文 | 国家电网有限公司信息通信分公司 李静 李伟良 庞进 王婵 张哲宁;北京赛博英杰科技有限公司 谭晓生
当前网络空间安全形势严峻的背景下,大型企业遭遇高级持续性威胁(APT)的平均检测周期达21天,勒索攻击导致的业务中断时长平均超48小时。随着数字化转型的推进,大型企业已进入“资产异构、业务跨域、数据密集”新阶段,传统“被动防御、单点防护”模式已无法满足当前实战化的防护需求。本文从安全能力建设视角出发,以“五层三级”标准化防护框架为核心,构建覆盖终端、网络、端口、业务、数据五层场景,以及基础防护、主动防御、联防联控能力三阶能力,旨在实现防御效能升级。通过“感知—响应—优化”闭环机制,推动防御体系从“静态配置”向“动态适配”转型,为大型企业提升全域安全能力提供兼具理论支撑与实践价值的宏观路径。
一、大型企业安全态势
网络空间目前已进入“高强度对抗”阶段,国家背景的网络间谍活动持续升级,关键信息基础设施、工业控制系统、智能网联设备等核心资产频繁成为敌对政府组织、APT攻击团伙及网络犯罪集团的攻击目标。从行业维度来看,能源、金融、电信、医疗等涉及国计民生的关键领域遭遇攻击的频次显著增加,恶意软件带来的安全威胁持续高发。2024年,全球81%的组织遭遇恶意软件威胁,攻击手段呈现专业化、隐蔽化、产业链化特征,定向渗透攻击、自动化攻击工具不断普及、生成式人工智能(AI)驱动形成新型威胁,均对企业安全防御提出更高实战要求。
大型企业安全防线呈现点多、面广、线长、异构特点,而传统防御体系存在明显短板。一是被动防御为主,多依赖静态安全设备(如防火墙、防病毒等),对未知威胁、APT攻击的检测能力不足等问题。二是单点防护碎片化,各安全设备独立运行,数据不互通、策略不协同,形成了“安全孤岛”,无法应对攻击者跨区域、多路径的横向渗透。三是合规导向大于实战导向,部分防护措施仅满足等级保护基础要求,未结合企业核心业务场景制定差异化防护策略,最终导致关键业务遭受攻击时防御失效。四是应急响应能力薄弱,缺乏“检测—研判—处置—溯源”的闭环机制,攻击发生后常因流程混乱、数据缺失,无法快速阻断威胁并定位攻击源头。
近年来,国内众多大型国有银行的海外分支机构频繁遭受勒索软件攻击,部分金融机构在实战演练中也意外地发现了APT攻击的迹象。这些攻击活动呈现出多样化的特点,既涵盖了通过供应链渠道的渗透,也包括了利用系统漏洞进行的定向攻击。值得注意的是,尽管这些金融机构在网络安全建设方面长期投入巨大,构建了较为完善的防护体系,然而在应对复杂攻击场景时,系统仍难以实现及时的检测与有效的防护。这一现象揭示了现行安全防御理念与体系迫切需要升级,建议从传统的单点建设与被动防御模式,逐步过渡到以威胁情报驱动、持续监测与响应为核心的主动防御、安全运营及实战化防御体系。
二、实战化防御体系的“五层三级”框架内涵
实战化防御体系的核心目标是实现风险可感知、威胁可阻断、事件可溯源、能力可迭代,具体通过“三个转变”落地。一是从被动响应转向主动感知,整合威胁情报、流量分析、行为基线建模等技术,提前识别潜在风险(如异常访问行为、漏洞利用迹象),将事后补救转变为事前预警;二是从单点防护转向体系化防御,构建覆盖“终端—网络—端口—业务—数据”的全链路防护架构,打通各安全设备数据接口,实现策略协同、联动处置,避免一处突破、全网失守;三是从技术驱动转向技管融合,将安全制度嵌入业务流程(如系统上线前的漏洞检测),建立常态化攻防演练机制,提升实战应对能力,确保技术措施与管理流程形成合力。
因而,本文提出“五层三级”实战化防御体系,在遵循等级保护和关键信息基础设施保护要求的基础上,从终端、网络、端口、业务、数据各层面,系统地提炼安全防护、检测和响应核心要求,形成安全基础能力、主动防御能力和联防联控能力标准,明确防护细则,推动企业网络安全防护实现统一能力、统一架构、统一管理的目标。“五层三级”框架以场景全覆盖、能力分阶进为核心,既确保防御无死角,又实现能力有序升级,避免技术堆砌或能力断层。
