2019年國資委下發(fā)《關(guān)于做好國資國企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺建設(shè)工作的通知》，明確要求：“加快集團公司及所屬企業(yè)互聯(lián)網(wǎng)出入口收斂，切實減少暴露面和風(fēng)險點，初步形成基礎(chǔ)設(shè)施一張網(wǎng)、資產(chǎn)態(tài)勢一張圖、安全監(jiān)管一盤棋、風(fēng)險管控一條線、產(chǎn)業(yè)服務(wù)一站通等支撐能力。”

基于國家法律法規(guī)和監(jiān)管部門的網(wǎng)絡(luò)安全管理要求，結(jié)合大型企業(yè)集團網(wǎng)絡(luò)安全風(fēng)險管控的需求，我們提出了一個有針對性的、并通過了真實項目驗證的互聯(lián)網(wǎng)出口縮減規(guī)劃和實施工作方案。

規(guī)劃思路

企業(yè)互聯(lián)網(wǎng)出口管理，包括了外部人員通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部應(yīng)用系統(tǒng)和企業(yè)內(nèi)部員工訪問互聯(lián)網(wǎng)的雙向管理?；ヂ?lián)網(wǎng)出口縮減的前提條件是不影響企業(yè)正常業(yè)務(wù)活動的開展。

基于對成功實施過互聯(lián)網(wǎng)出口縮減的大型企業(yè)的廣泛調(diào)研和分析，我們可以總結(jié)出互聯(lián)網(wǎng)出口縮減方案由全域組網(wǎng)和互聯(lián)網(wǎng)出口設(shè)置、互聯(lián)網(wǎng)應(yīng)用（指外部需要通過互聯(lián)網(wǎng)訪問的應(yīng)用系統(tǒng)）整合和保留、互聯(lián)網(wǎng)出口的安全保護和運維管理三個部分組成。

全域組網(wǎng)是指實現(xiàn)大型企業(yè)的集團和所有分、子公司的網(wǎng)絡(luò)互聯(lián)，在此基礎(chǔ)上，分、子公司可使用指定的互聯(lián)網(wǎng)出口，縮減掉本單位的互聯(lián)網(wǎng)出口。

由于互聯(lián)網(wǎng)應(yīng)用支撐了各單位的業(yè)務(wù)活動和企業(yè)管理，這是分、子公司開通互聯(lián)網(wǎng)出口的重要原因。對分、子公司的互聯(lián)網(wǎng)應(yīng)用進行整合，并遷移到集團數(shù)據(jù)中心，可以縮減掉分、子公司與互聯(lián)網(wǎng)應(yīng)用相關(guān)的出口。因監(jiān)管、合規(guī)、業(yè)務(wù)等需要，必須在本地開通互聯(lián)網(wǎng)出口的，可予以保留。

互聯(lián)網(wǎng)出口縮減后，會造成網(wǎng)絡(luò)安全風(fēng)險更加集中。這需要進一步強化對縮減后的互聯(lián)網(wǎng)出口進行統(tǒng)一管理，其中建設(shè)和完善高效的網(wǎng)絡(luò)安全運營體系尤為重要。

互聯(lián)網(wǎng)出口縮減方案設(shè)計按照三步走的方法，即了解現(xiàn)狀、規(guī)劃未來、制定實施路徑：

第一步了解現(xiàn)狀

梳理企業(yè)互聯(lián)網(wǎng)出口的數(shù)量和互聯(lián)網(wǎng)應(yīng)用的數(shù)量和分布情況，識別互聯(lián)網(wǎng)出口縮減的范圍。

第二步規(guī)劃未來

結(jié)合企業(yè)的業(yè)務(wù)、網(wǎng)絡(luò)、應(yīng)用、安全管理等特色，重點規(guī)劃三方面的方案：全域組網(wǎng)和互聯(lián)網(wǎng)出口設(shè)置、互聯(lián)網(wǎng)應(yīng)用的整合和保留、互聯(lián)網(wǎng)出口安全保護和運維管理。

第三步制定實施路徑

基于互聯(lián)網(wǎng)出口設(shè)置和安全管理的現(xiàn)狀和未來規(guī)劃，識別互聯(lián)網(wǎng)出口縮減方案的各項任務(wù)，按照任務(wù)的優(yōu)先級和任務(wù)間的邏輯關(guān)系進行排序，制定實施路徑。

