中央企业数字化转型安全建设(下)
2023-10-11 18:56:1 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

笔者在上一篇《中央企业数字化转型安全建设(上)》中,以中央企业中制造、电力、建筑三个行业为代表,详细介绍了中央企业数字化转型业务模式及安全场景,同时也介绍了在数字化转型下的安全挑战。下面,笔者将详细介绍面临诸多安全挑战,中央企业数字化安全建设思路及解决方案。

01
中央企业数字化安全建设思路

为了解决数字化转型过程中面临的安全挑战,企业在安全建设过程中,应围绕网络安全与数字化同步建设的思路,立足数字化新架构和信创发展,打造体系化、实战化、有效化的安全防御体系。

以“业安融合”理念构建安全屏障

普遍来看,企业网络安全发展一直落后于信息化发展。脱节的原因不仅在于技术层,更在于战略上对网络安全的不够重视。

因此在系统建设初期,就需要考虑安全因素,通过业务梳理、场景化分析,把安全嵌入到信息化发展和安全治理过程中,围绕愿景、战略、目标、任务、指标等领域实现业务与安全的对接融合,做到一体化发展。

图1 “业安融合”安全理念

为了使中央企业网络安全能力充分满足数字化发展的需要。企业需要遵照《网络安全法》《关键信息基础设施保护条例》等法规要求,实现网络安全和数字化“同步规划、同步建设、同步运营”。

构建数字化信创安全能力

信创的核心是创新应用和自主可控,但并不意味着安全,甚至可以说,信创更需要安全。中央企业作为信创发展的主力军,离不开信创安全能力建设。如图2所示,企业在使用搭载国产关键部件设备时,需要部署必要安全设施,打造信创安全能力,确保信息系统自主、可控、安全。

图2 构建数字化信创安全能力

(图片引用:嘶吼《信创安全典型行业应用专题报告》)

安全责任共担保障云上安全

企业上云走向“精耕细作”,在推动“云+产业”结合的进程中,责任共担模型将更好地指导云租户和云服务商,明确其安全责任。IaaS、PaaS、SaaS三种不同的云服务模式中,云服务商和企业云租户对计算资源拥有不同控制范围,控制范围则决定了安全责任的边界。如图3所示,针对不同的云计算服务模式,各责任主体需负责各自控制范围内的安全合规工作。

图3 云安全责任共担模型

构建立体的安全防御体系

数字化网络安全风险呈现多样化、复杂化、难预测的趋势。企业亟待构建与数字化业务融合的新型网络安全体系,并全面适配信创架构,实现防御有效化。如图4所示,整体来看,主要包含以下四个方面:

其一,加强云安全防护建设。建立全栈云安全防护体系,提升整个业务链、供应链的安全防护能力。

其二,提升流量侧安全能力。通过流量侧的漏洞管理,以及全流量威胁检测响应体系建设,把安全工作做到实处。

其三,补齐数据安全的短板。按照数据生命周期,从管理和技术两方面,打造可管、可控、可视的数据安全体系。

其四,解决安全运营能力不足的困境。借助专业的安全服务,既满足企业日常运营,也满足重点时期安全管理需要。

图4 体系化安全架构图

02
中央企业数字化安全建设方案
中央企业数字化安全建设方案需要围绕流量安全、云安全、数据安全等几个重点方面,配合专业安全服务,打造体系化、纵深化安全防御,实现新场景、新架构下的新安全。
先进云安全方案

云计算逐步成为企业数字化转型的关键基础设施。如图5所示,鉴于传统安全解决方案在云和数字化浪潮下面临的困境,先进云安全方案应该是云原生的、融合化的、服务化的、智能化的,青藤提出了先进云安全方案CNAPP。

图5 先进云安全运营框架

首先,从云上的运行态安全向开发安全左移云时代的软件工程越来越多地采用DevOps作为一站式的应用开发运维模式,在软件编码、托管、构建、集成、测试、发布、部署和运维全生命周期中实现自动化,缩短软件开发周期,提高软件迭代效率。这时,安全如果还是作为一个单独的检查项,显然不符合DevOps思想。所以,青藤通过先进云安全方案实现安全与人员的融合、与开发工具的融合、与流程的融合,进而实现DevSecOps,让上云即安全成为可能。