“五层”场景定位:“五层”是指终端层、网络层、端口层、业务层、数据层五个防御层次。传统防护模型常遗漏端口层、数据层等关键环节,而“五层”框架聚焦于大型企业核心资产与业务流转全链路。终端层是攻击首要入口,覆盖传统物理机、云平台、办公终端、移动终端等对象,要解决终端入口安全问题;网络层是攻击扩散通道,覆盖互联网区域、办公区域、生产区域等范围,要解决网络边界与内部隔离等问题;端口层是攻击渗透节点,覆盖互联网服务端口、终端服务端口等对象,要解决端口暴露与滥用的问题;业务层是攻击最终目标,覆盖传统业务系统、云上业务系统、移动App等对象,要解决业务逻辑与接口安全问题;数据层是攻击核心价值,覆盖采集、传输、存储、使用、销毁全生命周期,要解决数据泄露与篡改问题。通过构建“入口—通道—节点—目标—价值”的全链条防护,满足从终端到数据的全域无盲区防护要求。
“三级”能力定位:网络安全防御理论明确,防御能力需实现“基础保障—主动应对—协同联动”的进阶。基础防护是底线,对标等保2.0三级及以上要求,部署防火墙、IDS、防病毒等基础设备,实现风险防护无死角;主动防御是核心,引入AI检测、威胁情报、自动化响应等技术,将防御能力从人工处置向自动化、智能化升级,提高实战效率;联防联控是支撑,打通集团与分支机构、安全部门与业务部门、企业与外部厂商的协同链路,实现全网态势共享和威胁联动处置。“三级”能力构成了“底线—核心—支撑”的能力闭环,与技管结合、协同防御、全面覆盖、依法合规、明确有序的体系设计原则深度适配。
“三级”能力的构建与得到安全行业广泛采纳的网络安全能力滑动标尺模型(以下简称“滑动标尺模型”)的设计异曲同工:基础防护对应滑动标尺模型的基础安全与被动防御,包含网络安全的资产管理、配置管理、漏洞管理、补丁管理等基础安全工作,以及防火墙、防病毒、入侵检测系统等基本无须安全人员过多介入就能工作的安全防御产品。主动防御对应滑动标尺模型的积极防御,在自动化工具与AI辅助下与高级攻击者展开攻防战,以期发现更高级的攻击、阻断攻击。联防联控则对照滑动标尺模型的情报,在全网态势(情报)共享的基础上实现威胁联动处置。通过基础防护,低成本抵御“脚本小子”的简单攻击,通过主动防御与高级攻击者展开动态博弈,通过联防联控实现企业范围内及外部厂商的协同防御,提高防御效率,进一步加大攻击者的攻击成本。
三、“五层三级”场景化基础防护能力建设与进阶
“五层”作为防御体系的场景根基,需针对每个场景构建“检测—防御—管控”的基础防护子能力。
一是终端层,构建入口可控的安全管控能力。终端层是攻击首要入口,某电力企业曾因未对风电场物联网终端实施有效管控,导致终端被植入恶意程序,引发发电数据篡改的严重后果。因此,能力目标应聚焦于避免终端被劫持为攻击跳板,防止终端异常引发内网扩散,应做到终端资产可控、接入可信、行为可管的全面安全防护。核心举措包括:终端层安全防护除遵循等级保护要求,应结合云工作负载保护平台(CWPP)最佳实践,构建适用于大型企业的终端层标准化防护架构。该架构涵盖安全基础能力和主动防御能力,同时要充分考虑不同防护对象安全要求差异性,设置差异化的防护能力要求,提高终端防护水平。策略建议方面,大型企业可依据资产台账可管、本质安全可控、终端接入可信、数据安全可靠、防护能力齐备的原则,实施终端层能力建设和策略配置。
二是网络层,构建通道可防的边界防护能力。网络层是攻击扩散通道,统计显示,跨区域网络攻击占大型企业安全事件的63%,需强化边界与内部防护协同。因此,能力目标应聚焦于阻断外部恶意流量入侵,限制内部风险跨域扩散,以符合分区分域、纵深防御的网络防护通用原则。核心举措包括:大型企业设计网络防护架构时,需结合国家等级保护要求同步融入自身业务、区域分布,精准适配企业实际需求,分级分类设置安全域,区域间用隔离设备防护,隔离强度应匹配业务级别。策略建议方面,网络层安全防护可依据安全分区、网络专用、横向隔离、纵向认证、态势感知的原则,实施能力建设和策略配置。
