十四五网络安全规划方案

网络信息安全规划

2020年11月

目录

一、概述.....................................................................2

1.1项目背景................................................................2

1.2编制依据.................................................................2

二、安全现状及需求分析.......................................................3

2.1安全现状................................................................3

2.2需求分析...............................................................3

2.2.1政策文件要求.....................................................3

2.2.2自身安全需求.....................................................5

三、解决思路..................................................................8

3.1持续改进................................................................8

3.2纵深防御...............................................................8

3.3闭环流程...............................................................9

3.4非对称..................................................................9

四、网络安全规划方案.........................................................9

2.1总体建设目标............................................................9

2.2参考安全模型..........................................................10

2.2.1IATF框架..........................................................10

2.2.2自适应安全框架...................................................10

2.2.3新时期的等级保护体系（等保2.0）.................................11

2.3总体建设内容............................................................13

2.4建设方案..............................................................14

2.4.1一期建设方案（“合法、合规”、“刚需”）.......................14

2.4.2二期建设方案（主动防御体系建设）...............................18

2.4.3三期建设方案（安全运营体系建设）...............................23

五、安全服务简介............................................................29

5.1安全力口固服务..........................................................29

5.2渗透测试服务..........................................................29

5.3风险评估月艮务..........................................................30

5.4漏洞扫描服务..........................................................32

5.5应急响应服务..........................................................32

六、安全建设任务汇总........................................................34

一、概述

1.1项目背景

即将到来的“十四五”，将是企业数字化战略的转型建设关键阶段，在此期间，数字经

济将全面深化。为践行《网络安全法》安全与信息化同步规划、同步建设、同步运行的三同

步思想，通过本次安全规划，建立从顶层设计、部署实施到安全运行的一整套网络安全新模

式，使网络安全向面向对抗的实战化运行模式升级。同时面对现在不容乐观的整体安全态势

及各种监管要求，开展企业的网络安全建设，补足和修复企业自身的安全短板；是整个社会

和国家发展的必然趋势。

1.2编制依据

《中华人民共和国网络安全法》

《关于加快推进国有企业数字化转型工作的通知》

《中央企业负责人经营业绩考核办法》

GB/T25058-2019《信息安全技术网络安全等级保护实施指南》

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》

GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

GB/T28448-2019《信息系统安全等级保护测评要求》

GB/T18336《信息技术-安全技术-信息技术安全性评估准则》

GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》

GB/T35281-2017《信息安全技术移动互联网应用服务器安全技术要求》

GB/T35273-2017《信息安全技术个人信息安全规范》

GB/T31167-2014《信息安全技术云计算服务安全指南》

GB/T31168-2014《信息安全技术云计算服务安全能力要求》

二、安全现状及需求分析

2.1安全现状

企业经过多年信息化工作和安全建设，建立了一套以实际业务安全需求和等级保护1.0

为基础框架的点状防御体系。公司网络基础设施已基本完善。整体网络架构采用三层层次化

模型网络架构，即由核心层、汇聚层和接入层组成，关键网络节点处均采用冗余双机。全公

司联网的办公用计算机数百台。公司现有io多套业务系统。整体安全建设现状拓扑图如下：

(1)互联网出口冗余部署有上网行为管理、负载均衡；

(2)各区域边界上部署有下一代防火墙，并严格按照业务属性、重要程度和安全级别

对区域进行边界划分和访问控制；(互联网出口、集团专网接入、服务器区)

(3)办公终端及服务器上部署有网络版杀毒软件和文档安全管控系统；

(4)外部用户采用VPN加密接入；

(5)机房部分部署有IT运维管理平台、动环监控；

(6)整体数据中心建设采用虚拟化平台的方式，平台采用分布式架构和资源虚拟化特

性为业务系统带来了极强的可靠性、稳定性；

(7)在数据备份层面，采用备份一体机和虚拟化平台备份的方式；

(8)在安全审计层面，采用运维审计系统和日志审计系统。

现状分析

传统的点状防御体系及被动防御思想在新的安全形势下，不足以应对新型攻击和复合型

攻击，同时在应对多源低频、业务逻辑漏洞、0DAY、自动化工具等攻击方式时也显的有心无

力；其次外部威胁变化过快，存在安全攻防不对等、安全技术能力不足、安全威胁动态变化、

难以及时响应等情况，会导致安全事件频发。

2.2需求分析

2.2.1政策文件要求

2.2.1.1网络安全法

在2017年颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全。

具体如下:

