中央企业数字化转型安全建设（下）

笔者在上一篇《中央企业数字化转型安全建设（上）》中，以中央企业中制造、电力、建筑三个行业为代表，详细介绍了中央企业数字化转型业务模式及安全场景，同时也介绍了在数字化转型下的安全挑战。下面，笔者将详细介绍面临诸多安全挑战，中央企业数字化安全建设思路及解决方案。

0****1

中央企业数字化安全建设思路

为了解决数字化转型过程中面临的安全挑战，企业在安全建设过程中，应围绕网络安全与数字化同步建设的思路，立足数字化新架构和信创发展，打造体系化、实战化、有效化的安全防御体系。

以“业安融合”理念构建安全屏障

普遍来看，企业网络安全发展一直落后于信息化发展。脱节的原因不仅在于技术层，更在于战略上对网络安全的不够重视。

因此在系统建设初期，就需要考虑安全因素，通过业务梳理、场景化分析，把安全嵌入到信息化发展和安全治理过程中，围绕愿景、战略、目标、任务、指标等领域实现业务与安全的对接融合，做到一体化发展。

图1 “业安融合”安全理念

为了使中央企业网络安全能力充分满足数字化发展的需要。企业需要遵照《网络安全法》《关键信息基础设施保护条例》等法规要求，实现网络安全和数字化“同步规划、同步建设、同步运营”。

构建数字化信创安全能力

信创的核心是创新应用和自主可控，但并不意味着安全，甚至可以说，信创更需要安全。中央企业作为信创发展的主力军，离不开信创安全能力建设。如图2所示，企业在使用搭载国产关键部件设备时，需要部署必要安全设施，打造信创安全能力，确保信息系统自主、可控、安全。

图2 构建数字化信创安全能力

（图片引用：嘶吼《信创安全典型行业应用专题报告》）

安全责任共担保障云上安全

企业上云走向“精耕细作”，在推动“云+产业”结合的进程中，责任共担模型将更好地指导云租户和云服务商，明确其安全责任。IaaS、PaaS、SaaS三种不同的云服务模式中，云服务商和企业云租户对计算资源拥有不同控制范围，控制范围则决定了安全责任的边界。如图3所示，针对不同的云计算服务模式，各责任主体需负责各自控制范围内的安全合规工作。

图3 云安全责任共担模型

构建立体的安全防御体系

数字化网络安全风险呈现多样化、复杂化、难预测的趋势。企业亟待构建与数字化业务融合的新型网络安全体系，并全面适配信创架构，实现防御有效化。如图4所示，整体来看，主要包含以下四个方面：

**其一，加强云安全防护建设。**建立全栈云安全防护体系，提升整个业务链、供应链的安全防护能力。

**其二，提升流量侧安全能力。**通过流量侧的漏洞管理，以及全流量威胁检测响应体系建设，把安全工作做到实处。

**其三，补齐数据安全的短板。**按照数据生命周期，从管理和技术两方面，打造可管、可控、可视的数据安全体系。

**其四，解决安全运营能力不足的困境。**借助专业的安全服务，既满足企业日常运营，也满足重点时期安全管理需要。

图4 体系化安全架构图

0****2

中央企业数字化安全建设方案

中央企业数字化安全建设方案需要围绕流量安全、云安全、数据安全等几个重点方面，配合专业安全服务，打造体系化、纵深化安全防御，实现新场景、新架构下的新安全。

先进云安全方案

云计算逐步成为企业数字化转型的关键基础设施。如图5所示，鉴于传统安全解决方案在云和数字化浪潮下面临的困境，先进云安全方案应该是云原生的、融合化的、服务化的、智能化的，青藤提出了先进云安全方案CNAPP。

图5 先进云安全运营框架

首先，从云上的运行态安全向开发安全左移。云时代的软件工程越来越多地采用DevOps作为一站式的应用开发运维模式，在软件编码、托管、构建、集成、测试、发布、部署和运维全生命周期中实现自动化，缩短软件开发周期，提高软件迭代效率。这时，安全如果还是作为一个单独的检查项，显然不符合DevOps思想。所以，青藤通过先进云安全方案实现安全与人员的融合、与开发工具的融合、与流程的融合，进而实现DevSecOps，让上云即安全成为可能。

