网络安全的建设不是一蹴而就的,需要过程和投入。 如果缺乏系统的思考,势必导致只注重解决眼前的问题,而缺乏长远的规划。 这样的短期行为规划,最终会导致头痛、忽视他人、重复建设等问题。 .
纵观现有文献,规划思路多从合规出发,着眼于宏观安全框架设计和产品级安全解决方案,缺乏对整体网络安全能力发展路线和建设过程规划的探讨和考虑,即只构建一个网络。安全建设的愿景、目标和框架,没有任务和行动路线的规划,虽然与后续建设相关,但不能指导建设的顺序和过程规划,实施路径对网络安全规划是否有效没有影响可以流畅真实。 着陆起着重要的作用。
因此,本文结合分级保护合规要求和网络安全能力滑动尺度模型,优化高校网络安全规划方法,重点探索安全规划实施路径设计,并以某高校为例,说明该方法在大学网络规划中的应用。 实践过程中的编制与应用,为其他高校的规划工作提供借鉴,具有一定的理论和实践意义。
01
基于安全能力的规划思路
《网络安全法》将网络安全定义为:“采取必要措施,防止对网络的攻击、入侵、干扰、破坏、非法使用和事故发生,保持网络稳定可靠运行,确保网络完整性。网络数据、机密性、可用性能力”。
该定义明确了网络安全的目标,即网络的可靠运行和网络数据安全属性的保证,并将网络安全描述为一种能力。 在国家和教育行业的相关要求中,也强调了网络安全防护保障能力的提升。
在《网络安全等级保护基本要求》[1]中,描述了不同等级保护对象应具备的基本安全防护能力要求。 可以发现,该标准将网络安全能力分解为三个方面:保护、发现、处置和恢复; 分级保护的技术框架参考了美国信息保障技术框架(IATF)的设计思想,主要强调“一个中心,三重保护”。 为实现相应级别的网络安全能力,重点关注安全计算环境、安全区域边界和安全通信网络。 安全管理中心、安全管理中心等四个保障领域分别制定了控制点和要求,作为实现安全能力的必要条件。
但是,通过对相关国家网络安全标准的研究,发现现行标准中的要求相对静态。 虽然明确了不同等级安全防护应具备的能力要求和措施,但没有路线指引和建设建议。
网络安全能力滑尺模型[2]是美国系统网络安全协会(SANS)于2015年提出的指导安全防护体系能力建设的基本规范和标准,国内一些学者也对其结构进行了研究并使用[3-5]。
图 1 网络安全能力的滑动比例
网络安全能力滑尺模型结构如图1所示,该模型根据安全防护能力的成熟度将网络安全建设的发展过程分为五个阶段:基础设施安全、纵深防御、主动防御、威胁情报和攻击性的对策。
该模型认为,一个组织整体网络安全能力的提升是一个非分离的连续过程。 一个组织的网络安全体系建设和能力提升应该按照这五个阶段进行叠加演进,每个阶段的能力都依赖于前一个阶段。 施工阶段。 天平左侧的安全能力是右侧安全能力的基础。 从左到右,安全能力不断演进,整体防护能力叠加协同,形成整体安全能力。
图 2 技术、管理和运营措施的映射
该模型建立了一个分类框架,可以将技术措施、管理手段、运营措施等网络安全相关的各种任务映射到网络安全中的不同角色,如图2所示,并将它们映射到模型中的各个阶段,每个阶段的工作被视为一个整体。
该模型解决了传统安全模型无法根据构建阶段来评估安全能力成熟度的问题。 每个阶段的安全能力都可以在模型中体现出来。 随着安全能力的不断提升,安全能力的成熟度也会提高。
《网络安全等级保护基本要求》给出了系统相应层级安全能力建设的措施和要求,滑尺模型指明了网络安全能力建设的路径。 通过对等级保护的需求进行分解比较,相关需求映射到滑尺模型的不同阶段。
例如,在二级安全保障体系的基本要求中,要求“重要网络区域应避免部署在边界,重要网络区域与其他网络区域之间应采用可靠的技术隔离方法”。安全通信网络可以按比例映射到基础设施安全阶段的措施;
在三级体系的基本要求中,安全区域边界“响应进出网络的数据流,实现基于应用协议和应用内容的访问控制”,作为传统基础隔离措施的延伸。防火墙,可以映射到滑动尺度模型措施的纵深防御阶段;
同样,三级系统安全管理中心对“应能对网络中发生的各种安全事件进行识别、报警和分析”的要求进行集中管理和控制。 作为对安全事件的检测响应,可以映射到滑动尺度模型的主动防御。 阶段措施。
一旦这些映射完成,规划中就可以根据滑动尺度模型从左到右选择相应的措施怎样优化网站,形成安全能力叠加演进的合理规划路径。
同时,结合对等保护的评价结果和实施的措施,还可以映射出当前系统在滑尺模型中的位置。
例如,高校很多制度定位为Ⅱ类,建设主要以Ⅱ类合规为主要目标进行。 与II类技术要求相比,手段以基础安全域划分、传统防火墙边界隔离、终端防病毒等措施为主第一阶段;
对于通用安全三级系统,实现了应用层防护、DMZ区域划分、邮件、无线系统安全、访问控制策略细化等要求,可以通过三级评估,可以达到初步第二纵深防御能力水平;
一些构建良好的三级系统已经达到了一级安全需求中的日志流监控、安全事件中心、态势感知系统的要求。 三级主动防御安全能力;
对于金融、大型互联网等行业的系统,在行业和业务的安全要求较高的情况下,可能会实现后续阶段的安全能力。
了解系统网络安全能力的定位,可以为网络安全规划提供起点和依据。
综上所述,滑尺模型和安全标准体系从不同角度对网络安全建设提出了解读和要求。 MLPS标准明确了部分静态措施实现相应级别安全能力的要求,基于MLPS合规的网络安全工作是有效网络安全建设的必要条件。
