本文来自微信公众号“安全牛”,作者/张兵、李欣韦。
在当今数字化时代,网络安全已成为企业保护信息资产和业务运行的重要任务。恶意攻击、数据泄露、网络病毒等威胁不断演进,给企业和个人带来了巨大风险。为了应对这一挑战,许多企业已经采取了一系列网络安全措施,如制定了网络安全政策和制度、部署了防火墙和入侵检测系统等技术工具、建立了安全事件响应机制等。然而,这些措施往往只是零散的应对特定问题,未能形成一个有机、整体的网络安全体系。因此,企业可能面临诸如部门协调和合作不足、安全措施缺乏整体规划和一致性、人才匮乏以及安全意识不足等问题和挑战,使得企业难以全面有效地保护信息资产和业务。
为了解决这些问题,企业需要建立一个整体的网络安全体系框架,将治理、管理、组织、制度、技术和运营等方面的安全工作有机地结合起来,形成协同作用,以实现全面的安全防护和风险管理。这样的网络安全体系框架不仅能够提升企业的网络安全能力,还能够促进业务的可靠运行和持续发展。
在本文中,我们将介绍针对我国大多数组织普适通用的网络安全体系框架的构成要素和体系建设的关键步骤,探讨搭建网络安全体系的难点和挑战,并提供一些实用的建议和方法。通过深入理解和实施网络安全体系建设,企业能够更好地保护自己的信息资产和网络安全,应对复杂多变的网络威胁,确保业务的安全和可靠性。
一、网络安全体系建设的驱动因素
网络安全体系建设的驱动力主要来自以下几个方面:
法律法规的要求:随着网络安全法律法规的不断完善,企业面临着越来越严格的合规要求。法律法规要求企业采取必要的安全措施,保护用户的个人信息和敏感数据,防止网络攻击和数据泄露。这些法律法规的要求成为推动企业进行网络安全体系建设的重要动力。
业务需求和风险意识:随着数字化转型的加速和依赖互联网的业务模式的普及,企业对网络安全的需求越来越迫切。业务的正常运营需要可靠的网络安全保障,而不断增长的网络威胁也提醒企业要重视网络安全风险。业务需求和风险意识推动企业将网络安全体系建设纳入战略规划和业务运营的重要议程。
市场竞争和声誉保护:网络安全事故和数据泄露事件不仅会对企业造成直接的经济损失,还会严重影响企业的声誉和客户信任。在竞争激烈的市场环境中,保护客户数据和维护良好的声誉是企业持续发展的关键。为了在市场上获得竞争优势和保持良好的声誉,企业积极推动网络安全体系建设,提升网络安全能力。
国际标准和合作伙伴要求:随着全球化的发展,企业需要与跨国公司、供应链伙伴和合作伙伴进行信息共享和合作。为了满足国际合作的要求,许多企业需要遵循国际标准,如ISO 27001等,来证明其网络安全能力。国际标准和合作伙伴的要求促使企业进行网络安全体系建设,以满足国际标准和合作伙伴的要求,增强合作伙伴的信任。
企业应意识到这些驱动因素的重要性,并将其纳入战略规划和决策过程中,全面推进网络安全体系建设,有效应对网络威胁,保护信息资产和维护业务的可持续发展。
二、网络安全体系框架的构成要素
根据企业数字化转型的实现情况和我国网络安全合规要求的现状,结合我们在国企央企和金融机构长期进行网络安全咨询的经验,提出如下图所示的网络安全体系框架:
图:网络安全体系框架
(一)网络安全建设愿景
网络安全体系是企业保障信息资产和网络安全的重要基石,而构建一套完善的网络安全体系框架,其目的在于更好地推动网络安全愿景的实现。网络安全建设愿景体现在下面五个方面:
管理一体化:形成面向全组织的、集中统一的网络安全管理标准,并结合各类监管规范对于网络安全的要求,打造融风险识别、预警、检测、监测、保护、应急响应于一体的网络安全管理平台。
防御主动化:全面提升网络安全防护能力,应用云原生安全、可信计算、国产密码等自主可控制技术,开展网络安全建设和整改加固,形成主动免疫、主动防御、整体防控的主动化的风险防御体系。