其次，安全右移保护云上应用及API****安全。由于云上开放度的持续提升，最直接体现在微服务化之后所有的应用API化越来越明显，这时，API的资产、异常行为缺乏可见性，API的权限管理变得异常复杂。在此方面，青藤WAAP构建了API资产自动发现、API风险监测、API异常行为实时检测、API链路监控等能力，实现云应用安全防护和API安全。

再者，安全下移实现云安全配置管理。因为配置错误导致云环境风险暴露越来越成为一个显著问题，针对于此，青藤CSPM实现云安全资产管理、配置检查、风险发现、配置管理等功能，提供一站式的风险梳理和发现，联动防护一键处置告警，大幅提高了安全运维效率。

最后，安全上移提升云端大数据分析及智能安全运营能力。在此方面，青藤进行了大量的预研，例如利用可扩展分布式图计算技术降低海量大数据告警噪音、实现基于上下文的增强检测、提升安全事件响应效率。并利用AI技术在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面发挥作用。

中央企业可以利用云原生安全平台，保护云原生全生命周期安全。如图6所示，云原生安全平台CNAPP整合了大量以前孤立的功能，包括：

• 开发工件扫描，包括容器；

• 云安全态势管理；

• IaC扫描；

• 云基础设施授权管理；

• 运行时云工作负载保护平台。

图6 云原生安全平台功能

云原生安全平台最大的优点在于，对云原生应用风险具有更好的可见性和更强的控制能力。它通过开发和运行时阶段的多个工具集，实现云原生全生命周期安全。如图7所示，目前符合企业业务发展需要的云原生安全方案，整体包括14大类安全要求。

图7 云原生安全方案要求

关于14大类安全要求的具体内容，笔者将在后续的文章中继续展开详细阐述。

中央企业业务上云是实现数字化转型的关键一步。有效的云安全解决方案，可以解决企业上云过程中面临的各种新安全问题，让企业安全上云，放心用云。

流量安全方案

现阶段，各种未知威胁攻击层出不穷，然而再高级的攻击也会产生流量。如图8所示，中央企业通过流量侧的安全建设，做到全方向、全流量分析，提升未知威胁防御能力。

图8 网络全方向、全流量分析

（1）全流量威胁检测响应能力

通过全流量威胁检测响应方案，能够准确发现网络中各种隐蔽的高级攻击行为，做到事前预防、事中控制、事后回查，有效应对未知威胁。

• **事前预防：**利用流量可视化能力，看见资产，看清安全洼地，看透安全隐患。

该方案通过网络可视化，自动识别东西和南北方向流量，并关联终端资产信息，如图9所示。通过长期的流量监控分析，构建完整的资产访问关系图。在检测到威胁时，结合Kill-chain的方式，将每个资产受到的攻击进行关联，结合上下文分析，实时统计资产的安全状态。

图9 网络可视化自动识别东西和南北方向流量

• 事中控制：通过数据可视化分析实现威胁追踪，在造成破坏之前阻断威胁。

该方案结合了威胁检测技术、行为分析技术，实现对威胁的检测。如图10所示，该方案可发现数十种网络攻击类型，通过快速发现网络中的恶意流量行为，并进行拦截和实时告警，帮助用户及时响应攻击行为。

图10 发现网络中数十种攻击类型

• 事后评估：通过全量数据，对事件进行回溯，评估事件影响及和处置效果。

该方案通过安全事件关联分析，判断告警的准确性和严重性，帮助用户评估事件影响，发现安全弱点。同时，基于上下文检测技术，以ATT&CK为模型，精准还原攻击事件，实现业务安全的定性和定量分析。

（2）漏洞管理实现漏洞无效化

漏洞管理是企业面临的老大难问题。近年来，工业互联网技术不断应用，工控漏洞快速增长。企业如何更早感知重点漏洞威胁？如何更快进行针对性防御？如何更高效地进行漏洞加固？最有效的方式就是实现漏洞无效化。

