一、网络安全顶层规划的内外部因素分析
1.网络安全已经上升到国家安全层面,安全监管力度空前
2.新技术广泛应用带来网络安全管理挑战
当前,云计算、大数据、物联网、移动互联、人工智能等金融科技已在银行业广泛应用,其在提升业务竞争力的同时,也给银行网络安全保卫工作带来新的挑战。网络安全管理的对象、技术和范围都发生很大变化,等保2.0标准中专门增加了云计算、移动、大数据等方面的安全保护要求,对业务规模较大、IT应用程度较高的银行而言,网络安全复杂度和工作量成倍增长。
3.外部网络攻击模式发生巨大变化
外部网络攻击已经从普通网络犯罪发展为组织级和国家级对抗,攻击的战场从网络和系统变为“云大物移工”新技术平台,打击的目标从系统变为应用逻辑和数据,攻击武器变为威力更大的勒索蠕虫、高级威胁APT、供应链攻击等,企业网络安全防护与保障压力倍增。
4.企业网络安全防护对象、防护手段均呈现“碎片化”
外部网络安全形势发生巨大变化,企业内部情况也不容乐观。金融机构防护对象复杂且分散,防护手段有防病毒、防泄露、数据漂白、网络防火墙、应用防火墙、IDS、邮件安全网关、黑客溯源、网络准入等,各类安全设备和系统防护策略不统一,各自为战。防护对象和防护手段的双重“碎片化”,使企业缺少全局洞察和集中管控手段,难以将安全防护要素贯穿全过程,导致防护失衡。
5.安全人员相对短缺
社会上网络安全管理人员短缺,企业安全管理人员普遍配置不足。
二、网络安全顶层设计的目标
各企业做好网络安全工作要着眼于网络战,应将日常网络安全管理工作上升为网络安全保卫工作。在设计网络安全顶层规划时,一定要侧重网络战,要有危机意识和忧患意识,要敢于作出判断:内部系统一定还有没被发现的漏洞、一定有已经发现但还没有修补的漏洞、系统已经被渗透、内部人员是不可靠的。光大银行网络安全顶层规划的目标就是打赢“企业层面”的网络战,提升“能攻善守”的能力。“能攻善守”的能力可以具化为三点:适应新技术应用的能力、应对多样化未知威胁的能力、满足监管机构合规监管需求的能力。
三、基于能力导向的网络安全顶层规划框架
1.基础安全
2.被动防御
被动防御是指静态的安全防护设备和系统,这部分靠设备内置的安全策略监控、抵御内外部安全威胁,是网络安全防护体系的重要一环。具体包括纵深防护体系设计、传统安全防护设备(网络防火墙、应用防火墙、入侵检测、防病毒网关、防病毒软件、网络安全准入等)。以上两部分是偏静态的综合防御,即我们常说的“传统防御体系”。
3.积极防御
积极防御强调人的参与,要求安全分析人员通过监控和响应网络威胁,利用自动化工具完善防御体系。具体包括安全分析、追踪溯源、响应处置、安全威胁建模、安全攻防技术研发等。
4.安全情报
情报的重要性不言而喻,准确的情报将使网络攻防效果事半功倍,从海量日志中收集、提炼有效的安全威胁和攻击线索形成情报,引领基础安全、被动防御和积极防御工作,使整个网络安全防御体系动起来、活起来。具体工作包括各类日志信息收集、清洗、分析,整合外部情报等。
5.进攻防御
最好的防御就是进攻,但对企业而言,攻击对手不是重点,而是应配合监管机构、公安部门做好进攻反制的准备。具体包括法律手段、证据收集、网络空间对抗技术储备等。这三个举措是偏动态的积极防御,是企业要努力建设攻防兼备防御体系中的重要内容,是企业未来增量人力、增量资金密集投入的领域。上述顶层框架规划满足了网络安全工作全面覆盖、安全一体化和应对网络战要求,通过这个顶层框架可以有效支撑以下三个能力:一是具备适应新技术应用的能力。通过基础安全部分工作,在新技术应用的规划、建设和维护过程中充分考虑网络安全防护,通过三同步以及管控关口前移解决新技术引入的网络安全综合防御。二是具备应对多样化、未知威胁的能力。通过被动防御、积极防御和安全情报三部分工作,可以有效应对各类网络攻击,达到知己知彼、百战不殆。三是具备满足监管机构合规监管需求的能力。在参加等保2.0标准和国家关键信息基础设施保护培训中,多个监管部门均提出企业应建立安全态势感知和运营平台,并与监管机构系统互连,建立上下贯通的安全管理信息中心。通过积极防御部分工作,企业可以满足监管机构转向主动监管的改革需要。