2019年,国资委下发了《关于做好国资国企网络信息安全在线监管平台建设工作的通知》,明确要求:“加快推进互联网入口与互联网的衔接集团公司及所属企业退出,有效减少暴露点和风险点,初步形成基础设施网络和资产情况一张图、安全监管一局、风险管控一条线、行业服务一站式等配套能力。”根据国家法律法规和监管部门的网络安全管理要求,结合大型企业集团网络安全风险管控需求,提出了针对性的互联网出口削减规划实施工作方案,并通过了实际项目规划思路企业互联网出口管理包括外部人员通过互联网访问企业内部应用系统和企业内部员工访问互联网的双向管理,减少互联网出口的前提是不影响正常业务基于对已成功实施互联网出口减少的大型企业的广泛研究和分析,我们可以得出结论,互联网出口减少解决方案包括全球组网和互联网出口设置,以及集成和保留Internet应用(指需要通过Internet访问的外部应用系统)、Internet出口安全保护和运维管理三部分组成。全球联网是指实现大型企业集团与各分、子公司之间的网络互联。在此基础上,分、子公司可使用指定上网网点,减少本单位上网网点。由于互联网应用支撑着各单位的业务活动和企业管理,这是分、子公司纷纷开设互联网网点的重要原因。将分、子公司互联网应用整合并迁移至集团数据中心,减少分、子公司互联网应用相关出口。由于监管、合规、业务等需要,需要在本地开通Internet出口,可以预留。互联网出口减少后,将造成更加集中的网络安全风险。这就需要进一步加强对减少的互联网出口的统一管理,其中构建和完善高效的网络安全运营体系尤为重要。互联网退出减少方案的设计遵循三步法,即了解现状、规划未来、制定实施路径:第一步是了解现状,梳理互联网退出数量。企业和互联网应用的数量和分布,并确定互联网退出减少的范围。第二步,结合公司业务、网络、应用、安全管理等特点,对未来进行规划,重点规划三个方面:全球网络和互联网出口设置、互联网应用的整合和保留、互联网出口安全保护和运维管理。第三步,制定实施路径。根据互联网出口设置和安全管理的现状和未来规划,识别互联网出口减少计划的各项任务,按照任务的优先级和任务之间的逻辑关系进行排序,制定实施路径。规划原则互联网出口管制规划一般遵循以下原则:01科学性国资委发布《关于做好国资国企网络信息安全在线监管平台建设工作的通知》后,许多大型央企开展了相关工作,积累了丰富的成功经验。企业可根据合规要求,借鉴同行业大型国有企业的成功经验,通过多种渠道与安全厂商、运营商进行研究和交流,对各种技术方案进行评估和借鉴,提高安全管理的科学性。解决方案设计。02先进性企业实际规划时,设计方案应在技术路线上与世界技术发展方向和国内主流应用趋势保持一致,确保设计方案和建设内容的??先进性和可持续性.03落地企业需要充分评估规划方案和实施路径,根据组织发展现状,综合考虑人员、设备、技术、管理、成本等因素,制定可执行、可实施的规划方案。04安全企业在制定互联网出口削减计划时应同时考虑安全防护措施,在规划时充分考虑网络安全技术与管理的结合,并对后续项目建设提出安全指导意见。05在设计可扩展的互联网出口缩减方案时,应减少对设备和安全厂商的依赖,充分考虑网络安全的不断发展和变化,力争根据情况更换或更新技术、设备和应用架构。规划设计还应考虑业务和组织要求的扩展要求。规划目标互联网出口管控预案一般需要实现以下目标:01确保合规开展互联网出口减量工作,有效减少暴露点和风险点,力争形成“五个一”支撑能力,即一一张基础设施网、一张资产状况图、一张安全监管牌、一条线风险管控、一站式产业服务,满足上级监管部门要求。02全面统一覆盖企业总部、分、子公司的“一张网”出口建设,合理设置互联网出口和入口。对外访问统一管理,所有网络流量必须通过企业指定的统一互联网出入口。03业务连续性和安全性制定合理的应用集成和迁移方案,确保互联网减出口实施过程中,企业总部及分、子公司的业务活动不受影响。确保重要应用在企业统一安全管控下,提升整体应用的安全防护能力。04提高安全水平完善安全运行管理,加强安全运行组织、制度和技术建设。加强对互联网出口、互联网入口、远程接入集团网络的监控防护,将互联网出口的安全监控和运维管理纳入网络安全运营管理体系,全面提升网络安全防护水平。相关技术分析目前,OTN(专线)、SD-WAN、MSTP专线是比较先进和流行的组网技术。OTN、MSTP常用于一定区域,而SD-WAN常用于大范围区域的网络互联。针对OTN、SD-WAN、MSTP这三种组网技术,笔者根据以往的项目经验,简单对比了三种方案的优缺点。互联网应用迁移至企业统一数据中心,集中安全运维管理。由于监管、合规、业务等需要,需要在本地开通Internet出口,可以预留。互联网出口压缩完成后,业务风险暴露主要集中在以下五个方面,即互联网出口、互联网入口、合作伙伴互联网入口和出口、远程访问接口、SD-WAN接口等。见下表五方面风险分析及安全防护技术:可能出现的问题及解决方案子公司与总部安全运维团队联合排查,确定故障原因并解决。02IP地址冲突IP地址冲突会导致主机、终端等设备无法正常工作。总部制定统一的IP地址规划,分、子公司严格按照总部要求分配和管理IP地址,尽量采用DHCP(动态主机配置协议)自动分配IP地址。03分、子公司互联网出口安全管控子公司因监管、合规、业务等需要保留互联网出口,需要按照集团统一标准实施互联网出口安全监控和防护。04项目实施管理问题互联网减出口实施涉及总部及各分、子公司,以及数据中心、网络、应用、人员等各个方面。这是一个复杂的工程。集团要制定周密的实施方案,配备专业的人员,对项目的实施质量和进度进行管理。05分、子公司私留互联网出口子公司私留互联网出口,给集团网络安全带来重大安全隐患,必须严禁。集团要从制度上明确,通过管理手段和技术手段把关,用绩效考核等方式加以制约。06网络带宽不足由于业务扩展、人员增加、应用系统增多等因素,可能会导致网络带宽不足。集团应监控网络使用情况,及时发现网络带宽不足的问题,优化网络传输策略,必要时增加带宽。总之,大企业互联网出口汇聚涉及面广、技术难度高、管理复杂性强,需要投入巨大的人力物力。实施计划是成功的关键。作者简介张兵,固安天下数据安全咨询合伙人,数据安全治理委员会专家,全国金融标准化技术委员会证券分技术委员会专家,《中小银行数据安全治理研究报告》主编,《数据防泄露产品选型指南》报告,20多年信息安全、数据安全、个人信息保护、技术风险等咨询审计服务经验,获得CISA、CDPSE、CISP-DSG、ISO27701等证书,熟悉技术银行、保险、证券、电信和互联网行业、医疗健康行业、大型央企管理及风险应对措施,掌握专业的数据安全建设方法论,具有丰富的项目实践经验。
