十四五网络安全规划方案修订版.docx

1、十四五网络安全规划方案修订版网络信息安全规划方案（3年规划）2020年11月一、概述1.1项目背景即将到来的“十四五”，将是企业数字化战略的转型建设关键阶段，在此期间，数字经济将全面深化。为践行网络安全法安全与信息化同步规划、同步建设、同步运行的三同步思想，通过本次安全规划，建立从顶层设计、部署实施到安全运行的一整套网络安全新模式，使网络安全向面向对抗的实战化运行模式升级。同时面对现在不容乐观的整体安全态势及各种监管要求，开展企业的网络安全建设，补足和修复企业自身的安全短板；是整个社会和国家发展的必然趋势。1.2编制依据中华人民共和国网络安全法关于加快推进国有企业数字化转型工作的通知中央企业负

2、责人经营业绩考核办法GB/T25058-2019信息安全技术网络安全等级保护实施指南GB/T22239-2019信息安全技术网络安全等级保护基本要求 GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T28448-2019信息系统安全等级保护测评要求GB/T18336信息技术-安全技术-信息技术安全性评估准则GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 35281-2017信息安全技术 移动互联网应用服务器安全技术要求GB/T 35273-2017信息安全技术 个人信息安全规范GB/T 31167-2014信息安全技术 云计算服务

3、安全指南GB/T 31168-2014信息安全技术 云计算服务安全能力要求二、安全现状及需求分析2.1安全现状企业经过多年信息化工作和安全建设，建立了一套以实际业务安全需求和等级保护1.0为基础框架的点状防御体系。公司网络基础设施已基本完善。建成了以电信、移动的双通道互联网出口，带宽分别为200M/500M。整体网络架构采用三层层次化模型网络架构，即由核心层、汇聚层和接入层组成，关键网络节点处均采用冗余双机。全公司联网的办公用计算机数百台。公司现有办公系统、项目管理系统、财务、监管系统、公文系统、视频监控管理等业务系统。整体安全建设现状如下：（1）互联网出口冗余部署有上网行为管理、负载均衡；（

4、2）各区域边界上部署有下一代防火墙，并严格按照业务属性、重要程度和安全级别对区域进行边界划分和访问控制；（互联网出口、专网接入、服务器区）（3）办公终端及服务器上部署有网络版杀毒软件和文档安全管控系统；（4）外部用户采用VPN接入；（5）机房部分部署有运维管理平台、环境监控平台；（6）整体数据中心建设采用超融合的方式，超融合平台采用分布式架构和虚拟化特性为业务系统带来了极强的可靠性、稳定性；（7）在数据备份层面，采用备份一体机和云备份的方式；（8）在安全审计层面，采用运维审计系统和日志服务器的方式。现状分析传统的点状防御体系及被动防御思想在新的安全形势下，不足以应对新型攻击和复合型攻击，同时在

5、应对多源低频、业务逻辑漏洞、0DAY、自动化工具等攻击方式时也显的有心无力；其次外部威胁变化过快，存在安全攻防不对等、安全技术能力不足、安全威胁动态变化、难以及时响应等情况，会导致安全事件频发。2.2需求分析2.2.1政策文件要求2.2.1.1网络安全法在2017年颁发的中华人民共和国网络安全法中明确规定了法律层面的网络安全。具体如下：“没有网络安全，就没有国家安全”，网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外，网络安全法中还从网络运行安全、关键信息基础设施运行安全、网络信

6、息安全等对以下方面做了详细规定：网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机

7、病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。容灾备份：第三十四条第三项规定，关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。应急演练：第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急预案，并定期进

8、行演练。没有网络安全事件预案的，或者没有定期演练的，会被依照此条进行责令改正。安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。关键信息基础设施的运营者网络安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，

9、并定期进行演练；（五）法律、行政法规规定的其他义务。2.2.1.2国资委发文（一）关于加快推进国有企业数字化转型工作的通知国资委在2020年9月发布的关于加快推进国有企业数字化转型工作的通知中将网络安全定义为国有企业数字化转型的四大基础之一-安全基础。在安全基础建设中指出要建设态势感知平台，加强平台、系统、数据等安全管理。使用安全可靠的设备设施、工具软件、信息系统和服务平台，提升本质安全。同时构建网络安全基础资源库，加强安全资源储备。强化检测评估和攻防演练，加快人才队伍建设。（二）中央企业负责人经营业绩考核办法国资委于2019年修订印发了中央企业负责人经营业绩考核办法；考核办法较原先的考核办法