“没有网络安全，就没有国家安全”，《网络安全法》第二十一条明确规定“国家实行网

络安全等级保护制度”。各网络运营者应当按照要求，开展网络安全等级保护的定级备案、

等级测评、安全建设、安全检查等工作。除此之外，《网络安全法》中还从网络运行安全、

关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定：

网络日志留存:第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程,

确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等

危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，

留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上

述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果

的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系

统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立

即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事

件应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的，

会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元

以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

容灾备份：第三十四条第三项规定，关键信息基础设施单位对重要系统和数据库进行容

灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。

应急演练：第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急

预案，并定期进行演练。没有网络安全事件预案的，或者没有定期演练的，会被依照此条进

行责令改正。

安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安

全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估

情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检

测评估的单位要被责令改正。

关键信息基础设施的运营者网络安全保护义务：（一）设置专门安全管理机构和安全管

理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行

网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定

网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。

2.2.1.2国资委发文

（一）《关于加快推进国有企业数字化转型工作的通知》

国资委在2020年9月发布的《关于加快推进国有企业数字化转型工作的通知》中将网

络安全定义为国有企业数字化转型的四大基础之一-安全基础。在安全基础建设中指出要建

设态势感知平台，加强平台、系统、数据等安全管理。使用安全可靠的设备设施、工具软件、

信息系统和服务平台，提升本质安全。同时构建网络安全基础资源库，加强安全资源储备。

强化检测评估和攻防演练，加快人才队伍建设。

（二）《中央企业负责人经营业绩考核办法》

国资委于2019年修订印发了《中央企业负责人经营业绩考核办法》；考核办法较原先的

考核办法增加了对网络安全工作的考核，而且十分严厉，一旦企业发生网络安全事件将对企

业负责人的考核带来负面影响，直接影响其相关考核结果。同时考核办法中指出，国有资本

参股公司、被托管和兼并企业中由国资委管理的企业负责人，其经营业绩考核参照本办法执

行。简而言之除央企以外其他各地的国企可以参考本办法并结合自身的实际开展相关工作。

2.2.2自身安全需求

长期以来，由于政企机构网络安全体系的基础设施完备度不足，安全对信息化环境的覆

盖面不全、与信息化各层次结合程度不高，安全运行可持续性差、应急能力就绪度低、资源

保障长期不充足，导致政企机构在面对“当前数字化业务的平稳、可靠、有序和高效运营是

否能够得到充分的网络安全保障以及如何充分的保障网络安全是我们首要的关注问题。具体

安全需求如下：

2.2.2.1现有建设思路无法达到安全效果的预期

以往信息化工作一直存在着“重业务，轻安全”的情况，随着《网络安全法》相关法律、

法规的颁发和实施，网络安全的重要性有了显著提高，但于此同时，网络安全的建设工作依

然存在误区。在这些误区中，“重建设、轻管理”最为明显。“重建设”是指安全建设集中在

安全设备采购，部署后缺乏专人运维，导致发生安全事件时不能及时发现以及动态防护。“轻

管理”是指当前日常安全工作受限于人力配备、技术资源和能力、安全运维、威胁处置、应

急响应等经验不足，导致安全效果无法达到预期。

2.2.2.2高阶人才稀缺，安全事件无法有效处置

网络安全的本质是攻防对抗。攻击者会不断寻找防护方的弱点，防护方也需要不断研究

黑客思维，探索应对黑客攻击的方法，提升安全防护的能力和效率。随着攻防对抗的不断升

级，在攻击和防御的对抗中，攻击方通常掌握着主动性，而防御方必须具备能够和攻击方相

抗衡的智能。

网络安全是海量攻击手法和海量防御手法之间较量。意味着企业或组织要想拥有较多的

防御手法，就必须了解攻击的各个阶段，并根据各个攻击阶段评估下一阶段攻击手法，制定

防御措施。如网络攻击生命周期(CyberAttackLifeCycle)中，在执行攻击(Execute)

前，往往有侦察(Recon)和利用(Exploit),控制(Control)阶段。

LeftofHackRightofHack

「7y—而

勘R目懵送士武丹控制目金武总

•••••

内作武B攻整目懵通行景H

y

这就对单位安全人员提出了很高技术要求，既要了解攻击手法、又要精通防御手段以及

安全数据分析和高执行力。在现实情况下，单位内部培养高阶安全专家成本太高，培养时间

过长，即使培养出了个别高阶网络安全人才也极因各种原因造成人员流动，造成了单位的网

络安全领域高阶人才缺失。

其次，由于当前高阶安全专家的缺失，导致安全事件无法有效处置。单位内部现有安全

事件的识别基于安全设备，安全设备上只会给出描述疑似安全事件的安全日志，这会导致两

个问题：大量的安全日志需要进行研判，判断是否真实存在安全信息：安全设备上只有安全

日志，并无描述真实可行的处置建议，导致组织在面对安全事件时无法闭环处置，也无法持

续跟进安全事件处置情况。

2.2.2.3安全系统存在孤岛效应

为了应对不断升级的信息安全形势和安全威胁,大量企事业单位采用“加法式安全投入”

