框架規(guī)劃滿足了網(wǎng)絡(luò)安全工作全面覆蓋、安全一體化和應(yīng)對(duì)網(wǎng)絡(luò)戰(zhàn)要求，通過這個(gè)頂層框架可以有效支撐以下三個(gè)能力：一是具備適應(yīng)新技術(shù)應(yīng)用的能力。通過基礎(chǔ)安全部分工作，在新技術(shù)應(yīng)用的規(guī)劃、建設(shè)和維護(hù)過程中充分考慮網(wǎng)絡(luò)安全防護(hù)，通過三同步以及管控關(guān)口前移解決新技術(shù)引入的網(wǎng)絡(luò)安全綜合防御。二是具備應(yīng)對(duì)多樣化、未知威脅的能力。通過被動(dòng)防御、積極防御和安全情報(bào)三部分工作，可以有效應(yīng)對(duì)各類網(wǎng)絡(luò)攻擊，達(dá)到知己知彼、百戰(zhàn)不殆。三是具備滿足監(jiān)管機(jī)構(gòu)合規(guī)監(jiān)管需求的能力。在參加等保2.0標(biāo)準(zhǔn)和國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)培訓(xùn)中，多個(gè)監(jiān)管部門均提出企業(yè)應(yīng)建立安全態(tài)勢(shì)感知和運(yùn)營(yíng)平臺(tái)，并與監(jiān)管機(jī)構(gòu)系統(tǒng)互連，建立上下貫通的安全管理信息中心。通過積極防御部分工作，企業(yè)可以滿足監(jiān)管機(jī)構(gòu)轉(zhuǎn)向主動(dòng)監(jiān)管的改革需要。

作者:楊增宇 單位:中國(guó)光大銀行信息科技部