首頁 > 企業動態 > 公司新聞 > 新一代企業網絡安全框架:十大工程五大任務概述

新一代企業網絡安全框架:十大工程五大任務概述

釋出日期:2020-04-07 作者:奇安信集團

分享到:

全文約9300字 閲讀約25分鐘


奇安信緊扣企業數字化轉型趨勢和“新基建”建設要求,結合當前政府、央企、金融、運營商等大型機構的網絡安全普遍需求,借鑑國內外大型機構網絡安全最佳實踐和網絡安全架構研究成果,提出面向“十四五”期間的網絡安全規劃“十大工程、五大任務”建議框架,為政企機構提供從“甲方視角、信息化視角、網絡安全全景視角”出發的頂層規劃與體系設計思路與建議。
政企機構可借鑑“十大工程、五大任務”進行規劃,以重點項目為抓手,合理調配資源、完善管理機制,使網絡安全體系建設工作得到充足保障和有力推動,從而在“十四五”期間實現網絡安全能力演進提升,保障數字化業務平穩、可靠、有序和高效運營。

一、數字化轉型催生新一代網絡安全框架

習近平總書記在中央網絡安全和信息化領導小組的第一次會議上指出:“網絡安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施。做好網絡安全和信息化工作,要處理好安全和發展的關係,做到協調一致、齊頭並進,以安全保發展、以發展促安全,努力建久安之勢、成長治之業。”指明瞭網絡安全與信息化相互依存、同步發展的大方向,明確了“四個統一”缺一不可的體系化建設要求。
在4·19網信工作座談會上,總書記又提出要求:“安全是發展的前提,發展是安全的保障,安全和發展要同步推進。要樹立正確的網絡安全觀,加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網絡安全態勢,增強網絡安全防禦能力和威懾能力。”
 
全球經濟已全面進入數字化轉型期,中國也將數字化轉型作為重要發展戰略與經濟驅動力。數字化轉型是在信息化極大的降低了政企機構運營成本的基礎上進一步把信息技術與政企機構業務運營、管理流程融合在一起形成了新的業務運營模式,顯著提升了業務運營效率和效益;同時物聯網、雲、大數據、5G、智能製造等新技術的應用,也給政企機構帶來了巨大的創新紅利。數字化轉型帶來了巨大的收益,但信息技術與業務的深度融合也使網絡安全風險更加具有實質性的影響,網絡安全問題對業務更加具有破壞性乃至災難性,網絡安全風險等同於業務運營風險;同時新技術的應用也對業務運營引入了更多新的風險。政企機構信息系統一旦被入侵或被破壞,將會直接危害到業務運營,進而危害到生產安全、社會安全、甚至國家安全,以往所有的收益也將“一失萬無”。數字化轉型對政企機構運營模式的轉變是顛覆性的、不可逆轉的,傳統的信息化模式也將無法支撐目前經濟環境下的業務運行要求,因此政企機構須立足於數字化運營的高要求模式來建設網絡安全體系,為業務運營保駕護航。因此,廣大政企機構應該將網絡安全建設放在所有數字化轉型舉措的最前列。

回顧

2017年5月12日起,全球大規模爆發“永恆之藍”勒索蠕蟲(Wannacry)攻擊事件,我國多家政府機構、大型企業和高校內網遭到勒索病毒攻擊導致數據損失嚴重,嚴重干擾了正常運營,造成了巨大損失。
2018年,多家機構發生了因數據庫防護不足導致的大規模數據泄露事件,幾億用户數據遭到外泄,對業務運營造成了不可估量的嚴重後果。
在2019年由公安部組織的“HW”中,政企機構面對這樣一場有準備的防禦戰,其IT系統仍然鮮有保全。由此可見我國政企機構網絡安全防護能力仍然較為薄弱,在歷次重要“戰役”中暴露出的網絡安全體系化欠缺、能力碎片化嚴重、整體協同能力差、可彈性恢復能力嚴重缺失等問題亟待解決。
自2006年我國推行網絡安全等級保護制度以來,政企機構已建成了基礎性安防體系,保障了業務的運行。政企機構在其信息化到數字化的發展歷程中採用的企業架構(Enterprise
Architecture,EA)方法論對信息化發展起到很大的作用,引導規劃建設了大規模、體系化、高效整合的業務運營體系,很好的支撐了業務運營。但與之不同的是,在網絡安全領域缺乏以複雜系統思維引導的規劃與建設實踐,導致形成了以往以“局部整改”為主的安全建設模式,致使網絡安全體系化缺失、碎片化嚴重,網絡安全防禦能力與數字化業務運營的高標準保障要求嚴重不相匹配。
長期以來,由於政企安全體系的基礎設施完備度不足,安全對信息化環境的覆蓋面不全、與信息化各層次結合程度不高,安全運行可持續性差、應急能力就緒度低、資源保障長期不充足,造成政企機構在面對“當前數字化業務的平穩、可靠、有序和高效運營是否得到了充足的網絡安全保障?”這個問題時普遍缺乏信心。
 
隨着“十四五”期間數字化轉型深入推進,政企機構網絡安全形勢將愈發嚴峻,網絡安全能力不僅要達到監管要求,更需要面向實戰,保障數字化業務。習近平總書記強調,構建“關口前移,防患於未然”的網絡安全管理體系。“關口前移”是對落實網絡安全防護的方法提出的重要要求,而“防患於未然”則形成了鮮明的以防護效果為導向的指引要求。
因此,政企機構應以“一體之兩翼、驅動之雙輪”作為其信息化和網絡安全的戰略定位,以“統一謀劃”作為落實“四統一”的起點,在做好“關口前移”的基礎上,進一步加強網絡安全防護運行工作,將“局部整改”模式轉變為體系化規劃建設模式。
在數字化轉型建設工作中引入“零信任”安全範式,在做好網絡邊界及網絡段防護的基礎上,進一步圍繞人員和資源做好安全防護;
秉承“內生安全”理念,建立數字化環境內部無處不在的“免疫力”;
以“三同步”原則,推進安全和信息化的“全面覆蓋、深度融合”,建設網絡安全基礎設施和實戰化運行體系,並通過網絡安全與信息化的技術聚合、數據聚合、人才聚合,為信息化環境各層面及運維開發等領域注入“安全基因”,從而實現全方位的網絡安全防禦能力體系,保障數字化業務安全。
政企機構應以系統工程方法論來指導網絡安全體系的規劃、設計和建設工作,除了保護IT資產,還須關注人員、系統、數據以及運行支撐體系之間的交互關係,進行整體防護。
面向疊加演進的基礎結構安全、網絡縱深防禦、積極防禦和威脅情報等能力,識別、設計構成網絡安全防禦體系的基礎設施、平台、系統和工具集,並圍繞可持續的實戰化安全運行體系以數據驅動方式進行集成整合,從而構建出動態綜合的網絡安全防禦體系。
應避免“以偏概全”的傳統模式,以全覆蓋、層次化思路進行規劃設計。以圍繞網絡的縱深防禦體系為基礎,進一步圍繞數據確定防禦重點,圍繞人員開展實戰化安全運行,規劃建設動態綜合的網絡安全防禦體系,使安全能力全面覆蓋雲、終端、服務器、通信鏈路、網絡設備、安全設備、工控、人員等IT要素,避免局部盲區而導致的防禦體系失效;還應將安全能力深度融入物理、網絡、系統、應用、數據與用户等各個層次,確保安全能力能在IT的各層次有效集成。
隨着威脅向“有組織攻擊”發展,政企機構應以可量化的方式識別能力上限和底線,打破“緊平衡”建設方式來規劃、設計和建設網絡安全體系。借鑑2020年初抗“疫情”戰役的經驗教訓,我們在進行規劃與設計時,要充分考慮隨時可能突發的網絡安全威脅升級情況,須本着“寧可備而不用、備而少用,不可用而不備”的原則,在建設中預置可擴展的能力,在運行中預留出必要的應急資源,確保在面對網絡空間重大不確定性風險時數字化運營不會受到重大影響。
政企機構應建立實戰化的安全運行體系,加強人防與技防融合,根據IT運維與開發的特點將安全人員技能、經驗與先進的安全技術相適配,通過持續的安全運行輸出安全價值,確保安全陣型齊整。
應將安全運行工作中大量隱性活動顯性化、標準化、條令化,將安全政策要求全面落實到具體責任崗位的細緻工作事項之中。通過安全運行流程打通團隊協作機制,以威脅情報為主線支撐安全運行,提升響應速度和預防水平;健全網絡安全組織,明確崗位職責,建立人員能力素質模型和培訓體系,形成安全組織常設化、建制化,確保安全運行的可持續性。
建立層級化的日常工作、協同響應、應急處置機制,做到對任務事項、事件告警、情報預警、威脅線索等各個方面的管理閉環,面對突發威脅能快速觸發響應措施,迅速、彈性恢復業務運轉。
2020年3月4日,中共中央政治局常務委員會召開了重點工作的會議。會議強調“要加快推進國家規劃已明確的重大工程和基礎設施建設。要加大公共衞生服務、應急物資保障領域投入,加快5G網絡、數據中心等新型基礎設施建設進度。要注重調動民間投資積極性。”這一決定將進一步加快我國各行業數字化轉型進程。
“新基建”應以“安全是發展的前提,發展是安全的保障,安全和發展要同步推進”為指引,遵循“三同步”原則,以體系化規劃建設網絡安全的模式,構建安全與信息化“深度融合、全面覆蓋”的內生安全體系,保障數字化業務運營。
奇安信根據會議對當前經濟社會運行提出的工作要求,結合當前政府、央企、金融、運營商等大型機構的網絡安全普遍性需求,借鑑了國內外眾多大型機構運行多年的網絡安全最佳實踐,以及最新網絡安全技術研究成果,提出面向“十四五”期間的網絡安全規劃“十大工程、五大任務”建議框架,為政企機構提供從“甲方視角、信息化視角、網絡安全全景視角”出發的頂層規劃與體系設計思路與建議。

二、奇安信新一代企業網絡安全框架概述

奇安信新一代企業網絡安全框架改變了以往“概念”引導加產品堆疊為主的規劃模式,而是利用系統工程方法論,從頂層視角建立安全體系全景視圖以指導安全建設,強化安全與信息化的融合,提升網絡安全能力成熟度,凸顯安全對業務的保障作用。
政企機構可借鑑“十大工程、五大任務”進行規劃,以重點項目為抓手,合理調配資源、完善管理機制,使網絡安全體系建設工作能夠得到充足保障和有力推動,從而在“十四五”期間通過升級、替換或重構的方式實現網絡安全能力演進提升,保障數字化業務平穩、可靠、有序和高效運營。
 
圖 新一代企業網絡安全框架(內生安全框架)
該網絡安全框架的整體邏輯是:
促進業務目標實現→以安全能力為導向→規劃安全工程項目→建設落地安全體系(技術+運行)→提升安全能力→促進業務目標。
網絡安全框架的核心目標是促進政企數字化業務。為實現該業務目標,網絡安全建設應以網絡安全能力為導向,遵循疊加演進的網絡安全能力滑動標尺模型,在基礎架構、縱深防禦、積極防禦、威脅情報等不同類別的安全能力方面,找準能力差距,明確具體的安全能力目標。
為有效形成和持續提升網絡安全能力,根據甲方用户的信息化建設視角,規劃網絡安全領域的十大工程和五大任務,這些工程和任務基本覆蓋了信息化建設的各種場景,也可以根據實際規劃需要進行組合或拆分。
在安全項目建設過程中,主要落腳點是安全技術體系和安全運行體系,其中安全技術體系反映了各個安全技術領域的能力和部署方式,安全運行體系則是為了克服安全產品無效堆疊的弊端,着眼實戰化要求,提升安全運行能力,打通人+技術+流程,以實現識別-防護-檢測-響應的有效閉環。

三、網絡安全能力滑動標尺模型

我們認為,網絡安全建設應以網絡安全能力為導向。而國際知名網絡安全研究機構SANS提出的網絡安全“滑動標尺”模型正是這樣一種網絡安全能力模型。以奇安信為代表的國內能力型安全廠商,在取得共識後對該模式進行了延伸拓展,形成了疊加演進的網絡空間安全能力分析模型,為國內各大政企網絡機構的安全建設工作提供能力參考框架。
 
該模型將網空安全能力分為五大類別,即結構安全(Architecture)、縱深防禦(Defense in Depth)、積極防禦(Active Defense)、威脅情報(Intelligence)和反制進攻(Counter)。其中,結構安全、縱深防禦、積極防禦、威脅情報這4類能力是一個完備的企業級網絡空間安全防禦體系所需的,而反制進攻能力主要由國家級網絡防禦體系提供(故不重點描述)。各類安全能力的具體含義是:

1)結構安全類別的安全能力:是在信息化環境中的基礎設施結構組件和應用系統中嵌入/實現的安全能力。具體包括網絡分區分域、系統安全(資產/配置/漏洞/補丁管理)、應用開發安全、身份與訪問、數據安全、日誌採集等。其主要防禦意圖是收縮IT環境各個層面的攻擊暴露面。這類安全能力需要在網絡與信息系統的規劃、設計、建設和維護過程中充分考慮,有較強的內生安全含義。反映了安全與IT的深度結合。

2)縱深防禦類別的安全能力:是以層次化方式部署的附加在網絡、系統、應用環境等IT基礎架構之上的相對靜態、被動、外掛式的安全能力。具體包括網絡邊界防護、數據中心邊界防護、局域網絡安全、廣域網絡安全、終端安全、主機加固等。通常無需人員持續介入,其防禦思想是通過層次化防禦,逐層收縮攻擊暴露面來消耗攻擊者資源,以阻止中低水平攻擊者的攻擊活動。

3)積極防禦類別的安全能力:是強調持續監控的更加積極、主動、動態的體系化安全能力。具體包括日誌匯聚、安全事件分析、安全編排與自動化、內部威脅防控等安全能力。通常需要安全分析人員依託託態勢感知平台進行安全事件的分析、研判和響應處置。其防禦思想是通過體系化監控,及時發現和阻止中高水平攻擊者的攻擊活動。

4)威脅情報類別的安全能力:是強調引入企業外部威脅情報信息以增強對企業內部網絡威脅的識別、理解和預見性的安全能力。具體包括情報收集、情報生產、情報使用、情報共享等安全能力。它既包括引入企業外部威脅情報,也包括生產加工企業內部威脅情報。其防禦思想是通過擴大威脅視野(即從企業內部轉向企業外部),填補已知威脅的知識缺口並驅動積極防禦過程,為更全面及時地發現和阻止高水平攻擊者的攻擊活動提供決策支持。

5)反制進攻類別的安全能力:是以自衞為目的針對網絡攻擊者採取合法反制措施和網絡反擊行動的能力。具體包括取證溯源、攻擊鏈阻斷、網絡滲透等攻擊性網絡安全能力。其防禦思想是採用進攻方式達成防禦效果。

我們在安全規劃中使用該滑動標尺模型的原因,在於其具有如下的關鍵特性:
1)反映能力導向的建設思路:該模型適合指導安全建設;而大家熟知的CARTA模型、PPDR模型則主要用於安全評估,並不太適用於安全建設。這種能力導向的建設思路,實際上貫穿了後面將要介紹的十大工程和五大任務之中。

2)反映安全能力的成熟度:該模型反映了安全能力的成熟度,在標尺上位於左側的類別可為其右側的其他類別建立必要的基礎支撐,使右側類別更易實現、更有用且佔用更少的資源。

3)反映投入與產出的關係:該模型有助於理解資源投入與產出價值的關係。如下圖所示,比較而言,五種類別的安全價值依次減小,而資源投入卻逐步增加。組織應該根據對投資回報的期望情況,確定重點實施何種類別的安全能力,以及何時將重點轉移到其他類別。一般而言,如果組織在結構安全和縱深防禦方面採取的措施欠佳,則很難通過積極防禦措施取得成效,更別説嘗試威脅情報和反制進攻。因此,組織應該先從標尺左側的類別開始投入資源(左側類別所需的資源投入通常更小),打好紮實的基礎,然後再逐步轉移到標尺右側的各個類別(右側類別所需的資源投入通常更大)。

 
在實現結構安全和縱深防禦這兩個基礎類別的安全能力時,非常重要的一點是確保安全能力的深度結合、全面覆蓋。深度結合是指安全能力需要與信息技術棧緊密結合;全面覆蓋是指安全能力要覆蓋所有的業務場景,包括連接、訪問、共享、數據、服務、指揮控制、態勢感知等。比如,在下面的雲數據中心場景中,我們給出了安全能力在IT不同層次的安全控制方式,充分反映了深度結合的思想。
 

四、“十大工程、五大任務”概述

新一代網絡安全框架在規劃層面,以實體工程和支撐能力兩個維度,將網絡安全體系規劃內容劃分為十大工程和五大任務。
 
圖 十四五期間的“十大工程”和“五大任務”
關於圖中工程與任務的主要區別:工程一般由安全團隊主導建設,任務則是安全團隊輔助參與;工程一般產生安全系統、平台,可由安全廠商的產品進行搭建;任務一般形成能力、流程、制度,可由安全廠商的服務進行支持。針對每個工程/任務,我們繪製了總體架構圖,全面展現了該領域的安全能力全景,以及能力組件之間的邏輯聯繫,對規劃落地起到指引作用。
針對每個工程/任務,我們還闡述了該領域的建設背景、覆蓋內容、建設要點以及與IT關鍵業務聚合點、工程主要參與方、覆蓋點、建成系統與交付成果、對接系統,用以幫助政企機構在規劃、設計中把握要點,明確各相關部門、組織的協同職責,打通與其它系統的交互。

01工程一:新一代身份安全

大數據、物聯網、雲計算等技術的應用改變了傳統身份管理和使用模式,傳統身份管理無法滿足數字化身份管理需求。本工程立足於信息化和網絡安全雙基礎設施的定位,構建基於屬性的身份管理與訪問控制體系,全面納管數字化身份,為網絡安全與業務運營奠定基礎,保障業務運營。

02工程二:重構企業級網絡縱深防禦

混合雲、物聯網、工業生產網、衞星通信等技術應用產生更多網絡出口,管理複雜、安全風險劇增。本工程採用標準化、模塊化的網絡安全防護集羣,適配網絡節點接入模式,構建覆蓋多層次的網絡縱深防禦體系,保障業務運營。

03工程三:數字化終端及接入環境安全

數字化時代終端安全管理的複雜性上升,終端類別繁多、管控難度加大,接入安全、數據安全風險劇增。本工程在終端和接入環境上構建一體化終端安全技術棧,構建全面覆蓋多場景的數字化終端安全管理體系,保障業務運營。

04工程四:面向雲的數據中心安全防護

雲數據中心將逐漸取代傳統數據中心,應用場景日趨複雜,多種業務混合交織,業務風險增大。本工程立足於面向混合雲模式,將安全能力深入融合到雲數據中心多層次的網絡縱深和組件中,同時滿足傳統數據中心安全和雲計算安全要求,保障業務運營。

05工程五:面向大數據應用的數據安全防護

數據集中導致風險集中,數據流轉產生更多攻擊面、數據應用場景繁多複雜,數據風險加大。本工程以數據安全治理為基礎,將數據生命週期與數據應用場景結合,嚴控數據流轉與使用,加強行為監控與審計,確保數據安全,保障業務運營。

06工程六:面向實戰化的全局態勢感知體系

以往態勢感知系統重視安全數據展現卻忽略安全運行所需要的安全數據分析能力,支撐安全實戰的有效性不足。本工程覆蓋所有信息資產的全面實時安全監測,持續檢驗安全防禦機制的有效性、動態分析安全威脅並及時處置。實現全面安全態勢分析、逐級鑽取調查、安全溯源和取證,保障業務運營。

07工程七:面向資產/漏洞/配置/補丁的系統安全

資產、配置、漏洞、補丁是安全工作的基礎,但卻是各大機構的安全體系的最短板。本工程建設以數據驅動的系統安全運行體系,聚合IT資產、配置、漏洞、補丁等數據,提高漏洞修復的確定性,實現及時、準確、可持續的系統安全保護,夯實業務系統安全基礎,保障IT及業務有序運行。

08工程八:工業生產網安全防護

工業生產是生產類企業的根基與命脈,但長期以來企業工業生產網安全防護普遍缺失。本工程面向工控網絡內部、工控與IT網絡邊界、數據採集與運維、集團總部數據中心構建多層次安全措施,強化縱深防禦,並全面掌握工業生產網的安全態勢,保護工控生產運行安全,保障業務運營。

09工程九:內部威脅防控體系

內部人員違規、越權、濫權等異常操作或無意識操作將導致嚴重的業務損失。本工程構建內部威脅安全管控體系,基於操作監控、訪問控制、行為分析等手段,結合管控制度、意識培訓等管理措施,提升內部威脅防護能力,保障業務運營。

10工程十:密碼專項

本工程秉承“內生安全”理念,規劃、設計密碼體系,實現密碼與信息系統、數據和業務應用緊密結合,支撐業務系統密碼服務需求,滿足密碼相關的法律要求。

11任務一:實戰化安全運行能力建設

數字化時期的威脅瞬息萬變,按次開展的安全檢查與測評模式無法達到業務安全保障要求。本任務建立實戰化的安全運行體系,全面涵蓋安全團隊、安全運行流程、安全操作規程、安全運行支撐平台和安全工具等,並持續的評估、優化,持續提升安全運行成熟度,以達成對信息系統的持久性防護,保障業務運營。

