《浅析基于网络安全滑动标尺模型的建筑企业网络安全体系建设.docx》由会员分享,可在线阅读,更多相关《浅析基于网络安全滑动标尺模型的建筑企业网络安全体系建设.docx(5页珍藏版)》请在第一文库网上搜索。
1、浅析基于网络安全滑动标尺模型的建筑企业网络安全体系建设摘要:近年来,建筑企业的信息化建设进程不断的加快,信息化的管理手段在推动企业现代化管理进程的同时,也暴露出一些网络安全问题。本文根据建筑企业信息化的特点和安全需求,探索借助网络安全滑动标尺模型逐步构建企业网络安全防护体系。关键词:建筑企业;网络安全;滑动标尺;网络安全防护体系Abstract:Inrecentyears,theinformatizationconstructionprocessofconstructionenterpriseshasbeenacce1erated.Informatizationmanagementmethod
2、shavea1soexposedsomenetworksecurityprob1emswhi1epromotingthemodernizationmanagementprocessofenterprises.Accordingtothecharacteristicsandsecurityrequirementsofconstructionenterpriseinformatization,thispaperexp1oresthegradua1constructionofenterprisenetworksecurityprotectionsystemwiththehe1pofthenetwor
3、ksecuritys1idingsca1emode1.Keywords:constructionenterprise;cebersecurity;s1idingsca1e;cebyersecurityprotectionsystem1 .引言信息技术革命和经济全球化的发展,建筑企业间的竞争已经转为技术和信息的竞争,随着建筑企业业务的快速增长、企业信息系统规模的不断扩大,建筑企业对信息技术的依赖性也越来越强,建筑企业是否能长期生存、业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代建筑企业发展创新的
4、必然要求,网络安全能力已成为建筑企业核心竞争力的重要部分。没有网络安全就没有建筑企业信息化安全,在借力信息化完成企业管理升级的同时,网络安全问题不断出现,如病毒的侵入、黑客的攻击、信息资产泄露等。如何科学、系统化的建设企业网络安全防护体系,促进企业信息化领域安全防护能力提升,值得深入研究。2 .国内建筑企业信息化安全建设存在的问题二十一世纪以来,我国的建筑行业步入自动化阶段,到2008年我国建设“水立方”采用Bw技术,标志着我国建筑行业从自动化阶段向信息化阶段过渡,近几年发展较为迅猛,通过信息化技术整合建筑企业信息管理,充分的将以互联网为基础的项目信管系统和专项技术软件运用结合起来,在企业运营
5、、工程施工中实现管理的信息化。随着移动互联网、大数据、云计算、人工智能等新一代信息技术的快速发展及其在建筑企业不断的深入应用,互联网上承载的数据和信息越来越丰富,这些数据资源已经成为建筑企业的新生产要素,丰富的应用场景下暴露出越来越多的网络安全风险和问题,并产生广泛而深远的影响,例如,近几年频繁发生的勒索病毒攻击、数据泄露等事件,给建筑企业运营与发展带来巨大的挑战。企业在信息化网络安全建设工作中主要存在以下几个问题:2.1 重设备部署轻架构安全当前建筑企业在信息化安全建设上,仍把网络安全设备部署作为安全防护体系建设的主要抓手,对网络及信息系统自身的架构安全缺乏重视。架构安全是网络与信息系统的“
6、自身肌体健康”问题,是整个网络安全的根基,可视为网络安全“木桶的底板”,没有安全的“底板”,讨论木桶“长板”“短板”没有任何意义。2.2 重硬件采购轻安全运营信息技术为企业现代化管理带来红利的同时,也对信息系统运提出了更高的运营要求。现阶段,多数建筑企业还未能就信息安全岗位人员的上岗标准和能力水平作出明确的要求。在实践中,因管理人员的信息安全事件应急处置能力不足,应对网络攻击的方法不当,导致系统瘫痪、核心数据丢失等问题时有发生,直接影响到企业信息化管理的建设水平,甚至给企业造成巨大的经济损针对上述问题,企业迫切需要引入新思路、新技术和新方案来对现有的网络安全防护体系进行改造,应更好的应对新形势
7、下的网络安全威胁。3 .网络安全滑动标尺模型网络安全滑动标尺模型(TheS1idingSca1eofCyberSecurity)是针对网络安全活动和投入进行详细探讨的模型。该模型包含五大类别:架构安全、被动防御、主动防御、威胁情报和进攻,如图1所示:在系统塌划.建立和缰护在无人员介入的A1况下,附分析人员对处于所伤修向枚SI1Hr将IS掘利用标对抗攻击者的法城反的过程中充分考虐安全防加在系统藻梅之上可供持络内的*初遂行注控.换为信息,并将信息生产制羯.自卫反击行护续的IC胁防御或JtMX1,力度.学习(经蛤)和应用MI动III111111UUII1UIIWIu111IW1IWI11111的系统
