2019年國資委下發《關于做好國資國企網絡信息安全在線監管平臺建設工作的通知》，明確要求：“加快集團公司及所屬企業互聯網出入口收斂，切實減少暴露面和風險點，初步形成基礎設施一張網、資產態勢一張圖、安全監管一盤棋、風險管控一條線、產業服務一站通等支撐能力。”

基于國家法律法規和監管部門的網絡安全管理要求，結合大型企業集團網絡安全風險管控的需求，我們提出了一個有針對性的、并通過了真實項目驗證的互聯網出口縮減規劃和實施工作方案。

規劃思路

企業互聯網出口管理，包括了外部人員通過互聯網訪問企業內部應用系統和企業內部員工訪問互聯網的雙向管理。互聯網出口縮減的前提條件是不影響企業正常業務活動的開展。

基于對成功實施過互聯網出口縮減的大型企業的廣泛調研和分析，我們可以總結出互聯網出口縮減方案由全域組網和互聯網出口設置、互聯網應用（指外部需要通過互聯網訪問的應用系統）整合和保留、互聯網出口的安全保護和運維管理三個部分組成。

全域組網是指實現大型企業的集團和所有分、子公司的網絡互聯，在此基礎上，分、子公司可使用指定的互聯網出口，縮減掉本單位的互聯網出口。

由于互聯網應用支撐了各單位的業務活動和企業管理，這是分、子公司開通互聯網出口的重要原因。對分、子公司的互聯網應用進行整合，并遷移到集團數據中心，可以縮減掉分、子公司與互聯網應用相關的出口。因監管、合規、業務等需要，必須在本地開通互聯網出口的，可予以保留。

互聯網出口縮減后，會造成網絡安全風險更加集中。這需要進一步強化對縮減后的互聯網出口進行統一管理，其中建設和完善高效的網絡安全運營體系尤為重要。

互聯網出口縮減方案設計按照三步走的方法，即了解現狀、規劃未來、制定實施路徑：

第一步了解現狀

梳理企業互聯網出口的數量和互聯網應用的數量和分布情況，識別互聯網出口縮減的范圍。

第二步規劃未來

結合企業的業務、網絡、應用、安全管理等特色，重點規劃三方面的方案：全域組網和互聯網出口設置、互聯網應用的整合和保留、互聯網出口安全保護和運維管理。

第三步制定實施路徑

基于互聯網出口設置和安全管理的現狀和未來規劃，識別互聯網出口縮減方案的各項任務，按照任務的優先級和任務間的邏輯關系進行排序，制定實施路徑。

規劃原則

互聯網出口管控規劃一般遵循以下原則：

01科學性

國資委下發《關于做好國資國企網絡信息安全在線監管平臺建設工作的通知》后，多家大型央企均已開展相關工作，積累了豐富的成功經驗。企業可以監管合規要求為基礎，借鑒同行業大型央企的成功經驗，與安全廠商、運營商多渠道調研與交流，多種技術方案評估與借鑒，提高方案設計的科學性。

02先進性

企業在實際規劃時，所設計的方案在技術路線上應當與當今世界的技術發展方向和國內主流應用趨勢相一致，保證設計方案與建設內容具有先進性和可持續發展性。

03落地性

企業需要充分評估規劃方案和實施路徑，根據組織發展現狀，綜合考慮人、設備、技術、管理與成本等因素，制定可執行、可落地的規劃方案。

04安全性

企業在制定互聯網出口縮減方案時，應同步考慮安全防護措施，規劃時充分考慮網絡安全技術與管理的結合，提出后續項目建設的安全指導意見。

05擴展性

互聯網出口縮減方案設計時，應當降低對設備與安全廠商的依賴，充分考慮網絡安全不斷發展變化，力求技術、設備與應用架構可根據情況替換或更新，規劃設計同時考慮業務和機構的擴展要求。

規劃目標

對互聯網出口的管控規劃一般須達成以下目標：

01保證監管合規

開展互聯網出口縮減工作，要切實減少暴露面和風險點，努力形成“五個一”的支撐能力，即基礎設施一張網、資產態勢一張圖、安全監管一盤棋、風險管控一條線、產業服務一站通，以滿足上級監管部門的要求。