运营智能化:利用云计算、大数据及威胁情报技术,建设网络安全智慧大脑,以安全分析为核心,结合云端威胁情报,通过各种网络安全场景及可视化手段,利用安全运营服务和安全编排自动化响应技术为组织提供高效的网络安全服务。
操作实战化:从被动的威胁应对和标准合规的模式,走向在常态化攻防演练中不断完善的模式,在遭受网络攻击时具备较强的对抗能力。
恢复弹性化:在遭受网络攻击、业务中断、安全事件干扰,甚至在灾难事件发生时,具有快速恢复的能力。
(二)网络安全关键要素
两根支柱:合法合规支柱和最佳实践支柱。合法合规支柱包括法律条例、行业规章和国家标准,为企业提供了合规框架和参考标准。最佳实践支柱包括方法论、国际实践和国内实践,提供了经过验证的方法和标准,可应用于企业的网络安全管理过程中。
两大需求:业务安全需求和网络安全需求。业务安全需求综合考虑企业的业务特点、业务场景、业务流程和业务要求等方面,确保业务的安全性和稳定性;网络安全需求涵盖了网络安全管理体系、数据安全治理、个人信息保护、关键信息基础设施保护、供应链安全等方面的需求。
一个底座:信息化、数字化和智能化底座。这个底座是网络安全体系建设的基础,它将信息化、数字化和智能化融入网络安全体系,以满足业务安全和网络安全的需求。这包括应用先进的技术和解决方案,构建安全的网络基础设施,保障网络的可靠性和安全性。
(三)网络安全六大体系
本网络安全框架由治理体系、管理体系、组织体系、制度体系、技术体系和运营体系六大安全体系组成。
安全治理体系负责建立治理机制和资源保障,确保网络安全体系的有效运行和资源的合理配置;
安全管理体系包括管理措施、评估考核和安全培训,以提高网络安全管理水平;
安全组织体系涉及网络安全的组织架构和职责分配,确保网络安全工作的协调和推进;
安全制度体系包括网络安全的制度和政策规定,确保网络安全规范和合规性;
安全技术体系涉及网络安全技术和工具的选择、实施和管理;
安全运营体系涉及网络安全服务和运维管理。
企业应全面把握网络安全体系建设的重要组成部分,确保每个要素的合理规划和有效运作,建立完善的网络安全体系,保护信息资产和网络安全,以应对不断变化的网络威胁和安全挑战。
三、网络安全体系建设的方法和步骤
(一)构建网络安全体系的两根支柱
01
合法合规支柱
合法合规是支撑网络安全体系的重要支柱之一。在建立和维护网络安全体系时,企业必须确保其行为符合适用的法律条例、行业规章和国家标准,以确保合法合规性。
法律条例是国家针对网络安全领域制定的法规,这些法律条例规定了企业在网络安全方面的法律责任和义务。此外,信创产业目前已被提升为国家安全的战略高度,国务院、国资委、发改委、工信部等部委及地方政府部门相继出台与信创相关的政策,尤其是对于国企央企来说,应逐步全面落实信息化系统的信创国产化改造,规避安全风险。
行业规章是指特定行业针对网络安全领域制定的规章和指南,旨在指导和规范该行业的网络安全实践。不同行业有不同的行业规章,这些行业规章为企业提供了行业特定的网络安全要求和标准。
国家标准是由国家制定的网络安全相关的标准,旨在规范和指导企业在网络安全领域的实践。企业应重视并遵守网络安全相关国家标准,这些标准为企业提供了网络安全等级保护和关键信息基础设施安全保护的基本要求和指导,有助于企业确保网络安全的等级保护,并保障关键信息基础设施的安全运行。
通过遵守合法合规的支柱,企业能够确保其网络安全体系符合法律要求和行业标准,降低违规风险,保护个人隐私和敏感信息的安全,增强与利益相关方的信任,以及避免法律责任和不良影响。
02
最佳实践支柱
网络安全最佳实践是支撑网络安全框架的另一个重要支柱。最佳实践包括了方法论、国际实践和国内实践,为企业的网络安全管理过程提供了经过验证的方法和标准。
在方法论方面,有一些知名的实践模型,如Gartner数字安全模型、网络安全滑动标尺模型、NIST网络安全框架等,它们提供了评估和改进企业网络安全的框架和方法。
国际实践方面,ISO国际标准化组织制定了一系列与信息安全相关的标准,包括ISO 27001信息安全管理体系、ISO 27701隐私信息管理体系、ISO 20000信息技术服务管理体系、ISO 22301业务连续性管理体系等。这些国际标准为企业提供了全球认可的最佳实践,可用于制定和实施网络安全管理措施。
国内实践方面,国家标准化管理委员会制定了一系列与信息安全相关的推荐性国家标准,包括《信息安全技术网络安全事件分类分级指南(GB/T 20986-2023)》《信息安全技术网络数据处理安全要求(GB/T 41479-2022)》《信息安全技术个人信息安全规范(GB/T 35273-2020)》《信息安全技术信息安全风险评估方法(GB/T 20984-2022)》《信息安全技术数据安全能力成熟度模型(GB/T 37988-2019)》等。这些国内标准结合了国内环境和需求,为企业提供了适用于中国的最佳实践。
通过遵循这些最佳实践,企业可以借鉴已经验证过的方法和标准,提升网络安全管理的有效性和可持续性。同时,这些实践也帮助企业与国际标准和行业最佳实践保持一致,提升在全球范围内的信任和合规性。
(二)确定业务安全需求
为确保网络安全体系与业务需求紧密相融,企业应全面分析业务的关键要素,如其功能、特性、技术实现方式、市场发展动向、用户规模、业务流程与规则、数据流动方式、个人信息处理方式,以及对个人信息主体权益的保护等。这样的分析有助于评估潜在的安全威胁和影响。业务安全评估涵盖了业务应用、业务平台、业务运行以及业务数据的各个安全方面。
业务安全风险评估模型(YD/T 3169-2020)
业务应用安全评估:关注用户的规模、类型、相关性和身份验证方法,来识别是否存在如用户账户信息泄露等的安全风险。同时,信息的主题、生成、传播、接收和存储方式等也需进行审查,以便识别并确认是否存在违法信息或其他安全风险。
业务平台安全评估:对承载业务的服务器、数据中心或节点的物理位置分布进行评估,判断是否存在跨境数据传输的安全风险;同时,评估与其他企业合作的合规性,以确保业务信息安全。
业务运行安全评估:对业务规则的合规性、业务流程的合理性以及相应的技术保障措施的完备性进行评估,以识别业务运行中是否存在安全漏洞;此外,对通信过程进行评估,确认其中是否存在欺诈行为、违法传播等风险。
业务数据安全评估:对数据采集、存储、传输、加工等环节及个人信息安全风险进行评估,确认是否存在数据泄露等安全风险。
对已识别的业务安全风险进行深入地分析与评估,综合考量企业的网络安全管理措施和技术保障能力,确保对这些业务安全风险具有可行的控制和管理策略。这些工作将有助于企业确定全面地业务安全需求,从而为建立网络安全体系提供明确的目标和方向。
(三)确定网络安全需求
在确保网络和信息资产的安全方面,企业需要考虑多个网络安全需求,以建立全面的网络安全体系。这些需求包括但不限于网络安全管理体系建设、数据安全治理、个人信息保护、关键信息基础设施保护、信息技术应用创新(信创)、国产密码、供应链安全、互联网攻击面管理和安全运营中心建设等。
网络安全管理体系-是指组织内部制定的一系列策略、规程和措施,旨在确保网络安全的有效管理和监控。它涵盖了安全政策制定、风险管理、安全事件响应和管理评审等方面,以保护组织的网络和信息资产免受威胁和攻击。常用的网络安全管理体系参考标准是ISO 27001和等级保护2.0。
数据安全治理-涉及组织对数据的全生命周期管理,包括数据分类分级、数据安全风险评估、数据安全体系建设等,以确保数据的机密性、完整性和可用性,防止数据泄露和滥用。《数据安全法》、Gartner的DSG框架、微软的DGPC框架、GB/T 37988、GB/T 41479是常被采用的数据安全治理方法论。
