新常態下數字化轉型企業網絡信息安全體系建設

劉志誠

（高新興科技集團股份有限公司，廣東廣州 510507）

1 引言

企業信息化網絡信息安全建設是個老話題，做好網絡邊界防護，做好防病毒與木馬的侵襲，做好外部入侵的檢測和應對，在安全產品領域，防火墻、防病毒、入侵檢測老三樣，已經在一定程度上普及了企業或組織網絡信息安全的基本面。近些年，隨著國家網絡空間安全戰略的高調出臺，政府機關和國有企業對網絡信息安全的高度重視，以公安部等級保護為基礎的網絡信息安全保護體系的合規性要求，對公共服務領域的信息化網絡和信息安全體系的建設，起到了巨大的推動作用?；ヂ摼W+戰略的興起，以BAT為首的互聯網企業，以及以360等互聯網創新安全企業，在用戶側通過移動終端安全的檢測和保護，免費為終端用戶提供安全服務，加大了對海內外安全事故的宣傳力度，通過各種黑客大賽，攻防演練，制造熱點，提升安全的品牌效應，對傳統企業觸網，對高校新生代進入工作崗位的網絡信息安全意識，起到了巨大的推動作用。

而以人工智能、大數據、區塊鏈、云計算、邊緣計算等基礎的新技術帶來企業業務發展的新模式，對傳統的的信息安全模型帶來了巨大的挑戰，人工智能（A）與大數據（D）對企業的運作基礎起到了顛覆性的作用，企業以來的生產制造、營銷物流、運營模式從依賴于少量數據的專業化模式，進入了依賴大量非結構化數據和無關數據的機器學習和深度學習建立模型的人工智能模式。區塊鏈（B）作為分布式的信任體系建設，對擴大企業邊界，建立企業間的無縫銜接和業務合作，降低中間傭金成本，起著無可比擬的作用，將會顛覆企業的組織結構和運作模式.而云計算（C）和邊緣計算（E）對企業傳統的IDC機房建設模式下的計算基礎設施在最有利于集約化運營的云端以及業務最關注效率的邊緣成為可能，對信息化的架構同樣具有不能忽視的顛覆性作用，而這悄然變化的一切，決定了任何企業首先都會是一個數字化企業。

因此，傳統網絡信息安全保障模式在新技術背景下面對巨大的挑戰，而為了吸引眼球的注意力經濟下促生的網絡信息安全的教育觀，把攻防作為唯一關注的網絡信息安全要素，也會帶來誤導企業網絡信息安全以偏概全的體系建設問題。本文希望從企業網絡信息安全在新技術、新模式、新挑戰造成的新常態下的建設問題進行梳理，給出實踐建議。

2 新常態企業網絡信息安全需求分析

從新技術對網絡信息安全影響的角度分析，新常態重點在三個領域對網絡信息安全有關鍵的影響，即無邊界、零信任、不對稱。

2.1 無邊界

談及安全，首先希望的都是把敵人拒之門外，網絡信息安全體系一個關鍵的理念就像中國建設的長城和歐洲的馬奇諾防線，無論從物理還是邏輯都是邊界保護。網絡信息安全體系的建設中，無論是建立防火墻還是入侵防御，也是希望建立起明確的邊界，保護企業的網絡信息安全。但在目前的技術演進帶來的業務發展來看，這個邊界的定義，面對前所未有的挑戰。物聯網技術（IoT）和5G通信技術的演進與發展，在技術上拓展了企業的觸角，企業的數字化過程中，數字的采集、處理、分析與應用，物理虛擬系統（CPS）的普及，對物理環境的操作控制指令，可以實現各種場景環境下的業務操作，無人駕駛汽車、無人機作為物聯網和智能機器的案例已經廣為人知，并進入企業實際生產服務環節。因此無論物理環境檢測、監測的數據采集環節還是物理環境場景的操作使用環節，這些物聯網移動設備的安全都是企業網絡信息安全保障邊界的自然延伸，從物理的角度上而言，已經突破了傳統意義的邊界概念。

