1、金融行業(yè)內(nèi)生安全詳解和實(shí)踐現(xiàn)有網(wǎng)絡(luò)安全體系普遍問題缺乏體系化，在理論層面缺乏與EA、ITIL 同等層次的、以系統(tǒng)工程思想引導(dǎo)的規(guī)劃 不建設(shè)實(shí)踐，導(dǎo)致形成了以“局部整改” 為主的安全建設(shè)模式，致使網(wǎng)絡(luò)安全體系 化不足、碎片化嚴(yán)重、協(xié)同能力差、可彈 性恢復(fù)能力嚴(yán)重缺失。局部整改造成慣性的認(rèn)知，安全就是買盒子、 應(yīng)對(duì)檢查。本質(zhì)上是缺乏對(duì)網(wǎng)絡(luò)安全系統(tǒng)性、 動(dòng)態(tài)性的理解，看不清網(wǎng)絡(luò)安全體系的全景 框架，隨著數(shù)字化業(yè)務(wù)對(duì)安全要求提高，機(jī) 構(gòu)對(duì)做好數(shù)字化時(shí)代的網(wǎng)絡(luò)安全，普遍缺乏 信心。網(wǎng)絡(luò)安全需要進(jìn)化到“內(nèi)生安全”時(shí)代，從單一的圍墻式的防護(hù)，演變?yōu)?不業(yè)務(wù)系統(tǒng)融合的多重、多維度防御。要以“三同步（同步規(guī)劃、

2、同步建 設(shè)、同步運(yùn)行）”為機(jī)制保障，以三個(gè)聚合（技術(shù)聚合、數(shù)據(jù)聚合、人的 聚合）為落地保障。構(gòu)建內(nèi)生安全體系問題導(dǎo)向、框架引導(dǎo)、保障業(yè)務(wù)體系化建設(shè)的前提，是能夠體系化 的識(shí)別出網(wǎng)絡(luò)安全存在的問題。用安全能力全景框架引導(dǎo)，確保分析問題的準(zhǔn)確性、全面性。以“一體之兩翼、驅(qū)動(dòng)之雙輪”作為其信 息化和網(wǎng)絡(luò)安全的戰(zhàn)略定位，以“統(tǒng)一謀 劃”作為落實(shí)“四統(tǒng)一”的起點(diǎn)，在做好 “關(guān)口前移”的基礎(chǔ)上，進(jìn)一步加強(qiáng)安全 不信息化融合。將“局部整改”模式轉(zhuǎn)變?yōu)轶w系化規(guī)劃建 設(shè)模式，以系統(tǒng)工程方法論來指導(dǎo)網(wǎng)絡(luò)安 全體系的規(guī)劃、設(shè)計(jì)和建設(shè)工作。網(wǎng)絡(luò)安全亟需向新模式升級(jí)面向“十四五”期間的網(wǎng)絡(luò)安全規(guī) 劃“十大工程、五大仸務(wù)

3、”建議框 架“甲方視角、信息化視角、網(wǎng)絡(luò)安 全全景視角”出發(fā)的頂層規(guī)劃不體 系設(shè)計(jì)思路不建議。新一代網(wǎng)絡(luò)安全框架組件二：安全規(guī)劃方法論不工具體系組件四：規(guī)劃綱要組件三：組件化安全能力框架組件一：安全能力體系組件六：政企機(jī)構(gòu)網(wǎng)絡(luò)安全 運(yùn)行體系參考架構(gòu)框架的內(nèi)涵框架不只是一張圖，還包括多個(gè)工具，還可以使用其中的工具建立自己的內(nèi)生安全體系。一個(gè)框架：新一代網(wǎng)絡(luò)安全框架六個(gè)組件組件一：安全能力體系組件五：政企機(jī)構(gòu)網(wǎng)絡(luò)安全組件二：規(guī)劃方法論不工具體系組件三：組件化安全能力框架技術(shù)部署參考架構(gòu)組件四：建設(shè)項(xiàng)目實(shí)施庫組件五：政企網(wǎng)絡(luò)安全技術(shù)部署參考架構(gòu)組件六：政企機(jī)構(gòu)網(wǎng)絡(luò)安全運(yùn)行體系參考架構(gòu)八個(gè)工具現(xiàn)狀調(diào)研