个人信息保护—是指企业应遵循相关法律法规和隐私保护准则,对个人信息进行影响评估并采取保护措施,保护个人信息的安全和权益,减少潜在的安全风险和法律风险。《个人信息保护法》、GBT 35273、GBT 39335、ISO 27701是在开展个人信息保护时重要的参考资料。
关键信息基础设施—涉及对国家关键信息基础设施的安全保护,确保其正常运行和抵御各类威胁和攻击。《关键信息基础设施安全保护条例》和GB/T 39204是指导关键信息基础设施安全保护建设的法规和标准。
信创产业—是维护国家安全、数字经济持续健康发展的重要保障,企业应依据相关的政策和要求,进行信创国产化改造,提高自主知识产权的核心技术和产品的研发与应用,增强信息技术产业的自主控制能力。信创安全关注网络安全产品自身的国产化和安全性,以及信创安全产品的适配范围。
国产密码—是指使用本国自主研发和生产的密码技术和产品,以保障信息传输和存储的安全。“密评”是在等保测评基础上增加的对密码使用的新要求。
供应链安全—是为了保护整个供应链中的信息和资产免受威胁和攻击,包括供应商风险评估、合同管理、供应商安全要求等方面的措施。供应链安全清单包括供应链产品清单、供应链企业清单、供应链产品安全隐患清单、供应链企业安全隐患清单、供应链安全隐患整改清零清单,是供应链安全建设的基础。
互联网攻击面—是指组织的互联网资产面临的各类攻击和威胁,包括网络钓鱼、恶意软件、拒绝服务、应用漏洞、数据泄露等,需要采取相应的防护和相应措施。互联网攻击面的理论基础来自Gartner的分析报告。
安全运营中心—是建立负责网络安全监控、事件响应和威胁情报分析的中心,通过实时监测和分析网络流量和安全事件,快速识别和应对潜在的安全威胁。
这些网络安全需求的制定是为了保护组织的网络和信息资产的安全,防范各类威胁和攻击,确保业务的持续运行和数据的保密性、完整性和可用性。通过建立相应的安全策略、规程和措施,组织能够有效应对各类网络安全挑战,提升整体的安全防护能力,并获得可靠的网络和信息资产安全保障。
(四)创建信息化、数字化和智能化的安全需求
为了确保网络安全体系与业务需求的紧密结合,企业应建立一个稳固的信息化、数字化和智能化底座,利用先进的信息技术和智能技术,构建一个全面、高效和灵活的基础设施,为网络安全体系提供全方位的支持和依托,以应对日益复杂的威胁和风险,提高业务的安全性、效率和创新能力。
信息化、数字化、智能化作为新一轮科技革命的突出特征,也是新一代企业信息技术的核心;其中信息化是基础,数字化是信息化到了一定阶段的必然产物,未来会继续向智能化发展。三个阶段有着不同的特征和安全管理要求。
信息化安全—其核心内涵是传统业务的信息化处理,以结构化业务信息系统、数据仓库等为主要载体,风险管控要求包括边界防护安全、应用开发安全、系统运维安全、业务连续性安全等;
数字化安全—此阶段是把数据作为战略资产,用数字化手段重构企业发展和运营模式,以微服务化业务信息系统、数据池、数据湖、中台等为主要载体,风险管控要求包括云安全、移动互联安全、数据安全、态势感知与预警、物联网安全、工业互联网安全、数字业务安全、数字化转型风险控制等;
智能化安全—此阶段是以算力为基础,以数据为核心,让机器辅助人决策,以移动化、智能化信息系统、数据海等为载体,风险管控要求包括万物互联安全、边缘计算安全、区块链安全、数字货币安全、人工智能安全、新型数字伦理等。
(五)建设网络安全体系
在确定了业务安全需求和网络安全需求的基础上,企业可以搭建起完善的网络安全体系。网络安全体系包括了治理体系、管理体系、组织体系、制度体系、技术体系和运营体系几大组成部分。
01
治理体系
治理体系是网络安全体系的核心,它涉及建立治理机制和资源保障,以确保网络安全体系的有效运行和资源的合理配置。
02
管理体系
