前移安全能力建設｜綠盟科技提出安全諮詢服務五大主張

網路安全建設除透過安全產品作為建設支撐，還需要配合安全服務進行頂層設計和持續運營，這幾乎已成為業界共識。網路安全服務會根據不同業務場景和建設階段衍生出不同的服務內容；但毋庸置疑的是，安全諮詢作為其中重要的識別核心安全需求的服務方式，越來越受到網路安全公司和客戶的重視。

 

隨著數字化產業的快速發展和新興科技在企業的快速運用，企業必然面臨新的技術所引入的新的安全風險。為了幫助企業從上至下，以更整體的視角應對新興安全威脅，綠盟科技將安全服務優勢能力和多年諮詢設計所積累的經驗迭代更新，推出適配企業的新興安全服務業務，以期更有效、快速地解決企業在數字化轉型過程中所面臨的監管趨嚴、網路安全、資料安全等等亟待解決的風險問題。

 

綠盟科技基於對安全服務驅動力理解和綠盟安全服務理念，以解決企業資訊和技術風險為核心，透過安全服務能力和安全服務解決方案為落地，從規劃設計、開發管控、能力共建和培訓教育不同建設階段提供安全服務，切實幫助企業實施對風險的有效管理。

一、綠盟科技安全諮詢服務主張

主張1：以服務發揮並實現安全產品能效最大化，以規劃設計能力前移安全能力建設

早期安全服務常作為驗證手段，檢驗企業安全建設的功能和效果，呈現出“哪兒漏補哪兒”的局面，使企業始終處於被動性響應的狀態。而安全服務相較於安全產品，更應是要覆蓋安全建設全週期的，涉及規劃、建設和執行各階段。在企業安全建設初期，引入安全規劃設計能力，透過服務指導安全建設，融入安全服務建設思路，前移企業安全保障能力，更加精準的運用安全產品，使其能效最大化；同時，注入整體規劃、運營維度的視角，整體促進企業安全建設發展。

 

主張2：安全的本質是攻防，服務的本質是融合，從安全能力的融合，已擴充套件到與業務場景的融合

隨著資料化概念的不斷深入、IT、DT、OT和CT的融合已是獲得行業認同，成為業務的主旋律，尤其在安全行業，技術融合、服務場景融合和業務融合已開始顯現，安全已是同業務同等重要的屬性，在融合的過程中逐漸發揮自己的能效，對服務提出了更高的要求；現有客戶對安全的期望也在不斷的變化，他們不僅要透過技術來滿足業務的安全需求，更對交付過程，交付形式、及後續執行維護提出了更高的要求，更需要安全廠商提供整體的、能落地的安全服務方案。

 

主張3：新技術變革帶動服務，安全需求場景細分，安全服務鏈正在重構，安全服務能力及技術手段需更加精細

現有安全產業裡，安全廠商提供服務給客戶，依然是甲乙雙方的角色。但是，伴隨著5G、資料跨境等新時期的安全產業新形態，安全廠商、裝置廠商、行業使用者及上下游的供應商，安全服務鏈條變得更長，現有的安全業務範圍也變得更加寬泛。安全不但要考慮技術與業務的融合，也擴充套件到與供應商、合作伙伴與第三方的協同交付問題。對於不同場景的安全需求更加細化，因而要逐步提升安全服務的精細化、形式多樣化，擴充安全服務手段，增強安全服務能力，使得安全服務更加完善。

 

主張4：在滿足合規的安全服務建設基礎上，探索業務模式創新，打造服務核心競爭力

隨著5G、物聯網、工業網際網路、雲端計算、大資料等新一代資訊科技的逐步應用，對新技術、新業務的風險監測也已納入網路安全等級保護和關鍵資訊基礎設施安全保護的防控體系。虛擬數字空間與物理實體空間、社會互動空間無縫銜接，網路空間邊界進一步延伸，面對組織化、專業化、流程化、商業化的新型攻擊手段，讓傳統的安全防護體系已無法針對新技術應用場景進行有效防護。在風險與合規的雙向驅動下，新技術場景勢必會是網路安全關注點，安全服務需要在對新技術領域的不斷探索中，幫助客戶識別並規避新技術的應用風險，不斷積累經驗，為後續的產品化提供核心技術輸入。“安全服務+產品”的模式改變以及安全服務的業務創新，勢必會打造成“新基建”大潮下的核心競爭力。

 

主張5：安全能力具備的核心要素是人才建設，細化安全專業的崗位職能，夯實安全服務的人才培養

網路安全形勢日益嚴峻，發揮安全能力建設的著手點還需圍繞“人”的建設，以“人”為核心。高等院校人才的培養和輸送，往往是理論多於實踐，而安全服務廠商更擅長對於專業技能和實踐的應用。隨著安全行業的發展趨勢在不斷向知識化、智慧化和實戰化演進，尤其對於不同專業崗位領域的技能識別和知識傳遞互通，需要建設安全服務的知識協同管理機制，這對於安全服務人員的培養以及專業人員的邊際成本降低是至關重要的，從而實現人才、流程和工具的有機聯動，保障安全服務的效率和質量。