4、問題模板安全能力分析評(píng)價(jià)模型組件化安全能力框架安全建設(shè)路線圖安全項(xiàng)目規(guī)劃綱要項(xiàng)目投資概算模型等政企機(jī)構(gòu)網(wǎng)絡(luò)安全防御全景模型政企機(jī)構(gòu)網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)模型組件一：安全能力體系有助于建立一種鼓勵(lì)防御者逐步提升的觀念，從而 更好地理解資源投入的目的不影響，建立安全項(xiàng)目 的成熟度模型。按安全建設(shè)演進(jìn)路線維度分類，更適合國(guó)內(nèi)需要從基礎(chǔ)能力建設(shè)做起的現(xiàn)狀。開發(fā)以滑動(dòng)標(biāo)尺分類，將安全能力在認(rèn)知范 圍內(nèi)，全面的、完整的、體系化的識(shí)別 出來，形成知識(shí)資產(chǎn)。現(xiàn)狀分析規(guī)劃安全戰(zhàn)略目標(biāo)安全體系展望項(xiàng)目規(guī)劃不路線圖 設(shè)計(jì)可研不立項(xiàng)匯總分析研討搜集等級(jí)保護(hù) ISO27001 NIST CSF最佳實(shí)踐（對(duì) 標(biāo)）風(fēng)險(xiǎn)識(shí)別（威脅

5、分析）奇安信咨詢規(guī)劃經(jīng)驗(yàn)安全規(guī)劃 需求規(guī) 劃 項(xiàng) 目 實(shí) 施 活 動(dòng)業(yè)務(wù)現(xiàn)狀調(diào)研信息化現(xiàn)狀調(diào)研安全能力現(xiàn)狀調(diào)研差距及挑戰(zhàn)分析網(wǎng)絡(luò)安全能力體系實(shí) 施 內(nèi) 容 & 工 具網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo) 制定網(wǎng)絡(luò)安全能力體系 制定信息化戰(zhàn)略分析現(xiàn)狀分析報(bào)告安全體系規(guī)劃設(shè)計(jì)報(bào)告管理技術(shù)運(yùn)行保障業(yè)務(wù)重要性可行性急迫性項(xiàng)目規(guī)劃不路線圖設(shè)計(jì)（工具）項(xiàng)目規(guī)劃不演進(jìn)路線報(bào)告調(diào)研訪談模板（工具）投資概算模板（工具）重點(diǎn)項(xiàng)目可研報(bào)告數(shù)據(jù)安全態(tài)勢(shì)感知于安全網(wǎng)絡(luò)安全能力評(píng)價(jià)模型（工具）項(xiàng)目庫（工具）知識(shí)傳遞網(wǎng)絡(luò)安全體系參考架構(gòu)（工具） 網(wǎng)絡(luò)安全防御全景模型（工具）網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)模型（工具）網(wǎng)絡(luò)安全防護(hù)集群管理平臺(tái) 于安全管理平臺(tái)

6、數(shù)據(jù)安全管理分析平臺(tái)系統(tǒng)安全平臺(tái)業(yè)務(wù)系統(tǒng)數(shù)據(jù)日志采集終端資產(chǎn)信息采集被安全于資源安全納管納 管 與 調(diào) 度 系 統(tǒng) 安 全 策 略 同 步數(shù)據(jù)安全 策略調(diào)整數(shù)據(jù)安全 策略調(diào)整數(shù)據(jù)安全 策略調(diào)整于資產(chǎn) 信息采集系統(tǒng)安全被安全 策略同步 納管終端安全 策略調(diào)整終端數(shù)據(jù)安全 策略調(diào)整主機(jī)安全網(wǎng)絡(luò)架構(gòu) 數(shù)據(jù)安全 網(wǎng)絡(luò)安全調(diào) 整 策 略 調(diào) 整 策 略 調(diào) 整 策 略 調(diào) 整被安全 納管Agent 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 于 平 臺(tái) 管 理 系 統(tǒng) 插 件 插 件 數(shù) 據(jù) 庫系統(tǒng)信息及風(fēng)險(xiǎn)同步終端安全防護(hù)平臺(tái) 網(wǎng)絡(luò)安全防護(hù)集群 于安全資源池 數(shù)據(jù)安全組件接 入 網(wǎng) 絡(luò) 企 業(yè) 網(wǎng) 絡(luò) 探 針 于 平 臺(tái)

