BCS2020主題公布 網(wǎng)安模式升級亟需新一代網(wǎng)絡(luò)安全框架

近日,2020 網(wǎng)絡(luò)安全大會(BCS2020)主辦方奇安信公布了大會主題,即“內(nèi)生安全 從安全框架開始”。自去年大會主題“聚合應(yīng)變,內(nèi)生安全”提出以來,內(nèi)生安全已經(jīng)成為行業(yè)共識,成為網(wǎng)絡(luò)安全模式升級的前進方向。在今年3月,奇安信基于“內(nèi)生安全”理念,正式推出了新一代網(wǎng)絡(luò)安全框架,從頂層視角建立安全體系全景視圖以指導安全建設(shè),強化安全與信息化的融合。

因此,今年大會主題一經(jīng)公布,就引起了業(yè)內(nèi)的熱議,內(nèi)生安全為什么需要新一代網(wǎng)絡(luò)安全框架?新一代網(wǎng)絡(luò)安全框架又當如何指導網(wǎng)絡(luò)安全模式升級?這一系列問題,BCS 2020會帶來答案。

BCS2020主題公布 網(wǎng)安模式升級亟需新一代網(wǎng)絡(luò)安全框架

網(wǎng)絡(luò)安全建設(shè)缺乏統(tǒng)一框架指導

過去20年,國內(nèi)外在信息化建設(shè)方面,采用EA(Enterprise Architecture)方法論與TOGAF框架(開放組織體系結(jié)構(gòu)框架 The Open Group Architecture Framework),引導與推動了大規(guī)模、體系化、高效整合的信息化建設(shè),很好地支撐了各行業(yè)的業(yè)務(wù)運營。但是與信息化發(fā)展不同的是,網(wǎng)絡(luò)安全行業(yè)一直缺乏與信息化系統(tǒng)工程方法相匹配的框架,指導未來的網(wǎng)絡(luò)安全體系建設(shè)。

以往在我國的網(wǎng)絡(luò)安全體系規(guī)劃與設(shè)計中,多數(shù)情況是照搬國外的安全框架。由于國內(nèi)與國外信息化發(fā)展歷程不同,網(wǎng)絡(luò)安全能力水平存在較大差異。這種照搬模式導致了安全規(guī)劃因為進行套用國外框架而引發(fā)的“水土不服”。照搬模式導致政企對國內(nèi)外網(wǎng)絡(luò)安全基礎(chǔ)差距的忽視,而過分強調(diào)新技術(shù)、新概念導入,很多時候并沒有真正解決網(wǎng)絡(luò)安全的實際問題。

當前,我國提出了更加廣泛、更加深入的國家級數(shù)字化戰(zhàn)略,在廣度上包含了各行業(yè)、各領(lǐng)域的數(shù)字化業(yè)務(wù)運營模式的再造,在深度上驅(qū)動了政企機構(gòu)對信息化支撐體系的全面升級和替換。因此照搬硬套國外的安全框架,也面臨著達不到我數(shù)字化業(yè)務(wù)運營模式所必須的高標準要求。

對此有專家認為,在數(shù)字化轉(zhuǎn)型、新基建建設(shè)中,需要有一套行之有效的、以系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”理念而形成的網(wǎng)絡(luò)安全規(guī)劃建設(shè)框架,引導政企機構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全,使網(wǎng)絡(luò)安全逐漸從邊緣走向核心、從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實戰(zhàn)化”,推進網(wǎng)絡(luò)安全向基礎(chǔ)設(shè)施化、服務(wù)化模式發(fā)展。

奇安信推出的新一代網(wǎng)絡(luò)安全框架從“客戶視角、信息化視角、網(wǎng)絡(luò)安全頂層視角”展現(xiàn)出政企網(wǎng)絡(luò)安全體系全景,通過以能力為導向的網(wǎng)絡(luò)安全體系設(shè)計方法,規(guī)劃出面向未來網(wǎng)絡(luò)安全模式升級的重點項目庫,并設(shè)計出將網(wǎng)絡(luò)安全與信息化相融合的目標技術(shù)體系和目標運行體系,供政企參考借鑒。