 

二、綠盟科技安全諮詢服務介紹

2020年，綠盟科技在安全產品、解決方案、安全服務各個領域持續創新。重點領域，包括資料安全，安全管理，雲安全，模擬技術，以及新基建領域的安全，比如5G安全、工業物聯網、車聯網等。在資料安全、網路安全保險、安全開發管控、結合CII的紅藍對抗能力、個人資訊保護這幾個新安全服務領域都已突飛猛進。

l  資料安全

綠盟科技面向全體使用者提供綜合服務、產品、平臺能力的資料安全解決方案，基於資料全生命週期的安全特性，提出了“知、識、控、察、行”的資料安全建設路徑，幫助客戶達到合法採集、合理利用、靜態可知、動態可控的防護目標。其中資料安全服務解決方案緊抓資料的特性，提出以資料為中心的資料安全風險識別、分析、管控方法，深入分析企業的資料構成，梳理企業的資料流轉情況，透過對“資料行為”的評估與控制，實現資料全生命週期的風險管理。同時透過與綠盟科技資料安全運營平臺的高度聯動，將服務成果緊密融入企業安全管控框架，在進企業日常風險管理工作中充分確保資料安全管控措施的執行。

 

l  網路安全保險

綠盟科技網路安全保險服務，作為提升網路安全風險治理能力和完善網路安全保護機制的新途徑，以風險貨幣化的方式，為企業實現網路安全風險轉移，增強事後恢復能力，特別是針對中小企業，透過與傳統安全服務能力的結合，協助企業形成風險閉環管理的運營機制。綠盟科技與前海財險於2018年簽訂戰略合作協議，雙方聯合釋出“網路安全綜合保險”，共同探索網路安全保險業務模式，形成“保險+安全服務”的服務機制，並已在客戶側進行實踐落地；2020年基於原保險產品，對保險保障內容和配套技術服務進行了升級最佳化，引入更多綠盟科技安全服務能力，在提升保險服務客戶體驗的同時，積極推動“保險+風險管控+服務”模式的嘗試。

 

l  安全開發管控

企業應用系統全生命週期的安全已經成為安全建設的聚焦點，綠盟科技從早期的安全開發生命週期管控服務開始一直深耕這個領域，隨著專案經驗積累及工具平臺化成熟度的提升，形成了安全開發運營服務產品。面對企業安全開發體系無法有效落地的問題，安全開發運營服務產品成為破局之道。利用專家級知識庫和平臺工具自動化完成關鍵安全活動，讓初級工程師可以完成專家級別的技術工作，打破技術壁壘，摒棄人海工作模式。同時以應用系統開發流程為主線，適配於各種軟體開發模式，依託於安全開發管控平臺，基於豐富專業的安全開發知識圖譜，自動生成可定製化的安全需求、安全設計文件以及安全測試文件等標準化文件，真正將安全融入到軟體開發體系。

 

l  結合CII的紅藍對抗

綠盟科技總結多年參加關鍵資訊基礎設施網路攻防演習的經驗，以及在能源、運營商、金融等20餘個關鍵領域行業常年安全服務經驗，結合國際先進的Kill Chain殺傷鏈戰術、ATT&CK攻擊對抗戰術以及技術知識庫，整合公司服務和產品能力，針對我國CII提出了以攻促防的紅藍對抗服務，從攻擊者視角驗證防護體系建設，實現網路威脅視覺化。綠盟科技紅隊根據不同客戶場景定製化網路安全防護體系，按照風險管理方法開展安全評估；藍隊按照攻擊技戰術驗證防護體系的健壯性，建立攻擊者生命週期的高階抽象模型，形成TTPs。CII紅藍對抗服務成果為客戶安全防護體系建設提供重要依據，透過常年服務和建設閉環，為我國關鍵資訊基礎設施保駕護航。

 

l  個人資訊保護

2020年11月，GB/T39335-2020《個人資訊保安影響評估指南》正式釋出，綠盟科技率先進行解讀和專案實踐並面向全行業推出個人資訊保安影響評估服務方案，對於個人，切實保障使用者合法權益；對於企業，提前識別個人資訊保安風險，採取適當控制措施；對於國家或監管部門，加快落實個人資訊保安工作。

 

三、綠盟科技安全諮詢服務案例

 l  資料安全

專案名稱：XX銀行資料安全管理體系建設專案

所屬行業：金融行業

專案簡介：XX銀行客戶資料安全建設處於起步階段，僅有部分流程，相關工作要求不明確，職責劃分不清，需要透過管理體系建設提升資料安全管理水平。本專案需求為明確各部門資料安全職責、第三方資料管理要求、梳理內部資料、明確資料全生命週期管理要求、制定資料洩漏事件應急預案。

本專案透過對銀行組織架構、管理現狀、業務與資料情況調研，分析企業資料安全管理弱點，綜合企業安全需求，構建了符合客戶管理方針與業務需要的資料安全管理體系，包括：資料安全管理組織建設、資料分類分級標準與資料資產管理機制構建、資料安全生命週期管理、第三方外接資料安全管理、資料洩漏應急響應機制等制度與流程方法。