三是端口层,构建节点可管的漏洞收敛能力。端口层是攻击渗透节点,以往曾多次发生“3389”“135”等高危端口漏洞被利用造成的重大网络安全事件,需强化端口备案与漏洞管控。因此,能力目标应聚焦于减少攻击暴露面,避免端口漏洞被利用,呼应端口最小化开放、漏洞闭环管理的行业通用策略。核心举措包括:端口安全防护要充分考虑暴露面收敛以及两高一弱管控需求,明确互联网开放端口以及终端端口的安全基础能力(低位)要求和主动防御能力(中位)要求,通过落实上述能力标准,实现端口的统一管理、统一防护、统一监测,保护端口安全。策略建议方面,大型企业可依据服务端口备案开放、终端端口最小配置的原则,实施能力建设和策略配置。
四是业务层,构建目标客户的业务安全能力。业务层是攻击最终目标,2014年,温州有线电视机顶盒被黑客入侵控制,播放了大量敏感和异议内容,为控制事态,当地不得不紧急关闭整个有线电视信号,导致全市有线电视服务在一定时间内全面中断。因此,能力目标应聚焦于保障业务正常运行,防止业务逻辑被篡改、滥用,提升业务本体安全和业务合规运行。核心举措包括:业务安全防护应围绕业务系统身份、权限、访问控制等关键安全属性要求,针对传统业务、云上业务、移动应用等对象建立标准化防护框架。该框架涵盖安全基础能力和主动防御能力,以指导业务安全建设,保障业务运行安全。策略建议方面,大型企业可依据等保防护合规、本质安全可控、接口安全可管、全业务安全在控的原则,实施能力建设和策略配置,确保全业务防护无盲区。
五是数据层,构建价值可保的数据安全能力。数据层是攻击核心价值,行业经验表明,在大型企业数据泄露事件中,80%源于未实施全生命周期防护。因此,能力目标应聚焦于保障数据全生命周期安全,防止敏感数据泄露、篡改,确保数据安全与业务发展并重。核心举措包括:大型企业的数据层安全防护应围绕数据的全生命周期,进行数据层安全防护架构和能力设计,从数据安全管理、技术防护、安全运营三个维度明确防护要求、规范数据安全能力建设与运营,保障数据业务安全连续运行。策略建议方面,大型企业数据安全防护可依据依法合规、分类分级、外防内控、全生命周期防护的原则,实施能力建设和策略配置。
“三级”能力以“五层”场景为基础,为网络安全领域的安全能力成熟度模型提供了明确的能力进阶路径,在每个能力层级中,均构建了体系化的子能力,避免能力碎片化。
第一级:基础防护能力——筑牢全场景安全基线。基础防护是“五层”场景的安全基线,对应网络安全防御中的基础能力建设阶段,聚焦覆盖核心风险、满足合规要求,形成“资产—防护—审计”的闭环子能力。资产全域管控子能力:整合“五层”场景资产信息,建立统一资产视图,实现资产状态实时更新、风险动态标注,确保防御措施与资产匹配。场景化防护子能力:针对“五层”场景分别制定基础防护策略(如数据层的分类加密),确保每个场景均具备“检测—防御”基础能力。合规审计子能力:将《中华人民共和国网络安全法》《中华人民共和国数据安全法》及等保2.0标准转化为“五层”场景的防护要求,定期审计防护措施合规性。
第二级:主动防御能力——提升复杂威胁应对效能。主动防御是在“五层”基础上的能力升级,对应网络安全防御中的扩展能力建设阶段,聚焦主动发现威胁、快速处置风险,形成“情报—检测—处置”的闭环子能力,威胁情报联动、自动化响应等机制为该能力提供技术支撑。情报驱动检测子能力:整合行业威胁趋势、定向攻击数据,形成适配“五层”场景的威胁情报,将情报嵌入“五层”检测环节,提升检测能力。自动化处置子能力:针对“五层”场景常见风险(如终端异常、数据泄露),制定标准化处置流程,应用自动化编排响应系统或措施实现“风险触发—自动响应—效果验证”,提高处置效率。实战验证子能力:模拟“五层”场景的典型攻击(如针对终端的勒索攻击),检验主动防御措施有效性,参考红蓝对抗流程开展单场景攻击演练,推动防御策略优化。