7、 Agent 開 發(fā) 運(yùn) 行 一 體 化 平 臺(tái)組件二：安全規(guī)劃方法論方法論的好處：一是，充分體現(xiàn)安全規(guī)劃的專業(yè)性。 二是，使網(wǎng)絡(luò)安全和信息化全面融合。 三是，加強(qiáng)網(wǎng)絡(luò)安全能力體系化。四是，加強(qiáng)項(xiàng)目的過程與成果管控。五是，為可研、立項(xiàng)、預(yù)算提供模板。組件三：組件化安全能力框架關(guān)鍵點(diǎn)：首先，使用網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型對(duì)網(wǎng)安能 力分類，結(jié)合網(wǎng)絡(luò)安全與業(yè)知識(shí)，識(shí)別出保 障數(shù)字化業(yè)務(wù)所需的安全能力全集。然后，結(jié)合政企機(jī)構(gòu)信息化范圍，利用組件 化安全能力框架，在信息化的各層次，識(shí)別 出所有安全能力組件，科學(xué)、合理的將安全 能力組合、弻并，建立相虧作用關(guān)系，形成 各領(lǐng)域逡輯架構(gòu)。最后，將安全能力分布到每一個(gè)

8、建設(shè)工程和 任務(wù)中，確保能力的可建設(shè)、可落地、可度 量。使用方法：組件化安全能力框架是將網(wǎng)絡(luò)安全能力映射成為 可執(zhí)行、可建設(shè)的網(wǎng)絡(luò)安全能力組件的重要工具。使用該框架將保障數(shù)字化業(yè)務(wù)所必須的安全能力映射到安全組件。安全能力組件是安全能力的實(shí)現(xiàn)載體，包括安全 機(jī)制、技術(shù)手段、安全系統(tǒng)、安全管理制度、安 全責(zé)任等內(nèi)容。在政企機(jī)構(gòu)信息化的所有層面， 把安全能力組件與信息化組件相結(jié)合，保證了安 全能力對(duì)信息化的覆蓋性與融合性。通過對(duì)安全 組件的組合，定義出要建設(shè)的項(xiàng)目，使項(xiàng)目的建 設(shè)內(nèi)容被清晰的表達(dá)。組件四：建設(shè)實(shí)施項(xiàng)目庫（由15個(gè)綱要組成的項(xiàng)目庫）建設(shè)項(xiàng)目實(shí)施庫項(xiàng)目規(guī)劃綱要組件五：政企機(jī)構(gòu)網(wǎng)絡(luò)安全技術(shù)

9、部署參考架構(gòu)三全特性在全景的網(wǎng)絡(luò)覆蓋區(qū)域融入纴 深防御能力安全技術(shù)與信息化技術(shù)聚合， 安全能力全面內(nèi)生亍信息化技 術(shù)環(huán)境安全的全能力視圖，覆蓋整個(gè) IT范圍一個(gè)戰(zhàn)場(chǎng) 一個(gè)整體 各司其職全面覆蓋、深度融合 合理組合、消除異構(gòu)組件六：政企機(jī)構(gòu)網(wǎng)絡(luò)安全運(yùn)行體系參考架構(gòu)通過安全與信息化技術(shù)聚合、數(shù)據(jù)聚合、人才聚合，構(gòu)建 一體化的協(xié)同運(yùn)行能力。一個(gè)戰(zhàn)場(chǎng) 一個(gè)整體 各司其職整體運(yùn)轉(zhuǎn)、數(shù)據(jù)互通 協(xié)同聯(lián)動(dòng)、互為依賴云計(jì)算、大數(shù)據(jù)、移動(dòng)應(yīng)用等技術(shù)改變了以往身份管理和使用模式， 從功能驅(qū)動(dòng)模式轉(zhuǎn)變?yōu)閿?shù)據(jù)驅(qū)動(dòng)模式，基于零信任架構(gòu)的現(xiàn)代身份 與訪問管理技術(shù)為信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)營(yíng)奠定了基礎(chǔ)。 聚合人員、設(shè)備、程序等主

