近年来，部分大型企业尤其是关键信息基础设施行业领域，随着网络安全形势日益严峻复杂，国家对网络安全的重视也提高到前所未有的程度，网络安全监管政策趋严，最近滴滴接受网络安全审查就是最直接的明证。那么对于大型企业来说，要做好网络安全建设、运行、保障工作，首先要知道面临的具体风险和安全问题，才能在网络安全工作中“有所为有所不为”，那么安全需求分析是企业明确自身所面临的具体风险和安全问题的主要途径。接下来笔者就结合自己在安全咨询领域多年的工作经历，谈一谈如何规范有序的开展网络安全需求分析。

本文适用于非密信息系统开展网络安全需求分析，涉密信息系统可根据国家相关要求，结合企业自身实际情况，参照本文，开展网络安全需求分析。

在开始谈如何开展网络安全需求分析前，我们首先谈一下安全需求分析的主要工作要求。

1、开展安全需求分析工作不应影响信息系统业务的正常运行，避免在安全需求分析过程中出现重大网络安全事件，如涉及采用漏洞扫描方式评估系统漏洞的，应在夜间或业务非高峰时段进行。

2、开始安全需求分析前应制定网络安全应急预案，确保在安全需求分析过程中一旦出现重大网络安全事件可得到快速、有效的处置。

3、应确保参与安全需求分析工作的任何组织和个人，不得将安全需求分析过程中了解到的信息系统存在的安全问题如漏洞、风险等向任何非授权方透露或炫耀、进行炒作、牟取不正当利益或从事不正当商业竞争。

4、对于形成的安全需求，应分析其急迫和关键性，结合企业自身网络安全和信息化建设的中长期发展规划，网络安全建设的预算投入、资金状况等因素，对安全需求进行优先级排序，形成安全需求优先级列表。

5、企业在安全需求分析过程中发现使用的网络产品、服务存在安全缺陷、漏洞等风险的，应当根据安全需求优先级列表，在后续及时采取措施消除风险隐患。

6、应组织安全管理部门、业务和使用部门，必要时邀请外部专家，共同对安全需求的合理性、适用性等进行评审。

7、当外部因素影响，关键业务发生变化、新技术新应用、技术升级等因素导致安全需求发生变化，应及时做好需求变更记录。

8、如委托外部机构协助开展安全需求分析工作的，应与外部机构签订保密协议。

安全需求分析主要步骤包括明确安全需求主要输入、建立安全需求模型、编制安全需求分析报告、安全需求评审以及安全需求分析过程管理等。

企业首先明确开展安全需求分析的主要输入因素，根据主要输入启动安全需求分析工作。

安全需求分析的主要输入包括外部输入和内部输入两个方面。

（1）外部输入

外部输入一般指国家或企业所属行业出台的网络安全相关政策、规划、法律法规、推荐性或强制性的标准规范等，如《网络安全法》、《数据安全法》、等保2.0系列标准等。

另外，企业因国际化经营或海外上市等，所在国家或者地区的相关网络安全政策、法律法规、推荐性或强制性标准规范，网络安全的国际化标准规范等也是外部输入一部分，如ISO27001。

（2）内部输入

内部输入一般指企业信息系统面临的一些特殊安全问题而导致的安全需求，也包括企业自身的内部安全基线所提出的要求。

企业应随时关注外部和内部输入变化导致的安全需求变更，建立外部和内部安全需求输入的跟踪矩阵机制。

可通过采用文字、图形化、表格化、公式化的方式，开展安全需求分析，对安全需求进行可视化描述。

可从安全合规和风险管理两个角度开展安全需求分析。在本文第三章将重点阐述安全需求分析的主要方法。

3、编制安全需求分析报告

整理安全需求分析过程文档，编制安全需求分析报告。安全需求分析报告是企业后续开展网络安全建设、运行与保障等工作的依据。

安全需求分析报告一般包括概述，基本原则，工作要求，依据，网络安全和信息化现状描述，面临的安全风险和挑战描述，采用的安全需求工具描述，安全需求列表，安全需求分析的实施组织和时间以及安全需求变更记录等内容。

4、安全需求评审

企业组织安全管理部门、业务和使用部门、专家等共同对安全需求进行评审，做好评审记录，并按照评审意见对安全需求分析报告进行修改。

评审内容一般包括：

（1）网络安全现状分析是否准确到位；

（2）安全需求是否满足网络安全相关政策、法律法规、标准规范等；

（3）安全需求分析内容是否全面；

（4）发生安全需求变更处理是否合理、变更方案是否可行等。

5、安全需求分析过程管理

企业建立对安全需求分析过程的常态化管理机制，对安全需求的输入、变更、过程监控等进行常态化管理。当安全需求发生变更时，针对每一次变更，遵循同样的变更程序，即相同的文字报告、相同的管理办法、相同的监控过程。