規(guī)劃原則

互聯(lián)網(wǎng)出口管控規(guī)劃一般遵循以下原則：

01科學(xué)性

國資委下發(fā)《關(guān)于做好國資國企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺建設(shè)工作的通知》后，多家大型央企均已開展相關(guān)工作，積累了豐富的成功經(jīng)驗。企業(yè)可以監(jiān)管合規(guī)要求為基礎(chǔ)，借鑒同行業(yè)大型央企的成功經(jīng)驗，與安全廠商、運營商多渠道調(diào)研與交流，多種技術(shù)方案評估與借鑒，提高方案設(shè)計的科學(xué)性。

02先進性

企業(yè)在實際規(guī)劃時，所設(shè)計的方案在技術(shù)路線上應(yīng)當(dāng)與當(dāng)今世界的技術(shù)發(fā)展方向和國內(nèi)主流應(yīng)用趨勢相一致，保證設(shè)計方案與建設(shè)內(nèi)容具有先進性和可持續(xù)發(fā)展性。

03落地性

企業(yè)需要充分評估規(guī)劃方案和實施路徑，根據(jù)組織發(fā)展現(xiàn)狀，綜合考慮人、設(shè)備、技術(shù)、管理與成本等因素，制定可執(zhí)行、可落地的規(guī)劃方案。

04安全性

企業(yè)在制定互聯(lián)網(wǎng)出口縮減方案時，應(yīng)同步考慮安全防護措施，規(guī)劃時充分考慮網(wǎng)絡(luò)安全技術(shù)與管理的結(jié)合，提出后續(xù)項目建設(shè)的安全指導(dǎo)意見。

05擴展性

互聯(lián)網(wǎng)出口縮減方案設(shè)計時，應(yīng)當(dāng)降低對設(shè)備與安全廠商的依賴，充分考慮網(wǎng)絡(luò)安全不斷發(fā)展變化，力求技術(shù)、設(shè)備與應(yīng)用架構(gòu)可根據(jù)情況替換或更新，規(guī)劃設(shè)計同時考慮業(yè)務(wù)和機構(gòu)的擴展要求。

規(guī)劃目標(biāo)

對互聯(lián)網(wǎng)出口的管控規(guī)劃一般須達(dá)成以下目標(biāo)：

01保證監(jiān)管合規(guī)

開展互聯(lián)網(wǎng)出口縮減工作，要切實減少暴露面和風(fēng)險點，努力形成“五個一”的支撐能力，即基礎(chǔ)設(shè)施一張網(wǎng)、資產(chǎn)態(tài)勢一張圖、安全監(jiān)管一盤棋、風(fēng)險管控一條線、產(chǎn)業(yè)服務(wù)一站通，以滿足上級監(jiān)管部門的要求。

02全面統(tǒng)一出口

建設(shè)覆蓋企業(yè)總部和分、子公司的“一張網(wǎng)”，合理設(shè)置互聯(lián)網(wǎng)出口和入口。對外部訪問統(tǒng)一管理，所有網(wǎng)絡(luò)流量需通過企業(yè)指定的統(tǒng)一互聯(lián)網(wǎng)出口和入口。

03業(yè)務(wù)持續(xù)安全

制定合理的應(yīng)用整合和遷移規(guī)劃，保障在互聯(lián)網(wǎng)出口縮減的實施過程中，企業(yè)總部和分、子公司的業(yè)務(wù)活動不受影響。保障重要應(yīng)用由企業(yè)統(tǒng)一進行安全管控，提升整體應(yīng)用的安全防護能力。

04提升安全水平

完善安全運營管理，加強安全運營的組織、制度和技術(shù)建設(shè)。加強對互聯(lián)網(wǎng)出口、互聯(lián)網(wǎng)入口、集團網(wǎng)絡(luò)遠(yuǎn)程接入的監(jiān)控和防護，將互聯(lián)網(wǎng)出口的安全監(jiān)控和運維管理納入網(wǎng)絡(luò)安全運營管理體系，全面提升網(wǎng)絡(luò)安全防護水平。

相關(guān)技術(shù)分析

當(dāng)前，OTN（專線）、SD-WAN、MSTP專線是較為先進和流行的組網(wǎng)技術(shù)，OTN和MSTP常用于在一定區(qū)域內(nèi)，SD-WAN常用于廣泛區(qū)域的網(wǎng)絡(luò)互聯(lián)。

針對OTN、SD-WAN、MSTP三種組網(wǎng)技術(shù)，筆者根據(jù)以往項目經(jīng)驗，簡單對比了三種方案的優(yōu)劣，參見下表：

未來風(fēng)險管理

通過合并、轉(zhuǎn)移、關(guān)停等方法，將整合后的互聯(lián)網(wǎng)應(yīng)用遷移至企業(yè)統(tǒng)一的數(shù)據(jù)中心，集中進行安全運維管理。因監(jiān)管、合規(guī)、業(yè)務(wù)等需要，必須在本地開通互聯(lián)網(wǎng)出口的，可予以保留。