10、增加了对网络安全工作的考核，而且十分严厉，一旦企业发生网络安全事件将对企业负责人的考核带来负面影响，直接影响其相关考核结果。同时考核办法中指出，国有资本参股公司、被托管和兼并企业中由国资委管理的企业负责人，其经营业绩考核参照本办法执行。简而言之除央企以外其他各地的国企可以参考本办法并结合自身的实际开展相关工作。2.2.2自身安全需求长期以来，由于政企机构网络安全体系的基础设施完备度不足，安全对信息化环境的覆盖面不全、与信息化各层次结合程度不高，安全运行可持续性差、应急能力就绪度低、资源保障长期不充足，导致政企机构在面对“当前数字化业务的平稳、可靠、有序和高效运营是否能够得到充分的网络安全保障以

11、及如何充分的保障网络安全是我们首要的关注问题。具体安全需求如下：2.2.2.1现有建设思路无法达到安全效果的预期以往信息化工作一直存在着“重业务，轻安全”的情况，随着网络安全法相关法律、法规的颁发和实施，网络安全的重要性有了显著提高，但于此同时，网络安全的建设工作依然存在误区。在这些误区中，“重建设、轻管理”最为明显。“重建设”是指安全建设集中在安全设备采购，部署后缺乏专人运维，导致发生安全事件时不能及时发现以及动态防护。“轻管理”是指当前日常安全工作受限于人力配备、技术资源和能力、安全运维、威胁处置、应急响应等经验不足，导致安全效果无法达到预期。2.2.2.2高阶人才稀缺，安全事件无法有效处

12、置网络安全的本质是攻防对抗。攻击者会不断寻找防护方的弱点，防护方也需要不断研究黑客思维，探索应对黑客攻击的方法，提升安全防护的能力和效率。随着攻防对抗的不断升级，在攻击和防御的对抗中，攻击方通常掌握着主动性，而防御方必须具备能够和攻击方相抗衡的智能。网络安全是海量攻击手法和海量防御手法之间较量。意味着企业或组织要想拥有较多的防御手法，就必须了解攻击的各个阶段，并根据各个攻击阶段评估下一阶段攻击手法，制定防御措施。如网络攻击生命周期（Cyber Attack Life Cycle）中，在执行攻击（Execute）前，往往有侦察（Recon）和利用（Exploit）、控制（Control）阶段。这

13、就对单位安全人员提出了很高技术要求，既要了解攻击手法、又要精通防御手段以及安全数据分析和高执行力。在现实情况下，单位内部培养高阶安全专家成本太高，培养时间过长，即使培养出了个别高阶网络安全人才也极因各种原因造成人员流动，造成了单位的网络安全领域高阶人才缺失。其次，由于当前高阶安全专家的缺失，导致安全事件无法有效处置。单位内部现有安全事件的识别基于安全设备，安全设备上只会给出描述疑似安全事件的安全日志，这会导致两个问题：大量的安全日志需要进行研判，判断是否真实存在安全信息；安全设备上只有安全日志，并无描述真实可行的处置建议，导致组织在面对安全事件时无法闭环处置，也无法持续跟进安全事件处置情况。2

14、.2.2.3安全系统存在孤岛效应为了应对不断升级的信息安全形势和安全威胁，大量企事业单位采用“加法式安全投入”引入了一个又一个的安全产品；安全产品之间相互独立，导致了日志、告警、问题事件等信息的相对独立，进一步导致了安全运维人员工作的相对独立；而安全运维人员的数量是大致不变的，采购的安全产品越多，信息越多，信息孤岛效应越明显，表现为高信息量、高误报、高运维压力。2.2.2.4缺乏未知威胁和潜在威胁检测能力目前企业内部署了很多安全设备和安全系统，这些安全设备系统主要基于特征、规则，检测已知威胁没有问题，但是缺少长周期、行为分析、关联分析的未知威胁检测能力。2.2.2.5传统安全服务无法满足现阶段

