必达实验室｜持续风险监测网络安全框架（一）

持续风险监测网络安全框架—— 企业级、政府级、防务级的网络安全新常态应对策略

近年来，网络安全形势变化明显，原有的安全常态被打破，为应对网络威胁、监管要求、安全防护的新变化，中测安华必达实验室提出了持续风险监测网络安全框架，用体系化的解决思路，对保护对象的威胁、数据和漏洞三个安全要素进行持续安全运营的设计，实现人、机、信息的协同联动。持续风险监测网络安全框架能够满足安全新常态下全面掌握风险情况、及时评估风险变化、快速灵活应对风险的工作要求，为企业级、政府级、防务级的网络安全防护工作提供一种新的应对策略。

一、网络安全新常态带来新的挑战

随着云计算、大数据等技术的发展，网络安全形势发生了显著变化。全球风险报告显示，网络威胁已成为全球第三大安全风险，我国政府企业也承受着来自国内外的网络安全威胁。同时，网络安全方面逐步升级的政策法规和检查检测要求，也大大增加了网络安全保障的工作压力。此外，信息化、网络化带来的业务形态变化也使网络安全风险面临新的挑战。具体内容如下：

1.网络安全威胁新常态呈现出持续性和专业化的特点

近年来，各类新型的网络攻击技术和工具、网络入侵方式方法、网络安全黑色产业等不断涌现，攻击技术呈现出专业化、精细化的特点，攻击手段的迭代频率大大加快，而防御能力的提升依然滞后。此外，国家间博弈已经延伸到网络空间，各类有国家背景的网络威胁主体长期发动有组织、有计划、隐蔽的网络攻击，给政府、企业等造成了巨大损失。持续性、专业化的网络威胁导致了当前不对称、复杂化的网络安全态势，现有政府企业自身的网络安全防御能力难以应对当前外部威胁形势。

2.网络安全监管新常态呈现出要求高和监管严的特点

网络空间作为第五空间，已成为重要安全战略资源空间。近年来为保护网络安全，增强网络防御和对抗能力，各国的网络安全法规要求都有所提高。在国内，随着我国影响力不断提高，各类国家级、地区级重大活动日益增多，网络安保要求日益提高。网络安全攻防演练的高对抗和网络安全检查工作的高要求，以及安全工作由阶段性到日常化的转变，都给政府企业的网络安全运营带来了巨大的考验，对其网络安全能力提出了更高的要求。

3.网络信息资产新常态呈现模糊性和动态性的特点

云计算、大数据、人工智能等技术的发展促使政府企业的业务形式变得更加多样化，如处理自动化、业务SaaS化、多业务系统集成化等。业务形态的发展变化使得系统和资产的动态性特点突显，系统的结构和功能随着业务的变化进行调整，业务系统甚至多地域分布，这一定程度上模糊了系统和资产的边界，从而导致网络安全风险难于发现，网络安全防护难度不断增加。

二、传统网络安全框架难以应对当前网络安全的新常态

上述网络安全挑战很难通过单一措施加以应对，我们需要从网络安全框架的层面进行系统化解决。根据特点不同，当前网络安全防护体系所依据的框架主要分为基于动态防护的网络安全框架、基于纵深防护的网络安全框架和基于成熟度的网络安全框架等三种类型。我们首先对这三类安全进行介绍和分析。

1.基于动态防护的网络安全框架

为开展系统化的网络安全防御，安全研究人员首先提出基于动态防护的网络安全框架，该框架旨在从预警（Warning）、风险评估（Assessment）、策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）、恢复（Restore）、反制（Counterattack）等多个环节构建一个动态、闭环的网络安全防护循环，解决了网络安全中缺少通用的网络安全处理流程的问题。典型的基于动态防护的网络安全框架包括：PDR、PPDR、PDRR、WPDRRC等，下图是PPDR示例图：

