前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全工作頂層設計研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

當前，網絡與信息安全工作的重要性已經逐漸被接受，網絡安全相關產業進入一個黃金發展階段，各行業都在加強網絡安全工作投入，上線各種安全設備和系統，提高應對各種安全威脅的能力。各行業在網絡安全領域“大干快上”的同時，都非常注重網絡安全頂層設計，以指導各領域網絡安全工作的開展，光大銀行也不例外，在2006年、2008年、2013年分別請BCG、德勤、畢馬威設計網絡與信息安全管理相關規劃。目前，光大銀行網絡與信息安全工作內涵和外延都較之幾年前發生巨大變化，網絡安全頂層設計也是呼之欲出。本文將圍繞當前安全形勢背景、頂層設計方向、頂層設計框架方面進行論述。（2017年《中華人民共和國網絡安全法》正式實施后，行業內將原有的信息安全、網絡與信息安全等稱謂逐漸改為“網絡安全”，本文以下內容均采用“網絡安全”一詞。）

一、網絡安全頂層規劃的內外部因素分析

1.網絡安全已經上升到國家安全層面，安全監管力度空前

隨著《中華人民共和國網絡安全法》在2017年6月1日正式實施，以及等級保護2.0標準、個人信息保護規范、國家關鍵基礎設施保護條例等一系列網絡安全相關法律法規出臺，指示的“沒有網絡安全，就沒有國家安全”要求得到貫徹。網絡安全合規是企業必須重視的重要工作內容。

2.新技術廣泛應用帶來網絡安全管理挑戰

當前，云計算、大數據、物聯網、移動互聯、人工智能等金融科技已在銀行業廣泛應用，其在提升業務競爭力的同時，也給銀行網絡安全保衛工作帶來新的挑戰。網絡安全管理的對象、技術和范圍都發生很大變化，等保2.0標準中專門增加了云計算、移動、大數據等方面的安全保護要求，對業務規模較大、IT應用程度較高的銀行而言，網絡安全復雜度和工作量成倍增長。

3.外部網絡攻擊模式發生巨大變化

外部網絡攻擊已經從普通網絡犯罪發展為組織級和國家級對抗，攻擊的戰場從網絡和系統變為“云大物移工”新技術平臺，打擊的目標從系統變為應用邏輯和數據，攻擊武器變為威力更大的勒索蠕蟲、高級威脅APT、供應鏈攻擊等，企業網絡安全防護與保障壓力倍增。

4.企業網絡安全防護對象、防護手段均呈現“碎片化”

外部網絡安全形勢發生巨大變化，企業內部情況也不容樂觀。金融機構防護對象復雜且分散，防護手段有防病毒、防泄露、數據漂白、網絡防火墻、應用防火墻、IDS、郵件安全網關、黑客溯源、網絡準入等，各類安全設備和系統防護策略不統一，各自為戰。防護對象和防護手段的雙重“碎片化”，使企業缺少全局洞察和集中管控手段，難以將安全防護要素貫穿全過程，導致防護失衡。

5.安全人員相對短缺

社會上網絡安全管理人員短缺，企業安全管理人員普遍配置不足。

二、網絡安全頂層設計的目標

各企業做好網絡安全工作要著眼于網絡戰，應將日常網絡安全管理工作上升為網絡安全保衛工作。在設計網絡安全頂層規劃時，一定要側重網絡戰，要有危機意識和憂患意識，要敢于作出判斷：內部系統一定還有沒被發現的漏洞、一定有已經發現但還沒有修補的漏洞、系統已經被滲透、內部人員是不可靠的。光大銀行網絡安全頂層規劃的目標就是打贏“企業層面”的網絡戰，提升“能攻善守”的能力。“能攻善守”的能力可以具化為三點：適應新技術應用的能力、應對多樣化未知威脅的能力、滿足監管機構合規監管需求的能力。

三、基于能力導向的網絡安全頂層規劃框架

為網絡戰而生的網絡安全頂層設計應突出攻防兼備，體現出積極防御相關的網絡安全工作。網絡安全頂層設計框架如圖1所示。上述網絡安全頂層規劃模型通過建立一個分類框架，將與網絡安全防御相關的各類工作都納入到框架中整體考慮，解決“淘汰演進”給業界帶來的長期困擾，從更系統化的“疊加演進”視角考慮整個防御體系。

1.基礎安全

基礎安全是指原有傳統安全加固相關的網絡安全管理工作，這部分非常重要，是整個網絡安全工作的基礎，具體包括安全組織管理、安全制度管理、網絡安全域劃分、安全配置加固、云平臺內生安全、大數據安全、IT資產管理、安全架構、安全基線、安全漏洞管理、開發生命周期安全等。基礎不牢地動山搖，這部分工作應長期重視且必須做好。

2.被動防御

被動防御是指靜態的安全防護設備和系統，這部分靠設備內置的安全策略監控、抵御內外部安全威脅，是網絡安全防護體系的重要一環。具體包括縱深防護體系設計、傳統安全防護設備（網絡防火墻、應用防火墻、入侵檢測、防病毒網關、防病毒軟件、網絡安全準入等）。以上兩部分是偏靜態的綜合防御，即我們常說的“傳統防御體系”。

3.積極防御

積極防御強調人的參與，要求安全分析人員通過監控和響應網絡威脅，利用自動化工具完善防御體系。具體包括安全分析、追蹤溯源、響應處置、安全威脅建模、安全攻防技術研發等。

4.安全情報

情報的重要性不言而喻，準確的情報將使網絡攻防效果事半功倍，從海量日志中收集、提煉有效的安全威脅和攻擊線索形成情報，引領基礎安全、被動防御和積極防御工作，使整個網絡安全防御體系動起來、活起來。具體工作包括各類日志信息收集、清洗、分析，整合外部情報等。

5.進攻防御

最好的防御就是進攻，但對企業而言，攻擊對手不是重點，而是應配合監管機構、公安部門做好進攻反制的準備。具體包括法律手段、證據收集、網絡空間對抗技術儲備等。這三個舉措是偏動態的積極防御，是企業要努力建設攻防兼備防御體系中的重要內容，是企業未來增量人力、增量資金密集投入的領域。上述頂層框架規劃滿足了網絡安全工作全面覆蓋、安全一體化和應對網絡戰要求，通過這個頂層框架可以有效支撐以下三個能力：一是具備適應新技術應用的能力。通過基礎安全部分工作，在新技術應用的規劃、建設和維護過程中充分考慮網絡安全防護，通過三同步以及管控關口前移解決新技術引入的網絡安全綜合防御。二是具備應對多樣化、未知威脅的能力。通過被動防御、積極防御和安全情報三部分工作，可以有效應對各類網絡攻擊，達到知己知彼、百戰不殆。三是具備滿足監管機構合規監管需求的能力。在參加等保2.0標準和國家關鍵信息基礎設施保護培訓中，多個監管部門均提出企業應建立安全態勢感知和運營平臺，并與監管機構系統互連，建立上下貫通的安全管理信息中心。通過積極防御部分工作，企業可以滿足監管機構轉向主動監管的改革需要。

作者:楊增宇 單位:中國光大銀行信息科技部