第三级:联防联控能力——实现全场景全域协同。联防联控聚焦于打破部门壁垒、整合防御资源,形成“态势—联动—应急”的闭环子能力,行业内安全指挥中心建设、跨域协同机制是该能力的核心支撑。全域态势可视子能力:整合“五层”场景的资产状态、威胁检测结果、处置进度,通过可视化手段展示全域安全态势(如攻击源分布、“五层”风险热力图),实现安全态势的可观可测和调度指挥。跨场景协同联动子能力:建立“五层”场景间的协同机制,某一场景发现威胁后同步触发其他场景防护动作,实施跨场景联动规则的防护响应;同时打通“总部—区域—业务单元”的层级联动,构建多级响应体系实现能力联防联控。重大事件应急子能力:针对“五层”场景的重大风险(如核心数据泄露、业务全面中断),制定专项应急预案,明确应急组织架构、“五层”场景处置优先级、资源调配流程;建立7×24小时应急值守机制,形成应急闭环。
四、“五层三级”体系的持续优化机制
“五层三级”体系需通过动态优化,以适应威胁环境的变化与业务发展的需求,按照红蓝对抗迭代、威胁情报更新、业务适配调整等方法,为优化机制提供了实践参考。
一是实战演练驱动机制:以“战”验“防”,优化“五层三级”体系的适配性。以常态化攻防演练,检验“五层”场景防护与“三级”能力协同效果。场景化演练设计:针对“五层”场景分别设计攻击演练(如终端层的设备劫持、数据层的窃取攻击),检验基础防护有效性;设计跨场景攻击(如网络层突破—端口层渗透—业务层破坏),检验主动防御与联防联控能力。问题闭环整改:演练后梳理“五层”防护短板(如某场景检测滞后)、“三级”能力协同漏洞(如跨场景联动不及时),明确责任主体与整改时限,整改完成后通过小范围复测验证效果。成果转化应用:将演练发现的新型攻击特征纳入情报库,优化“五层”检测规则;将演练验证的高效处置流程固化为标准,全面升级主动防御能力。
二是威胁情报迭代机制:以“情报”导“防”,更新“五层三级”策略。以威胁情报动态更新驱动“五层三级”防护策略优化,行业内普遍强调情报需实时化、场景化、有效化。情报场景化转化:将外部情报(如行业攻击趋势、新型威胁手法等)转化为“五层”场景的具体防护要求,构建“情报—场景”映射表,确保情报适配场景。策略动态调整:基于情报更新“三级”能力策略(如基础防护新增端口漏洞排查项、主动防御更新自动化处置剧本),确保“五层”防护措施不滞后于威胁的演变。情报效果验证:定期评估情报对“五层”检测、“三级”响应的赋能效果,优化情报采集与转化逻辑,可建立情报效能评估指标(如情报命中率、误报率)体系,避免无效情报浪费资源。
三是业务适配调整机制:以“业务”定“防”,校准“五层三级”重心。随业务发展调整“五层三级”体系的防护重心,避免防御与业务脱节。新业务场景融入:企业拓展云端、跨境等新型业务时,应同步将新场景纳入“五层”体系(如云端业务归为业务层、跨境数据流转归为数据层),升级“三级”能力,确保新业务安全接入。防护优先级校准:根据业务重要性变化调整“五层”防护资源投入,确保资源向高价值场景倾斜。业务安全平衡:评估“五层三级”防护措施对业务效率影响,优化防护策略,可采用“安全—业务”平衡评估矩阵工具和“动态脱敏+权限分级”等措施,实现安全与效率平衡。
五、结 语
本文提出构建的“五层三级”实战化防御体系,以“终端—网络—端口—业务—数据”全场景防护筑牢根基,以“基础防护—主动防御—联防联控”能力进阶提升效能,既解决了传统防御覆盖不全、协同不足的问题,又避免陷入技术细节堆砌的局限,其核心实践价值已在行业应用中得到充分印证。从未来发展看,结合“智能化转型”“生态化协同”的演进趋势,“五层三级”体系应考虑智能化技术影响、生态化协同和前瞻性防护,确保体系动态演进,构建可持续防御的体系目标。大型企业需认识到,“五层三级”体系的核心价值在于能力的动态进化,需始终以网络安全防御理论为指导,以威胁变化为导向、以业务需求为核心,持续优化“五层”场景防护与“三级”能力协同,才能在复杂网络对抗中保持主动,为数字化转型提供坚实安全保障。
(本文刊登于《中国信息安全》杂志2025年第9期)
