如何建立有效的网络安全防御体系

官话不说了，核心就是当领导的要知道本组织的信息系统(资产)的重要性，服务的场景对象是啥，组织要明确需要保护的对象(安全方针就是掂量掂量重要不重要)。投入持续人、财、物、服务和必要的合规工具和安全管理及运营工具(安全策略就是组织建立不建立、啥线路、掂量掂量投多少银子)，这层做好了方向不会出大问题，基本可以打30分了。原理能这样想网络安全的领导不多，经过HW的检验，估计未来慢慢会多起来了。

按照管理层明确的保护对象方向等级，给予人、财物、资源制定具体的工作计划，没有规矩不成方圆，制度要有，要建立可靠的安全组织(自己人十安全服务资源池)。制定安全执行策略，具体制度落地策略，建设，运行，持续稽核，这层做好了，至少40分了(提醒：好多地方都是空制度，现在的经验制度十平台结合是可落地的)。一个明白道理的高情商的安全处处长基本上可以走上正确的方向了，知道如何承上启下，和领导说明白和一线的团队做好策略的去落地，随着发展信息安全首席安全官未来应该是个炙手可热的职位。

有了上两层的基础，接下来开展工作就好办多了，如果没有上面两层的支持这个阶段基本是不可行的，网络安全保障体系建设一定是围绕业务和数据的，俗称“业务+数据定义安全战略”确定好保护对象和级别，需要协同，需要按照三同步原则(同步规划设计、同步建设、同步运行)，选择好规划服务商、建设服务商，踏实规划，体系逐步实现。说的简单，其实这些个环节一个出问题，就是坑坑相连，能按照这些环节都下来顺利的不多。

这些年看到最大的坑有两个，一个是不了解业务和数据抡起来就瞎设计(可恨，比如国家级的某一体化平台)，一个是生搬硬套的安全合规标准(可怜，比如某啥啥潮的)，多维的业务需要多维的防护，设计不好就会导致降维防护，做不好就是个豆腐渣工程。 HW打瘫的目标对象基本上一种是不合规的，另一种是假合规或者阶段合规持续不合规。

图3：意识不统一导致的防御体系的降维防护

除了上面的坑，要考虑安全已经是体系化大安全的概念了，尤其是现在以及未来的系统建设已经是按照“大系统、大平台、大数据”建设的了，涉及到方方面面。所以不管是自建安全体系还是采用安全服务商承建，网络安全防御体系需要思考的边界已经扩大到供应链安全了(包含这些内容也不仅仅这些内容，软件开发的源代码检测、 提供链路服务、托管服务、DNS服务、CDN服务、安全运维服务、IT运维服务、以及合规要求的管理、技术、运维、测评的各项要求)。尽量可控可信，扎实先把合规扎实了(少看PPT，多看实际效果和系统，从刚需出发到合规，不要仅仅从合规出发，花架子没用，基础安全还是挺重要的，不要被新技术忽悠了)。这些做好了可以是50分了，还没有开始建设就要考虑这么多，磨刀不误砍柴工，谋定而后动才是正道。

啰嗦了这么多才开始准备如何建设了，网络安全防御体系的建设是个大工程，不同的人理解不同。汇总起来就是一个风险控制目标、两个视角(国内合规、国外自适应)、三个领域策略融合(管理、技术、运维)、 四个体系独立而融合(防御体系、检测体系、响应体系、预测体系)的建立可视、可管、可控、可调度、可持续的弹性扩展的一个很NB的安全管理及运营中心 (简称“12341)。

一个风险控制目标：评估保护对象当下的防御成熟度，制定防御成熟度目标，持续动态评估完善程度和风险程度。

图4：网络安全防御成熟度阶段与目标

两个视角之一：国外的自适应安全体系包含四个子体系建设。防御体系、检测体系、响应体系、预测体系，四个子体系分下来又是很多。例如网络层检测，传统都在用IDS IPS ，其实对于新型攻击都已经失效，2014年以后我们的检测方案已经采用全流量层检测分析了，网络层的IDSIPS其实已经过了价值周期.又如主机层检测，高级马都已经免杀了，传统的安全检测只能防住小贼了，呵呵不说了说多了得罪人。总结一下检测体系的建设一定要由浅到深，由点到面，由特征到全面。国外的安全行业特别侧重检测体系和响应体系的建设，近三届的国际信息安全RSA大会主流也是这个为重点，纵深防御体系的理念也影响了国内安全若干年，其实态势感知预测体系国外也没有落地，还在概念阶段。Norse用假数据欺骗了大家，到2017年倒闭了，国内的安全忽悠们还在用“地图炮”忽悠行业外，态势感知是个大命题，PPT和大屏版的假数据基本把这个领域带入一个坑，一个安全大会满天飞(假数据)已经引起这个行业大多数人的反感。

两个视角之二：国内的等级保护1.0– 2.0的合规体系，一个中心， 三重防护的落地。等级保护1.0从04年–14年10年历程不容易，确实要感谢为中国信息安全和等级保护做出贡献的这代人，从安全一个点做到完整的基本防御体系，为中国信息化和信息安全的发展奠定了一个基础。让大家有了一定的安全防御体系的概念，我们很有幸带队做了无数的等级保护和FJ保护的项目。这个领域我们要说第二，估计第一确实要空缺，经验给了我们方法论又应用在实践，实话说等级保护1.0做好了就已经很好了，关键是应付的多落地的少。2014年，云开始规模落地了，数据汇聚了，应用一体化了，物联网、移动互联……，1.0确实不再适用了，14-19年5年的历程，2.0的出台也不容易，仔细看看和研读，按照标准做好了，落地了就踏实了。合规还是基础，三重防护(计算、区域边界、通信网络)是重点的基础性防护建设;然后重点分层保护，资源再多也是有限的，大门和每个门是最关键的，核心保护对象和边缘保护对象的防御，检测，响应，预测体系逐步完成，安全策略一点点上。最小原则开始逐步放宽，到平衡后划个基线，就不要随便动了，关于安全管理中心的坑，这是也个大命题，后面讲吧一些老前辈的思路已经不适合未来了。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!