前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的網(wǎng)絡安全工作頂層設計研究，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

當前，網(wǎng)絡與信息安全工作的重要性已經(jīng)逐漸被接受，網(wǎng)絡安全相關產(chǎn)業(yè)進入一個黃金發(fā)展階段，各行業(yè)都在加強網(wǎng)絡安全工作投入，上線各種安全設備和系統(tǒng)，提高應對各種安全威脅的能力。各行業(yè)在網(wǎng)絡安全領域“大干快上”的同時，都非常注重網(wǎng)絡安全頂層設計，以指導各領域網(wǎng)絡安全工作的開展，光大銀行也不例外，在2006年、2008年、2013年分別請BCG、德勤、畢馬威設計網(wǎng)絡與信息安全管理相關規(guī)劃。目前，光大銀行網(wǎng)絡與信息安全工作內(nèi)涵和外延都較之幾年前發(fā)生巨大變化，網(wǎng)絡安全頂層設計也是呼之欲出。本文將圍繞當前安全形勢背景、頂層設計方向、頂層設計框架方面進行論述。（2017年《中華人民共和國網(wǎng)絡安全法》正式實施后，行業(yè)內(nèi)將原有的信息安全、網(wǎng)絡與信息安全等稱謂逐漸改為“網(wǎng)絡安全”，本文以下內(nèi)容均采用“網(wǎng)絡安全”一詞。）

一、網(wǎng)絡安全頂層規(guī)劃的內(nèi)外部因素分析

1.網(wǎng)絡安全已經(jīng)上升到國家安全層面，安全監(jiān)管力度空前

隨著《中華人民共和國網(wǎng)絡安全法》在2017年6月1日正式實施，以及等級保護2.0標準、個人信息保護規(guī)范、國家關鍵基礎設施保護條例等一系列網(wǎng)絡安全相關法律法規(guī)出臺，指示的“沒有網(wǎng)絡安全，就沒有國家安全”要求得到貫徹。網(wǎng)絡安全合規(guī)是企業(yè)必須重視的重要工作內(nèi)容。

2.新技術廣泛應用帶來網(wǎng)絡安全管理挑戰(zhàn)

當前，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)、人工智能等金融科技已在銀行業(yè)廣泛應用，其在提升業(yè)務競爭力的同時，也給銀行網(wǎng)絡安全保衛(wèi)工作帶來新的挑戰(zhàn)。網(wǎng)絡安全管理的對象、技術和范圍都發(fā)生很大變化，等保2.0標準中專門增加了云計算、移動、大數(shù)據(jù)等方面的安全保護要求，對業(yè)務規(guī)模較大、IT應用程度較高的銀行而言，網(wǎng)絡安全復雜度和工作量成倍增長。

3.外部網(wǎng)絡攻擊模式發(fā)生巨大變化

外部網(wǎng)絡攻擊已經(jīng)從普通網(wǎng)絡犯罪發(fā)展為組織級和國家級對抗，攻擊的戰(zhàn)場從網(wǎng)絡和系統(tǒng)變?yōu)?ldquo;云大物移工”新技術平臺，打擊的目標從系統(tǒng)變?yōu)閼眠壿嫼蛿?shù)據(jù)，攻擊武器變?yōu)橥Ω蟮睦账魅湎x、高級威脅APT、供應鏈攻擊等，企業(yè)網(wǎng)絡安全防護與保障壓力倍增。

4.企業(yè)網(wǎng)絡安全防護對象、防護手段均呈現(xiàn)“碎片化”

外部網(wǎng)絡安全形勢發(fā)生巨大變化，企業(yè)內(nèi)部情況也不容樂觀。金融機構防護對象復雜且分散，防護手段有防病毒、防泄露、數(shù)據(jù)漂白、網(wǎng)絡防火墻、應用防火墻、IDS、郵件安全網(wǎng)關、黑客溯源、網(wǎng)絡準入等，各類安全設備和系統(tǒng)防護策略不統(tǒng)一，各自為戰(zhàn)。防護對象和防護手段的雙重“碎片化”，使企業(yè)缺少全局洞察和集中管控手段，難以將安全防護要素貫穿全過程，導致防護失衡。

5.安全人員相對短缺

社會上網(wǎng)絡安全管理人員短缺，企業(yè)安全管理人員普遍配置不足。

二、網(wǎng)絡安全頂層設計的目標

各企業(yè)做好網(wǎng)絡安全工作要著眼于網(wǎng)絡戰(zhàn)，應將日常網(wǎng)絡安全管理工作上升為網(wǎng)絡安全保衛(wèi)工作。在設計網(wǎng)絡安全頂層規(guī)劃時，一定要側重網(wǎng)絡戰(zhàn)，要有危機意識和憂患意識，要敢于作出判斷：內(nèi)部系統(tǒng)一定還有沒被發(fā)現(xiàn)的漏洞、一定有已經(jīng)發(fā)現(xiàn)但還沒有修補的漏洞、系統(tǒng)已經(jīng)被滲透、內(nèi)部人員是不可靠的。光大銀行網(wǎng)絡安全頂層規(guī)劃的目標就是打贏“企業(yè)層面”的網(wǎng)絡戰(zhàn)，提升“能攻善守”的能力。“能攻善守”的能力可以具化為三點：適應新技術應用的能力、應對多樣化未知威脅的能力、滿足監(jiān)管機構合規(guī)監(jiān)管需求的能力。