02全面統一出口

建設覆蓋企業總部和分、子公司的“一張網”，合理設置互聯網出口和入口。對外部訪問統一管理，所有網絡流量需通過企業指定的統一互聯網出口和入口。

03業務持續安全

制定合理的應用整合和遷移規劃，保障在互聯網出口縮減的實施過程中，企業總部和分、子公司的業務活動不受影響。保障重要應用由企業統一進行安全管控，提升整體應用的安全防護能力。

04提升安全水平

完善安全運營管理，加強安全運營的組織、制度和技術建設。加強對互聯網出口、互聯網入口、集團網絡遠程接入的監控和防護，將互聯網出口的安全監控和運維管理納入網絡安全運營管理體系，全面提升網絡安全防護水平。

相關技術分析

當前，OTN（專線）、SD-WAN、MSTP專線是較為先進和流行的組網技術，OTN和MSTP常用于在一定區域內，SD-WAN常用于廣泛區域的網絡互聯。

針對OTN、SD-WAN、MSTP三種組網技術，筆者根據以往項目經驗，簡單對比了三種方案的優劣，參見下表：

未來風險管理

通過合并、轉移、關停等方法，將整合后的互聯網應用遷移至企業統一的數據中心，集中進行安全運維管理。因監管、合規、業務等需要，必須在本地開通互聯網出口的，可予以保留。

互聯網出口縮減完成后，業務風險暴露面主要集中在以下五個方面，分別是互聯網出口、互聯網入口、合作伙伴互聯網出入口、遠程接入接口、SD-WAN接口等。

五個方面的風險分析和安全防護技術參見下表：

可能出現的問題與解決辦法

01應用協查問題

分、子公司的互聯網應用遷移到總部數據中心后，當發生應用系統的故障時，需要分、子公司和總部安全運維團隊聯合協查，確定故障原因并予以解決。

02IP地址沖突問題

IP地址沖突，會導致主機、終端和其他設備無法正常工作。總部應統一制定IP地址規劃，分、子公司應嚴格按照總部要求分配和管理IP地址，盡量使用DHCP（動態主機配置協議）自動分配IP地址。

03分、子公司互聯網出口的安全管控

分子公司因監管、合規、業務等需要保留的互聯網出口，需按照集團的統一標準實施互聯網出口的安全監控和防護。

04項目實施管理問題

互聯網出口縮減的實施涉及到總部和所有分、子公司，也關系到數據中心、網絡、應用、人員等各個方面，是一項復雜的工程。集團應制定周密的實施計劃，指派專業的人員，管理項目的實施質量和進度。

05分、子公司私自保留互聯網出口

分、子公司私自保留互聯網出口，將給集團的網絡安全帶來重大的安全風險，必須嚴格禁止。集團應從制度上加以明確，通過管理手段和技術手段進行檢查，采用績效考核等方式進行約束。

06網絡帶寬不足問題

因業務拓展、人員增加、應用系統增多等因素，可能引發網絡帶寬不足。集團應監控網絡的使用情況，及時發現網絡帶寬不足的問題，做好網絡傳輸策略優化，必要時增加帶寬。

總之，大型企業互聯網出口的收斂涉及范圍廣、技術難度高、管理復雜性強，需要投入巨大的人力和物力，因此集團的統一領導和在各方面的支持，以及做好嚴禁周密的方案設計和實施規劃，是成功的關鍵。

作者簡介

張兵，谷安天下數據安全咨詢合伙人，數據安全治理委員會專家，全國金融標準化技術委員會證券分技術委員會專家，《中小銀行數據安全治理研究報告》、《數據防泄露產品選型指南》報告主編，20多年的信息安全、數據安全、個人信息保護、科技風險等咨詢及審計服務經驗，獲得CISA、CDPSE、CISP-DSG、ISO 27701等證書，熟悉銀行業、保險業、證券業、電信互聯網行業、醫療健康行業及大型央企的科技管理與風險應對措施，掌握專業的數據安全建設方法論，并具備豐富的項目實踐經驗。