笔者在上一篇《中央企业数字化转型安全建设(上)》中,以中央企业中制造、电力、建筑三个行业为代表,详细介绍了中央企业数字化转型业务模式及安全场景,同时也介绍了在数字化转型下的安全挑战。下面,笔者将详细介绍面临诸多安全挑战,中央企业数字化安全建设思路及解决方案。
0****1
中央企业数字化安全建设思路
为了解决数字化转型过程中面临的安全挑战,企业在安全建设过程中,应围绕网络安全与数字化同步建设的思路,立足数字化新架构和信创发展,打造体系化、实战化、有效化的安全防御体系。
以“业安融合”理念构建安全屏障
普遍来看,企业网络安全发展一直落后于信息化发展。脱节的原因不仅在于技术层,更在于战略上对网络安全的不够重视。
因此在系统建设初期,就需要考虑安全因素,通过业务梳理、场景化分析,把安全嵌入到信息化发展和安全治理过程中,围绕愿景、战略、目标、任务、指标等领域实现业务与安全的对接融合,做到一体化发展。
图1 “业安融合”安全理念
为了使中央企业网络安全能力充分满足数字化发展的需要。企业需要遵照《网络安全法》《关键信息基础设施保护条例》等法规要求,实现网络安全和数字化“同步规划、同步建设、同步运营”。
构建数字化信创安全能力
信创的核心是创新应用和自主可控,但并不意味着安全,甚至可以说,信创更需要安全。中央企业作为信创发展的主力军,离不开信创安全能力建设。如图2所示,企业在使用搭载国产关键部件设备时,需要部署必要安全设施,打造信创安全能力,确保信息系统自主、可控、安全。
图2 构建数字化信创安全能力
(图片引用:嘶吼《信创安全典型行业应用专题报告》)
安全责任共担保障云上安全
企业上云走向“精耕细作”,在推动“云+产业”结合的进程中,责任共担模型将更好地指导云租户和云服务商,明确其安全责任。IaaS、PaaS、SaaS三种不同的云服务模式中,云服务商和企业云租户对计算资源拥有不同控制范围,控制范围则决定了安全责任的边界。如图3所示,针对不同的云计算服务模式,各责任主体需负责各自控制范围内的安全合规工作。
图3 云安全责任共担模型
构建立体的安全防御体系
数字化网络安全风险呈现多样化、复杂化、难预测的趋势。企业亟待构建与数字化业务融合的新型网络安全体系,并全面适配信创架构,实现防御有效化。如图4所示,整体来看,主要包含以下四个方面:
**其一,加强云安全防护建设。**建立全栈云安全防护体系,提升整个业务链、供应链的安全防护能力。
**其二,提升流量侧安全能力。**通过流量侧的漏洞管理,以及全流量威胁检测响应体系建设,把安全工作做到实处。
**其三,补齐数据安全的短板。**按照数据生命周期,从管理和技术两方面,打造可管、可控、可视的数据安全体系。
**其四,解决安全运营能力不足的困境。**借助专业的安全服务,既满足企业日常运营,也满足重点时期安全管理需要。
图4 体系化安全架构图
0****2
中央企业数字化安全建设方案
中央企业数字化安全建设方案需要围绕流量安全、云安全、数据安全等几个重点方面,配合专业安全服务,打造体系化、纵深化安全防御,实现新场景、新架构下的新安全。
先进云安全方案
云计算逐步成为企业数字化转型的关键基础设施。如图5所示,鉴于传统安全解决方案在云和数字化浪潮下面临的困境,先进云安全方案应该是云原生的、融合化的、服务化的、智能化的,青藤提出了先进云安全方案CNAPP。
图5 先进云安全运营框架
首先,从云上的运行态安全向开发安全左移。云时代的软件工程越来越多地采用DevOps作为一站式的应用开发运维模式,在软件编码、托管、构建、集成、测试、发布、部署和运维全生命周期中实现自动化,缩短软件开发周期,提高软件迭代效率。这时,安全如果还是作为一个单独的检查项,显然不符合DevOps思想。所以,青藤通过先进云安全方案实现安全与人员的融合、与开发工具的融合、与流程的融合,进而实现DevSecOps,让上云即安全成为可能。
