企业网络安全最佳实践指南(三) – 作者:18562607972

本系列文章共分为8篇,主要分享作者自身在企业网络安全建设和运维保障过程中的经验总结,包括网络安全管理、网络安全架构、网络安全技术以及安全实践等,力求全方位阐述企业在网路安全中的方方面面,为企业网络安全建设提供实践指南。

第二部分 安全架构篇

一、整体架构

企业网络安全建设以网络、系统和数据等的安全、稳定为首要目标,为企业的正常生产、运营提供健康的运行环境。网络安全其自身的五大基本属性(可用性、机密性、完整性、可靠性、不可抵赖性)也决定着网络安全架构设计和实施建设的主要内容。

企业网络安全整体架构是在遵守网络安全相关法律、法规的前提下,围绕建设两个安全中心的建立为主要内容,网络安全整体架构策略为:主动防御和纵深防御相结合,威胁检测与攻击检测并行,健全攻击溯源全链路和具备攻击取证的能力。传统网络安全建设多处于被动攻击、缺乏有效检测手段以及难以溯源和取证的尴尬处境,故企业网络安全新架构应借助新安全技术、安全设备和安全策略等实现被动防御转为主动防御,同时层层设防,增加攻击难度和攻击成本,最大程度减缓攻击力度和强度,对于攻击的全链路、全流程进行实时监控、实时防御和动态防御相结合,并且能够做到溯源和取证,以备在产生经济产生实际损失时,能够诉诸司法手段获取援助。

企业网络安全服务中心和企业网络安全运营中心是企业网络安全架构的两个中心,也是企业网络安全的最主要的内容,整个网络安全的规划、建设和实施以落地推进两个中心为主。安全服务中心更多偏向于网络安全管理方面,围绕建设和提升企业网络安全能力为目标;安全运营中心为网络安全的“大脑”,多属于网络安全技术范畴,围绕网络安全设备、日志以及大数据和人工智能等技术手段,全面剖析网络流量、应用系统、数据等,实现网络安全“透明化”。

1604468156_5fa23dbc0d7a425541dee.png!small?1604468125562

二、企业安全运营中心

企业安全运营中心围绕建设企业网络安全大脑,通过安全大脑落地实施安全运营中心。网络安全大脑实际上是网络安全大数据和人工智能算法的结合,为了实现安全大数据中心和人工智能算法引擎,运营中心的建设分层次化建设:

1604468174_5fa23dceb0b4d88005f3d.png!small?1604468144502

1、网络安全基础设施层

网络安全基础设施的建设分为两个部分,一个是网络安全设备,即:防火墙、IPS、WAF、防病毒、日志设备、堡垒机、审计设备、态势感知等;另一个是IT相关的资产数据,包括:网络流量数据、日志数据(网络设备日志、应用日志、系统日志、数据库日志等)、业务数据、资产数据、设备数据等。两个部分共同组成了网络安全的基础数据用作后面的数据采集、整理、分析和应用。实际网络安全的基础数据除了上述两个部分外,还有一部分即威胁情报:威胁情报的建设和收集有两个渠道,一个是企业自建威胁情报中心,及SRC;另一个是购买第三方的威胁情报,这个也非常普遍。上述信息共同组成了企业安全大脑的基础元素,可以称之为“安全基因”。

2、网络安全数据层

网络安全数据层主要是对网络安全基础设施层的数据进行统一采集、分类、整理和加工,为上层数据分析进行预处理。

网络安全数据一般包括安全类数据、管理类数据、流量类数据、审计类数据和基础类数据。其中安全类数据更多的指安全设备及安全监控等相关数据;管理类数据是指业务系统、安全管理相关的数据;流量类数据指网络流量数据;审计类数据指的是审计设备相关审计数据;基础类数据包括运维基础数据和资产管理数据等。同归对数据进行采集、归类,便于进一步的加工处理和建模分析。

3、网络安全分析层

网络安全分析层主要是对数据层已经采集、归类好的数据进行大数据建模和分析。网络安全大数据平台可以是利用Hadoop生态圈技术自己建立安全数据平台进行数据分析,也可以采购第三方商业产品或解决方案。一般自己搞的话,对技术要求较高,既要懂得大数据和数据挖掘相关技术,又要精通网络安全相关技术知识,成本较高,成功的可能性也相对较少一些,但不排除有一些大型企业自己做,而且运转的也很好的存在。实际上,商业产品和商业解决方案的成本也不低,而且企业自身的规模越大,成本越高,数据量越大,成本直线上升,同时鉴于网络安全行业标准化没那么彻底,很容易被安全厂商品牌绑定,只能同一品牌的产品相互对接和自动采集、分析处理,这个时候,企业往往或处于弱势地位。诚然,企业网络安全大脑本身的建设就是一个费钱的事情,但从长远来看,绝对是有意义做的一件事情。

这一层要通过大数据平台和相关技术,实现安全大数据的存储和实时查询、安全实时分析、数据管理、智能分析以及相应的数据接口等功能。

4、网络安全应用层

通过网络安全大数据平台进行数据的采集、分类、加工和处理,可以对企业网络安全环境进行全方位的分析剖析,同时借助数据挖掘和人工智能算法,除了实现全方案的安全分析外,还可以进行时间上和空间上的立体分析,包括已知安全事件、正在发生的安全事件和未来可能要发生的安全事件,进而实现企业网络安全综合性分析。

网络安全综合性分析处理基于自身的网络安全大数据外,还需要进一步借鉴第三方云安全厂商数据、安全实验室的数据,将自身的网络安全数据在风险可控的前提下开放、连接和交换,实现网络安全生态圈的建设,既深度分析企业网络安全风险,又广泛引入和借力第三方安全资源,实现网络安全大脑的建设。坦白来讲,这一步是挺难的,甚至大多数安全厂商都不具备这一部分的能力。