其次,安全右移保护云上应用及API安全由于云上开放度的持续提升,最直接体现在微服务化之后所有的应用API化越来越明显,这时,API的资产、异常行为缺乏可见性,API的权限管理变得异常复杂。在此方面,青藤WAAP构建了API资产自动发现、API风险监测、API异常行为实时检测、API链路监控等能力,实现云应用安全防护和API安全。

再者,安全下移实现云安全配置管理因为配置错误导致云环境风险暴露越来越成为一个显著问题,针对于此,青藤CSPM实现云安全资产管理、配置检查、风险发现、配置管理等功能,提供一站式的风险梳理和发现,联动防护一键处置告警,大幅提高了安全运维效率。

最后,安全上移提升云端大数据分析及智能安全运营能力在此方面,青藤进行了大量的预研,例如利用可扩展分布式图计算技术降低海量大数据告警噪音、实现基于上下文的增强检测、提升安全事件响应效率。并利用AI技术在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面发挥作用。

中央企业可以利用云原生安全平台,保护云原生全生命周期安全。如图6所示,云原生安全平台CNAPP整合了大量以前孤立的功能,包括:

  • 开发工件扫描,包括容器;

  • 云安全态势管理;

  • IaC扫描;

  • 云基础设施授权管理;

  • 运行时云工作负载保护平台。

图6 云原生安全平台功能

云原生安全平台最大的优点在于,对云原生应用风险具有更好的可见性和更强的控制能力。它通过开发和运行时阶段的多个工具集,实现云原生全生命周期安全。如图7所示,目前符合企业业务发展需要的云原生安全方案,整体包括14大类安全要求。

图7 云原生安全方案要求

关于14大类安全要求的具体内容,笔者将在后续的文章中继续展开详细阐述。

中央企业业务上云是实现数字化转型的关键一步。有效的云安全解决方案,可以解决企业上云过程中面临的各种新安全问题,让企业安全上云,放心用云。

流量安全方案

现阶段,各种未知威胁攻击层出不穷,然而再高级的攻击也会产生流量。如图8所示,中央企业通过流量侧的安全建设,做到全方向、全流量分析,提升未知威胁防御能力。

图8 网络全方向、全流量分析

(1)全流量威胁检测响应能力

通过全流量威胁检测响应方案,能够准确发现网络中各种隐蔽的高级攻击行为,做到事前预防、事中控制、事后回查,有效应对未知威胁。

  • 事前预防:利用流量可视化能力,看见资产,看清安全洼地,看透安全隐患。

该方案通过网络可视化,自动识别东西和南北方向流量,并关联终端资产信息,如图9所示。通过长期的流量监控分析,构建完整的资产访问关系图。在检测到威胁时,结合Kill-chain的方式,将每个资产受到的攻击进行关联,结合上下文分析,实时统计资产的安全状态。

图9 网络可视化自动识别东西和南北方向流量

  • 事中控制:通过数据可视化分析实现威胁追踪,在造成破坏之前阻断威胁。

该方案结合了威胁检测技术、行为分析技术,实现对威胁的检测。如图10所示,该方案可发现数十种网络攻击类型,通过快速发现网络中的恶意流量行为,并进行拦截和实时告警,帮助用户及时响应攻击行为。

图10 发现网络中数十种攻击类型

  • 事后评估:通过全量数据,对事件进行回溯,评估事件影响及和处置效果。

该方案通过安全事件关联分析,判断告警的准确性和严重性,帮助用户评估事件影响,发现安全弱点。同时,基于上下文检测技术,以ATT&CK为模型,精准还原攻击事件,实现业务安全的定性和定量分析。

(2)漏洞管理实现漏洞无效化

漏洞管理是企业面临的老大难问题。近年来,工业互联网技术不断应用,工控漏洞快速增长。企业如何更早感知重点漏洞威胁?如何更快进行针对性防御?如何更高效地进行漏洞加固?最有效的方式就是实现漏洞无效化。

该方案以“安全漏洞”为视角,对漏洞利用行为,进行针对性的屏蔽,使漏洞探测和攻击行为失效。如图11所示,通过漏洞管理方案,从防御恶意漏洞探测、漏洞定向攻击、病毒利用漏洞扩散三个角度,从南北向、东西向两个维度,进行立体式的漏洞利用行为防御。

