从架构角度看网络安全：数字化时代企业如何构建防御体系？

导语 | 数字化时代，网络安全已经成为企业发展的重中之重，通过体系化的安全建设，企业可以从容应对愈加复杂的网络安全挑战。今天，我们特邀了腾讯云 TVP、赛博英杰科技董事长谭晓生老师，他将从资深技术专家视角解读如何以架构思维来规划企业网络安全建设，为当前以及未来的网络安全建设提供启迪与思考。

作者简介

谭晓生，腾讯云 TVP，北京赛博英杰科技有限公司创始人、董事长，高级工程师，正奇学苑网络安全创业营创始人，前 360 集团技术总裁、首席安全官，2020 年获工业和信息化部网络安全产业发展中心首批网络安全创新创业导师称号，2018 年获中国互联网发展基金会网络安全优秀人才称号，中国计算机学会(CCF)理事、副秘书长，CCF YOCSEF 秘书长，2012 年获中关村高端领军人才称号，教育部安全科学与工程类专业教指委委员。

一、数字化转型推动网络安全立法完善

数字化已成为不可逆转的发展趋势，而近年来，万物互联已成为主流趋势，数字化转型已不再是技术的局部应用，而逐步演变为影响整个社会运营模式的趋势。

自 2016 年起，国家便相继出台了《网络安全法》、《个人信息保护法》和《数据安全法》等相关法律法规，尤其是去年出台的《网络安全审查办法》的颁布，意味着网络安全相关立法正逐步完善。伴随着更为严格的《个人信息保护法》和《数据安全法》的出台，网络安全作为政府监管的一把利剑，使得更多领域的安全得到保障。

二、企业架构方法论指导网络安全建设

虽然上述法律法规文件明确了很多规定、责任和义务，但技术和产品层面的支持尚且不足，具体执行方式也不够明确，导致企业在进行建设网络安全时仍然面临着许多困难，在我看来，企业网络安全建设主要存在以下困境：

云计算、物联网、无线互联网导致企业网络边缘泛化，传统边防御思想失效；
开源软件的广泛采用带来软件供应链安全问题；
物联网带来终端安全防护的困难；
安全人才匮乏且成本高，缺乏有效的数据安全解决方案。

在当前情况下，特别是对于大型企业而言，构建自己的网络安全防线变得更加迫切。由于大量数据和敏感信息的存储和共享，网络安全已成为企业发展中至关重要的领域。只有通过实施整体的网络安全策略和采用最新的网络安全技术，企业才能确保其网络系统更安全可靠，并在可能出现的安全威胁中取得优势。

值得一提的是，企业架构方法论对于企业网络安全建设能够发挥很好的指导作用。其实，企业架构思路经历了从 1987 年提出的 Zachman 到 TOGAF、FEA 和 DoDAF 等企业架构模型的发展演变，并且这些思想在传统企业应用开发中得到了广泛的应用。

根据 TOGAF 架构开发方法，企业架构的构建需要遵循以下步骤：首先从业务架构入手，构建信息系统架构和技术架构，同时始终关注需求管理。在整个过程中，还需充分考虑企业愿景、使命、价值观等方面。这种思想与过去 30 多年的企业管理思想发展相符，企业需关注发展目标和经营规模，同时信息化和安全也至关重要。

使用 TOGAF 开发方法来进行企业架构设计时，需要遵循以下步骤：首先，明确企业的愿景和使命，确定企业的价值观和业务，然后制定业务架构，进而通过相应的信息系统架构和技术架构，最后以需求管理为中心对其进行管理。这些步骤反映了企业管理思想的根本原则，即首先明确组织的使命和目标，然后根据业务需求进行信息化和安全方面的建设。在此过程中，一个组织可以根据 TOGAF 开发方法体系，实现从业务到技术架构的全面规划和管理。

除了 TOGAF 模型，IBM 的架构方法也类似，也强调确定组织的能力和业务架构，支持企业的愿景、使命和价值观。这种方法有助于企业规划信息化和安全建设，并确保能够更好地支持业务需求。