该方案以“安全漏洞”为视角，对漏洞利用行为，进行针对性的屏蔽，使漏洞探测和攻击行为失效。如图11所示，通过漏洞管理方案，从防御恶意漏洞探测、漏洞定向攻击、病毒利用漏洞扩散三个角度，从南北向、东西向两个维度，进行立体式的漏洞利用行为防御。

图11 南北向+多级东西向漏洞利用防护

通过漏洞无效化管理，可实现以下几个方面的安全防护：

• 防护来自外部或南北向的漏洞探测行为，外部探测行为将获取不到漏洞信息。

• 防护南北向的漏洞攻击行为，拦截来自外部的漏洞攻击。

• 防护已感染恶意软件主机利用漏洞横向渗透的行为，东西向的漏洞探测行为将会被拦截。

• 防护已感染恶意软件主机主动的东西向的漏洞攻击行为，拦截内部的漏洞攻击。

• 防护已感染恶意软件的分支机构对漏洞的探测和攻击利用行为。

中央企业通过流量侧的安全建设，满足企业在高级可持续攻击检测、全网安全威胁监测、重保等各个场景的安全防御需求。

数据安全方案

随着中央企业数字化转型，海量数据的价值在流通、融合、共享中进一步被挖掘，数据安全成为企业数字化转型过程中的核心需要。

（1）数据安全建设要求和整体方案框架

中央企业数字化发展过程中，数据使用呈现场景复杂、数据用户多、数据量大、暴露面大的特点。如图12所示，企业数据安全建设需要围绕数据全生命周期，在采集、存储、传输、处理、交换、销毁等各环节中保护数据安全，实现数据不被泄露、窃取、篡改、毁损、非法使用等，保证数据的完整性，保密性和可用性。

图12 数据生存周期各阶段安全要求

中央企业数据安全建设涉及政策法规、技术保障、管理制度等多方面问题，为此需要以法规监管要求和业务发展需要为输入，依靠技术工具和管理制度的支撑作用，遵循“事前可观、事中可控、事后可追溯”的原则，按照数据生命周期各阶段安全要求，围绕关键数据平台、重要网络节点、涉敏业务系统，持续检测与评估，打造可管、可控、可视的数据安全体系。具体安全方案如图13所示。

图13 中央企业数据安全建设方案

（2）应用级数据安全，补齐最后一块短板

企业数字化转型是利用新一代数字技术，将业务流程的物理信息链接起来，形成有价值的数据资产，通过数据流通与使用释放数据资源价值，增强自身竞争力。在此过程中，应用级数据活跃度增高，流转风险加剧。为了“让数据使用更安全”，中央企业需要重点打造应用级数据安全能力，补齐数据安全领域最重要的一块短板。如图14所示，企业通过数据安全管理平台，实时、精准的监测和分析，实现数据安全管理 平台化、日常化、可量化。

图14 数据安全管理平台

企业通过应用级数据安全建设，可以完整、实时地了解任何一个业务系统，任何一个页面的数据使用情况，专业、客观、量化地回答：“什么时候，有哪些人，在什么地方，使用了哪些系统中的什么数据？”。如图15所示，该方案实现全面数据态势梳理监测、持续风险评估策略优化、高效安全风险发现溯源，打造360°无死角安全防护，提升业务系统数据使用效率和用户体验。 

图15 全面数据态势梳理监测

数据安全日益成为人们关注的焦点。在整体政策要求和具体实践当中发现，企业数据安全建设要与数字化进程同步规划、同步建设，实现发展和安全之间的平衡。

0****3

写在最后

当前是数字中国、网络强国建设的关键时期，也是企业数字化转型的重要战略机遇期。数字经济成为未来竞争的主战场，中央企业在关系国家安全和国民经济命脉的主要行业，占据支配地位，成为数字经济战场的主力军。随着新一代数字技术在各行各业深度应用，各种新技术、新场景层出不穷，也催生了众多新的安全威胁。中央企业亟待构建与数字化业务融合的新型网络安全体系，提高网络安全保障的专业化、规范化、集约化水平，构筑网络安全屏障，努力成为数字中国、网络强国建设的中坚力量。

-完-

热门动态推荐

‍‍