图11 南北向+多级东西向漏洞利用防护

通过漏洞无效化管理,可实现以下几个方面的安全防护:

  • 防护来自外部或南北向的漏洞探测行为,外部探测行为将获取不到漏洞信息。

  • 防护南北向的漏洞攻击行为,拦截来自外部的漏洞攻击。

  • 防护已感染恶意软件主机利用漏洞横向渗透的行为,东西向的漏洞探测行为将会被拦截。

  • 防护已感染恶意软件主机主动的东西向的漏洞攻击行为,拦截内部的漏洞攻击。

  • 防护已感染恶意软件的分支机构对漏洞的探测和攻击利用行为。

中央企业通过流量侧的安全建设,满足企业在高级可持续攻击检测、全网安全威胁监测、重保等各个场景的安全防御需求。

数据安全方案

随着中央企业数字化转型,海量数据的价值在流通、融合、共享中进一步被挖掘,数据安全成为企业数字化转型过程中的核心需要。

(1)数据安全建设要求和整体方案框架

中央企业数字化发展过程中,数据使用呈现场景复杂、数据用户多、数据量大、暴露面大的特点。如图12所示,企业数据安全建设需要围绕数据全生命周期,在采集、存储、传输、处理、交换、销毁等各环节中保护数据安全,实现数据不被泄露、窃取、篡改、毁损、非法使用等,保证数据的完整性,保密性和可用性。

图12 数据生存周期各阶段安全要求

中央企业数据安全建设涉及政策法规、技术保障、管理制度等多方面问题,为此需要以法规监管要求和业务发展需要为输入,依靠技术工具和管理制度的支撑作用,遵循“事前可观、事中可控、事后可追溯”的原则,按照数据生命周期各阶段安全要求,围绕关键数据平台、重要网络节点、涉敏业务系统,持续检测与评估,打造可管、可控、可视的数据安全体系。具体安全方案如图13所示。

图13 中央企业数据安全建设方案

(2)应用级数据安全,补齐最后一块短板

企业数字化转型是利用新一代数字技术,将业务流程的物理信息链接起来,形成有价值的数据资产,通过数据流通与使用释放数据资源价值,增强自身竞争力。在此过程中,应用级数据活跃度增高,流转风险加剧。为了“让数据使用更安全”,中央企业需要重点打造应用级数据安全能力,补齐数据安全领域最重要的一块短板。如图14所示,企业通过数据安全管理平台,实时、精准的监测和分析,实现数据安全管理 平台化、日常化、可量化。

图14 数据安全管理平台

企业通过应用级数据安全建设,可以完整、实时地了解任何一个业务系统,任何一个页面的数据使用情况,专业、客观、量化地回答:“什么时候,有哪些人,在什么地方,使用了哪些系统中的什么数据?”。如图15所示,该方案实现全面数据态势梳理监测、持续风险评估策略优化、高效安全风险发现溯源,打造360°无死角安全防护,提升业务系统数据使用效率和用户体验。 

图15 全面数据态势梳理监测

数据安全日益成为人们关注的焦点。在整体政策要求和具体实践当中发现,企业数据安全建设要与数字化进程同步规划、同步建设,实现发展和安全之间的平衡。

03
写在最后

当前是数字中国、网络强国建设的关键时期,也是企业数字化转型的重要战略机遇期。数字经济成为未来竞争的主战场,中央企业在关系国家安全和国民经济命脉的主要行业,占据支配地位,成为数字经济战场的主力军。随着新一代数字技术在各行各业深度应用,各种新技术、新场景层出不穷,也催生了众多新的安全威胁。中央企业亟待构建与数字化业务融合的新型网络安全体系,提高网络安全保障的专业化、规范化、集约化水平,构筑网络安全屏障,努力成为数字中国、网络强国建设的中坚力量。

-完-

热门动态推荐


文章来源: https://mp.weixin.qq.com/s?__biz=MzUyOTkwNTQ5Mg==&mid=2247488439&idx=1&sn=cbacce490655eb58b426adce97338a12&chksm=fa58b18ccd2f389a259e9f26b59ec45d913879f44685f35146537a0026a90663f278b2f1c9c4&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh