<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    奇安信&Gartner《數字化轉型需要內生的安全框架》:打好基礎是前提

    VSole2021-10-21 15:56:36

    “任何新技術的出現和應用都不是憑空的,都是要有一定的土壤和環境,比如要考慮到先期的基礎安全建設。”面對數字化轉型對政企機構運營模式帶來的顛覆性轉變,日前,奇安信&Gartner發布《數字化轉型需要內生的安全框架》報告(以下簡稱《報告》),重點強調網絡安全建設工作在追求新技術的同時,更要打好基礎。同時,《報告》還重點對比了國內外網絡安全建設差異化現狀,提出了一種更具中國特色的、切實有效的網絡安全建設體系。

    奇安信&Gartner《數字化轉型需要內生的安全框架》

    擁抱新技術要打好基礎 面對新挑戰需要內生安全

    數字化轉型為網絡安全帶來更多新威脅、新挑戰,舊有的網絡安全建設模式已經無法滿足業務和安全要求,國內外領先的組織和研究機構開始關注安全技術新趨勢,幫助組織機構的管理者采取相應的技術措施和建設工作,以適應時代背景下更復雜、更龐大、更具價值的安全需求。

    “新的安全技術越來越強調協同和聯動。”對此,《報告》強調:“需要注意到,我們在關注安全技術新趨勢的時候,更要考慮到應用這些安全新技術的基礎。”跟緊前沿技術,必要的前提工作就是安全基礎的積累。

    就國內網絡安全建設工作而言,各組織機構繼續建設高水平的新安全能力來應對新挑戰。《報告》提到,早期的網絡安全建設大多是圍墻式的,隨著業務與信息化的融合深入,人們開始在內部業務系統的IT環境中部署更多安全措施,結合內外部安全大數據,采用外掛式安全建設提升整體防護能力。

    無論是圍墻式還是外掛式,都無法做到業務與安全真正融合,其本質仍然是傳統防護手段的組合、疊加。政企機構的信息化建設,需要一種新的安全思維,即本身與信息化環境相融合的能力,具有內在“抵抗力”的內生安全思想,也是我國數字經濟發展所需要的全新的網絡安全建設思想。從用戶業務需求出發,圍繞其核心業務形成自適應、自主、自生長的新安全能力,真正解決數字經濟時代的業務安全問題。

    網絡安全建設差異化明顯 “十四五”帶來破局新契機

    在網絡安全建設差異化現狀層面,《報告》指出,我國網絡安全建設發展差異主要集中在兩個方面,即我國和歐美國家之間、國內政企機構之間的差異。一方面,與起步早、成熟度較高的歐美市場相比,我國網絡安全建設在網絡安全基礎結構、安全管理、安全運營等方面處于構建和完善階段,安全技術的研究和應用情況也存在很大差別。

    而另一方面,在國內早期等保合規與應對威脅的驅動下,網絡安全呈現“應對合規、局部整改”的特點,導致國內各行業的安全建設與發展出現明顯差別,如電力、金融等領域的安全保障水平國內領先,甚至已經與國際水平相接軌。國內政企機構之間的發展差異集中體現為,網絡安全的高度體系化仍然只存在于小部分領先組織,各政企機構在基礎設施完備度、安全對信息化環境的覆蓋面、安全與信息化各層次結合程度、安全運行可持續性、應急能力就緒度、資源保障等方面差異明顯。

    概括來說,我國網絡安全建設和發展階段與歐美截然不同,國內各政企機構之間的安全建設及安全基礎積累更是差異明顯。彌合安全能力基礎積累的差異并有效落地內生安全,是對我國網絡安全建設的新挑戰。

    當前,我國網絡安全建設發展迎來機遇期,“十四五”規劃及國家統籌下相關法律法規、政策制度的密集出臺,從發展與治理兩個方面,為我國網絡安全基礎能力提升、數字化轉型帶來破局契機。對此,政企機構應牢牢把握機遇,以頂層設計的視角考慮安全建設現狀與差異,有效落地內生安全,兼顧我國網絡安全建設現狀與技術發展新趨勢。

    以奇安信內生安全框架為土壤 承接技術發展新趨勢

    “高水準的網絡安全規劃尤其需要一套行之有效的方法論和框架作為指引。”《報告》建議,首先在方法論方面,可將以企業架構(EA,Enterprise Architecture)為代表的系統性方法論用于網絡安全;其次,在安全框架方面,需能以系統工程方法論結合“內生安全”理念而形成的建設框架,以引導政企機構規劃和建設網絡安全,使其從外掛走向內生、從“走形式”轉向“實戰化”,適應數字經濟的發展。

    圖 奇安信內生安全框架


    在上述背景下,奇安信全面分析了國內外網絡安全態勢和我國政企面臨的挑戰,結合政府、央企、金融等大型機構面臨的普遍性需求,借鑒國內外網絡安全最佳實踐,吸收最新網絡安全技術研究成果,提出面向“十四五”期間的新一代企業網絡安全框架,即內生安全框架,為政企機構提供從“甲方視角、信息化視角、網絡安全全景視角”出發的頂層規劃與體系設計思路與建議。

    《報告》介紹,內生安全框架包括網絡安全能力體系、規劃方法論與工具體系、能力化組件模型、建設實施項目庫、政企機構網絡安全技術部署參考架構、政企機構網絡安全運行體系參考架構等多個組件,這些組件可被用于政企網絡安全規劃的不同階段,并隨著安全建設項目實施逐步融入信息化環境,從而構建體系化安全能力。更重要的是,內生安全框架可以為新技術的持續引入、創新提供“土壤”,使得新技術在體系化網絡安全環境充分發揮效能。

    總體而言,國際網絡安全技術新趨勢對我國網絡安全建設具有重要參考價值,但我們應綜合考慮發展差距和差異化現狀,牢牢把握時代發展契機,選擇具有中國特色的、符合發展需求的內生安全框架這一方法論,從而切實指導各政企機構網絡安全建設,提升實戰化運行能力,有效保障數字化業務發展。

    網絡安全網絡安全防護
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    一文學習主流網絡安全行業主流模型
    2024-01-05 16:55:50
    企業安全 截至 2023 年,75%的安全漏洞是由身份、訪問或權限管理不善造成的。
    大型國有企業網絡安全宣貫教育工作淺析
    2022-04-03 13:14:10
    實戰攻防繃緊網絡安全弦。“警鐘長鳴”才能居安思危,紅藍隊就是敲鐘人,必須讓隊伍在急難險重的工作任務中經風雨、見世面、壯筋骨。
    民航機場系統的網絡安全問題及關鍵技術思路
    2022-03-05 22:29:53
    2015年10月,日本成田機場與中部機場遭到黑客攻擊。所幸是在深夜時分,沒有對機場營運造成影響。機場人員隨后關閉遭入侵的電腦和廣播系統,使用擴音器通知乘客以及以“手工”方式辦理登機等手續,部分航班被迫延遲起飛。2017年6月,烏克蘭首輔國際機場再次遭受到勒索病毒的攻擊,機場信息系統癱瘓,導致大量旅客滯留機場,航班大面積延誤。在具體實施時,可根據自身系統的安全保護級別進行調整。
    電網企業網絡安全防護體系建設探討
    2021-08-09 07:30:00
    網絡安全領域,紅藍對抗中一方扮演黑客、另一方扮演防守者進行網絡安全實戰演練。在攻防演練中,紅軍模擬真實的攻擊來評估企業當前防護體系的安全水平,藍軍對發現的問題進行優化整改。通過周期性的紅藍對抗,可持續性提高企業在攻擊防護、威脅檢測、應急響應等方面的能力。建立網絡安全督察通報體系。
    工業互聯網設備的網絡安全管理與防護研究
    2022-08-24 13:22:33
    工業互聯網是新一代信息通信技術與工業體系融合的產物,將推動“人、機、物”的泛在深度互聯和全面感知。隨著工業互聯網設備的網絡化、數字化、智能化應用不斷泛化,設備自身網絡安全設計、應用過程管理與防護逐漸成為關注重點。
    菏澤市城管局舉行網絡安全攻防演練
    2022-07-25 11:20:13
    為做好網絡安全保障,加強網絡安全防護,有效發現網絡安全風險并及時化解,7月20日,菏澤市城管局舉行網絡安全攻防演練。據悉,本次演練邀請了菏澤市網絡安全資深專家組成網絡安全紅隊攻擊人員,在真實網絡環境下模擬黑客的攻擊手段對菏澤市城市管理局信息系統開展實戰化攻擊。在不影響業務的情況下,攻擊隊伍可對菏澤市城市管理局的官方網站、智慧城管等進行網絡攻擊,試圖入侵系統,獲取權限并可進行內網滲透。
    網絡安全服務產業研究綜述
    2021-09-09 15:24:15
    隨著網絡空間安全上升為國家戰略,安全需求已由單一的軟硬件產品提供轉向全面專業的安全運營服務模式,各安全廠商爭先提出安全運營整體解決方案,安全即服務成為網絡安全產業發展重點。通過對網絡安全服務的國內外產業發展現狀進行分析,結合工程實踐提出針對網絡安全全生命周期的服務體系,并從技術創新和商業模式創新兩個方面對網絡安全服務產業發展提出建議。全面的分析和研究網絡安全服務的產業現狀、體系和發展建議,對完善優
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类