当前,网络与信息安全工作的重要性已经逐渐被接受,网络安全相关产业进入一个黄金发展阶段,各行业都在加强网络安全工作投入,上线各种安全设备和系统,提高应对各种安全威胁的能力。各行业在网络安全领域“大干快上”的同时,都非常注重网络安全顶层设计,以指导各领域网络安全工作的开展,光大银行也不例外,在2006年、2008年、2013年分别请BCG、德勤、毕马威设计网络与信息安全管理相关规划。目前,光大银行网络与信息安全工作内涵和外延都较之几年前发生巨大变化,网络安全顶层设计也是呼之欲出。本文将围绕当前安全形势背景、顶层设计方向、顶层设计框架方面进行论述。(2017年《中华人民共和国网络安全法》正式实施后,行业内将原有的信息安全、网络与信息安全等称谓逐渐改为“网络安全”,本文以下内容均采用“网络安全”一词。)
一、网络安全顶层规划的内外部因素分析
1.网络安全已经上升到国家安全层面,安全监管力度空前
随着《中华人民共和国网络安全法》在2017年6月1日正式实施,以及等级保护2.0标准、个人信息保护规范、国家关键基础设施保护条例等一系列网络安全相关法律法规出台,指示的“没有网络安全,就没有国家安全”要求得到贯彻。网络安全合规是企业必须重视的重要工作内容。
2.新技术广泛应用带来网络安全管理挑战
当前,云计算、大数据、物联网、移动互联、人工智能等金融科技已在银行业广泛应用,其在提升业务竞争力的同时,也给银行网络安全保卫工作带来新的挑战。网络安全管理的对象、技术和范围都发生很大变化,等保2.0标准中专门增加了云计算、移动、大数据等方面的安全保护要求,对业务规模较大、IT应用程度较高的银行而言,网络安全复杂度和工作量成倍增长。
3.外部网络攻击模式发生巨大变化
外部网络攻击已经从普通网络犯罪发展为组织级和部级对抗,攻击的战场从网络和系统变为“云大物移工”新技术平台,打击的目标从系统变为应用逻辑和数据,攻击武器变为威力更大的勒索蠕虫、高级威胁APT、供应链攻击等,企业网络安全防护与保障压力倍增。
4.企业网络安全防护对象、防护手段均呈现“碎片化”
外部网络安全形势发生巨大变化,企业内部情况也不容乐观。金融机构防护对象复杂且分散,防护手段有防病毒、防泄露、数据漂白、网络防火墙、应用防火墙、IDS、邮件安全网关、黑客溯源、网络准入等,各类安全设备和系统防护策略不统一,各自为战。防护对象和防护手段的双重“碎片化”,使企业缺少全局洞察和集中管控手段,难以将安全防护要素贯穿全过程,导致防护失衡。
5.安全人员相对短缺
社会上网络安全管理人员短缺,企业安全管理人员普遍配置不足。
二、网络安全顶层设计的目标
各企业做好网络安全工作要着眼于网络战,应将日常网络安全管理工作上升为网络安全保卫工作。在设计网络安全顶层规划时,一定要侧重网络战,要有危机意识和忧患意识,要敢于作出判断:内部系统一定还有没被发现的漏洞、一定有已经发现但还没有修补的漏洞、系统已经被渗透、内部人员是不可靠的。光大银行网络安全顶层规划的目标就是打赢“企业层面”的网络战,提升“能攻善守”的能力。“能攻善守”的能力可以具化为三点:适应新技术应用的能力、应对多样化未知威胁的能力、满足监管机构合规监管需求的能力。
三、基于能力导向的网络安全顶层规划框架
为网络战而生的网络安全顶层设计应突出攻防兼备,体现出积极防御相关的网络安全工作。网络安全顶层设计框架如图1所示。上述网络安全顶层规划模型通过建立一个分类框架,将与网络安全防御相关的各类工作都纳入到框架中整体考虑,解决“淘汰演进”给业界带来的长期困扰,从更系统化的“叠加演进”视角考虑整个防御体系。
1.基础安全
基础安全是指原有传统安全加固相关的网络安全管理工作,这部分非常重要,是整个网络安全工作的基础,具体包括安全组织管理、安全制度管理、网络安全域划分、安全配置加固、云平台内生安全、大数据安全、IT资产管理、安全架构、安全基线、安全漏洞管理、开发生命周期安全等。基础不牢地动山摇,这部分工作应长期重视且必须做好。
2.被动防御
被动防御是指静态的安全防护设备和系统,这部分靠设备内置的安全策略监控、抵御内外部安全威胁,是网络安全防护体系的重要一环。具体包括纵深防护体系设计、传统安全防护设备(网络防火墙、应用防火墙、入侵检测、防病毒网关、防病毒软件、网络安全准入等)。以上两部分是偏静态的综合防御,即我们常说的“传统防御体系”。
3.积极防御
积极防御强调人的参与,要求安全分析人员通过监控和响应网络威胁,利用自动化工具完善防御体系。具体包括安全分析、追踪溯源、响应处置、安全威胁建模、安全攻防技术研发等。
4.安全情报
情报的重要性不言而喻,准确的情报将使网络攻防效果事半功倍,从海量日志中收集、提炼有效的安全威胁和攻击线索形成情报,引领基础安全、被动防御和积极防御工作,使整个网络安全防御体系动起来、活起来。具体工作包括各类日志信息收集、清洗、分析,整合外部情报等。
5.进攻防御
最好的防御就是进攻,但对企业而言,攻击对手不是重点,而是应配合监管机构、公安部门做好进攻反制的准备。具体包括法律手段、证据收集、网络空间对抗技术储备等。这三个举措是偏动态的积极防御,是企业要努力建设攻防兼备防御体系中的重要内容,是企业未来增量人力、增量资金密集投入的领域。上述顶层框架规划满足了网络安全工作全面覆盖、安全一体化和应对网络战要求,通过这个顶层框架可以有效支撑以下三个能力:一是具备适应新技术应用的能力。通过基础安全部分工作,在新技术应用的规划、建设和维护过程中充分考虑网络安全防护,通过三同步以及管控关口前移解决新技术引入的网络安全综合防御。二是具备应对多样化、未知威胁的能力。通过被动防御、积极防御和安全情报三部分工作,可以有效应对各类网络攻击,达到知己知彼、百战不殆。三是具备满足监管机构合规监管需求的能力。在参加等保2.0标准和国家关键信息基础设施保护培训中,多个监管部门均提出企业应建立安全态势感知和运营平台,并与监管机构系统互连,建立上下贯通的安全管理信息中心。通过积极防御部分工作,企业可以满足监管机构转向主动监管的改革需要。
作者:杨增宇 单位:中国光大银行信息科技部