12任務二:應用安全能力支撐

應用系統建設過程中安全長期缺位,安全與信息化建設普遍割裂,系統帶病上線,後期整改困難。本任務結合開發運行一體化(DevOps)模式,推進安全能力與信息系統持續集成,使安全屬性內生於信息系統,保持敏捷的同時滿足合規,使信息系統天然具有免疫力,保障業務運營。

13任務三:安全人員能力支撐

人是安全的尺度,人的能力決定安全體系建設和運行的能力。本任務設計企業網絡安全團隊、設置崗位與能力要求,開展能力實訓,建設網絡安全實戰訓練靶場,提升人員的實戰能力,形成安全團隊建制化,保障業務運營。

14任務四:物聯網安全能力支撐

物聯網設備類型碎片化、網絡異構化、部署泛在化的特性引入了大量安全風險。本任務結合物聯網“端邊雲”的架構,構建具有靈活性、自適應性和邊雲協同能力的物聯網安全支撐體系,保障業務運營。

15任務五:業務安全能力支撐

數字化業務劇增,由惡意操作、誤操作行為引發的業務風險顯著增長,造成政企機構利益、聲譽的巨大損失。本任務聚合業務與行為數據,利用大數據分析技術,保護客户隱私、交易安全,加強欺詐防範,打擊涉黃、涉政等行為,保障業務運營。

五、技術體系與運行體系

前面提到,安全建設的落腳點是安全技術體系和安全運行體系。十大工程五大任務的技術體系如下圖所示:
 
圖 企業網絡安全體系部署全景圖
1)全景圖包含了企業客户的各種業務場景,比如在總部級,包括總部數據中心、總部災備中心、總部互聯網出口/入口、總部運行中心、總部網絡中心、總部辦公區等;在區域級,包括區域數據中心、區域網絡中心、區域運行中心、開發中心、區域互聯網出口/入口等;在分支級,包括智慧園區、工業生產區、駐外機構、服務網點等。

2)全景圖區分了信息化組件(以綠色標記)和網絡安全組件(以紅色標記)類型,展示了網絡安全與信息化結合的方式。體現了內生安全之義。

3)全景圖對不同的網絡鏈路類型進行了標註,區分了業務網絡鏈路、管理網絡鏈路、管理/業務網絡鏈路、外部網絡鏈路。

4)全景圖還標註了所有的數據流向,比如對互聯網入口和出口進行了明確區分。
下圖對一個具體的場景,即企業主數據中心,進行局部放大:

 
可以看到,此數據中心劃分為多個區域,如大數據平台區、DMZ區(包含對外開放的各種應用系統的前置服務器等)、基礎信息系統區(包含郵件、企業網盤、即時通信、目錄服務、ITSM等基礎性信息系統)、應用系統區(包含人力資源、OA、ERP、電商平台等企業應用系統)、數據中心出入口、雲平台管理區、企業級安全平台區等;
以紅色表示的各種安全組件,按需部署在上述的各個區域中。比如大數據平台區部署了數據安全交換、數據脱敏等;基礎信息系統區針對郵件系統部署郵件安全網關,針對企業網盤系統部署數據泄露檢測、辦公文件安全備份等;
數據中心出入口部署了一套網絡安全棧;企業級安全平台區則集中部署了各種全局性的安全平台,如身份類、密碼類、數據安全類、終端類、系統安全類、態勢類等多種安全管理平台;
雲平台管理區部署了雲平台底層網絡安全防護類、雲平台安全管理類、安全資源池類、主機代理類、系統安全類等多種安全套件,還對各類套件進行了組件分解。
此外,主機代理類、安全資源池、網絡分區隔離組件、分佈式掃描器等安全組件廣泛地分佈在各個安全區域中。
十大工程五大任務的運行目標狀態如下圖所示:
 
圖 十大工程五大任務的運行目標狀態圖
該運行圖表現了十五項工程/任務之間的關聯關係,所建安全系統/平台之間的數據流關係,安全系統/平台與IT運維管理、應用開發之間的集成關係。反映了確保十大工程五大任務有效運行所不可或缺的關係性、流程性約束關係,是對我們反覆強調安全運行的最好註解。