◆马玉成 周莉 周继辉 杨志兵

（青海省市场监督管理局 青海 810000）

1 基础条件

近年来多部门整合成为一种趋势，然而信息网络基础环境参差不齐，安全等级和潜在风险各不相同，存在着安全建设割裂，脆弱面无法控制等问题。其次，各应用系统之间的数据接口安全[1]、主机安全、应用安全、安全边界划分等均存在不同程度的风险[2]。为此，将信息安全建设作为业务信息化发展的“护航措施”，坚持以安全风险精准分析为前提，以安全合规为基本目标，以全周期立体防护为建设核心，以主动发现潜在高危风险为防护导向，结合信息安全管理体系和组织流程设计，逐步构建全网安全运营体系，实现网络安全的综合治理和闭环管理，为业务信息化飞速发展保驾护航。

2 规划研究

2.1 能力应用方向

聚焦信息化系统业务类型和需求，梳理、汇总本部门信息系统安全建设内容，围绕“体系合规，面向实战，常态保护”的安全建设目标，结合《网络安全法》[3]，网络安全等级保护，《信息安全管理体系要求》等法规和建设标准，重点建设四方面网络安全能力暨统筹风险能力：制定体系化的风险控制机制统筹各类风险，针对各类威胁构建防御、检测、响应闭环，将网络安全风险控制在可接受程度；精益安全能力：制定基于信任等级授予特定访问权限，并持续监控访问过程，调整信任等级和访问权限，基于信息化系统的实际业务访问和数据交换需求，建立精益信任控制能力；持续推进能力：构建持续的安全推进能力，承接内外部安全需求，整合安全建设中各类技术，形成聚焦“人员-技术-流程”的安全运营机制，以保障安全能力落地，提升安全运行效能；人机共智能力：对不断变化的内外部威胁和访问行为模式，以及技术手段和流程要求，需要具备对已知场景进行学习，进一步推理未知问题，提出解决方案的能力。需要借助人员能力、机器能力、人工智能等分析、应用手段，对未知威胁进行分析研判，同时为工作人员提供辅助分析和决策支撑。

2.2 安全建设方面

基于安全能力建设方向，聚焦业务保护，以“体系合规、实战有效、常态保护”为目标，规划信息系统网络安全建设框架，包含：“目标、能力、措施、实践”四个层次，自上而下牵引安全能力落地。目标层以“体系合规，实战有效，常态保护”为建设目标，能力层构建四方面安全能力，措施层形成技术、管理、运营三方面措施手段，实践层实现面向合规遵循、实战对抗、业务保护等具体需求场景。

2.3 建设分析

为了明确建设内容，规划建设阶段，将四方面能力细分为多个功能模块，创新网络安全微服务架构，每一个功能模块对应一个安全建设实践点。功能模块落地实践过程划分为三个阶段，分别是结构化安全，自适应安全，智慧化安全，依次对应逐渐增强的安全能力。将当前已具备的安全能力对标，得到当前安全能力现状。同时用相同方法描述目标应具备的安全能力项。目标与现状间缺失的安全能力项，定义为能力差距暨现阶段建设内容。进一步将建设内容按照建设时间细分为三个阶段，分别是完善结构化安全能力，全面构建自适应安全能力，初步具备智慧化安全能力。当前建设阶段位于全面构建自适应安全能力的中期。

3 建设实战演练

信息系统安全建设通过建立自适应安全为核心理念的网络安全管理与运营机制，在已有安全建设基础上，主要建设成果包括以下几个方面：

3.1 构建基本风险控制闭环能力

通过下一代防火墙、态势感知检测响应、安全云端、安全运营平台，初步构建“网-端-云-平台”一体化框架进行风险控制闭环。框架中，下一代防火墙、态势感知检测响应等网络和端点安全设备持续采集网络和端点侧流量日志，安全云端和本地安全运营平台通过发现和关联流量日志中各类攻击威胁失陷标志，找出入侵攻击链，进一步在网络和端点侧进行控制处置，切断攻击链。

3.2 建立初步的信任评估和控制机制

以上网行为管理和SSL VPN 设备组件为基础，对接各类型终端，入网前基于设备状态和身份信息进行信任等级判定。并建立内部应用访问身份认证机制。下一阶段工作通过零信任技术建立更全面的访问前信息采集和持续评估能力，进一步打通网络、应用、数据访问的身份和信任判决及控制。

3.3 建立本地化安全运营能力

基于安全运营平台，将全网终端威胁、网络攻击及业务系统安全通过大屏可视化的方式呈现，结合外部安全服务专家专属服务化的方式，实现了网络安全的闭环响应与处置，同时为内部人员提供信息安全知识与技能，沉淀本地知识经验库；基于安全运营平台分析结果进行决策，指导各部门开展网络安全工作；通过网络安全运营平台指导安全建设，提供安全策略优化指导，全面提升系统安全运营能力。

3.4 构建针对未知威胁防控的人机共智能力

基于本地安全运营平台、下一代防火墙、态势感知检测响应等设备组件中人工智能算法，借助安全云端的全球威胁情报和安全大数据分析辅助，初步构建针对已知和未知Web 攻击、僵尸网络、各类型病毒、漏洞利用、部分APT 攻击和异常业务行为的检测识别能力。

通过演练成果应用，实现了满足等级保护2.0 合规要求，具备在实战化攻防对抗中抵御攻击、快速恢复能力，同时日常服务运维过程中对各类型业务和数据提供常态化安全防护。

4 创新性与价值

信息系统安全建设基于自身信息化业务需求和网络安全监管法规要求，以“体系合规，面向实战，常态保护”为目标，“统筹风险，精益安全，持续推进，人机共智”为安全能力构建方向，逐步推进建设落地。规划建设过程，体现了以下几方面特色和优势：

（1）体系化统筹，从高层要求、监管法规等业务和内外部需求出发，从风险、安全、推进、智能四方面，体系化地规划安全能力和落地过程[5]。

（2）全面保障，整个建设理念和框架覆盖的保护对象从物理环境，到网络、主机、边界等各层面，并对各类型业务和场景具有普适性。

（3）面向未来，利用人机共智的三位一体能力，以及阶段性演进的成熟度坐标，规划面向未来的能力演进体系。

（4）有效落地，创新网络安全微服务架构，提升自动化管理效率，利用专家服务和辅助决策降低人员门槛，进一步通过可视化指标体系呈现安全建设绩效。

5 结束语

通过信息化、数字化手段为业务构筑高质量发展基石应用，在这一过程中，面对内外部威胁的不断增加，合规监管日趋严格，人员能力水平有限等挑战，聚焦信息化系统业务类型和需求，以系统、全局、科学的方式进行网络安全统筹规划、建设落地，有效提升信息系统安全防护能力和运行效能，为各业务系统提供高质量的网络安全防护和数据共享安全。