企業的信息化系統依存的基礎設施，物理環境從傳統的IDC建設，到公共IDC的租賃，硬件基礎設施從傳統的服務器、網絡設備、存儲到私有云建設，進一步延伸到公有云以及混合云的架構，信息化系統從原來的業務功能模塊化架構（例如供應鏈管理、客戶關系管理、人力資源管理、企業資源管理、生產制造系統、業務運營計費系統等）逐漸過渡到互聯網企業的解決方案，例如阿里提起的中臺系統。而所謂的中臺系統，關鍵在于I T 新技術演進過程中出現的基于抽象原子服務的交互理念——微服務，通過把共性功能的拆解，以及功能模組的松耦合，實現動態變化調整的信息化架構，這是在高速動態調整業務模式下發展的高度敏捷信息化軟件開發運維的持續集成持續發布的開發運維一體化的理念下的產物。把龐大笨重的業務功能模式架構拆解成無邊界公共服務組合的業務模組，帶來的不僅是建模、實施的復雜度，由于服務和運營可能是以應用即服務的云計算模式，信息化系統的邊界也已經跨越了傳統意義上的邊界。

隨著移動化嵌入式計算能力的長足進步，啞終端的物聯網在邊緣計算的促進下，智能終端逐漸普及，智能終端的計算能力和運算能力，例如人臉識別閘機和門禁系統，突破的邊界已經不僅僅是數據的采集和指令的執行，還包括無需中央計算處置決策能力的計算邊界。

2.2 零信任

對安全而言，另外一個繞不過去的核心概念是信任，而一定的信任作為基礎仿佛是大家心照不宣的共識。谷歌一篇關于零信任的論文，打破了這個幻想，諸多安全機構的調研證明，內部風險往往是網絡信息安全的核心問題。傳統意義的信任包括人員的信任，如何識別內部人員的身份、角色與權限，進一步延伸到終端設備的信任。終端設備的物理身份、系統的完整性、應用的身份，包括內部員工以及客戶等信息化系統的相關用戶。信任在人的層面另一個關鍵問題是外包模式帶來的信任問題，包括在供應鏈管理，合作伙伴管理基礎上帶來的人員信任問題，也包括眾包的問題，這些場景中，不僅在于身份的識別與認證，還包括合格性的檢查和監督管理。

在信任的概念上，容易被忽視的是信息化系統的相關組件。在信息化系統開發、部署、實施過程中，除了購買商用的套件之外，企業為了滿足高速的發展以及差異化帶來的定制化需求，越來越多的采用第三方的開源軟件，引入第三方的代碼庫，采用第三方的公共服務，而這些第三方的軟件、組件、代碼和公共服務的身份、權限往往可以訪問公司的核心系統和核心資源，缺少信任機制的驗證和監控，會帶來重大的安全問題。

數據同樣是信任體系中不能被忽視的關鍵環節，在云大物移（云計算、大數據、物聯網、移動）背景下的數據，來源復雜，結構多樣，如何確認數據的來源可靠，采集、傳輸、存儲完整，可以信任是一個繞不過的問題?！袄M垃圾出”作為大數據行業里一句至理名言，在無關業務運作的場景中影響還有限，如果是在工業物聯網（IIoT）領域，那么數據的可信性缺失就會帶來致命問題。因此，在人員、設備、應用、接口、數據層面，在復雜的企業場景中，我們要以零信任作為網絡信息安全的起點。

