◆曹鲲鹏 蒋国兵

CSF网络安全框架全面保障客户网络安全

◆曹鲲鹏 蒋国兵

（中兴通讯 江苏 210012）

CSF网络安全框架从风险识别（IDENTIFY）、安全防御（PROTECT）、安全检测（DETECT）、安全响应（Response）和安全恢复（RECOVER）五大领域定义了组织应有的安全考虑和控制，可以全面保障内部的网络安全，并为全球诸多政府和组织采用。本文描述了中兴通讯工程服务领域依据CSF进行安全治理的经验和成效，提供了可复制的经验。

网络安全；CSF框架；识别；保护；检测；响应；恢复；网络安全生态圈

当前，由美国国家标准和技术研究院NIST（National Institute of Standards and Technology）制定的Cybersecurity Framework（下文简称为CSF）被包括美国、意大利和以色列在内的其他国家/地区作为其国家网络安全准则的基础，同时也被越来越多的政府和行业支持，并作为任何组织（无论其部门或规模如何）使用的推荐网络安全标准。

CSF框架由五大领域组成，即风险识别（IDENTIFY）、安全防御（PROTECT）、安全检测（DETECT）、安全响应（Response）和安全恢复（RECOVER）（见图1），包含了管理网络安全相关风险的系列标准（如ISO27001、COBIT、NIST SP800等）、指南和最佳实践，目前已成为全球认可的权威安全评估体系。

中兴通讯工程服务于2019年正式引入该网络安全框架，并在对应领域建设和提升相关能力，全球局点的专业安全交付能力得到客户认可。

1 IDENTIFY（识别）

实施安全保护的前提是识别应保护的对象（即资产）及对应的风险。工程服务过程中，要保护的资产包含部署在现网的软硬件设备、客户数据、文档、工具、可移动介质等，形态各异。按照NIST SP800系列、GBT 20984等业界标准，完整的资产风险识别包括但不限于技术漏洞本身。

基于上述指引，中兴通讯制定了适用于工程服务领域的科学风险评估程序。

目前，该程序已面向全球多个项目启用。工程服务人员对包含物理环境、人员、安全意识、管理流程、软硬件、服务、应急响应程序等进行完整的价值（取决于安全三要素：机密性、完整性与可用性）、威胁、脆弱性分析并根据识别的衍生风险和组织风险策略确定合理的管控举措，可以极大地降低或规避运营商客户的网络安全风险。

表1 典型资产的威胁、脆弱性、风险以及对应管控举措举例

资产价值威胁脆弱性导致的风险风险管控举措 个人工作设备高恶意软件未安装防病毒软件病毒感染风险降低：按照要求统一安装集防病毒和恶意软件检测为一体的多功能安全软件，并对特定的合作伙伴群体进行入、离场和例行安全审计，确保电脑安全无毒接入客户网络 现网运行设备很高黑客攻击未及时安装相关补丁和进行安全加固设备被攻击后导致数据泄露风险降低：定期安装补丁和安全加固，并确保账号密码的复杂性和定期更新 工程服务人员高社会工程学专家的欺骗、恐吓、冒充等缺失相关社会工程学防范意识无意泄露客户敏感信息风险降低：包括邮件、电话在内的社攻模拟演练，持续加强人员的安全意识 ..................

2 PROTECT（保护）

依据CSF框架，中兴通讯在工程服务过程中对客户网络设备等重要资产采用了纵深防御的安全防护。

第一道防线是物理安全。工程服务人员在进入核心机房等网络安全敏感区域时，需严格遵守公司与客户的物理安全要求，避免因接触无关人员或进行不当行为而造成信息泄密等。

第二道防线是访问控制。在交付领域，主要体现在登录账号和密码的安全使用。对此，中兴通讯制定了完整的流程规范，如“一人一账户”，“分权分域”，“密码复杂度”、“密码连续输错多次后自动锁定”、“定期修改”、“禁止跨设备使用相同密码”、“项目组人员变动时的账号禁用或注销”等。同时，中兴通讯还会定期进行随机的规范实施检查，确保落地。

第三道防线是对重要数据的安全传递、存储和使用。中兴通讯产品软件均从指定的支撑网站下载，升级前会进行病毒扫描和完整性校验，确保未发生病毒感染和内容篡改。对客户授权后临时存储在本地个人工作电脑上的客户数据，工程服务人员严格按照中兴通讯要求进行数据分级并进行对应的安全存储（如加密等）。对客户网络数据的回传，则在遵循所在地法律法规的前提下，在客户授权后采用SFTP、SSHv2等协议进行安全传输。

3 DETECT（检测）

随着内外部威胁的复杂性增长和持续变化，如果保护措施一成不变，客户网络设备的防护能力会逐渐降低甚至变得无效，最终不可避免导致安全事件。因此，对保护措施的定期检测和持续提升需要设备提供方和网络运营者持续关注。

中兴通讯产品在交付前会进行基线和相关加固配置，并在通过客户或第三方的严格安全测试后才允许正式商用。运维期间，除了配合客户定期的漏洞扫描和其部署在网络中的IDS/IPS/SIEM等安全设备的使用，中兴通讯还按照合同承诺定期对网络设备进行包含攻击检测在内的安全检查并配合客户重大活动进行专项安全保障。

不仅如此，中兴通讯的某些特定产品还集成了白名单程序功能：该功能在成功捕捉到入侵者成功在设备上启动木马、病毒等恶意应用时，会即时进行预警。

4 RESPOND（响应）

类似于故障，安全事件发生并被识别后，如何快速响应非常重要。目前，中兴通讯拥有遍布全球的客户支持中心（Customer Support Center）系统。CSC系统支持工程服务人员7*24小时对识别的安全事件快速上报并标记为安全事件，并根据填报的严重等级和预设的服务等级协议（Service Level Agreement，简称为SLA）自动转至对应产品的安全专家并输出匹配的遏制、缓解及根除的方案。

5 RECOVER（恢复）

当安全事件不可避免地发生后，如何快速有效地恢复需要与相关方进行充分沟通与协调，从而最大程度减少安全事件本身带来的负面影响和破坏程度。同时，因安全事件的特殊性，如何确保服务等级协议SLA（Service Level Agreement）达标的同时又不破坏攻击现场，及时留存证据，并对攻击链进行源头追溯等，需要平衡考虑。

中兴通讯各产品均制定了详尽的包含网络攻击在内的突发情况的应急预案，有明确的责任人和处理要求，同时定期进行内部应急演练，确保满足客户预期。在攻击事件发生后，安全专家会第一时间介入，指导现场人员迅速对网络进行隔离并进行根因排查，确保恢复业务的同时完好留存相关攻击信息。

6 结束语

安全是一个需要持续投入、持续演进、持续提升的系统性工程。除了依托CSF框架全面提升交付能力的安全性和可信性，中兴通讯工程服务领域还贴近客户安全需求，积极协同供应链和产品领域共同打造一体化网络安全生态圈，构建面向客户的运营安全体系架构，为网络安全全面保驾护航。

[1]NIST. Framework for Improving Critical InfrastructureCybersecurity V1.1[R].

[2]NIST. Guide for Conducting Risk Assessments-NIST Special Publication 800-30 Revision 1[R].

[3]Start with Security-A Guide for Business Lessons Learned from FTC Cased.

[4]NIST. Computer Security Incident Handling Guide-NIST Special Publication 800-61 Revision 2[R].

[5]郭鑫.信息安全风险评估手册[M].机械工业出版社，2020.

[6][美]ShonHarris，FernandoMaymi.CISSP认证考试指南（第7版）[M]. 清华大学出版社，2018.01.