引入了一个又一个的安全产品；安全产品之间相互独立，导致了日志、告警、问题事件等信

息的相对独立，进一步导致了安全运维人员工作的相对独立：而安全运维人员的数量是大致

不变的，采购的安全产品越多，信息越多，信息孤岛效应越明显，表现为高信息量、高误报、

高运维压力。

2.2.2.4缺乏未知威胁和潜在威胁检测能力

目前企业内部署了很多安全设备和安全系统，这些安全设备系统主要基于特征、规则，

检测已知威胁没有问题，但是缺少长周期、行为分析、关联分析的未知威胁检测能力。

2.2.2.5传统安全服务无法满足现阶段实际安全需求

在安全措施无法保障该有的安全效果情况下，不少企业尝试采购第三方安全服务来保障

安全效果。但以往的安全服务服务水平参差不齐，服务效果不达预期，并无法满足实际网络

安全需求，主要存在以下问题：

服务周期不持续

以往的安全服务均为周期性服务，且服务间隔过大，无法应对持续性的安全威胁；从自

身单位的安全事件统计来看，业务系统遭受尝试性入侵的时间普遍集中在晚间，现有缺乏应

对措施。其次，服务周期过大还存在着另外一个安全隐患。以2018年统计数据为例，2018

年共计发现了超过15000个新漏洞，平均每天41个漏洞，服务周期一旦过大，会导致单位

内部的业务系统存在较多漏洞以及较长的漏洞利用时间。

服务实际安全效果不佳

周期性的第三方服务因为无法持续监测和主动威胁处置，会导致绝大多数安全事件发生

后，已经危害到实际应用层面才被发现，同时被动式的应急响应服务极大的延长了应急处置

的时间；整体安全服务存在时间滞后性和被动性，导致安全效果不佳。

传统持续性服务无法落地

传统的第三方服务，由周期性服务转变为持续性服务所带来的人员驻场、人员驻场办公

位置、人员人生安全、人员管理、服务成本剧增等问题，往往导致项目无法实际落地；

2.2.2.6互联网时代新增的安全需求

互联网+、云计算、大数据、物联网、移动互联等越来越多新应用的普及和落地，也带

来了新的网络安全需求。

2.2.2.7外部威胁推动

(1)国内外的反动势力、APT组织对国内企事业单位虎视眈眈，每到国家重大时节都

会针对性的对政府、企事业单位进行大规模攻击，散布反动言论。

（2）病毒、木马、蠕虫，以勒索病毒为例：从2017年以来蔓延之今，影响领域包括政

企部门、医疗服务、高校、公共交通、邮政等各行各业。

（3）信息泄露（企事业内部信息频频外泄引发负面舆情、徐玉玉案例、成都某卫生系

统泄露50多万条新生婴儿和预产孕妇信息案例、华住酒店5亿条数据泄露、菜鸟驿站一千

万条快递数据泄露等）。

（4）黑客攻击（伊朗核电站；乌克兰电网；中国等国某部委、大型能源央企蔓灵花事

件；网站被篡改、钓鱼网站、服务器被控制、APT攻击、挖矿病毒等）。

三、解决思路

3.1持续改进

在解决安全问题的过程中，不可能一劳永逸。从早期的防火墙、防病毒，入侵检测，到

现在的态势感知、威胁情报，智能分析，安全防御技术本身并没有革命性变化，本质上还是

开发检测规则，异常模式识别。实际上，安全产品、安全技术需要不断的随着攻击手段的发

展而升级，也需要有人来运营，否则安全防护会成为稻草人，马奇诺防线，在变化的攻击手

段前不堪一击。

早期基于系统漏洞利用的攻击是主流，安全防护对应以防火墙和入侵检测为主，对互联

网只开放少量端口，互联网资产管理主要是IP和端口的管理。随着攻击主流转变为Web攻

击，安全防护对应升级为Web安全防护，出现了Web应用防火墙（WAF）,互联网资产管理也

相应转变为对第三方应用和开发使用框架为主，不再是旧有的资产管理概念。有效的安全是

持续改进，针对变化的安全形势和矛盾进行调整。

3.2纵深防御

在各种入侵案例中，基本都是利用Web应用漏洞，攻击者获得低权限WebShell,然后

通过低权限的WebShell上传更多文件，并尝试执行更高权限的系统命令，尝试在服务器上

提升权限为Root,并进一步横向渗透，获得更多内网权限。在这个典型的攻击路径中，在任

何一个环节设置有效的安全检测和防御措施，都可能导致攻击被检测和阻止。目前在安全防

护技术没有革命性发展下，企业内部防御采用纵深防御体系，从网络层、应用层、传输层、

系统层、用户层、数据层进行层层防御，能为我们提供良好的网络安全环境。

3.3闭环流程

为了使网络安全有效，企业组织还必须考虑合理的利用人员和流程。当组合成单个集成

框架时，基于安全工具、人员和流程的重叠策略将产生最有效的防御。在闭环流程上以安全

事件为导向，从事前、事中、事后三个维度对安全事件进行全生命周期管控。最终构建一套

包括预测、检测、防御、处置响应、溯源可持续的闭环流程。

3.4非对称

对于攻击者来说，只要能够找到企业系统的一个弱点，就可以达到入侵系统的目的，而

对于企业信息安全人员来说，必须找到系统的所有弱点，不能有遗漏，不能有滞后，才能保

证系统不会出现问题。这种非对称是造成黑客和安全防护人员思维方式不同的根本原因，这

种非对称，也是组织信息安全工作难做的根本原因。破坏永远比建设容易。安全防护人员也

需要非对称思维。如使用基于攻击欺骗的蜜罐系统，通过在黑客必经之路上构造陷阱，混淆

其攻击目标，精确感知黑客攻击的行为，将攻击火力引入隔离的蜜罐系统，从而保护真实的

资产。通过蜜罐系统记录攻击行为，获取攻击者的网络身份信息、指纹信息，对攻击者及攻

击行为进行取证和溯源，及时阻断攻击。

四、网络安全规划方案

2.1总体建设目标

经过有步骤有计划的分步安全建设，以满足合法合规为基础安全体系框架，通过解决真

实存在的安全风险，辅以安全技术、安全管理、安全能力的提升；最终形成一套动态的可持

续的主动防御体系；以网络安全中的安全事件为导向，对安全事件的事前、事中、事后进行

全生命周期管控，通过事前监测、预警、风险评估、漏洞修复；事中防御处置；事后应急响

应、威胁处置、取证溯源、漏洞验证、安全复测、事件报告等手段；构建一套动态可持续运

转的安全运营体系，以此达到对抗动态安全风险的目的。

2.2参考安全模型

2.2.1IATF框架

IATF,《信息保障技术框架》（IATF：InformationAssurance[s'fuarans]Technical

Framework）是美国国家安全局（NSA）NationalSecurityAgency制定，用于描述其信息

保障的指导性文件。2002年，我们国家973”信息与网络安全体系研究”课题组将IATF3.0

版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的

参考和指导作用。

SuccessfulMissionExecution

InformationAssurance

PeopleTechnologyOperations

RobustandIntegratedSetof

InformationAssuranceMeasuresandActions

IATF提出的信息保障的核心思想是纵深防御战略（DefenseinDepth）。在纵深防御

战略中指出，人、技术和操作（operations也可以译为流程）是三个主要核心因素，要保

障信息及信息系统的安全，三者缺一不可。人是信息系统的主体，是信息系统的拥有者、管

理者和使用者，是信息保障体系核心。

2.2.2自适应安全框架

自适应安全框架（ASA）是Gartner于2014年提出的面向下一代的安全体系框架，以应

对云大物移智时代所面临的安全形势。自适应安全框架（ASA）从预测、防御、检测、响应

四个维度，强调安全防护是一个持续处理的、循环的过程，细粒度、多角度、持续化的对安

全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防

御机制。

MM

风舱评*S

险犯皿REt击

系统*na量热s

«*«

螳甘，偏址第12改

■应

相对于PDR模型，自适应安全框架（ASA）框架增加了安全威胁“预测”的环节，其目

的在于通过主动学习并识别未知的异常事件来嗅探潜在的、未暴露的安全威胁，更深入的诠

释了“主动防御”的思想理念，这也是网络安全2.0时代新防御体系的核心内容之一。

2.2.3新时期的等级保护体系（等保2.0）

