面向“新基建”的新一代网络安全框架

面向“新基建”的新一代网络安全框架

摘要：当前互联网的不断发展已经把世界各地的计算机紧紧的连接在一起，网

络连接在一起，网络服务也就不断的应用在各行各业。网络安全变得至关重要，

网络安全是“新基建”的基础。本文分析了在面向“新基建”的新一代网络安全问题。

关键词：“新基建”；网络安全

随着Internet的高速发展，全国的各个地方都普遍建立了自己的网络，与之

前的网络一样，网络安全具有相应的特点:第一，网络安全来源于安全策略与技术

的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机

制与技术要不断地变化；第三，随着网络在社会各方面的延伸，进入网络的手段

也越来越多，因此，网络安全技术是一个十分复杂的系统工程。

一、“新基建”需要新一代网络安全框架

过去20年，国内外在信息化建设方面，有一套行之有效的框架与方法论，即采用以系统工程思想结合IT的EA（Enterprise Architecture）方法论，形成TOGAF

框架（开放组织体系结构框架The Open GroupArchitecture Framework），引导与

推动了大规模、体系化、高效整合的信息化建设，很好地支撑了各行业的业务运营。网络安全行业一直盼望着能有与信息化系统工程方法相匹配的框架，指导未

来的网络安全体系建设。因为此前，在网络安全行业，一直采用的是“局部整改”

为主的安全建设模式，致使网络安全体系化缺失、碎片化严重，网络安全防御能

力与数字化业务运营的保障要求严重不相匹配。把网络安全升级成“新基建”的基

础工程，就必须有一套行之有效的框架作为指导。如奇安信的战略部门从 2019

年开始潜心研究，并于近日发布新一代网络安全框架。这是面向“新基建”建设、

面向数字化业务，以系统工程的方法论结合“内生安全”的理念，形成的网络安全

建设框架。这套框架从顶层视角出发，帮助各行业在数字化环境内部建立无处不

在的“免疫力”，构建出动态综合的网络安全防御体系，全方位保障业务安全。

二、新一代网络安全防范技术

1.病毒防护技术。病毒防护技术是指通过对网络上传输的数据、系统内的文件、内存和磁盘等进行扫描和实时监控，发现病毒并将其清除的技术。

2.数据加密技术。数据加密技术是保证信息的安全性的关键技术，是一种主

动的防御技术，其基本思想是通过对数据进行加密变换，将其转换成非法入侵者

无法识别的一字符来保障网络安全。如数据保密、数据完整性、数据不可否认与

抵赖、双向身份认证等。目前主要存在两种加密技术：一种是对称加密，其实现

算法主要是AES；一种是非对称加密，其实现算法主要是RSA。

3.认证技术。认证技术是网络安全技术的重要组成部分之一。认证指的是证

实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对

象的属性来达到确认被认证对象是否真实有效的目的。认证常常被用于通信双方

相互确认身份，以保证通信的安全。认证可采用各种方法进行，其实现主要是通

过数字信封、数字摘要、数字签名、数字证书、智能卡和生物特征识别等技术方法。

4.防火墙技术。防火墙技术实际上是一种隔离控制技术，它是一系列部件的

组合，用来有效地监控不同网络或网络安全域之间的任何活动，拦截非授权的访问。目前，防火墙技术是实现网络安全策略最有效的工具之一。但防火墙技术是

一种被动的防御技术，对来自内部的非法访问难以有效地控制。防火墙关键技术有：一是数据包过滤技术，是一种完全基于网络层的安全技术，它只能根据数据

包的源地址、目标地址、端口号、协议类型以及状态信息等进行过滤，无法对应

用层的数据进行过滤，因此对于基于应用层的恶意入侵就无能为力。二是代理技术，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务

时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。三状态监控技术，有效地提高了防火墙的安全性，可以对每一层的数据包进行检

测和监控。四智能技术，一个全方位的安全技术集成系统，它可以抵御目前常见

的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。

5.防火墙中的网络地址转化-NAT。网络地址转换是一种用于把IP地址转换成

临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问

因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的

源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非

安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络

通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过

一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则

来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受

访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防

火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络

地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常

规操作即可。

6.入侵检测技术。入侵检测技术通过对从计算机网络或计算机系统的若干关

键点收集的信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和

被攻击的迹象，关对非法使用系统资源的行为及时判断、记录和报警。协助系统

管理员进行安全管理或对系统所受到的攻击采取相对应的对策。

7.VPN技术。虚拟专用网VPN(VirtualPrivateNetwork)，是通过一个公用网络

（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的

安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应用商同公司内部建立可信的安全连接，并保

证数据的安全传输。VPN实现的两个关键技术是隧道技术和加密技术。

三、新一代网络安全框架任务

1.实战化安全运行能力建设。按次开展的安全检查与测评模式无法达到业务

安全保障要求。应全面涵盖安全团队、安全运行流程、安全操作规程、安全运行

支撑平台和安全工具等，并持续的评估、优化，持续提升安全运行成熟度，以达

成对信息系统的持久性防护。

2.应用安全能力支撑。应用系统建设过程中安全长期缺位，安全与信息化建

设普遍割裂，系统带病上线，后期整改困难。结合开发运行一体化（DevOps）模式，推进安全能力与信息系统持续集成，使安全属性内生于信息系统，保持敏捷

的同时满足合规，使信息系统天然具有免疫力。

3.安全人员能力支撑。人的能力决定安全体系建设和运行的能力。设计企业

网络安全团队、设置岗位与能力要求，开展能力实训，建设网络安全实战训练靶场，提升人员的实战能力，形成安全团队建制化。任务四：物联网安全能力支撑。物联网设备类型碎片化、网络异构化、部署泛在化的特性引入了大量安全风险。

结合物联网“端边云”的架构，构建具有灵活性、自适应性和边云协同能力的物联