15、实际安全需求在安全措施无法保障该有的安全效果情况下，不少企业尝试采购第三方安全服务来保障安全效果。但以往的安全服务服务水平参差不齐，服务效果不达预期，并无法满足实际网络安全需求，主要存在以下问题：服务周期不持续以往的安全服务均为周期性服务，且服务间隔过大，无法应对持续性的安全威胁；从自身单位的安全事件统计来看，业务系统遭受尝试性入侵的时间普遍集中在晚间，现有缺乏应对措施。其次，服务周期过大还存在着另外一个安全隐患。以2018年统计数据为例，2018年共计发现了超过15000个新漏洞，平均每天41个漏洞，服务周期一旦过大，会导致单位内部的业务系统存在较多漏洞以及较长的漏洞利用时间。服务实际安全效

16、果不佳周期性的第三方服务因为无法持续监测和主动威胁处置，会导致绝大多数安全事件发生后，已经危害到实际应用层面才被发现，同时被动式的应急响应服务极大的延长了应急处置的时间；整体安全服务存在时间滞后性和被动性，导致安全效果不佳。传统持续性服务无法落地传统的第三方服务，由周期性服务转变为持续性服务所带来的人员驻场、人员驻场办公位置、人员人生安全、人员管理、服务成本剧增等问题，往往导致项目无法实际落地；2.2.2.6互联网时代新增的安全需求互联网+、云计算、大数据、物联网、移动互联等越来越多新应用的普及和落地，也带来了新的网络安全需求。2.2.2.7外部威胁推动（1）国内外的反动势力、APT组织对国内

17、企事业单位虎视眈眈，每到国家重大时节都会针对性的对政府、企事业单位进行大规模攻击，散布反动言论。（2）病毒、木马、蠕虫，以勒索病毒为例：从2017年以来蔓延之今，影响领域包括政企部门、医疗服务、高 校、公共交通、邮政等各行各业。（3）信息泄露（企事业内部信息频频外泄引发负面舆情、徐玉玉案例、成都某卫生系统泄露50多万条新生婴儿和预产孕妇信息案例、华住酒店5亿条数据泄露、菜鸟驿站一千万条快递数据泄露等）。（4）黑客攻击（伊朗核电站；乌克兰电网；中国等国某部委、大型能源央企蔓灵花事件；网站被篡改、钓鱼网站、服务器被控制、APT攻击、挖矿病毒等）。三、解决思路3.1持续改进在解决安全问题的过程中，不

18、可能一劳永逸。从早期的防火墙、防病毒，入侵检测，到现在的态势感知、威胁情报，智能分析，安全防御技术本身并没有革命性变化，本质上还是开发检测规则，异常模式识别。实际上，安全产品、安全技术需要不断的随着攻击手段的发展而升级，也需要有人来运营，否则安全防护会成为稻草人，马奇诺防线，在变化的攻击手段前不堪一击。早期基于系统漏洞利用的攻击是主流，安全防护对应以防火墙和入侵检测为主，对互联网只开放少量端口，互联网资产管理主要是IP和端口的管理。随着攻击主流转变为Web攻击，安全防护对应升级为Web安全防护，出现了Web应用防火墙（WAF），互联网资产管理也相应转变为对第三方应用和开发使用框架为主，不再是旧

19、有的资产管理概念。有效的安全是持续改进，针对变化的安全形势和矛盾进行调整。3.2纵深防御在各种入侵案例中，基本都是利用Web应用漏洞，攻击者获得低权限WebShell，然后通过低权限的WebShell上传更多文件，并尝试执行更高权限的系统命令，尝试在服务器上提升权限为Root，并进一步横向渗透，获得更多内网权限。在这个典型的攻击路径中，在任何一个环节设置有效的安全检测和防御措施，都可能导致攻击被检测和阻止。目前在安全防护技术没有革命性发展下，企业内部防御采用纵深防御体系，从网络层、应用层、传输层、系统层、用户层、数据层进行层层防御，能为我们提供良好的网络安全环境。3.3闭环流程为了使网络安全有

