黨的十八大以來，我國網(wǎng)絡安全政策法規(guī)體系不斷健全，相關工作機制日趨完善，政企單位對網(wǎng)絡安全工作的重視程度愈發(fā)凸顯。建設適合政企單位的網(wǎng)絡安全管理體系，制定行之有效的運行保障機制和安全管理機制，是做好網(wǎng)絡安全工作的基石。

政企單位網(wǎng)絡安全現(xiàn)狀

近年來，政企單位不斷強化信息化對業(yè)務的支撐保障能力，不斷完善信息化基礎設施，信息化賦能工作取得明顯成效。但由于缺乏網(wǎng)絡安全工作頂層設計和工作規(guī)劃，重建設、輕運營管理，特別是在網(wǎng)絡安全方面主動防御能力還有差距，運維管理人員缺乏對網(wǎng)絡安全工作的監(jiān)督指導，進而引發(fā)網(wǎng)絡安全隱患。如何構架一套適合政企單位的網(wǎng)絡安全管理體系，實現(xiàn)“攻擊進不去，數(shù)據(jù)取不走，事件能追溯，業(yè)務能恢復”的安全運營目標，并實現(xiàn)落地和有效運營，是當前面臨的重要課題。

政企單位網(wǎng)絡安全管理體系框架構建

隨著網(wǎng)絡安全技術的發(fā)展，網(wǎng)絡安全管理模型也在不斷發(fā)生變化，包括早期基于時間防護檢測響應的PDR模型與PPDR模型、IATF提出的信息保障技術框架模型、Gartner提出的ASA安全架構模型、美國系統(tǒng)網(wǎng)絡安全協(xié)會（SANS）發(fā)布的網(wǎng)絡安全能力滑動標尺模型，以及我國相關信息安全專家組提出的WPDRRC模型等。然而，上述傳統(tǒng)、單一的動態(tài)模型在執(zhí)行層面往往缺乏一些抓手，較難做到管理和技術的融合。

基于上述考慮，本文借鑒WPDRRC模型，以人防、技防、物防為縱深防御核心要素，提出政企單位網(wǎng)絡安全管理體系框架，以發(fā)現(xiàn)問題、解決問題為目標，逐步形成自上而下、縱深防御的管理格局，持續(xù)提高網(wǎng)絡安全保障和運營能力。

1.基于人防、技防、物防核心要素的網(wǎng)絡安全管理體系

基于人防、技防、物防的網(wǎng)絡安全管理體系包括三大要素和六大環(huán)節(jié)。其中，三大要素為人防、技防和物防。六大環(huán)節(jié)包括預警、保護、檢測、響應、恢復和反擊。

人防聚焦以人為核心。由人產(chǎn)生的網(wǎng)絡安全風險遠比技術風險更加難以處理。因此，以管理制度為抓手，牽住人員管理的“牛鼻子”，實現(xiàn)“人能管，能管人”的工作機制，可進一步提高運行保障能力。

技防聚焦以技術為支撐。技術是貫穿于人、產(chǎn)品與六大環(huán)節(jié)的紐帶。網(wǎng)絡安全保障工作專業(yè)性強、技術性高，需依托專業(yè)的服務，以技術為支撐，持續(xù)開展監(jiān)測運行、應急處置、溯源反擊、加固整改等工作，實現(xiàn)網(wǎng)絡安全保障的閉環(huán)。

物防聚焦以產(chǎn)品為抓手。網(wǎng)絡安全的管理制度、實施策略、管理手段和技術能力均依靠軟、硬件產(chǎn)品實現(xiàn)。因此，需構建適當?shù)木W(wǎng)絡安全環(huán)境架構，充分發(fā)揮網(wǎng)絡安全產(chǎn)品的效能，做到按需配置，物盡其用。

監(jiān)測預警、防護、檢測、響應、恢復和反擊六大環(huán)節(jié)始終貫穿于“人防、技防、物防”三個核心要素中，環(huán)環(huán)相扣，互相融合，如圖1所示。

圖1 網(wǎng)絡安全管理體系

2.基于人防、技防、物防核心要素的網(wǎng)絡安全管理體系構建實踐

“人防”要素如下：

一是制定網(wǎng)絡安全管理制度。政企單位在編制網(wǎng)絡安全管理制度時，應依據(jù)國家法律法規(guī)、方針政策以及上級主管單位有關要求，并結合單位業(yè)務實際情況制定。這些制度通常可以分為政策方針類文件、規(guī)章制度類文件、技術標準類文件，以及流程、表單、記錄類文件。其中，第一層為政策方針類文件，它是網(wǎng)絡安全的指導性文件，也是指導開展網(wǎng)絡安全工作的依據(jù)。第二層為規(guī)章制度類文件，它是落實政策方針類文件。應當結合本單位具體的業(yè)務情況和所需要的安全防護等級制定，通常應包括機房管理、人員管理、賬號管理、運維管理及應急管理等內(nèi)容。第三層為技術標準類文件，它是開展具體網(wǎng)絡安全工作的規(guī)范性、操作性文件，也是網(wǎng)絡安全策略和制度的細化和補充。操作規(guī)程的內(nèi)容應當明確、具體且具備可操作性，不能背離已制定的網(wǎng)絡安全策略和管理制度。第四層為流程、表單、記錄類文件，此類文件主要是開展網(wǎng)絡安全運維工作的記錄、表單類文件。