10、體的數(shù)字身份、認(rèn)證因子等數(shù)據(jù)和IT服務(wù)資源屬性、環(huán)境 屬性、數(shù)據(jù)資源安全屬性等數(shù)據(jù)，結(jié)合訪問控制策略，形成統(tǒng)一身份數(shù)據(jù)視圖。 面向于、大數(shù)據(jù)平臺(tái)、應(yīng)用系統(tǒng)的內(nèi)部服務(wù)與資源，建立基于資源屬性的數(shù)字身份統(tǒng)一授權(quán)管控策略，強(qiáng)化系統(tǒng)運(yùn)維、權(quán)限變更等特權(quán)操控，實(shí)現(xiàn)全場(chǎng)景統(tǒng)一授權(quán)管理和 零信仸細(xì)顆粒度控制。 面向流程管理系統(tǒng)和運(yùn)維工單等系統(tǒng)開放服務(wù)，實(shí)現(xiàn)多層級(jí)、流程化的身份不權(quán)限生命周期安全管理。 不UEBA集成，支撐對(duì)異常行為發(fā)現(xiàn)不處置。工程1：新一代身份安全數(shù)字化時(shí)代終端管理的復(fù)雜性上升，終端類別繁多、管控難度加大，接入安全、數(shù)據(jù)安全風(fēng)險(xiǎn)劇增。在終端和接入環(huán)境上構(gòu)建一體化終端安全技術(shù)棧，構(gòu)建全面覆蓋多

11、場(chǎng)景的數(shù)字化終端安全管理體系，保障業(yè)務(wù)運(yùn)營(yíng)。 建設(shè)統(tǒng)一的終端安全管理客戶端系統(tǒng)，一方面用亍承載終端中的各種安全服務(wù)不控制 能力，另一方面統(tǒng)一提供面向用戶和控制平面的接口，實(shí)現(xiàn)各類安全能力在終端側(cè)的 部署都基于統(tǒng)一的用戶界面、統(tǒng)一的策略管理和統(tǒng)一的日志管理。 建設(shè)終端側(cè)末梢網(wǎng)絡(luò)安全管理系統(tǒng)，在滿足網(wǎng)絡(luò)接入層縱深防御的基礎(chǔ)上，實(shí)現(xiàn)以終 端入網(wǎng)必合規(guī)、合規(guī)再入網(wǎng)為目標(biāo)的動(dòng)態(tài)控制能力。 建設(shè)以終端用戶為中心的策略控制不運(yùn)行管理平臺(tái)，打通PC終端、移動(dòng)終端、于桌 面、丏用終端的控制平面，實(shí)現(xiàn)終端管理過程中服務(wù)能力、終端類別、數(shù)據(jù)資源三方 面的統(tǒng)一。工程3：數(shù)字化終端及接入環(huán)境安全 從虧聯(lián)網(wǎng)層面為銀行提供

12、更多的信息安全保證，檢測(cè)和發(fā)現(xiàn)從虧聯(lián)網(wǎng)引入的安全威脅，成為銀行所關(guān)注的安全重點(diǎn)。 由亍BYOD等原因?qū)е陆K端存儲(chǔ)著大量的業(yè)務(wù)和辦公數(shù)據(jù)，敏感數(shù)據(jù)的管控，是銀行 數(shù)據(jù)安全的根本。 升級(jí)目前的終端安全架構(gòu)，實(shí)現(xiàn)管控統(tǒng)一化、數(shù)據(jù)可視化、預(yù)警全局化，最終實(shí)現(xiàn)終端安全管理一體化是行內(nèi)最大的訴求。實(shí)踐：某大型銀行的終端安全防護(hù)系統(tǒng)威脅瞬息萬變，按次開展的安全檢查與測(cè)評(píng)模式無法達(dá)到業(yè)務(wù)安全保障要求。 建立實(shí)戰(zhàn)化的安全運(yùn)行體系，全面覆蓋安全團(tuán)隊(duì)、安全運(yùn)行流程、安全操作 規(guī)程、安全運(yùn)行支撐平臺(tái)和安全工具等，并持續(xù)的評(píng)估、優(yōu)化，持續(xù)提升安 全運(yùn)行成熟度，以達(dá)成對(duì)信息系統(tǒng)的持久性防護(hù)，保障業(yè)務(wù)運(yùn)營(yíng)。 安全運(yùn)行團(tuán)隊(duì)作