BCS2020主題公布 網(wǎng)安模式升級亟需新一代網(wǎng)絡(luò)安全框架

圖:新一代網(wǎng)絡(luò)安全框架

內(nèi)生安全從理念到落地

新一代網(wǎng)絡(luò)安全框架,是對網(wǎng)絡(luò)安全模式升級新方法的探索,是“內(nèi)生安全”理念的有效落地。該框架融合了網(wǎng)絡(luò)安全、系統(tǒng)工程、項目管理的理論和實踐經(jīng)驗,采用“網(wǎng)絡(luò)安全滑動標尺”模型對疊加演進的網(wǎng)絡(luò)安全能力識別方法,結(jié)合國內(nèi)外各類網(wǎng)絡(luò)安全規(guī)范標準要求,以及大量被證明切實有效的最佳實踐,全面的枚舉出了政企機構(gòu)網(wǎng)絡(luò)安全所需的各類安全能力。有分析師表示,隨著安全技術(shù)體系與安全運行體系的建立完善,可以實現(xiàn)“內(nèi)生安全”的全面落地,使政企機構(gòu)能夠具備體系化的安全防御能力。

政企機構(gòu)可參考新一代網(wǎng)絡(luò)安全框架,采用新理念、新方法規(guī)劃建設(shè)能有效應(yīng)對數(shù)字化風險的新型網(wǎng)絡(luò)安全服務(wù)化工作模式??蓪?ldquo;一體之兩翼、驅(qū)動之雙輪”作為其信息化和網(wǎng)絡(luò)安全的戰(zhàn)略定位,構(gòu)建“關(guān)口前移,防患于未然”的網(wǎng)絡(luò)安全防御體系,以“統(tǒng)一謀劃”作為落實“四統(tǒng)一”的起點,在做好“關(guān)口前移”的基礎(chǔ)上,推動網(wǎng)絡(luò)安全從“局部整改”、“輔助配套”建設(shè)模式向體系化規(guī)劃建設(shè)模式轉(zhuǎn)變。須重點設(shè)計所需安全能力之間的依賴協(xié)同關(guān)系,以及通過安全能力的協(xié)同所能提供給信息化的安全服務(wù)。明確安全服務(wù)能力與信息化各層次的結(jié)合方式,建立以能力為中心的安全能力服務(wù)化模式。

另外政企機構(gòu)還應(yīng)以保護信息化資產(chǎn)為基礎(chǔ),進一步關(guān)注人員、系統(tǒng)、數(shù)據(jù)以及運行支撐體系之間的交互關(guān)系,進行整體防護,避免“以偏概全”的傳統(tǒng)模式。需要面向疊加演進的基礎(chǔ)結(jié)構(gòu)安全、網(wǎng)絡(luò)縱深防御、積極防御和威脅情報等能力,識別、設(shè)計構(gòu)成網(wǎng)絡(luò)安全防御體系的基礎(chǔ)設(shè)施、平臺、系統(tǒng)和工具集,并圍繞可持續(xù)的實戰(zhàn)化安全運行體系以數(shù)據(jù)驅(qū)動方式進行集成整合,從而構(gòu)建出動態(tài)綜合的網(wǎng)絡(luò)安全防御體系。

圍繞網(wǎng)絡(luò)的縱深防御體系為基礎(chǔ),進一步圍繞數(shù)據(jù)確定防御重點,圍繞人員開展實戰(zhàn)化安全運行,規(guī)劃建設(shè)動態(tài)綜合的網(wǎng)絡(luò)安全防御體系,使安全能力全面覆蓋云、終端、服務(wù)器、通信鏈路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控、人員等IT要素,避免局部盲區(qū)而導致的防御體系失效;還需要將安全能力深度融入物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)與用戶等各個層次,確保安全能力能在IT的各層次有效集成。

隨著威脅向“有組織攻擊”發(fā)展,政企機構(gòu)需要以可量化的方式識別能力上限和底線,打破“緊平衡”建設(shè)方式來規(guī)劃、設(shè)計和建設(shè)網(wǎng)絡(luò)安全體系。正在推動網(wǎng)絡(luò)安全模式升級的某企業(yè)CISO表示,在進行規(guī)劃與設(shè)計時,要充分考慮隨時可能突發(fā)的網(wǎng)絡(luò)安全威脅升級情況,須本著“寧可備而不用、備而少用,不可用而不備”的原則,在建設(shè)中預(yù)置可擴展的能力,在運行中預(yù)留出必要的應(yīng)急資源,確保在面對網(wǎng)絡(luò)空間重大不確定性風險時數(shù)字化運營不會受到重大影響。

據(jù)悉,在8月7日至8月16日舉行的BCS 2020大會中,通過10場峰會、50多場論壇、16檔100多場特色欄目,來自全球各國的數(shù)百位重磅嘉賓,將就新一代網(wǎng)絡(luò)安全框架在不同行業(yè)、不同領(lǐng)域和不同場景之下的落地和實踐,進行深入研討,一起激蕩思想、碰撞火花,共同把脈網(wǎng)絡(luò)安全行業(yè)未來發(fā)展的新航向,給數(shù)字化轉(zhuǎn)型升級的各類政企機構(gòu)給出安全建設(shè)的指導性建議。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )