深圳市兴晟图信息技术有限公司-UPS,蓄电池，精密空调，智能配电柜，精密配电柜，列头柜，机柜，一体化机柜，冷通道，微模块，综合布线，机房工程，晟图，兴晟图-一站式数据中心和IT智能化解决方案

新闻中心News

您现在的位置：首页 > 新闻中心 > 信息化规划和建设

信息化规划和建设

发布时间： 2021-10-27 10:09:12

前言

马克思说，世界上任何事物都不是孤立存在的。借用这句话，作为本文的引言。信息化的规划与建设，更不可能是孤立考虑，要综合权衡政治、经济、大国关系和技术发展路线、行业发展阶段来综合评估。

外部和内部关系

外部：来自国际的威胁国家安全的事件案例不断发生：

棱镜门事件爆发：充分揭露美国网络霸权战略
思科漏洞、RSA后门等曝光：我国关键基础设施千疮百孔
伊朗震网病毒攻击事件：国家级网际空间战场交锋激烈
中兴华为事件、禁华事件：芯片等核心技术必须自主可控

内部：国内行业专家多年推动和呼吁：

倪光南、沈昌祥等院士对核心技术自主可控的长期呼吁
IT国际巨头对国内信息基础设施的垄断
国内对改革开放市场换技术战略的反思

新中国建立以来，中国发生了翻天覆地的变化，以GDP为例，大致了解一下背景：截至2019年，中国GDP稳居世界第二，大约是排名第一的美国GDP总值的67%。同时，中国大陆GDP总值超过了排名第三、第四、第五的日本、德国印度的总和。

2020年初，疫情全球爆发，在公布的2020年二季度GDP数据上，中国以同比3.2%的增长雄冠全球。GDP的变化，其实是民生、军事以及国家意志影响能力的客观体现。

中国已经对美国的全球霸主地位，隐隐形成了威胁。无论语言怎么描述，这都已经是客观事实。中国在自我欣赏这些成绩的时候，美国也同样看得到。站在美国的角度上看，甚至不可容忍。

所以美国已经把中国列为“战略竞争对手”，而不是曾经的“合作伙伴”。近年来，从南海摩擦、贸易战以及技术封锁到围堵华为，都不是孤立事件，中美关系转变成竞争关系是必然的，这一点不容有任何的幻想。简单说一下这个背景，因为不是本文的重点，不再展开。

未来的很长一段时间内，中美关系，是长期的合作与竞争并存的关系。同时，中国还要尽可能的争取更多的支持国家。保持甚至更深化的改革开放，扩大全球影响力。

网络安全重要性

习大大说，没有网络安全就没有国家安全。

当代国家安全包括16个方面的基本内容：政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全、深海安全。因为现代网络技术的发展，移动互联网的应用，网络安全已经成了其他15个安全方面的基石。其重要性不言而喻。本文将要重点阐述的内容，基本围绕着网络安全和经济安全展开。

今天，我们讲述的网络安全，已经跟几年前我们讲述的网络安全发生了本质的变化。

网络安全产业链和世界格局

先来熟悉一下网络安全的产业链和世界格局。互联网从诞生至今，不过几十年的历史。涵盖了大约这些方面的内容：

传输协议制定

硬件制造

操作系统

中间件

数据库

应用软件

……

如果再细分，还可以细分到CPU设计制造、GPU、自主可控操作系统、自主可控的应用系统等方面。这在过去几年里我们讲述网络安全，是不会轻易将范围延伸到这些细分领域当中，因为代价太大。

我们不难发现，从传输协议制定自下而上，到应用软件开发，整个生态链上的大部分环节都是国外企业掌控，不仅面临着安全漏洞、后门利用的风险，还同时面临着被国外缠上“卡脖子”的风险。

这个时候，国家适时提出了，信息技术应用创新概念，简称“信创”，作为新基建的一部分。提出“2+8”安全可控体系。其中2是指党政两大体系，而8是指金融、石油、电力、电信、交通、航空航天、医院、教育等八大主要行业。其中，金融居首。