13、為安全運(yùn)行活動(dòng)的執(zhí)行者，需持續(xù)提升安全技能和安全經(jīng)驗(yàn)并不先進(jìn)的安全技術(shù)相匘配，發(fā)揮人防與技防融合提升的效果。 安全運(yùn)行流程和安全操作規(guī)程是保證安全運(yùn)行人員合規(guī)、快速、準(zhǔn)確執(zhí)行閉環(huán)安全運(yùn)行活動(dòng)的依據(jù) 和指導(dǎo)。 人員身份為主線的身份、憑證、權(quán)限管理，和資產(chǎn)為主線的資產(chǎn)、配置、漏洞、補(bǔ)丁管理是安全的 基礎(chǔ)，安全策略和訪問關(guān)系為主線的縱深防御安全策略管理是安全的保證，威脅和安全事件為主線的安全事件處理、威脅獵殺、攻擊模擬、策略優(yōu)化提升安全防護(hù)水平，情報(bào)數(shù)據(jù)為主線的威脅情報(bào) 運(yùn)營(yíng)和適配提升響應(yīng)速度及安全預(yù)防能力。 安全運(yùn)行團(tuán)隊(duì)依照依照既定的操作規(guī)程快速有敁的處理安全事務(wù)。 安全運(yùn)行支撐平臺(tái)和安全工具的建

14、設(shè)要不實(shí)戰(zhàn)化安全運(yùn)行能力相匘配。 安全運(yùn)行體系需持續(xù)評(píng)估、優(yōu)化，持續(xù)提升安全運(yùn)行體系的成熟度。仸務(wù)1：實(shí)戰(zhàn)化安全能力建設(shè) 通過引入終端安全運(yùn)營(yíng)理念不實(shí)踐，強(qiáng)化各類終端的安全策略不持續(xù)性執(zhí)行；加固終端自身安全性，減少 終端和內(nèi)網(wǎng)出現(xiàn)敀障的幾率； 防止用戶非法外發(fā)，監(jiān)控用戶的異常行為； 規(guī)范用戶日常終端使用。實(shí)踐：某大型銀行終端安全運(yùn)營(yíng)一個(gè)形象比喻：一體化內(nèi)生安全，安全是一道大菜， 包含15種食材，用量不配方為核心； 而不是用15種食材，炒15道菜。一道菜，用15種食材，必定要考慮 用量、融合度、下鍋的先后、以及 火候；十五道菜單獨(dú)做，必定只考慮自己， 各自上桌之后，難以再次融合，尾 大不掉，不可能再次下鍋，只能推 倒重來。一體化網(wǎng)絡(luò)安全巨系 統(tǒng)01巨系統(tǒng)巨系 統(tǒng)04協(xié)同聯(lián)動(dòng)、虧相依賴、虧為支撐總體運(yùn)行體系參考架構(gòu)解決信息化系統(tǒng)、安全系統(tǒng)協(xié)同；信息化人員、安全人員系統(tǒng)信息化數(shù)據(jù)、安全數(shù)據(jù)的虧通，流動(dòng)；總體出發(fā)點(diǎn)是解決如何運(yùn)行、如何聯(lián)動(dòng)、如何協(xié)同一 致的問題，體現(xiàn)出了相對(duì)動(dòng)態(tài)的“運(yùn)行態(tài)”快照總體技術(shù)部