前面我们谈到了安全需求分析的主要步骤，接下来我们重点阐述一下安全需求分析的主要方法。

安全合规是指企业开展网络安全保护工作要符合国家或行业出台的相关网络安全政策、规划、法律法规、推荐性或强制性的标准规范等。如涉及国际化经营或海外上市等，还应符合所在国家或者地区的相关网络安全政策、法律法规、推荐性或强制性标准规范，网络安全的国际化标准规范等。

如果企业内部有网络安全基线的，从安全合规角度开展安全需求分析时也应一并考虑。

接下来我们来谈谈如何从安全合规角度开展安全需求分析。

在开始安全合规需求分析之前，应首先明确信息系统的网络安全保护等级、范围和边界。涉及多个信息系统的，应明确各自范围和边界。通过查阅资料或调查的方式，了解信息系统的业务应用、流程等基本情况。

根据信息系统的网络安全保护等级，从《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）中选择相应等级的安全基本要求，进行安全差距分析，形成基本安全需求。以等级保护第三级为例，企业可参照下表，进行网络安全等级保护第三级合规差距分析。

技术/管理

分类

安全（控制点）要求

符合情况

差距描述

备注

安全技术要求

安全物理环境

8.1.1.1 物理位置选择

通用要求

8.1.1.2 物理访问控制

8.1.1.3 防盗窃和防破坏

8.1.1.4 防雷击

8.1.1.5 防火

8.1.1.6 防水和防潮

8.1.1.7 防静电

8.1.1.8 湿温度控制

8.1.1.9 电力供应

8.1.1.10电磁防护

8.2.1 基础设施位置

云计算

8.3.1.1无线接入点的物理位置

移动互联

8.4.1.1感知节点设备物理防护

物联网

8.5.1.1室外控制设备物理防护

工控

安全通信网络

8.1.2.1 网络架构

通用要求

8.1.2.2 通信传输

8.1.2.3 可信验证

8.2.2.1 网络架构

云计算

8.5.2.1 网络架构

工控

8.5.2.2 通信传输

安全区域边界

8.1.3.1 边界防护

通用要求

8.1.3.2 访问控制

8.1.3.3 入侵防范

8.1.3.4 恶意代码和垃圾邮件防范

8.1.3.5 安全审计

8.1.3.6 可信验证

8.2.3.1 访问控制

云计算

8.2.3.2 入侵防范

8.2.3.3 安全审计

8.3.2.1 边界防护

移动互联

8.3.2.2 访问控制

8.3.2.3 入侵防范

8.4.2.1  接入控制

物联网

8.4.2.2  入侵防范

8.5.3.1  访问控制

工控

8.5.3.2  拨号使用控制

8.5.3.3  无线使用控制

安全计算环境

8.1.4.1  身份鉴别

安全通用要求

8.1.4.2  访问控制

8.1.4.3  安全审计

8.1.4.4  入侵防范

8.1.4.5  恶意代码防范

8.1.4.6  可信验证

8.1.4.7  数据完整性

8.1.4.8  数据保密性

8.1.4.9  数据备份恢复

8.1.4.10 剩余信息保护

8.1.4.11 个人信息保护

8.2.4.1  身份鉴别

云计算

8.2.4.2  访问控制

8.2.4.3  入侵防范

8.2.4.4  镜像和快照保护

8.2.4.5  数据完整性和保密性

8.2.4.6  数据备份恢复

8.2.4.7  剩余信息保护

8.3.3.1  移动终端管控

移动互联

8.3.3.2  移动应用管控

8.4.3.1  感知节点设备安全

物联网

8.4.3.2  网关节点设备安全

8.4.3.3  抗数据重放

8.4.3.4  数据融合处理

8.5.4.1  控制设备安全

工控

安全管理中心

8.1.5.1 系统管理

8.1.5.2 审计管理

8.1.5.3 安全管理

8.1.5.4 集中管控

8.2.5.1 集中管控

云计算

安全管理要求

安全管理制度

8.1.6.1 安全策略

8.1.6.2 管理制度

8.1.6.3 制定和发布

8.1.6.4 评审和修订

安全管理机构

8.1.7.1 岗位设置

8.1.7.2 人员配备

8.1.7.3 授权和审批

8.1.7.4 沟通和合作

8.1.7.5 审核和检查

安全管理人员

8.1.8.1 人员录用

8.1.8.2 人员离岗

8.1.8.3 安全意识教育和培训

8.1.8.4 外部人员访问管理

安全建设管理

8.1.9.1  定级和备案

通用要求

8.1.9.2  安全方案设计

8.1.9.3  产品采购和使用