为配合《中华人民共和国网络安全法》的实施，同时适应云计算、移动互联、物联网和

工业控制等新技术、新应用情况下网络安全等级保护工作的开展，2019年5月130,

《GBT22239-2019信息安全技术网络安全等级保护基本要求》正式发布。

国家等级保护制度是以保护国家关键信息基础设施为重点的全新网络安全基本制度体

系，为有效应对国际网络空间安全形势，新时期的等保不仅保护对象的范围扩大而且要求更

加细化，具有以下突出的特点：

>变被动防御为主动防御

变静态防御为动态防御

变单点防御为整体防御

变粗放防御为精准防御

2.3总体建设内容

本次安全规划通过完善现有防御体系；采用主动防御理念，依托大数据分析平台、人工

智能、行为分析、欺骗防御、威胁事件管理等技术手段，结合第三方安全服务提供全方位、

全天候、全时段的主动防护体系，保护组织核心业务不被网络攻击中断，保障组织核心业务

数据不被窃取。在对已知威胁有较强的防御能力外，对于未知威胁也具有一定的防御能力。

项目整体建设内容如下：

时期目标具体指标

1、“合法”、“合规”：以等保2.0、《网络安

全法》、《关键信息基础设施保护条例》等

满足“合法”、“合

政策法规为标准，从安全技术、安全管理

第一期规”要求的同时，解

2个方面进行查漏补缺；

（2021年）决当前环境下的网络

2、刚需：补充有效的安全验证机制验证当

安全“刚需”

前安全防护是否有效，并对发现安全风

险进行控制和修复；

1、建设统一安全管理平台，将全网孤立、碎

片化的信息，汇聚、关联为可视化的信息

安全事件；为全网安全威胁，预警、防御

应急处置提供技术支撑。

第二期构建动态可持续的主

2、依托于统一安全管理平台，引入第三方

（2022年）动防御体系

周期性的安全运维服务，利用专业技术

人员为纽带将整体防御体系动态运转。

3、针对对外发布的WEB应用构建主动防护

措施；

1、以资产管理、漏洞管理、威胁管理、事件

管理四个维度对全网进行安全运营；完

善主动防御体系，使各个环节、流程形成

安全闭环；达到全天候、全时段的动态安

全防护体系，以持续不间断动态运转的

第三期构建全方位的安全运

安全体系对抗动态的安全风险。

（2023年）营体系

2、构建欺骗防御体系，欺骗恶意用户，拖

延、误导攻击者的攻击行为，给予事件检

测和响应更多的缓冲时间；收集攻击信

息、查找内部僵尸、木马、蠕虫、恶意访

问等。

2.4建设方案

2.4.1一期建设方案（“合法、合规”、“刚需”）

2.4.1.1设计思路

结合企业网络现状、安全风险、自身需求，参照等级保护IS027000的体系标准；结合

《网络安全法》及行业政策发文对网络安全建设的影响，充分考虑到当前网络安全建设的远

景规划和发展，建设符合国家政策法规、能抵抗基本安全风险的综合安全体系。

2.4.1.2建设内容

本次一期项目建设内容分为2个部分：

一、是参照等级保护制度、网络安全法及行业主管部门的相关发文，对现有安全技术体

系、安全管理体系进行差距分析，依据差距分析的结果进行安全建设和整改。

二、是引入第三方有效的安全验证机制，验证当前安全防护是否有效，并对发现的安全

风险进行控制和修复；

2.4.1.2安全建设

2.4.1.2.1基础安全技术框架

网络安全等级保护制度是我国网络安全领域的基本保障体系，从合法合规层面来讲所有

的网络安全建设都必须参照网络安全等级保护制度的要求。参照《信息安全技术网络安全

等级保护基本要求》第三级的标准对企业司网络空间环境进行整体差距分析；针对差距分析

的结果，从物理安全、安全区域边界、安全通信网络、安全计算环境、安全管理中心及管理

安全等方面着手，完善管理制度、优化安全策略、调整网络结构、增加必要的软硬件设备或

系统。

其中，部分差距分析中发现的安全风险问题，可以通过修改设备配置、优化部署方式、

完善策略部署、修复漏洞、升级更新组件、加强管理措施得以解决，其他的整改内容则需要

新购软硬件设备或系统进行项目建设才能完成。

参照《信息安全技术网络安全等级保护基本要求》第三级的要求，差距分析及安全建设

建议如下:

序

控制项控制点安全建设建议

号

1.安全区域b）应能够对非授权设备私自联到内部网络白源期攻入认证或IP/Mac

边界-边界进行限制或检查；绑定f勺技术方式，实现

防护

C）应能够对内部用户非授权联到外部网络白j徐勇i人证、防私接、非法

进行限制或检查；外联木立测等功能。

2.安全区域d）应限制无线网络的使用，确保无线网络通无线局域网需与有线网

边界-边界过受控的边界防护设备接入内部往来络设置明显的网络边

防护界，边界之间通过安全

网关进行安全防护。

3.安全区域b）应在关键网络节点处对垃圾邮件进行检在已有出口网关上配置

边界-垃圾测和防护，并维护垃圾邮件防护机制的升级垃圾邮件检测和防护策

邮件防范和更新。略、定期升级特征库；

4.安全区域C）应采取技术措施对网络行为进分析，实现部署能基于行为、流

边界-入侵对网络攻击特别是新型网络攻击的分析量、风险事件等不依

防范靠特征库、规则进行

分析的安全设备

5.安全管理a）应启用安全审计功能，审计覆盖到新翔数据1荤审计系

中心-安全对重要的用户行为和重要安全事件进行甯游;对数加库运维、

审计用型量计

b）审计记录应包括事件的日期和时间

件类型、事件是否成功及其他与审计在1关的信息；

6.安全管理d）应分散在各个设备商的审计数据进部署综合三志审计

中心一集中行收集汇总和集中分析，并保证审计记系统，所有日志留存

管控录的留存时间符合法律法规要求时间不低于・6个月

7.安全管理a）应划分出特定的管理区域，对分布网络中划分出安全

中心一集中在网络中的安全设备或安全组件进行管理区

管控管控

8.安全管理f）应能对网络中发生的各类安全事件设置统一安全管理

中心-集中进行识别、报警和分析。中心，对各类安全事

管控件、威胁信息汇总分

析，识别、报警。

2.4.1.2.2网络安全管理体系

安全管理内容涉及：信息安全政策、信息安全组织、信息资产分类与管理、个人信息

安全、物理和环境安全、通信和操作安全管理、存取控制、系统的开发和维护、持续运营管

理等等，是一个庞大、复杂的系统工程。仅仅依靠技术手段来对业务应用系统进行安全保障，

这样的思想是非常错误。必须要做到“领导重视，严格执行有关管理制度，建立信息安全

防范意识，技术手段切实可行、有效”，做到“技管并重”才有可能做到真正意义的信息安

全。

从系统的管理和运维者的角度来看，技术层面和管理层面必须相互结合、配合良好,

其中，尤其需要强调管理的重要性，应以“七分管理，三分技术”的配比来设计安全体系。

技术层面通过部署相应的安全产品或技术手段实现，管理层面则需要完善的信息安全管理

组织机构、严格的信息安全管理制度和人员安全意识和技能培训、考核等手段来实现。

管理安全要求包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安

全运维管理等五部分内容。

建议：参考《信息安全技术网络安全等级保护基本要求》的要求，结合单位已有管理

制度和实际情况，建立和完善网络安全管理制度体系，建立满足自身信息安全要求、合理、

有效的安全管理制度体系。

2.4.1.2.3现有安全风险控制

根据木桶原理，木桶所能容纳水的多少是由木桶壁中最短那块木头决定的，同样，一个

网络系统中最主要的威胁是由最薄弱的安全漏洞决定的，往往解决最主要的安全问题可以使

系统的安全性有很大提高。现有安全风险控制旨在解决当前环境下真实存在的安全威胁问

题。定期的安全验证有利于及时发现、评估、修复、确认和改进安全防护体系中的脆弱点。

定期的安全风险控制能不断提升整体的安全防护能力。

安全风险控制采用结果验证的方式;结果验证是通过多种渠道安全渗透机制和攻防对抗

演习等，先于对手发现自己的漏洞和弱点。多种渠道安全渗透机制目前常见的就是第三方服

务机构和安全众测，攻防对抗演习需要企业组织具有较高攻防技能的安全人员，也可外聘外

部专业机构完成，用于检测安全技术和安全管理框架的有效性。

注：结果验证指安全风险评估、渗透测试、攻防演练等。

2.4.1.3其他安全建设要求

《中华人民共和国网络安全法》

参照2017年6月1日实施的《中华人民共和国网络安全法》对网络运营者的要求，文

件要求及安全建议如下:

