【国企改革观象台】:开展体系化能力建设,筑牢网络安全基石 - 国企十四五安全规划的思考(上)
网络安全规划对于国企意义重大
随着企业数字化建设的深化发展,新技术大量应用,线上场景不断丰富,网络安全面临全新风险和挑战。2014年2月,中央网络安全和信息化领导小组成立,习近平总书记指出“没有网络安全就没有国家安全”、“网络安全和信息化是一体之两翼、驱动之双轮”,确定了国家网络安全和信息化发展的方向。与此同时,我国网络安全制度体系建设和组织机制建设也进入了快车道,随着《中华人民共和国网络安全法》正式发布,将网络安全工作提升到法律的高度。
2020年是“十四五”规划的制定年,也是企业全面数字化转型的关键时点。作为国民经济重要支柱的国有企业,其所承载的面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,是国家的关键信息基础设施和经济社会运行的神经中枢,保障这些关键信息基础设施安全稳定是网络安全的重中之重。国有企业必须坚定践行网络安全国家战略的要求,结合新形势下的网络安全风险特征,立足国企机构网络安全与信息化现状,以高标准设计、高质量建设、高可靠运行、高水平保障的要求开展“十四五”网络安全专项规划。
国企网络安全工作面临的挑战
- 安全体系架构规划缺失
网络安全领域缺乏以复杂系统思维引导的规划与建设实践,大多数国企形成了以“局部整改”、“辅助配套”为主的安全建设模式,但是缺少自顶向下的网络安全整体架构规划,致使网络安全体系化缺失、碎片化严重,网络安全能力与数字化业务运营的高标准保障要求不匹配。
- 安全资源建设模式落后
近年来,国有企业积极响应国家安全战略要求,不断加大在网络安全领域资源建设。但安全资源建设模式更多还停留在对传统安全设备或产品的简单堆叠,对于移动端、虚拟化、物联网等业务场景及重要资产覆盖面不全,与信息化各层次结合程度不高,难以满足各类复杂风险场景下的安全保障需求。
- 安全运营保障能力不足
安全日常管理工作停留在技术运维层面,未建立常态化的安全运营机制和保障流程,缺乏有效的自动化工具平台和专业的运营团队支撑,无法将安全管控有效融入到业务运营活动中,导致安全运行可持续性差、应急能力就绪度低,一旦发生重大网络安全事件,企业难以有效进行应对和处置。
- 安全工作成效难以度量
对安全建设目标缺乏有效分解手段,无法形成可衡量的明确指标,导致安全管理工作缺少统一标准,安全风险无法得到全面有效的监督,无法形成安全管理闭环。
国企网络安全规划要点建议
以普华永道信息安全体系框架为指引,结合国有企业信息安全使命与愿景,在十四五网络安全规划制定工作中,建议企业应以严合规、重服务、自运营、融业务作为规划导向,用系统工程方法论,从顶层视角建立安全体系全景视图以指导安全建设,将网络安全治理和管理、网络安全运营、网络安全基础技术保障、数据安全合规体系建设、安全监督评价与持续改进作为体系规划的要点,从而构建完善的网络安全防护体系,强化网络安全与信息化融合,提升网络安全能力成熟度,凸显安全对业务的保障作用。
1. 落实分级管理的组织建设思路,建立覆盖全生命周期的安全管理体系
图:安全分级管理框架模型
网络安全管理体系建设的目标是建立网络安全管理规范,明确网络安全管理职责分工,规范、优化系统开发、系统运维以及流程运转中的日常安全管理,将安全融入业务运营中,提升业务安全能力。
结合大型国有企业集团性组织架构特点,构建两级嵌套的安全分级管理框架:整体框架包括从顶层的安全方针策略到最底层的安全工作规范指南,其中又划分为集团公司级框架和分子公司级框架,具体内容包括:
- 集团1级管理制度
定义企业安全管理的总体方针策略和原则。
- 集团2级管理制度
明确整体集团及子企业管理的范畴、目标和要求。
- 集团3级管理制度
结合上层两级要求在集团公司级框架内的落实指导,同时考虑各单位的管理水平、建设工作的不同,对工作指导进行差异化定制,包括对机构信息安全管理等级/类型划分规范,以及分类分级的工作指导说明。
- 分子公司管理制度
强调在继承集团公司框架和总体方针策略的基础上,由各企业参考分类分级工作指导说明,设计与自身管理架构相融合的安全管理框架,在管理制度设计上也是承接总体管理要求细化形成自有制度,同时在对具体的工作执行制定操作规范以及指南。
图:国有企业安全管理组织架构示例
从管理体系的框架设计上强调全面覆盖原则,同时从框架内容的设计也是如此。安全管理框架应覆盖科技项目全生命周期,从需求提出到可研立项,到系统建设再到系统运维,以及最后的中止下线都有相应的安全控制目标、管理要求和操作指导,以确保集团公司和各级子公司在信息安全上的“同步规划,同步建设,同步使用”。
2. 构建自适应的运营体系,实现安全效能全面提升
图:安全运营体系服务框架
建立自适应的网络安全运营体系,即将安全过程中的各层次安全产品、基础设施资源、运营网络环境、数据资产信息等纳入一个紧密的统一安全运营平台中,充分利用大数据分析和机器学习技术,构建覆盖网络安全预警、监控、分析、响应、处置和回溯的安全运营中心,快速响应、精确分析、有效处置,自适应于不同基础架构和业务变化,并不断自我改进和完善,持续提升网络安全管理能力。结合国有企业网络安全工作特点,安全运营体系规划应重点从以下方面实现安全效能的提升:
- 从“被动防御”到“主动响应”提升
传统安全体系关注边界防御,随着企业IT系统上云,移动互联网成为业务标配,网络边界越来越模糊,带来新的安全挑战。安全管理目标开始从“被动防御”,向“主动响应”转变,安全运营体系中应融合智能情报分析能力,实现安全风险的主动发现和提前预警,从而实现对安全风险事件的提前遏制,降低损失。
- 从“碎片化”到“可视化”提升
当前大部分国有企业已经在网络中部署了大量的安全设备,但由此产生的海量日志信息分散,分析手段匮乏,难以看清全局安全状态,影响安全运营的效率和效果。通过可视化和大数据技术,构建安全运营平台,实现安全信息从“碎片化”向“可视化”转变,从而提高安全运营效率,感知全局安全态势。
- 从“操作规范”到“效率优先”提升
自动化是安全运营的发展方向,利用安全运营技术平台的动态计算能力和海量数据优势,可以实时检测入侵行为,自动化分析入侵原因和事件影响面,提供技术方案尽快止损并清除影响,实现安全预防、威胁检测、调查响应、主动防御为一体的自动化安全运营闭环。这种自动化安全运营能力使得传统需要通过大量人力来解决的问题可以用机器来替代,将极大的提升企业整体安全水位和安全管理效率。
下一期【国企改革观象台】将介绍在十四五安全规划中如何构建技术架构体系、数据合规体系及考核评估体系。
