长亭百川云 - 文章详情

中央企业数字化转型安全建设(下)

青藤智库

70

2024-07-13

笔者在上一篇《中央企业数字化转型安全建设(上)》中,以中央企业中制造、电力、建筑三个行业为代表,详细介绍了中央企业数字化转型业务模式及安全场景,同时也介绍了在数字化转型下的安全挑战。下面,笔者将详细介绍面临诸多安全挑战,中央企业数字化安全建设思路及解决方案。

0****1

中央企业数字化安全建设思路

为了解决数字化转型过程中面临的安全挑战,企业在安全建设过程中,应围绕网络安全与数字化同步建设的思路,立足数字化新架构和信创发展,打造体系化、实战化、有效化的安全防御体系。

以“业安融合”理念构建安全屏障

普遍来看,企业网络安全发展一直落后于信息化发展。脱节的原因不仅在于技术层,更在于战略上对网络安全的不够重视。

因此在系统建设初期,就需要考虑安全因素,通过业务梳理、场景化分析,把安全嵌入到信息化发展和安全治理过程中,围绕愿景、战略、目标、任务、指标等领域实现业务与安全的对接融合,做到一体化发展。

图1 “业安融合”安全理念

为了使中央企业网络安全能力充分满足数字化发展的需要。企业需要遵照《网络安全法》《关键信息基础设施保护条例》等法规要求,实现网络安全和数字化“同步规划、同步建设、同步运营”。

构建数字化信创安全能力

信创的核心是创新应用和自主可控,但并不意味着安全,甚至可以说,信创更需要安全。中央企业作为信创发展的主力军,离不开信创安全能力建设。如图2所示,企业在使用搭载国产关键部件设备时,需要部署必要安全设施,打造信创安全能力,确保信息系统自主、可控、安全。

图2 构建数字化信创安全能力

(图片引用:嘶吼《信创安全典型行业应用专题报告》)

安全责任共担保障云上安全

企业上云走向“精耕细作”,在推动“云+产业”结合的进程中,责任共担模型将更好地指导云租户和云服务商,明确其安全责任。IaaS、PaaS、SaaS三种不同的云服务模式中,云服务商和企业云租户对计算资源拥有不同控制范围,控制范围则决定了安全责任的边界。如图3所示,针对不同的云计算服务模式,各责任主体需负责各自控制范围内的安全合规工作。

图3 云安全责任共担模型

构建立体的安全防御体系

数字化网络安全风险呈现多样化、复杂化、难预测的趋势。企业亟待构建与数字化业务融合的新型网络安全体系,并全面适配信创架构,实现防御有效化。如图4所示,整体来看,主要包含以下四个方面:

**其一,加强云安全防护建设。**建立全栈云安全防护体系,提升整个业务链、供应链的安全防护能力。

**其二,提升流量侧安全能力。**通过流量侧的漏洞管理,以及全流量威胁检测响应体系建设,把安全工作做到实处。

**其三,补齐数据安全的短板。**按照数据生命周期,从管理和技术两方面,打造可管、可控、可视的数据安全体系。

**其四,解决安全运营能力不足的困境。**借助专业的安全服务,既满足企业日常运营,也满足重点时期安全管理需要。

图4 体系化安全架构图

0****2

中央企业数字化安全建设方案

中央企业数字化安全建设方案需要围绕流量安全、云安全、数据安全等几个重点方面,配合专业安全服务,打造体系化、纵深化安全防御,实现新场景、新架构下的新安全。

先进云安全方案

云计算逐步成为企业数字化转型的关键基础设施。如图5所示,鉴于传统安全解决方案在云和数字化浪潮下面临的困境,先进云安全方案应该是云原生的、融合化的、服务化的、智能化的,青藤提出了先进云安全方案CNAPP。

图5 先进云安全运营框架

首先,从云上的运行态安全向开发安全左移。云时代的软件工程越来越多地采用DevOps作为一站式的应用开发运维模式,在软件编码、托管、构建、集成、测试、发布、部署和运维全生命周期中实现自动化,缩短软件开发周期,提高软件迭代效率。这时,安全如果还是作为一个单独的检查项,显然不符合DevOps思想。所以,青藤通过先进云安全方案实现安全与人员的融合、与开发工具的融合、与流程的融合,进而实现DevSecOps,让上云即安全成为可能。

