1.7 安全工程

网络安全是一个系统工程,需要遵循一定的工程原则和流程评估风险、分析需求、制定安全策略和标准、选择和部署安全技术、测试和评估安全手段、实施安全措施等,将不同的安全技术和措施有机地结合起来。安全技术必须与安全管理和保障措施紧密结合,才能真正发挥效用。

1.7.1 PDCA模型

俗话说,“罗马不是一天建成的”,网络安全建设也是一个循序渐进的过程。PDCA是质量管理中常用的循环模型,被ISO等国际管理体系标准组织广泛采用。ISO/IEC 27001标准在信息安全管理中可类比ISO 9001在质量管理方面的地位,它强调构建ISMS体系并基于PDCA模型进行持续的循环和改善。

1)制订计划(Plan)。对每个阶段都应制订具体的安全管理工作计划,突出工作重点,明确责任和任务,确定工作进度,形成完整的安全管理工作文件。

2)落实执行(Do)。按照具体安全管理计划部署落实,包括建立权威的安全机构、落实必要的安全措施,以及开展全员安全培训等。

3)监督检查(Check)。落实安全计划工作,构建网络安全管理体系并认真监督检查,反馈具体的检查结果。

4)评价行动(Act)。根据检查结果对现有网络安全管理策略及方法进行评审和总结,评价现有网络安全管理体系的有效性,采取相应的改进措施。

ISO/IEC 27001定义网络安全管理体系包括P、D、C、A四个阶段,其中:P阶段是规划与建立,包括制定网络安全政策、评估风险和确定安全控制措施;D阶段是实施与运行,包括实施安全控制措施、建立安全管理框架和提高员工的安全意识;C阶段是监视与评估,包括监视网络安全状态、评估安全性能以及改进安全措施;A阶段是维护和改进,包括管理安全事件、改进整个网络的管理体系并持续提高管理水平。各阶段工作如图1-11所示。

图1-11 PDCA模型各阶段工作

过去相当长一段时间内甲方的数字化水平不高,网络安全公司的销售模式主要是卖单品,比如杀毒软件,只要某几款产品成为爆款,公司就可以获得丰厚利润。防守方的思路类似于网游玩家买装备,只要我穿上了游戏中防御最强的胸甲、最强的臂甲、最强的腿甲、最强的鞋子,那么总的来说,防御力就不会太差。在过去,网络攻击手段单一,黑客们的目的是赚点零花钱,这种防御手段是可以勉强满足需求的。这也一度是网络安全行业集中度较低、行业龙头市占率不高的原因。

但是随着近年来移动互联网的发展,黑色产业也快速发展起来了,信息窃取、网络诈骗、勒索病毒、挖矿木马都可以给黑客带来丰厚的收益。黑客盈利的手段多了起来,金额也远远高于过去。随着各种黑灰产的盛行,网络攻击迅速多元化。

为了解决这个问题,“三位一体”安全能力概念诞生。这个概念是指保障网络安全不再依靠安全产品的简单堆叠,而是要各种安全产品互相配合、信息共享,同时结合大数据、威胁情报和专业的安全服务,形成一个有层次、有结构、协同联动的安全体系,如图1-12所示。

根据安全等级的不同,网络安全建设可分为低位、中位、高位3个层次。低位的安全建设以设备网络隔离为主,通过实施权限、端口、服务、访问最小化原则,加强内外网隔离、安全域间及域内的隔离来保证网络的安全性。中位的安全建设更强调攻击面的收敛,通过对老旧资产的下线、定时开关、统一互联网出入口、增强认证防护措施等方式来缩小系统的攻击面,从而提高系统的安全性。高位的安全建设更多强调的是态势的感知,通过对元数据、脆弱性数据、资产信息、安全事件、运行状态、审计日志、威胁情报等的全面记录与分析,更早地发现风险并及时进行阻拦。

Gartner在《2022年重要战略技术趋势》报告里再次提到了网络安全网格(Cybersecurity Mesh Architecture,CSMA),并强调了基于分布式身份结构(Distributed Identity Fabric)的上下文的安全分析,突出了产品间的聚合联动。由于网络安全产品形式的巨变,未来网络安全行业集中度将升高,形成强者恒强的竞争格局。安全厂商作为乙方,只有加大投入做研发才能有未来。资本实力不足、安全研发投入不足的公司,未来很可能会掉队。

图1-12 安全能力“三位一体”

1.7.2 共同推进

甲乙双方对安全工程的认识并不相同,有时候是对立统一的。统一点是双方都意识到项目的成功对组织的稳定运营和声誉很重要;对立点是甲方可能需要乙方提供有关网络安全措施的详细信息,乙方则可能认为这涉及商业机密或技术保密。

产品融合是双方当前面临的问题,甲方应与乙方协商,了解产品的安全特性以及如何融入现有安全体系。甲方即使在新产品测试验收后,也要持续监控和评估整个系统的安全性,确保新产品与现有安全体系的兼容性和一致性。

1.7.2.1 甲乙方视角

在甲方安全信息化建设过程中,产品的选型以及产品后期的引入都是非常关键的。甲方网络安全项目按照建设周期主要划分为6个阶段:立项阶段、设计阶段、招投标阶段、实施阶段、验收阶段和运维阶段。

在整个项目周期,各部门要加强沟通和协调,及时解决问题,确保项目的顺利实施。

同样,乙方项目的生命周期也可大体分为6个阶段,分别是售前阶段、合同阶段、启动阶段、实施阶段、验收阶段和维保阶段。各个阶段都有不同的实施内容,需要不同的干系人参与,共同完成任务。

1.7.2.2 共性和差异

表1-2给出了甲乙双方各自的工作和重叠的范围。对于供需双方来讲,产品一旦被定为企业服务,则一般需要走流程而且回款较慢。

表1-2 甲方和乙方的工作

可以看出,安全市场采购流程相对复杂,基本是销售主导,谁取得了甲方的信任,谁就容易拿到订单。To B类客户基于理性决策,所以销售流程较长、成单较慢,并且To B类客户比较看重服务与产品价值。

通过滚动的项目推动,网络安全系统向联动、快速响应的防护方向发展。采用自上而下的结构化思想和方法,利用工程管理手段,成为构建网络信息安全体系的共识。