其次,安全右移保护云上应用及API****安全。由于云上开放度的持续提升,最直接体现在微服务化之后所有的应用API化越来越明显,这时,API的资产、异常行为缺乏可见性,API的权限管理变得异常复杂。在此方面,青藤WAAP构建了API资产自动发现、API风险监测、API异常行为实时检测、API链路监控等能力,实现云应用安全防护和API安全。
再者,安全下移实现云安全配置管理。因为配置错误导致云环境风险暴露越来越成为一个显著问题,针对于此,青藤CSPM实现云安全资产管理、配置检查、风险发现、配置管理等功能,提供一站式的风险梳理和发现,联动防护一键处置告警,大幅提高了安全运维效率。
最后,安全上移提升云端大数据分析及智能安全运营能力。在此方面,青藤进行了大量的预研,例如利用可扩展分布式图计算技术降低海量大数据告警噪音、实现基于上下文的增强检测、提升安全事件响应效率。并利用AI技术在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面发挥作用。
中央企业可以利用云原生安全平台,保护云原生全生命周期安全。如图6所示,云原生安全平台CNAPP整合了大量以前孤立的功能,包括:
开发工件扫描,包括容器;
云安全态势管理;
IaC扫描;
云基础设施授权管理;
运行时云工作负载保护平台。
图6 云原生安全平台功能
云原生安全平台最大的优点在于,对云原生应用风险具有更好的可见性和更强的控制能力。它通过开发和运行时阶段的多个工具集,实现云原生全生命周期安全。如图7所示,目前符合企业业务发展需要的云原生安全方案,整体包括14大类安全要求。
图7 云原生安全方案要求
关于14大类安全要求的具体内容,笔者将在后续的文章中继续展开详细阐述。
中央企业业务上云是实现数字化转型的关键一步。有效的云安全解决方案,可以解决企业上云过程中面临的各种新安全问题,让企业安全上云,放心用云。
流量安全方案
现阶段,各种未知威胁攻击层出不穷,然而再高级的攻击也会产生流量。如图8所示,中央企业通过流量侧的安全建设,做到全方向、全流量分析,提升未知威胁防御能力。
图8 网络全方向、全流量分析
(1)全流量威胁检测响应能力
通过全流量威胁检测响应方案,能够准确发现网络中各种隐蔽的高级攻击行为,做到事前预防、事中控制、事后回查,有效应对未知威胁。
**事前预防:**利用流量可视化能力,看见资产,看清安全洼地,看透安全隐患。
该方案通过网络可视化,自动识别东西和南北方向流量,并关联终端资产信息,如图9所示。通过长期的流量监控分析,构建完整的资产访问关系图。在检测到威胁时,结合Kill-chain的方式,将每个资产受到的攻击进行关联,结合上下文分析,实时统计资产的安全状态。
图9 网络可视化自动识别东西和南北方向流量
事中控制:通过数据可视化分析实现威胁追踪,在造成破坏之前阻断威胁。
该方案结合了威胁检测技术、行为分析技术,实现对威胁的检测。如图10所示,该方案可发现数十种网络攻击类型,通过快速发现网络中的恶意流量行为,并进行拦截和实时告警,帮助用户及时响应攻击行为。
图10 发现网络中数十种攻击类型
事后评估:通过全量数据,对事件进行回溯,评估事件影响及和处置效果。
该方案通过安全事件关联分析,判断告警的准确性和严重性,帮助用户评估事件影响,发现安全弱点。同时,基于上下文检测技术,以ATT&CK为模型,精准还原攻击事件,实现业务安全的定性和定量分析。
(2)漏洞管理实现漏洞无效化
漏洞管理是企业面临的老大难问题。近年来,工业互联网技术不断应用,工控漏洞快速增长。企业如何更早感知重点漏洞威胁?如何更快进行针对性防御?如何更高效地进行漏洞加固?最有效的方式就是实现漏洞无效化。