网络安全建设现状

过去，我们在信息化建设的过程当中，满足业务需求是刚性要求，业务保持稳定是首选原则。中国的经济发展快捷而迅速，时间紧任务重。采购了大量的国外硬件、商用软件、行业软件。为业务快速部署提供了若干的便利，也确实为业务的稳定运行立下汗马功劳。

以下是典型的部署结构：

服务器（IBM、HP、DELL）

网络设备（Cisco、Juniper）

小型机（IBM、HP）

数据库（Oracle、MSSQL、MYSQL）

中间件（Weblogic、Tomcat）

虚拟化（VMware、Citrix）

办公软件（MSOffice、Adobe pdf）

行业软件

以上名单，难觅国产厂商的身影。中美关系的战略变化以来，难保以上任何一个领域不会出现在下一个制裁的名单里。

另一方面，国内经济增长，需要金融系统持续不断的提供动力和润滑，保持和升级现有的业务系统压力巨大。

而且，人民币国际化除了需要国家信用之外，也需要系统和数据的协调对接。系统和数据的安全和稳定的服务，将成为国家发展的重要基石。

网络安全建设新挑战

传统的网络安全建设的挑战，在过去的若干年以来，一直存在，并有蔓延的趋势，我们这里不在赘述，主要讲一下新的挑战部分。

信息安全建设和信息系统建设以及完成信创系统的逐步平稳过渡之间面临着矛盾与挑战。这样的挑战是前所未遇的，我认为最主要的是来自生态的挑战。几乎要在同一块土地上，重新盖起一座新楼。还不能影响之前的住户安全和习惯。

任意删除一个环节的国外产品和服务，换成信创产品，明天还能办公吗？也许能把服务器换成浪潮，但是浪潮能否不用国外CPU？

所以，信创最后是要完成新技术，建立新生态，同时不影响现有的用户和系统。金融系统或者具体说是系统仅是该生态中的一环。还要适当考虑人民币国际化当中，扮演的角色，而且，系统可以重建，数据不能重来。难度之大，前所未有。

网络安全建设新方法

IT，特别是大企业IT部门，目前面临着没有成功的经验可以直接借鉴。必须自我导航到一条正确的道路上。这个过程完全不同于以前的IT建设，简单的拿需求，做方案，做实施，做运营。要适应新环境，从横向和纵向多角度切入，除了掌握自身的资源，还需要伸出触角，掌握更多的社会资源，行业资源才有可能应对新的挑战。

目前对于我们的用户来说，传统架构和未来的信创架构从原理上来讲是一样的，唯一不同的就是从底层芯片、CPU、服务器操作系统、中间件、服务器硬件资源、应用、web插件、APP等等从以前的国外厂家变成了国产厂家，那么我们的数据核验，如何在国产或者信创IT架构中运转，而且还不影响用户的使用效率、使用习惯，这个就需要经过不断地尝试，拿数据进行不断效验和测试，以达到在信创架构中可以正常运转，首先需要解决的就是生态问题，需要各个领域通力合作，才能完全的做到从传统的架构转变为试点信创架构。

用生态的眼光才能解决生态的问题，需要主管单位、监管单位、行业协会、硬件厂家、软件厂家、客户等不同维度的通力合作，互相解决生态圈问题。

目标以及建设标准

采用国产化是大势所趋，也是未来的主要方向，但是国产化道路确实任重道远，系统可以重建，但数据不可重来，所以数据至关重要。

将来采用循序渐进的方式，慢慢往国产化领域靠近，也需要有制度的支撑、体系的支撑、管理制度的支撑。

不论是国外厂家，还是国内厂家，不论是采用数据安全治理方案、数据库运维安全方案、大数据平台安全方案、数据全生命周期安全监管方案、基于零信任体系的远程办公和数据安全方案、金融风控SAAS类矩阵管控方案、安全信托风控方案、云合规安全建设方案、开发测试环境安全方案等等，这一类方案或者产品比比皆是；但不论采用哪一个产品或者技术手段，首先需要做信息体系化建设，不然只是一堆安全产品或者解决方案、服务，无法发挥其真正的作用，这里不具体介绍详细的产品对应解决方案，只从信息安全体系建设维度来详细阐述信息化的规划和如何建设思路。

