安全中臺：讓安全舉重若輕

01安全中臺的概念

中臺和前臺、後臺對應，在應用系統中指的是在一些系統中，被共用中介軟體的集合。常見於網站架構、金融系統等。企業的安全中臺是指基於標準的協議和流程，將企業現有的安全資源和專業安全服務能力，透過IT技術共享給企業一線的各個業務單元或其它管理部門，提供基於企業業務及管理變化創新的快速整合安全能力的響應支援。

​

02安全中臺建設的意義

現如今，隨著資訊科技的不斷髮展和資訊化建設的不斷進步，企業中的業務系統、內部管控措施，日常運維工具、內部審計措施不斷推出和投入執行。由於各類IT資產眾多、業務邏輯複雜、人員不足等因素，越權訪問、誤操作、濫用、惡意破壞等情況時有發生，駭客的惡意訪問也有可能獲取系統許可權，闖入部門或企業內部網路，造成不可估量的損失。

產業網際網路時代，安全已成為企業數字化轉型的需求，既是企業發展的底線，也是制約企業發展的天花板，需要系統性構建。目前，每個業務系統正面臨著三個普遍的困惑：

第一，不知如何評估安全構建投入的成效，資訊保安是否存在重複建設的情況，不可能為每個業務單元或部門都配備安全團隊及安全技術。

第二，業務單元負責人相對來說普遍缺乏資訊保安相關經驗。藉助安全中臺，做好產業安全戰略官，降低業務系統的安全門檻，幫助業務系統快速構建系統化的安全能力，達到安全成本和效率兩方面的平衡。

第三，傳統的資訊保安建設驅動力主要是合規以及風險，資訊保安和企業的業務運營關聯不密切，可能導致企業內部人員誤以為安全團隊只是單純增加業務部門工作量，沒有業務收益。

安全中臺的搭建，相當於為企業提供一個隨用隨取的安全產品“貨架”，從而滿足企業內各業務系統、內部管控、日常運維、審計等個性化安全需求，為企業的業務以及整體順暢執行提供安全支撐服務。這將是企業革新性的安全方式，也為資訊保安建設賦予除合規和風險以外的其它重要意義，實現安全運維到整體安全運營的轉變。

03安全中臺總體思想

 

如圖所示，安全中臺能夠提供各種不同級別的安全能力給企業內部各個相關部門，包括各業務系統建設、內部管理系統建設、日常運維操作、審計系統等，使得企業各系統可以實現快速搭建、部署、測試和拆除安全環境，降低安全部署的時間、人力成本。

安全中臺具體應該包括以下內容：

為安全能力的實現統一標準

我們需要制定某種標準，讓安全能力以某種約定形式進行封裝，就像標準服務一樣。

異構整合，滿足安全能力無縫對接

異構整合是安全中臺的核心能力之一，也是降低創新成本的關鍵。異構整合能夠快速融合新安全能力，提高相容性。分別實現安全能力的快速整合和前臺應用的快速呼叫。

提供安全流程及規範化能力

企業內部很多工作，例如開發、運維、資料管理等需要協調多個安全功能，完成一系列流程。如何讓這些業務很好的協同工作，也需要一個標準的流程。

04安全中臺的安全能力 

1、集中帳號管理及訪問控制

為使用者提供統一集中的帳號管理實現單點登入，並提供安全的身份認證方法（複雜密碼、生物識別、Token、金鑰或以上任意二種組合）。

透過整體訪問控制策略保障企業內部使用的物理、網路資源、資料資源和各類應用系統資源等客體的機密性和完整性。訪問控制策略包含基於角色以及強制訪問控制策略，不僅能夠實現被管理資源帳號的建立、刪除及同步等功能，還可以透過角色或標籤來限制賬號的訪問客體許可權，並記錄所有賬號的關鍵操作用於審計，實現整體企業級的綜合訪問控制平臺。

2、安全威脅監控及告警

利用大資料技術統一收集各種基礎架構、安全裝置以及應用系統等日誌，進行綜合關聯安全分析，發現可能的攻擊行為，為相關一線部門提供安全告警，並給出處理建議，實現統一的威脅分析告警平臺。

3、漏洞管理

收集各類基礎架構以及應用程式的漏洞資訊，根據企業的資產重要等級、CVSS評分、利用難度、攻擊向量等度量值來確定漏洞風險級別，給出建議的漏洞修復時間視窗及可落地的漏洞修復方法。修復方法包含但不限於打補丁、修改配置、嚴格的訪問控制措施等。

4、安全開發資源庫

為開發部門提供安全需求庫、安全設計庫、安全程式碼樣例以及可直接呼叫的安全元件，安全測試用例等資源庫。使開發部門可以快速瞭解當前開發週期內的安全需求，實現方法以及驗證方法，為應用開發安全提供有力支撐。

5、威脅情報

收集社會以及行業內的安全威脅情報，給企業內部相應部門提供威脅預警，提早進行防範。

6、資料保護

提供資料加解密、資料模糊化、資料脫敏等資料保護安全能力，供其它部門按照自身的資料安全需求自行呼叫。

05總結

安全中臺主要指能夠被共用的安全資源，包括賬號管理及訪問控制、威脅監控及告警、安全開發資源庫、漏洞管理、威脅情報、資料保護等安全能力，並能夠按需整合新的安全能力。現在的安全中臺,相當於為企業提供一個隨用隨取的安全能力“貨架”, 可以有效的整合企業內的各種安全能力,從而滿足不同業務單元及企業管理的個性化安全需求。現在的安全中臺也是連線業務能力和安全能力的橋樑, 做到企業安全能力與業務需求的持續對接。將來的安全中臺，將像人類的神經系統一樣，可以在轉瞬之間，隨著外界環境的變化，隨時做出身體的應激反應。

可以預見，隨著安全中臺提供的安全能力越來越完善，安全中臺不單單可以為本企業提供安全能力支援，還可以向全社會輸出安全能力為企業產生經濟效益，讓資訊保安成為企業重要業務收入之一。

參考連結    ·    

[1]https://new.qq.com/omn/TEC20190/TEC2019073000496600.html

[2]https://new.qq.com/omn/TEC20191/TEC2019110700886600.html

[3]https://www.zhihu.com/question/57717433

[4]https://www.jianshu.com/p/40efdeafc8cd

[5]http://www.sohu.com/a/362545842_244641