该方案以“安全漏洞”为视角,对漏洞利用行为,进行针对性的屏蔽,使漏洞探测和攻击行为失效。如图11所示,通过漏洞管理方案,从防御恶意漏洞探测、漏洞定向攻击、病毒利用漏洞扩散三个角度,从南北向、东西向两个维度,进行立体式的漏洞利用行为防御。
图11 南北向+多级东西向漏洞利用防护
通过漏洞无效化管理,可实现以下几个方面的安全防护:
防护来自外部或南北向的漏洞探测行为,外部探测行为将获取不到漏洞信息。
防护南北向的漏洞攻击行为,拦截来自外部的漏洞攻击。
防护已感染恶意软件主机利用漏洞横向渗透的行为,东西向的漏洞探测行为将会被拦截。
防护已感染恶意软件主机主动的东西向的漏洞攻击行为,拦截内部的漏洞攻击。
防护已感染恶意软件的分支机构对漏洞的探测和攻击利用行为。
中央企业通过流量侧的安全建设,满足企业在高级可持续攻击检测、全网安全威胁监测、重保等各个场景的安全防御需求。
数据安全方案
随着中央企业数字化转型,海量数据的价值在流通、融合、共享中进一步被挖掘,数据安全成为企业数字化转型过程中的核心需要。
(1)数据安全建设要求和整体方案框架
中央企业数字化发展过程中,数据使用呈现场景复杂、数据用户多、数据量大、暴露面大的特点。如图12所示,企业数据安全建设需要围绕数据全生命周期,在采集、存储、传输、处理、交换、销毁等各环节中保护数据安全,实现数据不被泄露、窃取、篡改、毁损、非法使用等,保证数据的完整性,保密性和可用性。
图12 数据生存周期各阶段安全要求
中央企业数据安全建设涉及政策法规、技术保障、管理制度等多方面问题,为此需要以法规监管要求和业务发展需要为输入,依靠技术工具和管理制度的支撑作用,遵循“事前可观、事中可控、事后可追溯”的原则,按照数据生命周期各阶段安全要求,围绕关键数据平台、重要网络节点、涉敏业务系统,持续检测与评估,打造可管、可控、可视的数据安全体系。具体安全方案如图13所示。
图13 中央企业数据安全建设方案
(2)应用级数据安全,补齐最后一块短板
企业数字化转型是利用新一代数字技术,将业务流程的物理信息链接起来,形成有价值的数据资产,通过数据流通与使用释放数据资源价值,增强自身竞争力。在此过程中,应用级数据活跃度增高,流转风险加剧。为了“让数据使用更安全”,中央企业需要重点打造应用级数据安全能力,补齐数据安全领域最重要的一块短板。如图14所示,企业通过数据安全管理平台,实时、精准的监测和分析,实现数据安全管理 平台化、日常化、可量化。
图14 数据安全管理平台
企业通过应用级数据安全建设,可以完整、实时地了解任何一个业务系统,任何一个页面的数据使用情况,专业、客观、量化地回答:“什么时候,有哪些人,在什么地方,使用了哪些系统中的什么数据?”。如图15所示,该方案实现全面数据态势梳理监测、持续风险评估策略优化、高效安全风险发现溯源,打造360°无死角安全防护,提升业务系统数据使用效率和用户体验。
图15 全面数据态势梳理监测
数据安全日益成为人们关注的焦点。在整体政策要求和具体实践当中发现,企业数据安全建设要与数字化进程同步规划、同步建设,实现发展和安全之间的平衡。
0****3
写在最后
当前是数字中国、网络强国建设的关键时期,也是企业数字化转型的重要战略机遇期。数字经济成为未来竞争的主战场,中央企业在关系国家安全和国民经济命脉的主要行业,占据支配地位,成为数字经济战场的主力军。随着新一代数字技术在各行各业深度应用,各种新技术、新场景层出不穷,也催生了众多新的安全威胁。中央企业亟待构建与数字化业务融合的新型网络安全体系,提高网络安全保障的专业化、规范化、集约化水平,构筑网络安全屏障,努力成为数字中国、网络强国建设的中坚力量。
-完-
热门动态推荐