安全穿透式管理实施方案.docxVIP

安全穿透式管理实施方案

第一章总则与目标

1.1制定背景

集团近三年发生17起“横向穿透”事件：外部攻击者先拿下子公司办公网，再借助弱隔离横向移动到生产网，最终造成OT系统停机。传统“边界堆叠式”安全架构已无法应对供应链、远程办公、IoT扩张带来的“内部即外部”现状。

1.2术语定义

安全穿透式管理（SPM）：以“身份”为唯一信任锚，把控制平面嵌入每一次访问、每一次数据流动、每一次算力调度，实现“流量走到哪、策略跟到哪”的连续治理。

1.3目标值

①横向移动平均停留时间（MTTI）≤15分钟；

②特权命令实时审计覆盖率100%；

③第三方接入闭环整改周期≤24h；

④年度重大安全事件0起；

⑤等保2.0四级评分≥95分。

第二章治理组织

2.1三层决策机制

董事会下设“安全风险委员会”（SRC），季度听取CISO穿透式治理报告；集团、板块、工厂三级“穿透式治理办公室”（SGO），主任由业务一把手兼任，实行“安全否决权”一票否决。

2.2角色矩阵

身份策略官（IPO）：负责身份生命周期与策略一致性；

数据流官（DFO）：负责数据分类、标签、流策略；

工作负载官（WLO）：负责云原生、工控、边缘节点的基线加固；

合规审计官（CAO）：负责法规映射、证据链、电子举证。

2.3考核办法

未完成当月“零信任闭环率”指标（≥98%）的单位，扣减绩效5%；连续两次未达标，启动“熔断”——冻结所有新建项目预算。

第三章资产与身份基线

3.1资产测绘“三日法”

Day1：流量镜像+主动探测，输出《存活资产清单》；

Day2：SNMP、WMI、Modbus轮询，补全设备属性；

Day3：与CMDB差异比对，人工复核，形成《黄金资产库》。

3.2身份治理“四维”

人：员工、外包、访客、运维机器人；

端：PC、移动、IoT、PLC；

应用：单体、微服务、Serverless；

数据：结构化、非结构化、OT时序数据。

3.3唯一身份标识（UID）规则

采用“UUIDv5+工号+入职时间戳”生成，离职即冻结30天后物理删除；外包UID附加“V”后缀，默认权限仅开放访客域。

第四章控制平面技术架构

4.1动态访问控制（DAC）

基于“身份+环境+行为”三元组实时评分，评分60分直接拒绝；60–80分触发MFA；80分放行但记录高保真日志。

4.2微隔离（MSG）

生产网按“L2域—产线—工位”三级标签，策略下发到白名单交换机；办公网采用主机代理模式，策略粒度到进程级。

4.3数据层穿透控制

结构化数据：在数据库代理注入“行级安全标签”，查询改写引擎自动附加where子句；

非结构化数据：文件出站时强制加密为ZIPTLS，密钥托管在HSM；

OT时序数据：边缘网关内置OPCUA代理，写操作需二次签名。

4.4云原生扩展

Kubernetes集群启用OPAGatekeeper，所有镜像必须通过SCA扫描（高危漏洞=0）、SBOM签名、运行时eBPF监控。

第五章实施路线图

5.0阶段划分

P0准备（T0T+1月）

P1身份与资产治理（T+1T+3月）

P2控制平面上线（T+4T+6月）

P3全面渗透验证（T+7T+8月）

P4持续运营（T+9月起）

5.1P0准备

①立项：SRC下发《穿透式治理任务书》，预算3800万元；

②选型：完成SDP、MSG、UEBA、HSM、IT/OT统一日志平台招标；

③合规：对照《网络安全法》《数据安全法》《关基保护条例》差距分析，输出63项整改需求。

5.2P1身份与资产治理

Week1：AD、LDAP、钉钉、企业微信、SAP、MES、SCADA身份源打通，建立“身份总线”；

Week2：部署OT资产探测工具，发现412台PLC、87台HMI未纳入管理；

Week3：基于《黄金资产库》生成“默认拒绝”策略基线，策略条数9.3万条；

Week4：上线“身份自助大厅”，员工可30秒内完成权限申请、审批、发放。

5.3P2控制平面上线

Step1：SDP网关集群双活部署，互联网出口流量先行切入，办公网1.2万终端安装轻量级Agent；

Step2：MSG控制器与核心交换机OpenFlow对接，策略下发平均时延38ms；

Step3：UEBA接入87类