8、S1iR(SMI)的过理图1网络安全滑动标尺模型网络安全滑动标尺模型与传统的PDR、P2DR和IATF等安全模型相比,建立了一个分类框架,该模型包含了架构安全、被动防御、主动防御、威胁情报和进攻五大类别,各类别相互配合实现网络安全提升。整体安全体系的建设是一个非割裂的连续过程,该模型使用了标尺,模型中用于属于各个类别的措施与相邻类别密切相关,左侧的安全能力是右侧的安全能力的基础和依赖,协同联动成整体的安全能力。4 .建筑企业网络安全防护体系建设探索4架构安全:用安全思维规划、构建和维护系统应首先明确建筑企业IT系统要支撑的业务目标,网络安全体系建设应该为这些目标提供支撑。架构安全设计阶段的目的
9、是要使信息系统能安全、可靠、稳定的运行,从而为企业业务发展提供支撑。架构安全指在用安全思维规划、构建和维护系统。安全的系统设计是基础,在此之上才能开展其他方面的网络安全建设。建筑企业网络规模庞大,在构建网络系统初,应该根据信息的性质、使用主体、安全目标和策略等元素进行分级、分区、分域,并采取相应的安全策略控制。不同的安全区域根据业务需求设置细粒度的防护策略。科学、合理的架构,可以降低攻击面,最大程度地减少攻击者进入企业内部网络与信息系统的机会。4.2 被动防御:提供持续威胁防护架构安全本身并非防御措施,无论架构有多完善,攻击者一旦找到机会便会绕过架构,发动攻击,因此在架构安全的上层,构建被动防
10、御系统非常必要。被动防御位于架构安全的上层,为系统提供持续威胁防护和洞察且无需经常人工互动的系统,如部署第二代防火墙、反恶意软件系统、入侵防御系统、防病毒系统、入侵检测系统等安全系统,为企业网络与信息化安全提供资产防护、填补或缩小已知安全缺口,减少与威胁交互的机会,并提供威胁洞察分析。4.3 主动防御:自学习,快速响应建筑企业信息化网络安全体系构建在完成了从“安全架构”到“被动防御”建设后、将进入到“积极防御”的阶段。“架构安全”是网络与信息化的根基,“被动防御”则是提升攻击成本的有效途径,而第三阶段“积极防御”是对“被动防护”能力的补充,用于对抗更为复杂的高级威胁。主动防御阶段主要是通过引入
11、机器自学习结合人工分析,对黑客攻击行为对企业网络与信息系统发生影响之前,能够及时精准预警,实时响应,构建弹性防御体系,以此来避免、转移和降低信息系统面临的风险。4.4 威胁情报:收集情报,预警预防在明确了企业网络安全要保护的资产和业务后,应定期评估其遭受破坏和损失时的潜在影响,明确其优先级顺序,最终确认所需要的威胁情报类型。在威胁情报阶段,主要通过各种工具和系统收集各种安全数据,借助机器学习,进行建模及大数据处理,开展攻击行为的自学习和自识别,进行攻击画像、标签等活动,最后由安全分析师分析、输出威胁情报评估结果以供企业内部决策或行动。威胁情报可以对攻击者进行溯源、定位、画像,实现在整个安全事件
12、处置过程中,不仅能够“知己”而且能够“知彼”。威胁情报能有效增强现有架构安全、被动防御、积极防御体系的防御能力。4.5 进攻:入侵引诱,合法进攻反制如何消除“攻”和“防”之间的不对称?建筑企业在网络安全建设时,应换一个思维,站在攻击者的角度,提前在攻击路径上层层设防,铺设诱惑攻击者的“陷阱”,这样即使发生了单点被黑客突破的情况,企业也可以让攻击者远离真实资产,扰乱攻击者认知,主动对抗攻击行为,采取有利于防守方的技术措施,做到及时响应处置开展反制措施,对攻击者形成震慑。在企业网络安全防护体系建设的最后一阶段,可以采用对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方
13、对它们实施攻击,从而对攻击行为进行捕获和分析。通过入侵引诱,企业网络安全防守者不仅可以更全面地感知到攻击者的态势,还能改变原来被动修建堡垒的防御思路,虚实结合,将攻击者引入事先准备好的诱捕陷阱中,做到合法进攻反制,主动出击,以一种“以柔克刚”的方式到达网络安全防御。同时,也可为后续采取法律手段提供充足证据。5.结束语网络安全滑动标尺模型能够很好地指引建筑企业开展网络安全防护体系建设工作,该模型不仅指明了每一阶段的建设目标更给出了具体建设内容,具有很强的实践性和可操作性。参考文献1 RobertM.1ee.TheS1idingSca1eofCyberSecurityEB01.https:wWW.sans.orgreading-room/whitepapers/ana1yst/membership/36240,2015-8.2建筑企业网络安全问题及防范探讨.doc-百度文库()https:/3长江证券行业研究报告长江计算机网络安全:护网行动,以攻促防
免费区 