20、效，企业组织还必须考虑合理的利用人员和流程。当组合成单个集成框架时，基于安全工具、人员和流程的重叠策略将产生最有效的防御。在闭环流程上以安全事件为导向，从事前、事中、事后三个维度对安全事件进行全生命周期管控。最终构建一套包括预测、检测、防御、处置响应、溯源可持续的闭环流程。3.4非对称对于攻击者来说，只要能够找到企业系统的一个弱点，就可以达到入侵系统的目的，而对于企业信息安全人员来说，必须找到系统的所有弱点，不能有遗漏，不能有滞后，才能保证系统不会出现问题。这种非对称是造成黑客和安全防护人员思维方式不同的根本原因，这种非对称，也是组织信息安全工作难做的根本原因。破坏永远比建设容易。安全防护人员

21、也需要非对称思维。如使用基于攻击欺骗的蜜罐系统，通过在黑客必经之路上构造陷阱，混淆其攻击目标，精确感知黑客攻击的行为，将攻击火力引入隔离的蜜罐系统，从而保护真实的资产。通过蜜罐系统记录攻击行为，获取攻击者的网络身份信息、指纹信息，对攻击者及攻击行为进行取证和溯源，及时阻断攻击。四、网络安全规划方案2.1总体建设目标经过有步骤有计划的分步安全建设，以满足合法合规为基础安全体系框架，通过解决真实存在的安全风险，辅以安全技术、安全管理、安全能力的提升；最终形成一套动态的可持续的主动防御体系；以网络安全中的安全事件为导向，对安全事件的事前、事中、事后进行全生命周期管控，通过事前监测、预警、风险评估、漏

22、洞修复；事中防御处置；事后应急响应、威胁处置、取证溯源、漏洞验证、安全复测、事件报告等手段；构建一套动态可持续运转的安全运营体系，以此达到对抗动态安全风险的目的。2.2参考安全模型2.2.1IATF框架IATF，信息保障技术框架（IATF：Information Assurance urns Technical Framework )是美国国家安全局（NSA）National Security Agency制定，用于描述其信息保障的指导性文件。2002年，我们国家973“信息与网络安全体系研究”课题组将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重

23、要的参考和指导作用。IATF提出的信息保障的核心思想是纵深防御战略（Defense in Depth）。在纵深防御战略中指出，人、技术和操作（operations 也可以译为流程）是三个主要核心因素，要保障信息及信息系统的安全，三者缺一不可。人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系核心。2.2.2自适应安全框架自适应安全框架（ASA）是Gartner于2014年提出的面向下一代的安全体系框架，以应对云大物移智时代所面临的安全形势。自适应安全框架（ASA）从预测、防御、检测、响应四个维度，强调安全防护是一个持续处理的、循环的过程，细粒度、多角度、持续化的对安全威胁进

24、行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制。相对于PDR模型，自适应安全框架（ASA）框架增加了安全威胁“预测”的环节，其目的在于通过主动学习并识别未知的异常事件来嗅探潜在的、未暴露的安全威胁，更深入的诠释了“主动防御”的思想理念，这也是网络安全2.0时代新防御体系的核心内容之一。2.2.3新时期的等级保护体系（等保2.0）为配合中华人民共和国网络安全法的实施，同时适应云计算、移动互联、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展，2019年5月13日，GBT22239-2019信息安全技术网络安全等级保护基本要求正式发布。国家等级保护制

25、度是以保护国家关键信息基础设施为重点的全新网络安全基本制度体系，为有效应对国际网络空间安全形势，新时期的等保不仅保护对象的范围扩大而且要求更加细化，具有以下突出的特点：变被动防御为主动防御变静态防御为动态防御变单点防御为整体防御变粗放防御为精准防御2.3总体建设内容本次安全规划通过完善现有防御体系；采用主动防御理念，依托大数据分析平台、人工智能、行为分析、欺骗防御、威胁事件管理等技术手段，结合第三方安全服务提供全方位、全天候、全时段的主动防护体系，保护组织核心业务不被网络攻击中断，保障组织核心业务数据不被窃取。在对已知威胁有较强的防御能力外，对于未知威胁也具有一定的防御能力。项目整体建设内容如