其次,安全右移保护云上应用及API****安全。由于云上开放度的持续提升,最直接体现在微服务化之后所有的应用API化越来越明显,这时,API的资产、异常行为缺乏可见性,API的权限管理变得异常复杂。在此方面,青藤WAAP构建了API资产自动发现、API风险监测、API异常行为实时检测、API链路监控等能力,实现云应用安全防护和API安全。

再者,安全下移实现云安全配置管理。因为配置错误导致云环境风险暴露越来越成为一个显著问题,针对于此,青藤CSPM实现云安全资产管理、配置检查、风险发现、配置管理等功能,提供一站式的风险梳理和发现,联动防护一键处置告警,大幅提高了安全运维效率。

最后,安全上移提升云端大数据分析及智能安全运营能力。在此方面,青藤进行了大量的预研,例如利用可扩展分布式图计算技术降低海量大数据告警噪音、实现基于上下文的增强检测、提升安全事件响应效率。并利用AI技术在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面发挥作用。

中央企业可以利用云原生安全平台,保护云原生全生命周期安全。如图6所示,云原生安全平台CNAPP整合了大量以前孤立的功能,包括:

  • 开发工件扫描,包括容器;

  • 云安全态势管理;

  • IaC扫描;

  • 云基础设施授权管理;

  • 运行时云工作负载保护平台。

图6 云原生安全平台功能

云原生安全平台最大的优点在于,对云原生应用风险具有更好的可见性和更强的控制能力。它通过开发和运行时阶段的多个工具集,实现云原生全生命周期安全。如图7所示,目前符合企业业务发展需要的云原生安全方案,整体包括14大类安全要求。

图7 云原生安全方案要求

关于14大类安全要求的具体内容,笔者将在后续的文章中继续展开详细阐述。

中央企业业务上云是实现数字化转型的关键一步。有效的云安全解决方案,可以解决企业上云过程中面临的各种新安全问题,让企业安全上云,放心用云。

流量安全方案

现阶段,各种未知威胁攻击层出不穷,然而再高级的攻击也会产生流量。如图8所示,中央企业通过流量侧的安全建设,做到全方向、全流量分析,提升未知威胁防御能力。

图8 网络全方向、全流量分析

(1)全流量威胁检测响应能力

通过全流量威胁检测响应方案,能够准确发现网络中各种隐蔽的高级攻击行为,做到事前预防、事中控制、事后回查,有效应对未知威胁。

  • **事前预防:**利用流量可视化能力,看见资产,看清安全洼地,看透安全隐患。

该方案通过网络可视化,自动识别东西和南北方向流量,并关联终端资产信息,如图9所示。通过长期的流量监控分析,构建完整的资产访问关系图。在检测到威胁时,结合Kill-chain的方式,将每个资产受到的攻击进行关联,结合上下文分析,实时统计资产的安全状态。

图9 网络可视化自动识别东西和南北方向流量

  • 事中控制:通过数据可视化分析实现威胁追踪,在造成破坏之前阻断威胁。

该方案结合了威胁检测技术、行为分析技术,实现对威胁的检测。如图10所示,该方案可发现数十种网络攻击类型,通过快速发现网络中的恶意流量行为,并进行拦截和实时告警,帮助用户及时响应攻击行为。

图10 发现网络中数十种攻击类型

  • 事后评估:通过全量数据,对事件进行回溯,评估事件影响及和处置效果。

该方案通过安全事件关联分析,判断告警的准确性和严重性,帮助用户评估事件影响,发现安全弱点。同时,基于上下文检测技术,以ATT&CK为模型,精准还原攻击事件,实现业务安全的定性和定量分析。

(2)漏洞管理实现漏洞无效化

漏洞管理是企业面临的老大难问题。近年来,工业互联网技术不断应用,工控漏洞快速增长。企业如何更早感知重点漏洞威胁?如何更快进行针对性防御?如何更高效地进行漏洞加固?最有效的方式就是实现漏洞无效化。