三、基于能力導向的網(wǎng)絡安全頂層規(guī)劃框架

為網(wǎng)絡戰(zhàn)而生的網(wǎng)絡安全頂層設計應突出攻防兼?zhèn)洌w現(xiàn)出積極防御相關的網(wǎng)絡安全工作。網(wǎng)絡安全頂層設計框架如圖1所示。上述網(wǎng)絡安全頂層規(guī)劃模型通過建立一個分類框架，將與網(wǎng)絡安全防御相關的各類工作都納入到框架中整體考慮，解決“淘汰演進”給業(yè)界帶來的長期困擾，從更系統(tǒng)化的“疊加演進”視角考慮整個防御體系。

1.基礎安全

基礎安全是指原有傳統(tǒng)安全加固相關的網(wǎng)絡安全管理工作，這部分非常重要，是整個網(wǎng)絡安全工作的基礎，具體包括安全組織管理、安全制度管理、網(wǎng)絡安全域劃分、安全配置加固、云平臺內(nèi)生安全、大數(shù)據(jù)安全、IT資產(chǎn)管理、安全架構、安全基線、安全漏洞管理、開發(fā)生命周期安全等。基礎不牢地動山搖，這部分工作應長期重視且必須做好。

2.被動防御

被動防御是指靜態(tài)的安全防護設備和系統(tǒng)，這部分靠設備內(nèi)置的安全策略監(jiān)控、抵御內(nèi)外部安全威脅，是網(wǎng)絡安全防護體系的重要一環(huán)。具體包括縱深防護體系設計、傳統(tǒng)安全防護設備（網(wǎng)絡防火墻、應用防火墻、入侵檢測、防病毒網(wǎng)關、防病毒軟件、網(wǎng)絡安全準入等）。以上兩部分是偏靜態(tài)的綜合防御，即我們常說的“傳統(tǒng)防御體系”。

3.積極防御

積極防御強調(diào)人的參與，要求安全分析人員通過監(jiān)控和響應網(wǎng)絡威脅，利用自動化工具完善防御體系。具體包括安全分析、追蹤溯源、響應處置、安全威脅建模、安全攻防技術研發(fā)等。

4.安全情報

情報的重要性不言而喻，準確的情報將使網(wǎng)絡攻防效果事半功倍，從海量日志中收集、提煉有效的安全威脅和攻擊線索形成情報，引領基礎安全、被動防御和積極防御工作，使整個網(wǎng)絡安全防御體系動起來、活起來。具體工作包括各類日志信息收集、清洗、分析，整合外部情報等。

5.進攻防御

最好的防御就是進攻，但對企業(yè)而言，攻擊對手不是重點，而是應配合監(jiān)管機構、公安部門做好進攻反制的準備。具體包括法律手段、證據(jù)收集、網(wǎng)絡空間對抗技術儲備等。這三個舉措是偏動態(tài)的積極防御，是企業(yè)要努力建設攻防兼?zhèn)浞烙w系中的重要內(nèi)容，是企業(yè)未來增量人力、增量資金密集投入的領域。上述頂層框架規(guī)劃滿足了網(wǎng)絡安全工作全面覆蓋、安全一體化和應對網(wǎng)絡戰(zhàn)要求，通過這個頂層框架可以有效支撐以下三個能力：一是具備適應新技術應用的能力。通過基礎安全部分工作，在新技術應用的規(guī)劃、建設和維護過程中充分考慮網(wǎng)絡安全防護，通過三同步以及管控關口前移解決新技術引入的網(wǎng)絡安全綜合防御。二是具備應對多樣化、未知威脅的能力。通過被動防御、積極防御和安全情報三部分工作，可以有效應對各類網(wǎng)絡攻擊，達到知己知彼、百戰(zhàn)不殆。三是具備滿足監(jiān)管機構合規(guī)監(jiān)管需求的能力。在參加等保2.0標準和國家關鍵信息基礎設施保護培訓中，多個監(jiān)管部門均提出企業(yè)應建立安全態(tài)勢感知和運營平臺，并與監(jiān)管機構系統(tǒng)互連，建立上下貫通的安全管理信息中心。通過積極防御部分工作，企業(yè)可以滿足監(jiān)管機構轉(zhuǎn)向主動監(jiān)管的改革需要。

作者:楊增宇 單位:中國光大銀行信息科技部