1、信息安全体系：同样需要严格遵循机密性、完整性、可用性原则，数据安全对整个国家、人民都是至关重要的，关乎国家经济、国家安全；

2、交易安全：目前随着黑客攻击愈发频繁，地下黑产、灰色产业链层出不穷，在早期黑客攻击纯属兴趣爱好，在当今社会，黑客攻击也成为网络犯罪的主要手段之一；所以确保交易安全是我们需要重点关注的课题；

3、安全合规：数据安全领域对于同时面临着许多的安全合规挑战，我国自实施了网络安全法以来，也出台了相关的法律法规要求、行业监管等。

4、体系建设：信息安全管理体系、信息安全技术体系、信息安全运维体系、信息安全标准体系组成的综合管控机制。

我个人觉得，体系建设尤为重要。应该建立符合自身特性的蓝图和框架，在国家相关法律法规和监管单位的指导下，通过这些制度作为指引且不断更新和完善，规范信息安全体系，从技术和管理机制在不同层次上进行部分的融合，形成符合信息安全需求的综合管控机制。

信息安全管理体系：信息安全管理体系的基础设计包含三方面内容，总体要求的策略体系，保证信息安全措施落实的组织体系，维持信息安全管控体系有效运转的运作体系。

信息安全技术体系：信息安全技术体系的基础设计涉及包括终端、应用、主机、网络、物理等层面的安全方案设计，建立基础信息安全技术架构。

信息安全运维体系：信息安全运维体系的基础设计结合IT服务的发展理念，构建安全管理中心和安全服务中心，保证运维过程中的各项安全要求被明确。

信息安全标准体系：信息安全标准体系的基础设计主要考虑了信息安全标准化的需求，以收集和识别的各类需要遵守的内外部标准作为合规标准，同时，构建系统内统一遵循的信息安全规范，指导开展信息安全工作。

信息安全体系规划和建设

1、信息安全体系规划

信息安全管理体系：应从信息安全管理机构、信息安全管理制度、信息安全制度评审等方面去考虑规划和建设，需要有专门的架构、专业的制度、专人的人员去做专业的事情。

信息安全技术体系：定期利用技术手段进行检测，发现风险并处置风险，从管理和技术层面加强系统安全加固的管理，以巩固和提升系统安全。

信息安全运维体系：个人觉得培训工作尤为重要，定期开展信息安全培训工作，以提高人员的信息安全意识，拓展信息安全知识面，加深所有人员对信息重要性的深刻认识。

信息安全标准体系：建议结合系统新一年度信息安全工作的重点及信息安全工作的要求，对操作规范进行评审和更新。确保操作规范与信息安全管理要求和信息安全建设要求一致。

2、信息安全建设内容

1、建立信息安全管理组织架构，专门负责信息系统的安全管理和监督。

2、制定金融安全策略和安全管理制度。安全管理部门结合信息系统的实际情况，制订合理的安全策略，对信息资源进行安全分级，划分不同安全等级的安全域，进行不同等级的保护。制订并执行各种安全制度和应急恢复方案，保证信息系统的安全运行。这些包括：密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急响应机制、安全系统升级制度、追踪溯源机制等。

3、设计并实施技术手段，技术手段要包括外网边界防护、内网区域划分与访问控制、端点准入、内网监控与管理、移动办公接入、线路安全控制、病毒防范、安全审计、漏洞扫描与补丁管理、渗透测试、网银系统、APP系统保障等诸多方面安全措施。

4、建立安全运维管理中心，集中监控安全系统的运行情况，集中处理各种安全事件；统一制订安全系统升级策略，并及时对安全系统进行升级，以保证提高安全体系防护能力。

3、维护体系建议

管理人员职责划分

网络管理人员

主要职责为根据网络环境和应用系统需求的变化不断完善网络管理系统，包括：

网管系统的升级安装、配置和参数调整。
　　在需求变化时，开发、测试新的网管功能。
　　网管系统的日常技术支持和维护。
　　与其他网络管理模块的整合。
　　制定管理策略并负责实施。

