1 项目背景
1.1 国家越来越注重网络安全
“必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。” 主席在网络安全和信息化工作座谈会上的讲话。
1.2 安全合规监管要求越来越高
《网络安全法》《个人信息保护法》以及合规要求《信息系统等级保护2.0》《商用密码应用性安全评估》等相关合规要求。
1.3 企业数字化转型是刻不容缓
数字化转型通常伴随着新技术的应用,如云计算、大数据、物联网等。网络安全确保这些新技术的应用过程中不受到威胁,从而保障创新的顺利实施。
2 设计原则
2.1 先进性
坚持使用先进技术,强调智能化、新技术、新产品在新安全体系中的引领作用。在安全规划中引入AI、大数据、隐私计算、6G等安全技术,实现安全能力的前瞻性。
2.2 合规性
以《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》、《国家电子政务标准化指南》等相关政策标准为依据进行网络安全保障体系建设。
2.3 可行性
结合企业自身安全现状,分步骤、分阶段推进网络安全保障建设工作,结合资金、人员的情况,以最优的方式进行安全建设。
2.4 协同性
安全建设应时刻考虑与业务系统部门之间的联系,安全和业务是一体的,离开谁都无法长久,充分考虑业务系统的特性进行安全设计、建设和运营。
3 规划思路
参考SANS的安全滑动标尺模型构建企业安全保障体系,划分架构安全、被动防护、积极防御、威胁情报和攻击反制等五个阶段,每个阶段对应最佳的行动措施和资源投入,建设新型网络安全能力。以安全架构为建设指标、被动防御为主要手段、积极防御为提升、威胁情报为补充、攻击反制为最后手段。
最为重要的是首先建立“三同步”(同步规划、同步建设和同步运营)的思想来进行安全体系规划。
一是同步规划:在信息系统设计之初,按业务系统机密性、完整性和可用性的要求,进行安全同步规划设计,确保系统的安全;
二是同步建设:在信息系统上线之前,对信息系统的进行安全检查包括:基线扫描、漏洞扫描和渗透测试等手段防止系统风险。
三是同步运营:在信息系统下线之前,安全运营工作应该成为日常工作之一,确定有持续、可靠、有效的安全保障机制,能实时监测安全事件、及时发现内、外部因素导致的安全事件,快速处置降低损失。