互聯(lián)網(wǎng)出口縮減完成后，業(yè)務(wù)風(fēng)險暴露面主要集中在以下五個方面，分別是互聯(lián)網(wǎng)出口、互聯(lián)網(wǎng)入口、合作伙伴互聯(lián)網(wǎng)出入口、遠(yuǎn)程接入接口、SD-WAN接口等。

五個方面的風(fēng)險分析和安全防護技術(shù)參見下表：

可能出現(xiàn)的問題與解決辦法

01應(yīng)用協(xié)查問題

分、子公司的互聯(lián)網(wǎng)應(yīng)用遷移到總部數(shù)據(jù)中心后，當(dāng)發(fā)生應(yīng)用系統(tǒng)的故障時，需要分、子公司和總部安全運維團隊聯(lián)合協(xié)查，確定故障原因并予以解決。

02IP地址沖突問題

IP地址沖突，會導(dǎo)致主機、終端和其他設(shè)備無法正常工作?？偛繎?yīng)統(tǒng)一制定IP地址規(guī)劃，分、子公司應(yīng)嚴(yán)格按照總部要求分配和管理IP地址，盡量使用DHCP（動態(tài)主機配置協(xié)議）自動分配IP地址。

03分、子公司互聯(lián)網(wǎng)出口的安全管控

分子公司因監(jiān)管、合規(guī)、業(yè)務(wù)等需要保留的互聯(lián)網(wǎng)出口，需按照集團的統(tǒng)一標(biāo)準(zhǔn)實施互聯(lián)網(wǎng)出口的安全監(jiān)控和防護。

04項目實施管理問題

互聯(lián)網(wǎng)出口縮減的實施涉及到總部和所有分、子公司，也關(guān)系到數(shù)據(jù)中心、網(wǎng)絡(luò)、應(yīng)用、人員等各個方面，是一項復(fù)雜的工程。集團應(yīng)制定周密的實施計劃，指派專業(yè)的人員，管理項目的實施質(zhì)量和進度。

05分、子公司私自保留互聯(lián)網(wǎng)出口

分、子公司私自保留互聯(lián)網(wǎng)出口，將給集團的網(wǎng)絡(luò)安全帶來重大的安全風(fēng)險，必須嚴(yán)格禁止。集團應(yīng)從制度上加以明確，通過管理手段和技術(shù)手段進行檢查，采用績效考核等方式進行約束。

06網(wǎng)絡(luò)帶寬不足問題

因業(yè)務(wù)拓展、人員增加、應(yīng)用系統(tǒng)增多等因素，可能引發(fā)網(wǎng)絡(luò)帶寬不足。集團應(yīng)監(jiān)控網(wǎng)絡(luò)的使用情況，及時發(fā)現(xiàn)網(wǎng)絡(luò)帶寬不足的問題，做好網(wǎng)絡(luò)傳輸策略優(yōu)化，必要時增加帶寬。

總之，大型企業(yè)互聯(lián)網(wǎng)出口的收斂涉及范圍廣、技術(shù)難度高、管理復(fù)雜性強，需要投入巨大的人力和物力，因此集團的統(tǒng)一領(lǐng)導(dǎo)和在各方面的支持，以及做好嚴(yán)禁周密的方案設(shè)計和實施規(guī)劃，是成功的關(guān)鍵。

作者簡介

張兵，谷安天下數(shù)據(jù)安全咨詢合伙人，數(shù)據(jù)安全治理委員會專家，全國金融標(biāo)準(zhǔn)化技術(shù)委員會證券分技術(shù)委員會專家，《中小銀行數(shù)據(jù)安全治理研究報告》、《數(shù)據(jù)防泄露產(chǎn)品選型指南》報告主編，20多年的信息安全、數(shù)據(jù)安全、個人信息保護、科技風(fēng)險等咨詢及審計服務(wù)經(jīng)驗，獲得CISA、CDPSE、CISP-DSG、ISO 27701等證書，熟悉銀行業(yè)、保險業(yè)、證券業(yè)、電信互聯(lián)網(wǎng)行業(yè)、醫(yī)療健康行業(yè)及大型央企的科技管理與風(fēng)險應(yīng)對措施，掌握專業(yè)的數(shù)據(jù)安全建設(shè)方法論，并具備豐富的項目實踐經(jīng)驗。