2.基于纵深防护的网络安全框架

基于动态防护的网络安全框架缺少针对防护对象的阐述，在不断网络安全实践中，安全研究者又提出基于纵深防护的网络安全框架，旨在从信息系统的生命周期、信息安全的保障要素、信息安全特征、网络层次等不同方面构建相对完整、互补的网络安全防御体系，重点解决了网络安全防护片面、缺失的问题。典型的基于纵深防护的网络安全框架包括：信息保障技术框架、边界防护体系等，下图是信息保障技术框架的示例：

3.基于成熟度的网络安全框架

在基于纵深防护的网络安全框架基础上，为衡量网络安全成本的合理性，并评估整体安全的实现程度，安全研究者提出基于成熟度的网络安全框架，旨在综合考虑资产价值、防护成本、防护能力等内容的基础上，通过分层级、分阶段等方式，构建适合于现实情况、成本与收益相匹配的网络安全防御措施，该框架重点解决网络安全防护的度量问题。典型的基于成熟度的网络安全框架包括：CMMC网络安全成熟度模型、网络安全滑动标尺模型、数据安全成熟度框架等。网络安全滑动标尺模型如下图所示：

上述网络安全框架都是在网络威胁和安全需求的发展变化下产生、发展和演化的，并在网络安全防御体系建设中发挥着重要的作用。但在当今动态、复杂、不对称的网络安全环境下，现有基于动态、基于纵深防护和基于成熟度的网络安全框架均缺乏快速反应和灵活应对的特性，无法系统性、针对性地解决当前安全防御滞后、反应不够及时有效的问题，难以适应当前日趋严峻的网络安全形势。针对当前网络防御的现状，需要引入新的安全理念对现有网络安全框架进行全新的升级，建立具备快速反应和灵活应对特性的持续风险监测网络安全框架。

三、构建以持续风险监测为核心的网络安全框架

网络空间作为第五空间，已成为重要安全战略资源空间。近年来为保护网络安全，增强网络防御和对抗能力，各国的网络安全法规要求都得到加强。在国内，随着我国影响力不断提高，各类国家级、地区级重大活动日益增多，网络安保要求日益提高。网络安全攻防演练的高对抗和网络安全检查工作的高要求，以及安全工作由阶段性到日常化的转变，都给政府企业的网络安全运营带来了巨大的考验，对其网络安全能力提出了更高的要求。

持续风险监测处于系统安全工程的安全运营阶段，是以风险监测为基础，通过不间断、全方位地开展实施协同防护，构建体系化的网络防御阵地。该体系框架从对象维、机制维和方法维三个方面，围绕网络空间的威胁、数据和漏洞等安全要素，秉承持续性评估、持续性建设、持续性监测的风险监测方法论，在人员、数据和设备协同的工作机制下，提升客户对风险的控制水平，保障客户的网络安全。

持续性风险监测体系旨在建立网络安全快速反应、灵活应对的机制，赋能网络安全运营主体具备“全面掌握风险情况、及时评估风险变化、快速灵活应对风险”的综合能力。

全面掌握风险情况指了解最新型的网络攻击技术方法、网络安全漏洞等，掌握信息资产的分布、价值、风险等，把握网络安全监管政策、规范和重大安保活动等；

及时评估风险变化指能够掌握企业面临的网络攻击威胁、近期活跃的网络攻击主体、攻击目标和攻击动向等，掌握易受攻击业务、高风险业务、重要信息资产风险等，掌握当前防护情况与现有监管要求的偏离程度。根据发现的攻击技术方法、威胁动向、暴露脆弱点等信息，及时准确的分析评估防护对象面临的威胁，并提出合理的应对方案。

快速灵活应对风险能够根据当前或未来可能面临的风险，快速灵活调整相应的防护措施或策略降低风险，能够协调内外资源对重大威胁或事件进行防护和响应，并对未来网络安全建设进行长远规划，实现局部防御能力与全局威胁能力相适应的目标。

持续风险监测体系通过监测发现风险，通过监测认识风险，通过监测调整防护措施降低规避风险，实现协同企业内部和外部资源相统一，实现监测近期和远期安全风险相统一，实现调整现有防护措施和建设新型加固措施相统一。