企业架构的细化包括确定应用和数据架构，以支持信息系统架构更好地支持业务需求。最后需要考虑技术实现方案和进行治理工作，确保企业架构的有效实施和持续改进。

在当今大型企业中，安全系统面临日益复杂的情况，需要考虑如何将安全组件有效整合和协同工作，并进行集成和运维管理。企业还应将安全视为一项业务，并视安全架构设计为企业开发的一部分进行规划和实施。安全架构设计包括建模、需求分析、设计开发、部署和运营等方面，需要严格按照企业架构设计的标准进行规划和实施。

在我看来，将 EA 方法论应用于网络安全领域，通过规划实现从零散建设演进到体系化建设，是建设“能力导向、架构驱动”的新安全体系的重中之重。当我们将企业架构（EA）方法论应用于网络安全领域时，需要将其视为一个完整的流程，包括架构的构建过程以及在安全战略层面的规划。在此流程中，下图左侧代表着 EA 架构建设的过程，而在最右侧，代表着安全战略的规划，这也是企业架构设计中的重要组成部分。

为了实现从零散建设到体系化建设的目标，企业的 IT 战略需支持业务战略，并考虑安全战略的融入与业务建设同等重要。例如，在为一家银行进行未来安全规划时，我们需考虑未来业务要求和开放模型的变化，需要采用云原生技术来保证在敏捷开发中进行安全测试的问题。

而为了建设“能力导向、架构驱动”的新安全体系，我们需要整合技术、运营和管理能力，并形成新的管理、技术和运营能力体系，以重点关注需求管理，制定一套新的安全体系，分解为若干个重点工程和举措。

在安全架构设计中，我们应考虑业务驱动、面向服务和面向安全运营的原则，实现敏捷、高效、云原生友好、可用、可移植、灵活和可扩展等要求，平衡外购和自主开发的比例，重用现有系统的建设，实现资源共享和监控功能，实现系统的协同联动。

三、解读经典的网络安全模型

在过去的二十多年的发展中，安全行业其实出现了多种模型，例如 P2DR 模型、IATF 框架（NSA，1998/1999）等，其中经典 P2DR 模型（Prevent、Protect、Detect、Respond），是将安全变成了一种防护行为，包括策略、防护、检测和响应。IATF 模型是一种采用纵深防御的思想的安全模型。另外，NSA 在 2014 年推出了 CGS 框架模型，主要采用杀伤链模型，将网络入侵过程分为七个步骤。根据这个模型，只要在攻击过程中的任一步骤中发现或拦截攻击，就能够成功地阻止攻击。

现今的各种模型对于安全领域而言都有重要影响，从 P2DR 模型到安全木桶理论，安全领域经历了巨大的发展。360 信息安全部招募黑客、工程师建立防线，通过有效的网络安全运营，只使用极少数安全组件来实现防御方案。因此，我们在选择安全防御方案时，需要考虑资源的适度利用和成本效益，以满足实际需求。

NIST 随后提出了 CSF 网络空间安全框架，这是一种经典的立体防御的思想。该框架将网络安全工作分为识别、保护、检测、响应和恢复五个步骤。此框架可用于对照网络安全防御工作，并且每个步骤下都有许多细项，可以探讨并找到实施措施的方法。

ATT&CK（MITRE，2013-）是一种安全模型，该模型列举了攻击者可使用的各种 TTP（战术、技术和程序）手段。在进行防御时，可以根据 ATT&CK 模型中列出的每个攻击方法、策略等内容进行对照，以确定是否能够在防线中进行有效的防御。

Gartner 提出的安全模型—— CARTA，强调在业务发展速度和安全性之间需要平衡，而不是追求绝对安全。在面对风险时，我们需要评估自己是否有足够的应对能力，但不应过分专注于风险防御，因为这可能会拖慢业务发展的速度。在 CARTA 模型中，强调需要在动态评估当前风险的基础上采取合适的防御措施，找到安全与业务发展之间的平衡点。

随着业务开发和运营的发展，出现了一个全新的术语 “DevSecOps”。在这种思想下，开发和运维工作进行周期性迭代，将安全作为整个开发和运维过程的重要保障，强调安全与开发、运维的紧密结合，以实现更高效、更安全的业务运营。