适

用

序单位安全建设建

号

主条款号要求

区分议

体

1.国家实行网络安全等级保护制度。网等级保护测

非关二十一

络运营者应当按照网络安全等级保评、整改、备

键信条

护制度的要求，履行安全保护义务。案

息基

2.二十一（三）采取监测、记录网络运行状态、网部署综合日

础设

条-第络安全事件的技术措施，并按照规定留存志审计系统

施单

三项规相关的网络日志不少于六个月；

位

定

网

3.三十四（二）定期对从业人员进行网络安全教定期安全技能/

络

条-第二育、技术培训和技能考核；安全意识/安全

运

项规定认证培训

营

三十四（四）制定网络安全事件应急预案，并定定期应急演练

4.者

关键

条-第四期进行演练：

信息

项规定

基础

5.关键信息基础设施的运营者应当自行或定期风险评估

设施

者委托网络安全服务机构对其网络的安及风险控制

单位

第三十全性和可能存在的风险每年至少进行一

八条次检测评估，并将检测评估情况和改进措

施报送相关负责关键信息基础设施安全

保护工作的部门。

注:（1）国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

（2）关键信息基础设施的定义：参照2019年发布的《关键信息基础设施安全保护条例》

（征求意见稿）关键信息基础设施单位范围如下

>政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公

用事业等行业领域的单位；

>电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大

型公共信息网络服务的单位：

>国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

>广播电台、电视台、通讯社等新闻单位；

>其他重点单位。

（3）国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别

指南。国家行业主管或监管部门按照关键信息基础设施识别指南，组织识别本行业、本领域

的关键信息基础设施，并按程序报送识别结果。关键信息基础设施识别认定过程中，应当充

分发挥有关专家作用，提高关键信息基础设施识别认定的准确性、合理性和科学性。

2.4.2二期建设方案（主动防御体系建设）

2.4.2.1设计思路

以自适应安全框架为安全模型，构建具有持续的基于异常的安全动态检测与响应能力，

并在此基础上做到对安全风险事件的预测和控制。结合安全技术、人员、闭环流程的补充,

建立一套可运转、可持续的主动防御体系，实现高安全等级结构化保护，改变被动防护的局

面。

2.4.2.2建设内容

二期项目建设内容为构建人机结合分析、持续监测、安全事件流程闭环为核心的主动安

全防御体系；具体建设内容分为以下3个部分：

一、建设以大数据分析、机器学习技术为基础的态势感知平台；打破传统被动防御体系

中的信息孤岛，以态势感知平台作为主动防御体系中的安全大脑，统筹全网安全态势和安全

建设工作；

二、依托于态势感知平台的数据支撑，引入闭环流程和人员服务,建立对安全事件事前、

事中、事后的全生命周期管控；

三、根据主动防御体系设计理念，补充针对WEB应用和数据库的主动防御措施。

2.4.2.3安全建设

2.4.2.3.1态势感知平台

基于大数据技术平台，对企业内部全面的安全信息（包括互联网出口防火墙、服务器区

防火墙、专网接入防火墙、上网行为管理设备、负载均衡、日志审计系统、杀毒软件等安全

设备进行集中采集、存储和分析，在满足国家和行业合规要求的基础上,利用人机交互分析、

智能分析引擎、和可视化等手段，结合丰富的威胁情报，对企业面临的外部攻击、内部违规

行为进行检测，为企业建立快速有效的威胁检测、分析、处置能力和全网安全态势感知能力，

使得企业的信息安全可知、可见、可控。具体需要实现未知威胁防护、威胁发现和快速响

应、事件统一管理、信息安全自动运维、内部行为审计、资产脆弱性检查、安全事件溯源取

证，具体功能如下：

未知威胁防护：利用大数据分析的模型算法和处理能力，对海量的信息进行连续、实时

计算，利用统计分析、关联分析和机器学习等多种技术手段来检测流量和用户行为的异常模

式，发现潜在威胁。

威胁发现和快速响应：加入威胁情报，大幅缩短威胁发现时间，降低组织风险；通过短

信和邮件快速响应信息安全告警，大幅缩短响应时间；支持设备联动，通过平台告警和处置

建议，快速进行防御策略变更。

事件统一管理：事件（日志、网络流）统一管理，提供安全事件的监控，分析，处置和风

险评估的统一平台；实现安全事件分析的统一化，集约化；可根据组织的安全事件的实际处

理流程将流程固化到平台中，通过预设的响应方式实现信息安全事件实时，提高运维效率。

信息安全自动运维：将原始事件信息转译成通俗易懂的字段，轻松读懂事件内容；支持

任意字段分类统计，便于安全分析；通过事件归并和关联模型匹配，降低安全事件误报率;