8.1.9.4  自xing软件开发

8.1.9.5  外包软件开发

8.1.9.6  工程实施

8.1.9.7  测试验收

8.1.9.8  系统交付

8.1.9.9  等级测评

8.1.9.10 服务供应商选择

8.2.6.1  云服务商选择

云计算

8.2.6.2  供应链管理

8.3.4.1  移动应用软件采购

移动互联

8.3.4.2  移动应用软件开发

8.5.5.1  产品采购和使用

工控

8.5.5.2  外包软件开发

安全运维管理

8.1.10.1 环境管理

安全通用要求

8.1.10.2 资产管理

8.1.10.3 介质管理

8.1.10.4 设备维护管理

8.1.10.5 漏洞和风险管理

8.1.10.6 网络与系统安全管理

8.1.10.7 恶意代码防范管理

8.1.10.8  配置管理

8.1.10.9  密码管理

8.1.10.10 变更管理

8.1.10.11 备份与恢复管理

8.1.10.12 安全事件处置

8.1.10.13 应急预案管理

8.1.10.14 外包运维管理

8.2.7.1  云计算环境管理

云计算

8.3.5.1  配置管理

移动互联

8.4.4.1  感知节点管理

物联网

注1：本表只列出网络安全保护第三级的基本安全控制点名称。

注2：“符合情况”列选填不符合、部分符合、符合。

注3：当“符合情况”列选填部分符合或不符合时，“差距描述”列填写部分符合或不符合的情况说明。

注4：“备注”中的“云计算”表示等级保护三级针对云计算个性安全保护需求提出的安全扩展要求；“移动互联”表示等级保护三级针对移动互联个性安全保护需求提出的安全扩展要求；“物联网”表示等级保护三级针对物联网个性安全保护需求提出的安全扩展要求；“工控”表示等级保护三级针对工业控制个性安全保护需求提出的安全扩展要求。

企业所属行业领域有网络安全等级保护规范性文件的，还应按照行业网络安全等级保护规范性文件，进行安全合规差距分析，安全合规差距分析方法如上所述。

企业自身有网络安全基线的，还应对标企业自身的网络安全基线，进行安全合规差距分析。例如：

——某企业建立了《XXX系统安全基线》，针对所有网络设备、安全设备、数据库、操作系统（如UNIX/Linux、Windows、XXX国产化操作系统等）、应用软件（如IIS、Apache、Tomcat等）提出了安全配置要求，在进行安全需求分析时，某企业应对标《XXX系统安全基线》进行安全合规差距分析。安全合规差距分析方法如上所述。

企业因国际化经营或海外上市等，还应按照所在国家或者地区的相关网络安全政策、法律法规、推荐性或强制性标准规范（如PCI DSS 3.0第三方支付行业数据安全标准、SOX法案等）等开展安全合规差距分析。

如企业有关键信息基础设施，还应按照我国现阶段提出的关键信息基础设施保护的相关政策、法律法规要求等进行安全合规差距分析。

安全合规体系是构建安全保障体系，保证业务稳定、持续运行的基础，另一方面，网络安全也是一个持续的、动态的风险管理过程。基于此，企业除应开展安全合规差距分析，明确安全合规需求外，还应围绕安全风险管理，识别威胁、脆弱性、已有安全控制措施及主要安全风险点，确定风险处置的优先级，形成特殊安全需求，进而在后续采取相应的安全控制措施，确保将安全风险控制在可接受的范围。

企业可参照GB/T 20984开展网络安全风险分析。

在完成了业务识别、资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，应采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对信息系统的影响，即安全风险，并根据一定的风险计算原理对风险进行合理量化。

企业可根据业务重要性和风险严重程度，结合自身风险承受能力来确定可接受的风险级别，表示为风险容忍度，并根据风险容忍度确定关键业务链的风险处置的优先级，并据此选择和制定网络安全风险管理计划。企业可根据对关键业务的潜在影响选择不同的方法来处理风险，包括缓解风险、转移风险、避免风险和接受风险。

企业可参考下表根据风险分析的结果描述特殊安全需求。

序号

信息系统

风险类型

风险描述

优先级

风险处理方式

1

2

3

4

5

6

7

8

9

10

…

…

…

合计

共X项风险。其中….

企业要做好网络安全保障工作，不仅要考虑安全合规体系建设，更应关注自身存在的网络安全风险，并采取控制措施，将风险控制在可接受的范围。

以上是笔者关于如何规范有序的开展网络安全需求分析的一些想法，如有不足的地方，敬请斧正。