值得注意的是，我们可以引入滑动标尺模型和网络防御矩阵（Cyber Defense Matrix）来提升企业的网络安全能力。其中滑动标尺模型将网络安全防御划分为四个步骤：

基础结构安全：包括资配漏补和管好数据资源和数据资产。
纵深防御：安装安全产品并配置好，如 EDR、防病毒软件和防火墙等，实现自动化防御。
态势感知与积极防御：参与安全运营，并对系统信息进行判断和响应。
威胁情报：获取外部威胁情报，联合自身防线并积极响应。
反制：打击进攻者，包括联合执法和谴责等行动。

在滑动标尺模型中，越靠左的工作企业可以最大限度地掌控和把握，而越靠右的工作则需要外部资源和政府力量的支持和介入。该模型核心思想是将企业可以掌控的工作从左到右排序，在资源有限时从最左侧开始进行。目前，滑动标尺模型已经被国内许多安全公司广泛应用和推崇。

而网络防御矩阵（Cyber Defense Matrix）作为另外一个保障企业网络安全的工具，它又被称为 CDM 模型，是将 IDPRR 五个步骤与设备、应用、网络、数据和用户五个维度相结合，形成一个五行五列、共 25 个格子的防御矩阵。左侧的保护步骤在识别之前进行，即对数据资产进行识别并设立各种防线，右侧的三列则是事件发生后进行的检测、响应和恢复步骤。该模型结合滑动标尺模型，可以更好地了解需要进行的安全工作。

在网络安全工作中，可以将网络安全能力组件合并和抽象，从而得到 200 来种安全能力组件，这些组件具有相互组合的特性，可能跨越多种组件的能力，使得网络安全产品变得越来越复杂。为了更好地利用这些组件，我们试图从中抽取出与其他能力有较大差异的能力，并将它们归类为基础架构安全、纵深防御、主动防御和威胁情报等模块。这些能力构建了一个完整的基础架构安全体系。

四、探索网络安全建设的未来

在近两年，网络安全运营逐渐越来越得到业界的重视。Gartner 提出的 CSMA 安全逻辑架构就是一种可以支撑网络安全运营的架构，在下图中，我们可以清晰地看见其包括左侧的安全分析与情报和右侧的各种安全产品。大型企业需要自行搭建或基于商业定制来实现安全分析情报系统，右侧的各种安全产品则需要通过标准化接口进入安全分析与情报系统中间，并结合外部的威胁情报和其他第三方 API 进行分析，最终实现统一的策略管理。

企业的基础是身份架构的动态上下文，即零信任。策略要求的身份和上下文权限管理和访问控制框架。2022 年底美国国防部提出的零信任战略的实施计划时间跨度是 8 年，具体涵盖数十种标准模块。在此框架中，需要建立基于动态上下文的访问控制架构以及改造现有业务系统。这是一个复杂和困难的任务，需要在建设过程中不断进行研究和创新。

近两年的网络安全建设趋势包括：BizDevSecOps 敏捷开发、XDR 扩展检测响应、入侵攻击模拟、攻击面管理、安全运营服务、软件供应链开发的安全、数据安全平台、云原生应用保护、安全访问服务边缘以及 API 安全防护等。这些技术解决方案可以帮助企业有效应对各种安全威胁和攻击，并保护关键财产和资产免遭未知攻击的危害。

随着更多数据和敏感信息存储在云端，网络安全已成为数字化时代中一个重要议题。企业必须深入了解各种安全威胁和攻击，并寻求创新的网络安全技术来应对这些威胁。只有这样，企业才能确保在数字化时代更加安全和可靠，同时维护自身业务的可持续性。

网络安全作为数字经济发展的基础和前提，其问题的解决需要全社会共同努力，也需要政府和企业的合作。政府应加强网络安全监管和立法，促进网络安全产业的发展，同时企业也要加强网络安全投入和合作，提高网络安全的整体水平，为数字化时代的发展提供保障。