“网络安全不受重视、没地位。” “安全建设不成体系,零敲碎打、缺乏管控。” “在信息化总盘子里占比太小,预算少的可怜。”“运维时安全人手严重不足,疲于奔命”……
在很多信息化建设中,网络安全负责人经常要面对缺地位、缺方法、缺钱、缺人手的“四缺”矛盾。这些问题解决不好,其引发的安全风险,就可能成为悬在信息化头上的达摩克利斯之剑。
2020年7月,奇安信中标“智慧大理”云计算中心安全加固采购项目。该项目的意义,不仅在于涵盖了态势感知与安全运营、云安全管理平台、上网行为管理、下一代防火墙、EDR等多达12款产品,更在于它颠覆了过去“事后补救”的局部整改建设模式,转变为“事前防控”型建设思路。尤其是通过基于内生安全框架的四大工程两大任务(4+2模块),将安全能力内置到业务系统当中,解决了“四缺”难题,使之成为内生安全框架落地的一个标杆典范。
“智慧大理”:数字时代的城市名片
苍山之麓,洱海之滨!大理不仅成为网红打卡的旅游胜地,更被评为中国首批十大魅力城市之首。
在当今数字化转型、智慧城市建设的浪潮之下,大理再次走到时代的前列。早在2013年10月,“智慧大理”项目正式启动,并成功申报为“国家智慧城市试点”和“国家信息消费城市试点”。在2017年亚太智慧城市发展高峰论坛评选中,大理荣获“中国智慧城市创新奖”。
经过多年来的积极实践与探索,“智慧大理”取得显著的成效,其建设涵盖了平安大理、智慧社区、智慧旅游、智慧城管、智慧教育、智慧交通、智慧环保、智慧医疗等项目。真正将大理建设成了百姓生活幸福、环境优美和谐、适宜投资居住、城市管理睿智的国际化旅游城市,成为数字时代最亮丽的城市名片。
据“智慧大理”承办方和运营方大理市信息化发展有限责任公司负责人表示,目前项目在多个方面取得丰硕成果。例如通过建立云计算中心,避免了重复建设各类小机房,大量节约各部门的信息化建设、运维成本。而依托云计算中心建成全市统一的视频监控云平台,显著提升城市管理能力。将全市各部门分散、独立、零乱的信息资源进行整合,形成统一的政务信息资源库和应用服务平台,实现信息资源高度共享和深入应用。
在服务社会方面,“智慧大理”更是做到了便民、惠民、利民。带上一张市民卡,就能完成金融支付、公交乘车、占道停车缴费、食堂、医院就诊、新农合、图书馆、门禁、公共事业缴费、旅游年卡、出租房门禁管理、校讯通等各种应用。“到家边的乡镇卫生院就诊,就能享受市级医院待遇,省时又高效。”
此外,投资1.1亿建成的大理洱海流域生态环境智慧监管系统,更为科学治理洱海、保护洱海提供保障。智慧旅游可以一站式了解大理景区、旅游路线、度假等信息,一个手机玩遍大理。
“智慧大理”之洱海流域生态环境智慧监管系统
落实内生安全框架 将安全能力“理清楚”、“建起来”
事实上,“智慧大理”对于网络安全建设的思考和需求,是全国各个信息化项目的缩影。作为国内网络安全的领军企业,奇安信很早就意识到,要改变困扰网络安全“四缺”的问题,就需要破旧立新,将安全建设模式从“局部整改外挂式”走向“深度融合体系化”,在数字化环境内部建立无处不在的网络安全“免疫力”,实现内生安全。
从2019年开始,奇安信专门成立了工作组,与20多个一线部门紧密协同,用系统工程的思想,构建了一个能够适应形势变化的网络安全框架,来支撑内生安全体系建设。今年3月,面向新基建的内生安全框架正式推出,与此同时,基于该框架的“十工五任”手册也正式出炉。
内生安全框架(新一代企业网络安全框架)