网络维护人员

主要职责为借助网络管理系统对网络资源进行运行维护，包括：

　　处理网络事件，定位和解决网络故障。
　　根据网络运行情况对网络管理人员提出功能变更需求。
　　配置网络设备参数。
　　对网络运行情况进行分析，针对具体事件提出分析报告。
　　日常网络运行中的问题及应用系统提出的通讯问题进行技术支持。

　 日常监控人员

主要职责为对网络日常运行情况进行监控，包括：

　　监控、记录录网络日常运行情况。
　　简单问题的定位及处理。
　　及时将网络问题反映给网络维护人员。

职责分工

网络的以上三类网络管理维护人员的具体职责分工可以设计为：

　　网络管理人员、网络维护人员、日常监控人员
　　开发、测试、问题定位
　　管理工具集成、问题解决
　　安装、配置和参数调整、设备管理
　　网管技术支持、设备维护
　　统计分析、技术支持
　　策略制定、问题响应 (7x24)
　　版本升级
　　网络管理系统技术支持 (5x8) 网络运行管理运行监控 (7x24)

问题响应级别

　　网络管理系统的三类人员负责网络运行的日常管理，监控网络的运行情况，响应各应用系统提出的网络问题，解决通讯故障，保障网络的正常运行。

　　问题的解决可以采取分层管理，逐层提交的方式，一旦某一问题在一定的时间周期内没有得到有效处理，此问题将被提交到更高层次的管理维护人员。其流程如下所示：

　　角色级别描述

　　日常监控人员级别1 监控纪录问题。

　　网络维护人员级别2 定位故障，处理问题。

　　网络管理人员级别2 协助定位故障，处理问题。

　　决策人员级别3 提出决策，制定策略

　　支持厂商级别3 Cisco, Juniper, IBM, HP，华为，H3C，绿盟，启明……

应对APT攻击建设

在高级攻击领域，听到最多的一个病毒不是WannaCry，而是FinSpy（又名FinFisher或WingBird）。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多个漏洞都被用来投递FinSpy。FinSpy的代码经过了多层虚拟机保护，并且还有反调试和反虚拟机等功能，复杂程度可见一斑。此外，海莲花专用木马的复杂性和对抗性也都明显增强。此外，海莲花、Lazarus、APT34等组织都采用了DGA算法来逃避检测。

传统的APT行动主要是针对Windows系统进行攻击，而当下由于Android和iOS等移动应用系统的发展带动了智能终端用户量的上升，从而导致黑客组织的攻击目标也逐渐转向APP端。对于移动平台来说，持久化和隐藏的间谍软件是一个被忽略的问题。尽管移动设备上的网络间谍活动与台式机或个人PC机器中的网络间谍活动相比可能少得多，攻击方式也不太一样，但它们确实发生了，而且可能比我们认为的更活跃。

针对的攻击一直是APT的重点目标。比如FIN7就是一个典型的经常攻击的APT组织。除了传统鱼叉邮件等攻击手段外，还会有APT组织攻击ATM取款机，让其定时吐钱。有安全厂家的报告指出，针对ATM的恶意软件正在黑市上售卖。

APT攻击和APT组织已经开始影响到我们每一个人的生活。APT攻击一般是针对重要的组织或个人，席卷全球的WannaCry和类Petya背后似乎也隐隐约约有APT的影子。在2020年8月，SXF又爆出EDR未授权0 Day RCE漏洞，TRX数据防泄漏系统无认证管理员密码修改0day漏洞等。

1、从测试开始

针对系统测试：防病毒软件、安全网关、IPS、安全监控设备、NGFW、审计系统；

测试方向：资产信息收集、后门植入、系统认证访问、系统防御绕过、程序执行、权限提升、恶意流量；

模拟攻击者行为：APTSimulator模拟APT攻击者、Invoke-Adversary 模拟APT攻击者、flightsim模拟恶意流量、monkey模拟病毒传播等。