二是實現(xiàn)人與管理的協(xié)調統(tǒng)一 。人員管理應包括對內(nèi)管理與對外管理。對內(nèi)管理包括網(wǎng)絡安全主管部門人員和單位其他員工的管理，對外管理是針對服務外包人員的管理。網(wǎng)絡安全主管部門人員需具備相應的網(wǎng)絡安全工作經(jīng)驗，同時熟悉網(wǎng)絡安全管理的各項規(guī)章制度，并能夠做好制度落實過程中的有效監(jiān)督工作。內(nèi)部員工網(wǎng)絡安全教育工作可按照持續(xù)開展、長期培養(yǎng)、循序漸進的模式開展?？蓪⒕W(wǎng)絡安全意識培訓納入新員工培訓課程，讓每一位員工了解到網(wǎng)絡安全工作的意義。在員工在職期間，應強化安全意識培訓；在員工離職階段，要做好離職脫敏工作，及時回收賬戶權限并進行廉潔保密提醒談話。針對服務外包人員，應按照“事前預防、持續(xù)評價、能換能退”原則進行管理。政企單位網(wǎng)絡安全主管部門要統(tǒng)籌服務外包人員工作分配和日常管理，明確外包人員的權限范圍，要求外包人員所在單位制定適合項目的安全操作規(guī)范，明確在工作范圍內(nèi)開展服務工作。

三是建立健全督查機制。根據(jù)相關法律法規(guī)、外部標準和內(nèi)部規(guī)范，梳理出督查重點內(nèi)容與檢查標準，形成網(wǎng)絡安全督導檢查閉環(huán)（如圖2所示），不斷降低網(wǎng)絡安全風險。通過制定年度檢查計劃，采用常規(guī)檢查、專項重點自查，以及定期抽查相結合的方式，圍繞制度落實、網(wǎng)絡安全意識、業(yè)務連續(xù)性和應急響應等方面，開展督查整改工作，檢查舉措落地情況。

圖2 監(jiān)督檢查閉環(huán)管理流程

“技防”要素如下：

一是風險評估。風險評估工作通常包括資產(chǎn)調研、安全基線檢查、漏洞掃描、滲透測試，以及新業(yè)務上線前的安全檢查。對于信息系統(tǒng)來說，實現(xiàn)安全可靠并不能通過一次評估而一勞永逸，而是需要實行科學、嚴格的運維工作，持續(xù)進行漏洞分析、風險評估和安全加固等工作。

二是網(wǎng)絡安全運維。在日常運維工作中，既要監(jiān)測設備運行狀態(tài)，更應關注事件審計及日志分析。日志分析應包含安全日志、運維日志和合規(guī)類日志，通過對日志進行綜合分析，及時發(fā)現(xiàn)安全隱患并持續(xù)進行安全加固。安全加固包含操作系統(tǒng)、數(shù)據(jù)庫、中間件的安全加固，漏洞補丁升級，賬戶和口令的加強，以及訪問控制策略的增強等。由于加固工作往往需要關閉和重啟系統(tǒng)，在執(zhí)行前，一定要經(jīng)過必要的測試，做好備份和應急措施準備工作。

“物防”要素如下：

一是合理配置網(wǎng)絡安全資產(chǎn)。政企單位應根據(jù)具體應用場景和風險進行評估，選擇適當?shù)募夹g與安全產(chǎn)品，并進行適當配置、實施和管理，以提供全面的網(wǎng)絡安全防護。

二是充分利用網(wǎng)絡安全資產(chǎn)。政企單位應確保防病毒系統(tǒng)、防火墻、IPS（入侵防御系統(tǒng)）、堡壘機、漏掃系統(tǒng)、日志審計，以及態(tài)勢感知等產(chǎn)品的規(guī)則庫和病毒庫的及時更新與維護，確保具備持續(xù)監(jiān)測或防御最新安全風險的能力。動態(tài)調整物理安全策略和人員訪問控制權限，不斷減少信息系統(tǒng)暴露面。做好數(shù)據(jù)備份策略，并定期開展備份恢復演練工作。

結語

當前，我國數(shù)字化轉型、網(wǎng)絡化重構、智能化提升、產(chǎn)業(yè)化升級加速發(fā)展，新基建下的萬物互聯(lián)對網(wǎng)絡安全工作提出更嚴峻挑戰(zhàn)。

本文根據(jù)政企單位常見的安全問題，通過人防、技防、物防三個要素提出政企單位網(wǎng)絡安全管理體系框架，并就人員管理、網(wǎng)絡安全督查機制與技防體系給出工作建議，提出工作抓手。只有采取合理的工作機制，才能達到積極作用，希望本文對其他單位的網(wǎng)絡安全管理工作帶來啟發(fā)和參考。隨著新技術的發(fā)展與應用，網(wǎng)絡安全漏洞將被持續(xù)挖掘，網(wǎng)絡安全攻擊將不斷迭代發(fā)展，網(wǎng)絡安全保障工作需要常抓不懈。

來源：《網(wǎng)絡安全和信息化》雜志

作者：國家知識產(chǎn)權局專利局專利審查協(xié)作天津中心 王琳 呂東

『每天智案』提供標準原文件，資料已上傳知識星球（78730971），會員可前往下載！

# 免責聲明 # 來源：『每天智案』，本平臺所載文章為本賬號原創(chuàng)或根據(jù)網(wǎng)絡搜索下載編輯整理，文章版權歸原作者所有，僅供讀者學習、參考，禁止用于商業(yè)用途。因轉載眾多，無法找到真正來源，如標錯來源，或因文中所使用的圖片、文字、鏈接等如有侵權，請聯(lián)系我們刪除，謝謝！