今年4月,奇安信助理总裁陈明、销售经理李扬以及奇安信云南省技术总监方楚臣、安全顾问鲁成等一行团队向“智慧大理”的领导进行了方案汇报。通过“十工五任”手册的介绍,包括内生安全框架具备的“1+1>2”的涌现效应,让众人耳目一新,特别是面向新基建,面向十四五规划,非常符合“智慧大理”网络安全建设的定位和目标。
双方一致认为,“智慧大理”的信息化与网络安全极其重要与复杂,必须以顶层设计思想、结构化的思维、体系化的方法才能做到“化繁为简”。为此,奇安信结合“智慧大理”的现状和需求,创新提出了四大工程两大任务的内生安全框架,即4+2模块。其中四个工程包括:面向网络安全架构的纵深防御体系、面向云的数据中心安全防护、面向实战化的全局态势感知体系、面向大数据应用的数据安全防护;二大任务包括:实战化安全运行能力建设、安全人员能力支撑。
一直困扰“智慧大理”的是安全预算与安全人员投入不足,而4+2模块的内生安全框架是在大理十四五与新基建这个契机上指导“智慧大理”的规划工作,帮助“智慧大理”明确目标、方向和任务,使后期项目建设有足够的资源和政策推动力。
内生安全框架能在“智慧大理”顺利落地,陈明归纳了五个核心要素。一是模式的转变,网络安全应避免“以偏概全”的传统模式,转而以全覆盖、层次化思路进行规划设计。二是体系化规划、设计和建设,需要以系统工程方法论来指导网络安全体系的规划、设计和建设工作。三是叠加演进提升,以围绕网络的纵深防御体系为基础,进一步围绕数据确定防御重点。四是实战化的运行,通过将人防和技防相融合,围绕人员开展面向实战的安全运行,持续运行保障业务。最后是打破“紧平衡”规划出预置的可扩展的能力,预留出必要的应急资源,应对重大不确定性风险。
构筑安全管理新格局 助力“智慧大理”“跑得赢”
实践是检验真理的唯一标准。安全系统建起来之后,接下来最重要的就是要“跑得赢”。在“智慧大理”项目中,4+2模块的内生安全框架在管理和运营方面的优势,体现的淋漓尽致。
首先是安全产品服务化,让“智慧大理”实现合规和高效两者兼得。项目方通过SecFV安全功能虚拟化,提供丰富的安全防护手段,让客户无需担忧上云安全问题。同时从东西向、南北向、主机层、应用层等全方位进行新等保技术对标,形成全面安全防护能力,并保障安全合规。
云安全管理平台产品架构图
其次是安全能力一体化,推动“智慧大理”真正实现智慧易管。通过SDS软件定义安全,为客户打造可编排、易管理的云安全管理平台。让客户通过云安全态势感知、天眼联动等监测手段,让云安全防护更及时、高效。依托集中管理多个分布式部署的安全资源池,让多云融合场景下的安全防护无忧。
最后是实现了安全运营自动化,帮助客户实现增值共赢。通过BPM业务流程管理实现自服务、订单审批、计量计费等,将安全资源服务化,为云服务商提供业务增值,从而构建安全生态合作,为“智慧大理”提供开放的、丰富的、可持续输出的安全能力。
在整个项目中,奇安信的顶层设计、框架落地和全产品线优势得到充分体现。例如云安全管理平台结合了奇安信领先的云端防护能力和大数据未知威胁检测能力,从而构建一套真正属于“智慧大理”的安全防护框架。而先进的信息安全防御体系下可以构建“智慧大理”态势感知与保障平台,如新一代检测技术、云计算安全技术、大数据安全分析技术等。在安全能力一体化方面,通过云安全态势感知、天眼、天擎联动等监测手段,让云安全防护更及时、高效。
“如此复杂的产品线,快速整合实施的难度无疑是超出想象的。”陈明感叹道。“得益于公司大规模的设备生产供货能力,以及覆盖全国各省、自治区、直辖市的备品备件保障,强大的项目实施队伍,完善的项目实施计划,丰富实施经验的队伍,确保了庞大复杂的产品线,得到很好的整合和落地。”
关键词: 数字时代