專案成效：

本專案透過資料安全管理體系的構建，確保客戶資料安全管理組織職責劃分清晰，資料安全管理職責明確，可有效指導資料安全管理工作的開展。客戶在本專案中獲取了資料安全合規、掌握資料資產、以及保護個人資訊等收益。

l  網路安全保險

專案名稱：某房地產客戶網路安全保險服務專案

所屬行業：房地產

專案簡介：某客戶為促進網路安全環境的完善和建設，保障業務的穩定開展與高速發展，引入第三方安全服務，包括滲透測試、日誌分析、應急響應等日常安全運維工作和網路安全保險服務，為企業資訊系統在安全管控、系統上線前檢測、事後復原等多方面提供安全服務能力。

本專案中網路安全保險服務情況如下：在投保前期，基於風險調研為客戶提供核保體檢服務，幫助企業瞭解自身安全現狀，及時查漏補缺；同時，輔助保險公司設計適配於客戶的保險保障內容，協助客戶完成投保工作。在承保過程中，針對投保系統實施風險監控；當客戶突發網路安全事件時，第一時間啟動應急響應，為企業抑制事件影響範圍，同時，分析事件發生原因，收集事件相關截圖和證據，形成事故調查報告，為保險定損提供技術支援。

 

專案成效：

透過風險調研，分析與量化企業安全風險，形成貼合客戶風險場景的網路安全保險保單，保障7項責任場景，包括第一方損失類的資料恢復費用、鑑定服務費用、勒索損失、法律費用和第三方責任類的資料洩密責任、外包商資料責任、資料安全責任。此外結合日常安全運維服務內容，持續監控企業安全態勢。

透過網路安全保險服務的引入，以金融服務手段實現了企業安全風險的第三方轉移，降低企業運營財務壓力，增強企業事後復原力；同時，網路安全保險成為企業風險管理的網路安全保障手段之一，透過與安全服務結合作用，為企業形成了“事前識別與降低、事中監控與發現、事後響應與補償”的動態且閉環的風險管理機制。

 

l  安全開發管控

專案名稱：XX銀行DevSecOps開發安全管控服務落地實踐

所屬行業：金融行業

專案簡介：隨著金融行業監管的精細化和趨嚴化以及業務的擴大，為了應對業務系統頻繁變更以及新系統迭代開發，DevOps敏捷開發逐漸被企業所接受，據統計國內80%企業在DevOps實踐中初見成效， “1天N次部署”、從程式碼到上線只需數十分鐘甚至幾分鐘已經成為現實，軟體交付速度不斷提升，但是卻忽略了軟體系統安全性，由於傳統安全工作無法自動化、敏捷化，並且缺乏相應的技術手段和工具對軟體系統全生命週期安全狀況進行跟蹤檢驗，導致上線後出現類似SQL隱碼攻擊、安全功能缺失等漏洞而遭受攻擊，會直接影響正常業務執行，甚至造成經濟和名譽的損失。

專案實施過程如下：為加強敏捷開發下軟體開發專案全生命週期安全管理，不再使安全工作減慢部署速度、影響上線時間，需要在DevOps的協作模式中整合安全團隊工作，建立統一開發、安全、運維三方團隊的軟體開發專案安全管理制度及流程、技術規範標準，透過在軟體開發流程中每個階段整合安全能力（自動化工具和知識庫）來協助達成安全目標，為持續交付過程建立安全基礎，推動開發-運維過程安全閉環，全面提升系統的安全性。

 

專案成效：

結合XX銀行現有安全產品和安全能力，為DevOps提供安全分析和防護基礎，將安全無縫融入到開發和運維過程中，透過DevSecOps安全開發管控平臺促進應用系統的全生命週期的安全管理，為客戶構建開發過程中的持續安全交付能力。其中包括在需求設計階段整合自動化安全需求分析能力，基於安全開發知識圖譜，快速生成可定製化的安全需求文件、安全設計文件以及安全編碼規範文件、安全測試文件，降低對人員安全技能要求，在編碼階段整合自動化程式碼安全審計能力，利用原始碼分析、軟體組成成分分析引擎進行安全合規分析，為軟體程式碼風險提供指引，保障軟體程式碼自身安全性，在運維階段整合漏洞掃描和基線核查工具，為企業構建開發至運維過程的安全閉環能力。

 

【結尾】

隨著網路安全態勢愈發嚴峻化，網路安全需求已從單一的採購軟硬體產品，轉變為全面體系化的專業服務與解決方案，安全服務成為企業網路安全建設的切入點，高質量的安全服務投入不僅可以進一步升級企業客戶整體的安全能力，同時也可以加深安全廠商與企業客戶的粘性，加深對企業的瞭解，對症下藥。透過安全服務工具的開發、安全服務知識管理體系的構建、服務管理的流程化與標準化，呈現更加智慧化與自助化的安全服務體驗，與企業實現安全能力共建，為企業安全保駕護航。