2.3 不對稱

攻防的觀點雖然不是網絡信息安全需要考慮的唯一隱私，但同樣也是非常核心的關鍵要素。面對攻擊的場景中，也不再是傳統意義的無差別攻擊，具有針對性的、長期持久的高可持續性攻擊（APT）對企業的精準打擊，可能會對企業造成毀滅性的影響。無論出于政治、商業競爭、黑產利益的目的，企業一旦被作為攻擊對象，就會面臨巨大的攻防不對稱性。黑客攻擊的漏洞挖掘，0day漏洞，黑客武器庫，高精尖的攻擊模式和攻擊手段，對企業全方位的攻擊，是企業薄弱的、簡單的、基于風險的網絡信息安全保障產品和機制難以抗衡的。從企業網絡信息安全的三要素CIA(機密性、完整性、可用性）而言，攻擊的目的除了機密性和完整性破壞外，可用性破壞同樣是致命的。分布式拒絕服務攻擊（DDoS）并不需要對應用和業務層面的漏洞進行挖掘和精準攻擊，僅是通過網絡協議的缺陷就可以對企業的業務運轉造成難以磨滅的影響。由于投入產出比的原因，企業的網絡信息安全保障體系的建設投入資源不是無限的，防守面對的攻擊對手卻是整個黑客、黑產世界，這種攻防角度的不對稱性，是企業網絡信息安全體系不得不面對的現實情況。

從需求角度而言，一要有目標，對內做到防止惡意行為與誤操作，對外做到防止騷擾、入侵和拒絕服務攻擊，實現網絡信息安全的CIA三要素；二要有方法，無論是基于脫胎于美國國防部被中國網絡信息安全認證中心在CISAW中擴展的WPDRCC（告警、預防、檢測、應急、取證、反擊），還是基于縱深防御機制的安全模型，包括國際通用的信息安全體系建設標準ISO27001、公安部等保三級建設標準，都是行之有效的可以借鑒引用的方法；三要有手段，無論是對安全風險和安全事件的檢測、監測、處置，都需要相關技術和工具的支；四要有結果，網絡信息安全體系發揮作用體現到分析、報告、取證層面，可以對歷史樣本和未來趨勢進行推演和預測，可以對業務部門和企業管理和治理層匯報宏觀局勢和微觀動態，對關鍵行為的結果提供關鍵證據；五要有效能，網絡信息安全體系的建設需要具有全面性涵蓋風險的各個環節，完整性覆蓋到所有的業務環節和流程，系統性避免短板效應和煙囪效應，先進性避免陷入攻防技術不對成的尷尬局面，兼容性要實現對安全產品與服務的兼容并蓄。

綜上所述， 企業網絡信息安全體系建設在新的技術、模式、場景下，面對著無邊界、零信任、不對稱的新常態，一定要利用新的技術，創造新的模式，構建新的體系，從目標、方法、手段、效果、效能五個方面出發，實現對企業業務在新常態下的穩健發展的支持。

3 信息安全保障體系解決方案與架構

3.1 組織保障

網絡信息安全保障體系首先是自上而下的結構，從組織保障的角度而言，在企業治理層面，董事會需要對網絡信息安全保障政策負責，董事會需要對企業生存發展中，企業對網絡信息安全的期望達到的效果，以及給予對應的資源支持，給出政策性的指導意見。企業管理層需要以董事會的信息安全政策為依據制定整體的信息安全保障戰略，包括在目標上的明確要求，組織機構的設置，資源的配置，采用的考核方法和標準，從而明確網絡信息安全應該實現的水平以及對業務目標支撐的程度。具體落實到網絡信息安全保障組織，需要分解企業管理層確認的戰略目標，在技術、管理、運營的角度，構建完整的體系化任務層級，落實具體的策略，并制定明確的計劃和發展的路徑與藍圖，從而實現企業的網絡信息安全保障體系。