26、下：时期目标具体指标第一期（2021年）满足“合法”、“合规”要求的同时，解决当前环境下的网络安全 “刚需”1、“合法”、“合规”：以等保2.0、网络安全法、关键信息基础设施保护条例等政策法规为标准，从安全技术、安全管理2个方面进行查漏补缺；2、 刚需：补充有效的安全验证机制验证当前安全防护是否有效，并对发现安全风险进行控制和修复；第二期（2022年）构建动态可持续的主动防御体系1、建设统一安全管理平台，将全网孤立、碎片化的信息，汇聚、关联为可视化的信息安全事件；为全网安全威胁，预警、防御应急处置提供技术支撑。2、依托于统一安全管理平台，引入第三方周期性的安全运维服务，利用专业技术人员为纽带将

27、整体防御体系动态运转。3、针对对外发布的WEB应用构建主动防护措施；第三期（2023年）构建全方位的安全运营体系1、以资产管理、漏洞管理、威胁管理、事件管理四个维度对全网进行安全运营；完善主动防御体系，使各个环节、流程形成安全闭环；达到全天候、全时段的动态安全防护体系，以持续不间断动态运转的安全体系对抗动态的安全风险。2、构建欺骗防御体系，欺骗恶意用户，拖延、误导攻击者的攻击行为，给予事件检测和响应更多的缓冲时间；收集攻击信息、查找内部僵尸、木马、蠕虫、恶意访问等。2.4建设方案2.4.1一期建设方案（“合法、合规”、“刚需”）2.4.1.1设计思路结合xx网络现状、安全风险、自身需求，参照等

28、级保护ISO27000的体系标准；结合网络安全法及行业政策发文对网络安全建设的影响，充分考虑到当前网络安全建设的远景规划和发展，建设符合国家政策法规、能抵抗基本安全风险的综合安全体系。2.4.1.2建设内容本次一期项目建设内容分为2个部分：一、是参照等级保护制度、网络安全法及行业主管部门的相关发文，对现有安全技术体系、安全管理体系进行差距分析，依据差距分析的结果进行安全建设和整改。二、是引入第三方有效的安全验证机制，验证当前安全防护是否有效，并对发现的安全风险进行控制和修复；2.4.1.2安全建设2.4.1.2.1基础安全技术框架网络安全等级保护制度是我国网络安全领域的基本保障体系，从合法合规

29、层面来讲所有的网络安全建设都必须参照网络安全等级保护制度的要求。参照信息安全技术 网络安全等级保护基本要求第三级的标准对xx网络空间环境进行整体差距分析；针对差距分析的结果，从物理安全、安全区域边界、安全通信网络、安全计算环境、安全管理中心及管理安全等方面着手，完善管理制度、优化安全策略、调整网络结构、增加必要的软硬件设备或系统。其中，部分差距分析中发现的安全风险问题，可以通过修改设备配置、优化部署方式、完善策略部署、修复漏洞、升级更新组件、加强管理措施得以解决，其他的整改内容则需要新购软硬件设备或系统进行项目建设才能完成。参照信息安全技术网络安全等级保护基本要求第三级的要求，差距分析及安全建

30、设建议如下：序号控制项控制点安全建设建议1.安全区域边界-边界防护b）应能够对非授权设备私自联到内部网络的行为进行限制或检查；c）应能够对内部用户非授权联到外部网络的行为进行限制或检查；采取接入认证或IP/Mac绑定的技术方式，实现人员认证、防私接、非法外联检测等功能。2.安全区域边界-边界防护d）应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部往来无线局域网需与有线网络设置明显的网络边界，边界之间通过安全网关进行安全防护。3.安全区域边界-垃圾邮件防范b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。在已有出口网关上配置垃圾邮件检测和防护策

31、略、定期升级特征库； 4.安全区域边界-入侵防范c) 应采取技术措施对网络行为进分析，实现对网络攻击特别是新型网络攻击的分析部署能基于行为、流量、风险事件等不依靠特征库、规则进行分析的安全设备5.安全管理中心-安全审计a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；部署数据库审计系统，对数据库运维、操作进行审计6.安全管理中心-集中管控d) 应分散在各个设备商的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求部署综合日志审计系统，所有日志留存时间不低于6个月7.安全管理中心-集中管控a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控网络中划分出安全管理区8.安全管理中心-集中管控f) 应能对网络中发生的各类安全事件进行识别、报警和分析。设置统一安全管理中心，对各类安全事件、威胁信息汇总分析，识别、报警。2.4.1.2.2网络安全管理体系安全管理内容涉及：信息安全政策、信息安全组织、 信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、系