支持原始事件分级，重点关注海量事件中的重要和告警事件；提供多种分析图表，通过事件

关系图、事件和弦图、事件河流图，轻松进行安全事件分析；支持事件显示字段自定义，关

键信息尽收眼底；安全分析可视化，降低分析人员的技术成本及时间成本。

内部行为审计：内部员工有意或无意的违规行为能够及时准确的发现；内置内部用户违

规威胁分析模型，广泛覆盖多种内部场景。（内部人员不满破坏系统、欲离职人员窃取数据

等）；违规行为精确定位到人；违规行为看得见、看得懂。

资产脆弱性检查:对资产脆弱性具有自动化检查功能,并能提供相应的解决方案知识库。

安全事件溯源取证：基于攻击链模型，将告警之间的时序关系、因果关系进行关联分析，从

而还原整个攻击链；通过告警追踪，关联事件列表直接展示。

2.4.2.3.2安全事件闭环

依托于态势感知平台和平台厂商线上运营平台，通过持续监测的方式，可以7*24小时

不间断，永不休息监测单位的网络安全状态，全面认识安全事件的全貌并及时跟进闭环。在

线上无法处置的安全事件，及时反馈给线下人员，能够第一时间进行安全处置，能降低和最

大力度控制安全隐患和风险。

整体事件闭环模型如下：

(1)事前流程

持续监测.实现方式：线上人员7*24<h时监测J鬻

方式：平维筋测所胁情报£

方式:第三募翁

赢赢F配心现方式：第三方安全服务

(2)事中流程

线下处置：本地线下人员处置(远程或现场)

(3)事后流程

通过线上人员实时监测安全威胁，在威胁不可控时线

下人员主动应急响应

线下人般全威胁的清蝴排查

结合态势感知平台线下人员对安全事件进行溯源取证

事后

线下人员对导致安全事件的安全漏洞迸行修复

线下人员针对修复的漏洞开展安全复测

朝安全事件，对全流程信息进行j匚总和分析，出具

事件报告

2.4.2.3.3WEB应用主动防御

我们可以将企业网络的边界初略的分外部互联网环境和内部局域网环境;外部互联网环

境主要承载着企业对外发布的WEB应用和整个企业的网络通讯传输；内部局域网环境为企

业内部的日常办公所需的基础网络环境；企业的互联网访问及对外发布的WEB应用连通了

内外网络，内外网络连通的同时带来了网络安全威胁；据调研目前网络安全攻击有75%都是

发生在Web应用层而非网络层面，如何做WEB应用这第一道安全防线是我们安全建设的重

中之重。

同时随着互联网时代的飞速发展，新兴自动化攻击工具的不断涌现及大规模传播(burp、

sqlmap、scan,kalilinux等)，导致网络安全攻击门槛大幅降低，给我们的网络安全带来

了更严重的安全威胁。目前这类新兴自动化攻击占所有恶意攻击流量的百分之90%且传统

针对•WEB应用攻击的防护手段，无法应对目前多源1P和低频率的攻击手段，更无法识别业

务逻辑漏洞和模拟合法用户的非法操作行为；

基于现阶段企业面临的大环境下我们外部WEB应用的防御能力至少要包含以下2个内

容：一、传统WEB应用防护能力、二、主动防御能力；

(1)传统WEB应用防护能力

基于规则的SQL注入、WEBSHELL,XSS攻击、命令注入、阈值、行为规则等；具

备防御常见己知WEB应用安全攻击能力。

(2)主动防御能力

>准确的识别非法用户，对非法用户的访问进行严格的安全控制

>基于行为的分析能力；具备对日志、流量、威胁行为的分析能力，同时需

具有多条件的关联分析能力(设备指纹、协议等)

>具备隐藏WEB网页路径及可能的攻击入口能力

2.4.2.3.4数据库防火墙

数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御

技术，数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进

行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡

绕过企业网络边界（FireWall、IDS\IPS等）防护的外部数据攻击、来自于内部的高权限用

户（DBA、开发人员、第三方外包服务提供商）的数据窃取、破坏、损坏的等，从数据库SQL

语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全

访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

数据库防火墙核心功能如下：

屏蔽直接访问数据库的通道：数据库防火墙部署介于数据库服务器和应用服务器之间，

屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。

二次认证：基于“连接六元组【机器指纹（不可伪造）、IP地址、MAC地址、用户、应

用程序、时间段】"授权单位，应用程序对数据库的访问，必须经过数据库防火墙和数据库

自身两层身份认证。

攻击保护：实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止

攻击行为，同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代

码等详细信息。

连接监控：实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开

指定的连接。

安全审计：系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、

请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提

供灵活的回放日志查询分析功能，并可以生存报表。

细粒度权限控制：按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有

者，及基于表、视图对象、列进行权限控制

精准SQL语法分析：高性能SQL语义分析引擎，对数据库的SQL语句操作，进行实时捕

获、识别、分类

自动SQL学习：基于自学习机制的风险管控