圖1 網絡信息安全保障體系

3.2 技術體系

細化到技術體系，可以從技術領域的角度劃分，從而實現專業的領域治理，用戶、終端、網絡、系統、應用、數據六大技術體系涵蓋關鍵的安全領域，用戶領域獨特的技術考慮關鍵在于統一的身份管理機制和身份認證的單點登錄技術。終端層面，關注以安全屬性為中心的資產管理，包括身份、屬性、漏洞等要素，關注終端的準入管理，包括完整性、合規性建設和終端身份認證，同時要關注惡意軟件對終端的入侵和破壞。網絡安全重點在于邊界防護，在無邊界的背景下，重點需要關注網絡的出入口安全，另外，企業環境下不同安全級別的網絡通過不同的安全域分域管理是阻斷攻擊蔓延，防止內部跨界攻擊的重要防范措施；系統層面的安全加固，避免已知漏洞風險的入侵，避免無關服務和端口的開啟，做好受控的接入管理，是避免安全入侵的關鍵措施，而業務應用需要做好從需求、開發、到部署運營階段的研發安全機制建設保障應用在邏輯和代碼層面的風險受控，系統和應用的權限管理，是避免越權攻擊，提升安全的關鍵措施。網絡、系統、應用涉及到運營與維護的操作安全，操作安全在人的因素介入后，需要通過良好的權限分離機制以及人員安全機制，實現對操作安全風險的應對；數據需要從機密性和完整性層面，保障數據在產生、存儲、傳輸、分析、應用、分享、銷毀的全生命周期安全。

針對終端、網絡、系統、應用的信息化系統關鍵組件，第三方的漏洞掃描和檢測工具眾多，無論是基于已知漏洞的特征簽名機制，還是依賴Fuzzy測試和大數據機器學習的自動化建模檢測未知風險的技術，都可以有效的識別風險，實現靜態時點的安全快照。很多企業通過周期性的掃描結果作為企業信息化安全運營水平的依據，雖然存在缺少動態、實時的缺陷，仍在一定程度上展示了企業靜態安全的現狀。結合統一的管理平臺和自動化的接口機制，實現多產品集成的掃描檢測解決方案，也是一種趨勢。漏洞管理機制實現對企業風險的實時監控，需要與第三方的威脅情報系統的集成，網絡信息安全領域的共享機制有效的把安全從業人員的智慧和能力聚集在一起，一定程度上可以緩解安全攻防的不對稱性。

漏洞管理作為解決風險行之有效的機制，對漏洞挖掘產生了巨大的推動作用。目前，具備業務安全運營能力的企業，紛紛建設安全應急服務中心（SRC）并針對業務和產品提出的漏洞獎勵計劃，鼓勵眾包模式的漏洞發現，減少企業的被攻擊風險。這種獎勵機制的合法化的提供了漏洞交易市場，在合法化與利益化之間為黑客提供了一個合理的平衡的空間，是一種緩解無差別攻擊或好奇攻擊的風險降低方案。

安全威脅態勢感知， 安全事件管理（SIEM）、安全運營中心（SOC），對于安全動態管理和運營的機制，是企業網絡信息安全體系建設的終極理想。隨著大數據技術的發展，數據倉庫概念的數據抽取、轉換、加載（ETL）技術，大數據、流數據、實時數據的采集分析和處理成為可能，對企業信息化系統的相關日志、流量的采集和分析，通過關聯分析技術，發現相關行為模式，對風險提前預警，提前感知安全動態，實現了安全威脅態勢感知，事件管理，安全運營的可視化。安全運營并不是僅從大數據可視化為安全帶來的動畫般的絢爛展示，結合Chef、Ansible等自動化運維技術，可以對安全威脅事件的自動化阻斷和處置，進一步降低安全攻防的不對稱性。

3.3 管理體系

三分技術七分管理的安全箴言，大家往往說的多，做的少。雖然，網絡信息安全體系建設的重心依然是技術體系的構建，但無論如何，由于安全很多因素最終歸結到人的身上，這句話強調起來并不算錯。對于企業而言，在網絡信息安全體系建設層面首先需要關注到制度建設，做到有法可依，這一步相當于信息安全的立法工作，其次要對相關的行為和操作建立規范化的體系，指導企業的運作機制，然后要建立起來相關的標準，作為一把尺子衡量信息安全完成的情況如何，是否符合相關要求。制度、規范、標準是死的，人是活的，落實到位仍需要通過培訓把相關的規定傳達下去，通過反復的宣貫、傳導，做到在企業文化和意識層面，企業運作過程中自發自覺主動遵守相關的制度、規范和標準，從而實現行之有效的管理體系。