管理体系涉及制定和实施一系列管理手段和方法,以确保网络安全的有效管理和控制。企业应建立相应的安全策略、规程和流程,规范各项安全措施的实施和执行。
03
组织体系
组织体系涉及网络安全的组织架构和职责分配。企业应建立自上而下的覆盖决策、管理、执行和监督四个层面的网络安全组织架构,明确网络安全部门和相关岗位的职责和权限,确保网络安全工作的有效落实。
04
制度体系
制度体系涉及网络安全的制度和政策规定。为确保网络安全要求得到有效落实,企业应指定或授权专门的部门或人员负责安全管理制度的制定。建立适应网络安全要求的制度框架,形成包括安全策略、管理制度、操作规程、记录表单等在内的全面的安全管理制度体系。定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
05
技术体系
技术体系涉及网络安全技术和工具的选择、实施和管理,以确保网络的安全性和可靠性。在建立技术体系时,企业应根据具体需求和风险评估选择适当的技术和工具,如网络安全、终端安全、数据安全、云安全、工控安全等,并进行适当的配置、实施和管理,以提供全面的网络安全保护。同时,持续地监测和更新技术体系,及时应对新的威胁和漏洞,确保网络安全的持续有效性。
06
运营体系
运营体系是网络安全管理中的重要组成部分,企业应提供全面的网络安全服务和运维管理,确保网络的安全性和稳定性。安全服务包括安全服务目录、服务编排和服务接口的定义和管理。安全运维是保证网络安全的重要环节,包括分析识别、监测预警、安全防护、主动防御、检测评估、事件处置等工作。
四、网络安全体系建设的难点和挑战
网络安全体系的建设是一个持久的过程,在建设过程中,企业会面临着一些重要的难点和挑战,如:
合规性与法律要求:网络安全体系建设需要符合相关法律法规和行业标准的要求。企业需要了解和遵守这些法规,确保网络安全体系的合规性。
资源投入与管理:网络安全体系建设需要大量的资源,包括技术、人员和资金等。企业需要确保合理的资源投入,并有效地管理这些资源,以支持网络安全体系的持续运行。
快速变化的威胁环境:网络安全威胁日新月异,攻击者的技术和手段不断演变。因此,网络安全体系需要不断适应和应对不断变化的威胁环境。
复杂的技术要求:网络安全体系建设需要综合应用各种技术和工具,如防火墙、入侵检测系统、加密技术等。这些技术的复杂性要求企业拥有专业的技术人员和高度的技术能力。
企业文化和意识变革:网络安全是全员参与的事务,需要建立全员的安全意识和文化。然而,企业文化和习惯的改变是一个复杂的过程,需要时间和精心的管理。
面对这些挑战,企业应制定合适的战略和计划,建立专业的团队和合作伙伴关系,加强人才培养和员工意识教育培训,进行定期评估和持续改进。只有通过持续地努力和创新,才能有效地应对网络安全体系建设的难点和挑战,建立起坚实的网络安全体系,保护企业的利益和客户的信任,推动业务的持续发展和创新。
作者简介
张兵,谷安天下信息技术咨询合伙人,数据安全治理委员会专家,全国金融标准化技术委员会证券分技术委员会专家,《中小银行数据安全治理研究报告》、《数据防泄露产品选型指南》报告主编,20多年的信息安全、数据安全、个人信息保护、科技风险、网络安全规划、SOC管理体系等咨询及审计服务经验,获得CISA、CDPSE、CISP-DSG、ISO 27701等证书,熟悉银行业、保险业、证券业、电信互联网行业、医疗健康行业及大型央企的科技管理与风险应对措施,掌握专业的数据安全建设方法论,并具备丰富的项目实践经验。
李欣韦,谷安天下信息技术咨询经理,10多年的信息安全咨询和信息科技风险审计工作经验,获得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对数据安全、个人信息保护、科技风险管理等领域均有着较为深入的研究,掌握专业的数据安全建设方法论,并具备丰富的项目实践经验。