然而,网络安全呈现出复杂多样的趋势。 高校仅以合规导向实施安全建设,难以满足实际安全需求。 面向能力的网络安全建设。
合理的实施路径规划是有效网络安全建设的充分条件。 滑尺模型提出了安全能力演进和提升的动态方向,可以直观映射当前“可确认、可衡量”的安全能力水平,为规划实施路径提供依据。 指明起点和方向。 两者并不矛盾,可以相互结合,共同指导实践中的网络安全规划建设。
02
规划案例实践
本节以笔者参与的某高校网络安全规划案例为基础,探讨以能力为导向的规划路径结合平等保护和网络安全能力的滑尺模型的实际应用。
策划背景
学校已开展初步网络安全建设,部分信息系统已完成班级保障分级备案和评价工作。 在保级评价过程中,按照合规要求进行了相应的整改,取得了保级通过的评价结论。 ,但在实际运营过程中,各种安全事件还是时有发生。
为提升网络安全能力,学校拟配合信息化建设三年规划,制定网络安全三年规划,为下一步网络安全建设提供操作指导。
情况分析
学校共开展二级保障体系评价10次,其中技术方面物理机房1个,评价项目共22个; 全网共计28个评价项; 8个网络设备,13个安全设备,共计178个评估项; 55台服务器,495个测评项; 10个数据库,70个评价项目; 10个应用系统,共91个评价项目; 管理评价涵盖10个体系,共619个评价项目; 校外访问权限和系统业务特性等。评估过程中,从互联网上扫描了6个系统的漏洞,在服务器区域扫描了9个系统。
整个评估工作范围覆盖了学校的主要信息系统,其他未分级评估的信息系统的网络安全运行模式和安全防护机制与这些系统基本相似,评估结果基本能反映当前的安全状况学校的。 因此,本方案现状分析以分级保护评价结果为依据。
从评估结果来看,总体而言,学校网络安全工作路线以合规为主,大部分安全规划、建设和评估都采用了对标、合规的思路; 网络安全管理部门在组织架构上与业务、运营部门分开; 在网络安全工作流程中,安全体系与流程的设计与实施分离,重建设轻实施; 技术上主要采用产品级安全方案,仅限于“有无功能”,不能使用安全产品栈。 效率:在人员方面,以管理和合规为主,缺乏专业的安全技术人员。
进一步汇总统计保障具体要求的评价结果,结合系统情况对不符合和部分符合的项目进行分析,形成当前网络安全存在的主要问题。 一些主要问题如表1所示。对于安全管理等方面也进行了类似的汇集和分析。
表 1 主要技术问题示例
施工路线规划
结合以上分析结果,根据规划思路,将当前安全措施及相关问题映射到滑尺模型中。 经分析,目前学校的网络安全基本处于滑尺模型的第一阶段。
以此为出发点,结合学校信息化三年规划建设愿景和网络安全能力滑动尺度模型阶段划分,确定了学校网络安全三年规划年度工作目标,如图3所示。即通过三年时间,逐年完善,最终建立起具有主动防御能力的网络安全体系。
图3 根据安全能力滑尺规划年度工作目标
为实现今年的工作目标,规划内容将进一步分解,技术上延续类险“一个中心、三重保障”的技术架构,安全管理机构和安全人员管理内容在类保险管理要求将被整合到一个安全组织框架中。 将班级保险管理要求中的安全管理体系、安全施工管理、安全运维管理等内容整合为一个安全体系框架,最终将年度工作目标分解为技术、组织、制度三个维度,形成总体规划年度建设路线,如图4所示。
图4 总体规划年度建设路线
在技术、组织、制度三个维度各自年度目标的基础上,进一步分解具体内容,并结合图2中技术、管理、运营措施与网络各阶段的映射关系安全能力滑尺模型,各维度形成。 年度具体工作内容,结合工作内容,形成考核指标等。形成的安全技术规划年度建设内容路线如图5所示,组织、制度等其他维度的规划路线思路, 考核指标类似。
图5 安全技术规划年度建设内容路线
参照安全保障相关要求和网络安全行业最佳实践,将年度各维度建设内容分解为具体执行任务,并结合各具体任务的依赖关系怎样优化网站,生成有计划的实施计划路线甘特图,如图6所示。
图6 规划实施方案路线
最终形成了网络安全建设从愿景、目标、框架到任务、行动路线的完整规划内容。
实施路径对网络安全规划能否顺利、真正实施起着重要作用,现有研究主要是构建高校网络安全建设的愿景、目标和框架,但缺乏研究关于具体的行动路线和任务规划。
本文将网络安全能力滑尺模型结合安全防护相关标准的要求,形成了一种面向网络安全能力叠加演化的网络安全规划方法,并结合某高校的设计实例。三年网络安全规划论证该方法的具体应用,丰富了现有研究视角,为高校网络安全规划思路提供了切实可行的借鉴和借鉴。
参考
[1] 信息安全技术网络安全等级保护基本要求[S].2019.
[2] Lee R M. The Scale of Cyber [Z]. 2015.
[3] 刘伟群,王建中,袁帅,等. 基于安全滑尺的航天领域专用网纵深防御系统研究[A]. 第八届中国指挥与控制会议论文集[C]. 2020.
[4] 李化宇. 基于网络安全量表的安全防护体系构建探讨[J]. 科技远景。 2019(10):228-229。
[5] 段耀.从网络安全滑尺模型谈信息系统安全防护[J]. 数字用户。 2019, 25(16): 56-57.
*请认真填写需求信息,我们会在24小时内与您取得联系。