3.4 運營體系

需要強調的是網絡信息安全體系建設并不是網絡信息安全專業組織承擔全部責任，各業務部門和職能支撐部門在網絡信息安全體系建設上的協作同樣是各部門不可轉移的責任。同時，網絡信息安全體系不是一個靜態的機制，不會一蹴而就，更不會一勞永逸。必須要有行之有效的運營機制來支撐網絡信息安全體系的運營與持續改進。信息化基礎設施的物理環境，例如IDC的土建的承重、電力、空調，可能均需要行政主管部門的協作保障，人員安全的事前背景調查，事中的獎懲，事后的處置，都需要業務部門和人力資源部門的共同參與與配合。涉及到第三方服務的安全邊界和安全條款等安全服務協議（SLA）需要供應鏈和商務、法務部門共同推動，涉及到法律層面和國家、行業相關安全的合法性、合規性問題，需要法務、審計等部門的通力協作。這些相關部門的協作與互動，是安全運營體系的根本，也在影響著管理機制和技術體系的持續構建。

企業網絡信息安全體系具有通用性，也具有獨特性。本文僅就一個模型進行粗略的探討，并未涉及具備行業特征的具體行業，從企業網絡信息安全體系涵蓋的范圍來看，基礎體系的安全和企業信息化的安全是傳統企業信息安全關注的范疇，而數字化對企業產品的影響已經涵蓋了諸多領域，例如家電行業的智能冰箱、空調、洗衣機，互聯網轉戰智能家居的智能音箱、智能燈泡、智能門鎖，汽車行業的互動模塊等，而這些傳統行業的信息化產品集成的安全風險，也應該是企業重點關注的領域。從智能設備頻繁爆發的安全問題來看，目前大多數企業仍是按照先污染后治理的思路，重在關注于產品的核心功能，在產品賣點和痛點方面努力出類拔萃，對產品安全的關注不足。信息化集成產品的銷售，往往也是企業從產品型企業向運營型企業過度的開始，這也是互聯網+對傳統企業運營模式顛覆的核心，業務運營系統的網絡信息安全面對的環境不在僅是企業內部環境，也是ABCDE技術對企業數字化轉型業務涉及到的用戶和合作伙伴的外部環境，因此對企業網絡信息安全體系，業務運營模式改變對企業網絡信息安全體系的影響也需要著重考慮。

圖2 研發與信息安全體系生命周期

4 數字化研發體系信息安全保障

對于企業而言，終端、網絡、系統、檢測、監測機制的建設，往往具有成熟的產品和解決方案提供支撐，但在信息系統開發建設的生命周期中，對如何實時信息安全，往往缺少行之有效的模型和解決方案。當然，這些領域中業界有不少的模型可以借鑒，例如微軟的安全開發生命周期管理（SDLC），開放組織OWASP的關于應用安全風險的TOP 10以及安全開發生命周期（SDLC）以及應用安全測試指南，都是非常不錯的參考資料。本文僅從理念、架構、體系和具體操作的層面，給予一些建議。

相對于企業信息系統和信息化相關產品的安全周期而言，安全保障同樣具有相應的生命周期，兩個周期的過程密切相關。在業務需求階段，需要提前考慮相關的安全需求，關注業務信息化系統所處的環境，面臨的風險，在產品設計階段，要做好對應的安全設計，保障信息化產品的相關功能邏輯在不同應用場景和模式下，功能、數據以及關聯基礎設施資源和用戶操作的安全符合預期，提供對應的安全解決方案。