该方案以“安全漏洞”为视角,对漏洞利用行为,进行针对性的屏蔽,使漏洞探测和攻击行为失效。如图11所示,通过漏洞管理方案,从防御恶意漏洞探测、漏洞定向攻击、病毒利用漏洞扩散三个角度,从南北向、东西向两个维度,进行立体式的漏洞利用行为防御。

图11 南北向+多级东西向漏洞利用防护

通过漏洞无效化管理,可实现以下几个方面的安全防护:

  • 防护来自外部或南北向的漏洞探测行为,外部探测行为将获取不到漏洞信息。

  • 防护南北向的漏洞攻击行为,拦截来自外部的漏洞攻击。

  • 防护已感染恶意软件主机利用漏洞横向渗透的行为,东西向的漏洞探测行为将会被拦截。

  • 防护已感染恶意软件主机主动的东西向的漏洞攻击行为,拦截内部的漏洞攻击。

  • 防护已感染恶意软件的分支机构对漏洞的探测和攻击利用行为。

中央企业通过流量侧的安全建设,满足企业在高级可持续攻击检测、全网安全威胁监测、重保等各个场景的安全防御需求。

数据安全方案

随着中央企业数字化转型,海量数据的价值在流通、融合、共享中进一步被挖掘,数据安全成为企业数字化转型过程中的核心需要。

(1)数据安全建设要求和整体方案框架

中央企业数字化发展过程中,数据使用呈现场景复杂、数据用户多、数据量大、暴露面大的特点。如图12所示,企业数据安全建设需要围绕数据全生命周期,在采集、存储、传输、处理、交换、销毁等各环节中保护数据安全,实现数据不被泄露、窃取、篡改、毁损、非法使用等,保证数据的完整性,保密性和可用性。

图12 数据生存周期各阶段安全要求

中央企业数据安全建设涉及政策法规、技术保障、管理制度等多方面问题,为此需要以法规监管要求和业务发展需要为输入,依靠技术工具和管理制度的支撑作用,遵循“事前可观、事中可控、事后可追溯”的原则,按照数据生命周期各阶段安全要求,围绕关键数据平台、重要网络节点、涉敏业务系统,持续检测与评估,打造可管、可控、可视的数据安全体系。具体安全方案如图13所示。

图13 中央企业数据安全建设方案

(2)应用级数据安全,补齐最后一块短板

企业数字化转型是利用新一代数字技术,将业务流程的物理信息链接起来,形成有价值的数据资产,通过数据流通与使用释放数据资源价值,增强自身竞争力。在此过程中,应用级数据活跃度增高,流转风险加剧。为了“让数据使用更安全”,中央企业需要重点打造应用级数据安全能力,补齐数据安全领域最重要的一块短板。如图14所示,企业通过数据安全管理平台,实时、精准的监测和分析,实现数据安全管理 平台化、日常化、可量化。

图14 数据安全管理平台

企业通过应用级数据安全建设,可以完整、实时地了解任何一个业务系统,任何一个页面的数据使用情况,专业、客观、量化地回答:“什么时候,有哪些人,在什么地方,使用了哪些系统中的什么数据?”。如图15所示,该方案实现全面数据态势梳理监测、持续风险评估策略优化、高效安全风险发现溯源,打造360°无死角安全防护,提升业务系统数据使用效率和用户体验。 

图15 全面数据态势梳理监测

数据安全日益成为人们关注的焦点。在整体政策要求和具体实践当中发现,企业数据安全建设要与数字化进程同步规划、同步建设,实现发展和安全之间的平衡。

0****3

写在最后

当前是数字中国、网络强国建设的关键时期,也是企业数字化转型的重要战略机遇期。数字经济成为未来竞争的主战场,中央企业在关系国家安全和国民经济命脉的主要行业,占据支配地位,成为数字经济战场的主力军。随着新一代数字技术在各行各业深度应用,各种新技术、新场景层出不穷,也催生了众多新的安全威胁。中央企业亟待构建与数字化业务融合的新型网络安全体系,提高网络安全保障的专业化、规范化、集约化水平,构筑网络安全屏障,努力成为数字中国、网络强国建设的中坚力量。

-完-

热门动态推荐

‍‍

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2