2、从蜜罐开始

优点：节约计算机及网络资源、延缓攻击时间、避免损失、无敏感数据、捕获来源、行为、目的；

发展方向：密网、日志整合-攻击事件关联、隐藏蜜罐特征、增强规则库、蜜罐开源

3、从人开始

钓鱼邮件测试、征得企业高层同意后可对员工进行针对性钓鱼邮件测试、钓鱼网站、可执行程序、企业安全首席钓鱼官、网络安全意识宣传、内部安全管理制度建设及执行力度、安全意识宣传活动、新员工网络安全意识培训。

4、从技术手段开始

邮件安全网关+防病毒设备、安全人员配备、安全管理、安全运维、安全开发、安全测试、代码审计。

数据安全规划

随着国际形势愈发严峻，挑战和机遇不断加大，在国家、行业监管等上级单位的监管下，数据安全的重视度加强，那我们需要主动调整以适应当下最新的监管政策，做好风控，同样也要从事前、事中、事后3个维度来进行风险管控。

1、事前预防：同样以机密性、完整性、可用性原则作为基础防护手段，通过传统的技术产品或者技术防护手段预防数据泄露的事件发生；同时对数据进行加密、数据脱敏技术提高数据的安全性；

2、事中阻止：数据一般存储于数据库中，需要对操作者进行规范，之前类似于某公司被脱库事件屡出不穷，所以做好操作严格管控至关重要；数据在传输过程采取加密传输，配合数据防泄密技术手段加以阻断；

3、事后追溯：如果发生数据泄露，需要根据日志、文件水印、数据审计等方式进行追溯，协助快速发现责任人，总结经验。

数据安全治理

一般数据安全治理，皆以数据为中心，技术为辅助，制度为保障，用以提升数据安全保障能力；应该梳理自己的CMDB资产、梳理ITIL/LTSM管理流程、监控管理流程、自动化运维管理流程，给出标准、切实可行的实施指南，明确现有CMDB资产脆弱性和威胁，利用技术手段或者系统得出整个资产生命周期的风险评估结论，然后根据差距和目标，尽力的缩短差距，已达到最佳、落地的数据安全治理整体解决方案。

通过组织建设、管理建设、技术建设进行各个维度的风险评估和识别，针对发现的问题进行分析，方案设计，对应产品实施，策略优化，跟目标进行验证确认，再通过日常的审计进行监控，不断改进和优化，追踪溯源，形成闭环。

总结

随着互联网与移动应用APP的普及和发展，以5G、大数据、AI、物联网、区块链、云计算等新技术的不断崛起，这也给金融科技的发展提供了不断的新鲜活力；以网上网站交易、移动APP应用交易为代表向客户提供服务，涉猎业务可以说跟老百姓的衣食住行都紧密相关，关乎民生，关乎国家安全，这个过程中，网络安全作为基础保障的作用也随之提高。

建立全面的数据安全体系，需要具备安全评估的过程和能力，不定期的对人、制度、管理、技术等进行评估，使得安全方式始终处于更新和迭代的状态；需要明确的操作指引和管理制度规范，员工严格按照制度作业；由于疫情影响，许多单位选择远程办公，那么在远程办公环境中，需要确保数据安全，规范操作流程。

满足安全合规依然是工作的重中之重，随着国家法律各项制度逐步健全，特别针对个人隐私数据的保护，既要使用某些数据，又不能泄露用户隐私，数据已经成为自身的核心生产力和核心竞争力，所以务必做好风控，安全合规，需要做到安全可控，把安全作为创新不可逾越的红线。

在未来的10年间，工作重点依然是网络安全，伴随着我国《网络安全法》、《数据安全法》、《个人信息保护法》等重要法律法规出台和列入立法规范，同时监管单位将网络安全作为重要考核指标等，网络安全必将成为工作重心和KPI重点考核指标，建议信息科技成立单独的管理部门或独立团队进行整体管理和运营。