截止目前,转过头来,从上述1、网络安全基础设施层看,实质上基础设施层的网络安全设备为网络安全大脑充当了四肢。网络安全设备依托相应策略进行网络安全防护,同时产生网络安全数据,网络安全大脑通过网络安全大数据平台收集和分析网络安全数据之后,对网络安全设备的策略进行实时不断的评估、调整和优化,从而实现网络安全由被动防御转为主动防御,借助多层网络安全设备和网络安全架构,将最核心的重要数据和系统放置最内层,实现网络安全工作的纵深防御。借助网络安全大脑,全方位、立体化的网络安全综合分析,可以更加准确、彻底的进行威胁检测和攻击检测,对于已遭受攻击或正在遭受攻击的整个过程进行溯源和取证。

5、安全运营中心

整个网络安全大脑(大数据、算法、人工智能)和网络安全四肢(网络安全设备及策略)共同组成了企业的网络安全运营中心。所谓运营,即把网络安全作为日常性工作来做,而非被动接受和紧急救火。整个运营中心的建设,依托网络安全设备、网络安全大数据平台、网络安全第三方资源、网络安全数据挖掘、数据分析和人工智能等相关技术手段实现,是一个系统化的科学工程,方案设计、建设和实施都比较复杂,很多情况下不是某一家或某几家安全厂商就可以实现的。实际上完成建设还有一个前提,就是标准和分享:即网络安全相关数据标准化并且能够开放相应的接口,然而现状是不同品牌的安全设备数据格式并不一致,多数安全设备不对外提供API接口。所以安全运营中心的建设注定是一个艰苦卓绝的过程,但前途绝对美好,这要求我们在进行企业网络安全建设时,要有安全运营中心建设的想法、思路和规划,在统一的规划设计下,选择最合适的产品和方案,联合最适合自己的供应商和厂商,结合自身安全工程师的技术实力和研发实力,共同建设企业网络安全运营中心。

三、企业安全服务中心

企业网络安全服务中心为企业网络安全运营中心的建设提供服务支持。企业安全服务中心以建设和提升企业网络安全能力为核心,为企业网络安全运营中心的建设和实施提供能力支持和支撑。

1604468243_5fa23e1342ad724de1e30.png!small?1604468212750

依托安全服务提升企业网络安全能力,安全服务的提供者包括企业内部网络安全团队和外部的第三方安全服务公司,主要包括以下五个内容:

  • 安全风险评估

对企业网络安全运行环境进行安全风险评估,及时识别风险并且进行风险分级,制定整改计划,优先控制高危风险。风险评估、风险定级等管理方法可参考网络安全管理篇中的3、网络安全风险评估/风险管理部分。

  • 安全渗透测试

对于公司重要应用系统、业务终端、重点网络区域进展安全渗透测试(包括业务安全漏方面),提早发现漏洞,进行整改,避免问题扩大化。

  • 安全应急响应

与安全服务团队或供应商签署安全应急响应协议,包括建立安全应急体系(安全应急手册、安全应急处理流程、安全应急通报等)、明确安全应急响应时间、服务内容等。建立安全应急响应机制,建议与靠谱的第三方安全服务公司合作。

  • 安全咨询服务

与专业的安全服务公司、安全专家签署安全咨询服务,对企业安全管理工作提供专业指导,包括从安全规划到安全实施落地和日常安全工作机制等。借助专业力量,更好地保障企业网络安全。

  • 安全培训服务

通过内训或外训的方式,建立起企业网络安全培训机制,通过网络安全培训服务,不断提升企业网络安全能力。

安全服务推动和提高企业网络安全能力。企业网络安全能力主要体现在以下五个方面:

  • 网络安全专业人才能力

网络安全专业人才及相关人员的网络安全专业能力是企业安全能力的直接体现。因为人才是安全服务中心和安全运营中心的主体,是两个中心的设计者、实施者和运维者,其专业水平的高低决定着企业网络安全能力的强弱。

  • 网络安全标准规范

网络安全相关标准、规范体系的建立是企业网络安全能力的基础之一,为企业网络安全工作提供标准化、规范化、流程的操作指南。是降低网络安全风险,减少网络安全故障的重要手段之一。

  • 网络安全全员意识

企业网络安全覆盖企业全体成员甚至是与企业有业务关联的第三方机构和人员。提升全员网络安全意识对提高企业网络安全整体能力水平,有着重要的推动意义。

  • 网络安全体系架构

网络安全体系是企业网络安全建设的实践指南,为网络安全建设提供行动指引,也是企业网络安全能力的具体表现。

  • 系统安全开发流程

应用系统作为网络安全的重要主体之一,是企业网络安全工作的重中之重。围绕应用系统全生命周期的系统安全开发流程和运维安全标准是企业网络安全能力的重要内容之一。针对此部分,SDL(安全开发生命周期)、DevSecOps(开发、安全、运维)是较为常见的落地实现方式。

整个企业网络安全服务中心,主要围绕建设企业网络安全能力模型,提高企业网络安全整体能力和实力,同时为企业网络安全运营中心提供智力支持。

——————————————————————————————————————–

作者简介:
战学超(Jan) ,某航空公司运维经理,高级架构师。曾任职于NEC软件、海尔集团。拥有丰富系统运维、系统架构经验,熟悉企业运维管理、系统架构、数据库架构、数据平台搭建、虚拟化、混合云部署及管理、自动化运维以及企业网络安全等。

1604468283_5fa23e3b2bf4510c79f67.png!small?1604468252638

来源:freebuf.com 2020-11-04 13:38:47 by: 18562607972

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论