私有技术 “需要符合现实的分阶段应用”
Source: Byline Network
[N²SF 转型⑦] 主导 DPG 综合平台实证…“全部实现”控制项导致预算·联动·运营负担加剧
目录
- 公共安全范式大转变,N²SF
- N²SF,拥抱零信任架构
- N²SF 指南主要撰写人谈公共安全的难题 – 以哲浩 ENPLUS LAB CEO 访谈
- N²SF 实证案例:SGA Solutions “咨询阶段是骨架”
- N²SF 实证案例:Genience “从终端验证开始的 N²SF”
- N²SF 实证案例:Monitor Lab “一使用生成式 AI,数据即成为受控对象”
- N²SF 实证案例:Private Technology “需要分阶段转型”(本号)
- N²SF 实证案例:Enkey Whitehat “持续检查才能完成 N²SF”
- N²SF 的前进之路:后续任务
去年在国家情报院主导的国家网络安全体系(N²SF)实证中,Private Technology 主导了“数字平台政府(DPG)综合平台”项目。该项目以机构间数据联动·共享为前提,先识别业务信息和信息系统,并按机密(C)·敏感(S)·公开(O)等级进行分类,随后梳理威胁、制定控制项和政策,直至进行适合性评估,整个流程需要根据现场实际进行落地。
Private Technology 战略推进本部副部长朴胜民表示:“N²SF 的目的并不是解除网络隔离本身”,并指出“相较于一次性改造全机构·全业务,先从特定服务开始的分阶段转型更为现实”。
“联动”不如“设计数据迁移控制”更重要
Private Technology 在实证中承担的角色并非单纯增加安全设备,而是从 N²SF 视角重新定义机构间数据流动的区段。DPG 综合平台因涉及多个部门数据交叉,核心不在于连接本身,而是“数据流向何处、在何种条件下允许或阻断”。
Private Technology 在联动区段识别·验证通信流,并通过先验认证方式确保数据迁移的完整性,将此设计体现在实证中。
在产品层面也进行了重构。虽然起初采用零信任安全解决方案,但已根据 N²SF 控制项扩展可适配功能。随着安全控制项增多,运营负担随之上升,因此他们扩大了 API,以实现额外安全解决方案的自动联动,并根据“自动化”需求强化了终端自动控制功能。
必须设定“接受基准线”,分阶段转型才能顺畅推进
朴副部长强调的另一关键词是 阈值线(接受基准线)。N²SF 指南的安全控制项虽细致,但若一次性全部实现,会给公共机构带来巨大压力。他解释道:“为满足一项控制项,可能需要部署不止一套安全解决方案。预算不足的机构难以落实。”
因此,需要一个**‘到哪一步算是已将风险降至可管理水平’**的基准线。例如,若控制项共计 270 项,满足 250 项时,需要有依据决定剩余 20 项是否可以延期执行,才能推动广泛落地。如果没有明确划分“哪些目前难以实现,哪些可以留到后续”,现场在转型压力下可能失去动力。
分类·识别是关键环节…单个周期至少需 4~6 个月
DPG 综合平台项目的实证重点在于前端设计工作,而非仅仅挂载安全设备。朴副部长按以下步骤阐述 N²SF 的应用流程:
- 识别业务信息和信息系统
- 对数据进行分类并赋予 C·S·O 等级
- 识别威胁并挑选适用的安全控制项
- 在安全解决方案中设置相应策略
- 开展适合性评估
他说:“如果想一次性覆盖全机构,将是长期战”。因此必须以‘特定服务’为切入点,先梳理该服务涉及的信息。
他还指出,“N²SF 仍处于初期阶段,完成适合性评估至少需要 46 个月”。若业务信息识别顺畅,可加快;否则每一步可能额外耗时 12 个月。因此将一次应用周期设定为至少 4~6 个月,并在咨询阶段明确选择哪些服务、哪些风险先行,方能顺利落地。
剩余任务是‘制度·推广·联动’…实态评估是现实的牵引力
朴副部长在 N²SF 转型阶段也指出了对“网络隔离”的误解。他表示:“网络隔离仍然是必须的。某些领域必须通过网络隔离来实现,而有些场景则应优先落实安全控制”。并强调“需要逐步推进,未来还需法律层面的声明”。
机构的接受度也是挑战。公共机构的安全负责人往往是轮岗制,对 N²SF 的认知度低,解释时常会得到‘太难’的反馈。因此**‘实态评估’**可以成为推动转型的实际动力。若实态评估得分计入机构经营评价,就会形成“必须执行”的情形。
他还强调,转型并非仅增加负担。网络隔离环境下,业务网难以使用 AI·云等民营服务,导致必须迁移至互联网网络,效率低下。采用 N²SF 后,工作站可直接使用所需服务,工作效率提升、工作时间缩短。
文·巴伊莱恩网络