在產品開發階段，要考慮安全設計的解決方案落實到具體的產品中，在這個層面兩個思路，一是安全集成模式在不改變產品功能和邏輯的前體下通過安全的產品的直接集成到應用系統環境中保障安全措施的落實；二是集成安全模式，在產品開發過程中集成安全的組件、開發包、服務和模組，從而實現定制的安全。第二種方式對安全功能的實現和裁剪，在性能、兼容性、安全性上更有優勢，但對企業的安全開發能力有更高的要求，對業務功能的上線存在成本和時間上的制約。

在產品開發、產品集成、產品維護階段，安全檢測是一項持續進行的過程，安全檢測依賴于知識庫與規則，知識庫來源于威脅情報共享系統，第三方漏洞庫和檢測工具提供方持續更新的知識庫，基于知識庫的算法和規則也會隨技術的進步，場景的變化進行持續的更新，因此定期的安全檢測是必須依賴不斷更新的技術風險和關鍵技術。

從合規和建立安全基線的角度，通過第三方的安全認證，是信息化相關產品符合網絡信息安全體系的重要依據，無論是ISO27001、等保三級的認證，還是相關產品準售的第三方資格認證，都可以作為安全基線的基礎。由于安全檢測需要對產品和業務系統介入，在性能、功能等方面可能會影響業務的正常功能與性能，因此往往是階段性的靜態行為。但是，在產品維護階段，實際的信息化系統的生產環境是動態的、實時的，在兩次檢測之間的空隙需要安全監測的過程來對風險、事件進行監控，對動態的異常及時發現，以利于及時處置，避免事故的發生。

企業網絡信息安全體系基于應用系統、產品和業務運營層面的安全體系，需要從五個方面著手構建。首先需要知識庫體系的建設，要對信息化系統和產品涉及到的資產具有安全的資產庫，對資產的版本、屬性進行統計分析，并針對資產的漏洞具有漏洞庫的建設，對信息化系統和產品在不同業務場景中的風險構建風險庫，以利于識別和關注關鍵風險，通過各種信息安全規則構建獨有的知識庫，形成核心的安全知識庫體系；第二要有安全運營管理體系，提供風險的評估與報告，發現并預警關鍵風險，提供安全檢測的工具、服務以及報告，以利于執行相關的安全措施，提供滲透測試的工具、服務與報告，完成對風險和安全體系的驗證；第三要有安全事件管理體系，對安全事件可以提前預警與處置的應急服務，以及提供可視化的分析報告；第四要關注基于能力成熟度的生命周期管理體系，從需求、設計、集成到監測，實現完整的技術支撐體系；最后，要關注網絡信息安全體系的合規性建設，通過第三方的認證、審計，以及內部的演練和規劃，形成業務延續性的計劃，從而落實對業務目標的支撐，對企業網絡信息安全體系的構建。

圖3 研發信息安全保障體系

5 結束語

相對于傳統的企業業務運作模式而言，互聯網+模式在面對A B C D E 技術和云大物移場景下，無邊界、零信任、不對稱，是企業業務發展過程中從信息化到數字化面臨的網絡信息安全形式的新常態，如何在這種動態發展的局勢下，適應潮流發展，創新網絡信息安全保障體系建設是一個宏大的命題，僅根據自己的學習、實踐、思考，給出一些自己經驗的理論模型和方法實踐，對于傳統企業的互聯網+業務模式的轉型與發展，對于企業的信息化到數字化轉型，從產品和服務的銷售模式到運營的轉型過程中，在構建信息化模塊集成產品以及數字化運營平臺的場景下，如何保障網絡信息系統的安全，給出參考的架構。

網絡信息安全體系的復雜性在有限的篇幅下，未全部展開描述，僅針對網絡信息安全體系建設中容易忽略的部分，存在的誤區，以及相對缺少規范化的產品和服務的領域，給出原則性的理論、思路與意見，以利于在企業網絡信息安全體系建設實踐中參考。