中央企業數字化轉型安全建設（下）

筆者在上一篇 《中央企業數字化轉型安全建設（上）》 中，以中央企業中製造、電力、建築三個行業為代表，詳細介紹了中央企業數字化轉型業務模式及安全場景，同時也介紹了在數字化轉型下的安全挑戰。 下面，筆者將詳細介紹面臨諸多安全挑戰，中央企業數字化安全建設思路及解決方案。

0 1 中央企業數字化安全建設思路

為了解決數字化轉型過程中面臨的安全挑戰，企業在安全建設過程中，應圍繞網路安全與數字化同步建設的思路，立足數字化新架構和信創發展，打造體系化、實戰化、有效化的安全防禦體系。

以“業安融合”理念構建安全屏障

普遍來看，企業網路安全發展一直落後於資訊化發展。脫節的原因不僅在於技術層，更在於戰略上對網路安全的不夠重視。

因此在系統建設初期，就需要考慮安全因素，透過業務梳理、場景化分析，把安全嵌入到資訊化發展和安全治理過程中，圍繞願景、戰略、目標、任務、指標等領域實現業務與安全的對接融合，做到一體化發展

圖1 “業安融合”安全理念

為了使中央企業網路安全能力充分滿足數字化發展的需要。企業需要遵照《網路安全法》《關鍵資訊基礎設施保護條例》等法規要求，實現網路安全和數字化“同步規劃、同步建設、同步運營”。

構建數字化信創安全能力

信創的核心是創新應用和自主可控，但並不意味著安全，甚至可以說，信創更需要安全。中央企業作為信創發展的主力軍，離不開信創安全能力建設。如圖2所示，企業在使用搭載國產關鍵部件裝置時，需要部署必要安全設施，打造信創安全能力，確保資訊系統自主、可控、安全。

圖2 構建數字化信創安全能力

（圖片引用：嘶吼《信創安全典型行業應用專題報告》）

安全責任共擔保障雲上安全

企業上雲走向“精耕細作”，在推動“雲+產業”結合的程式中，責任共擔模型將更好地指導雲租戶和雲服務商，明確其安全責任。IaaS、PaaS、SaaS三種不同的雲服務模式中，雲服務商和企業雲租戶對計算資源擁有不同控制範圍，控制範圍則決定了安全責任的邊界。如圖3所示，針對不同的雲端計算服務模式，各責任主體需負責各自控制範圍內的安全合規工作。

圖3 雲安全責任共擔模型

構建立體的安全防禦體系

數字化網路安全風險呈現多樣化、複雜化、難預測的趨勢。企業亟待構建與數字化業務融合的新型網路安全體系，並全面適配信創架構，實現防禦有效化。如圖4所示，整體來看，主要包含以下四個方面：

其一，加強雲安全防護建設。 建立全棧雲安全防護體系，提升整個業務鏈、供應鏈的安全防護能力。

其二，提升流量側安全能力。 透過流量側的漏洞管理，以及全流量威脅檢測響應體系建設，把安全工作做到實處。

其三，補齊資料安全的短板。 按照資料生命週期，從管理和技術兩方面，打造可管、可控、可視的資料安全體系。

其四，解決安全運營能力不足的困境。 藉助專業的安全服務，既滿足企業日常運營，也滿足重點時期安全管理需要

圖4 體系化安全架構圖

02 中央企業數字化安全建設方案

中央企業數字化安全建設方案需要圍繞流量安全、雲安全、資料安全等幾個重點方面，配合專業安全服務，打造體系化、縱深化安全防禦，實現新場景、新架構下的新安全。

先進雲安全方案
 

雲端計算逐步成為企業數字化轉型的關鍵基礎設施。如圖5所示，鑑於傳統安全解決方案在雲和數字化浪潮下面臨的困境，先進雲安全方案應該是雲原生的、融合化的、服務化的、智慧化的，青藤提出了先進雲安全方案CNAPP。

圖5 先進雲安全運營框架

首先，從雲上的執行態安全向開發安全左移。 雲時代的軟體工程越來越多地採用DevOps作為一站式的應用開發運維模式，在軟體編碼、託管、構建、整合、測試、釋出、部署和運維全生命週期中實現自動化，縮短軟體開發週期，提高軟體迭代效率。這時，安全如果還是作為一個單獨的檢查項，顯然不符合DevOps思想。所以，青藤透過先進雲安全方案實現安全與人員的融合、與開發工具的融合、與流程的融合，進而實現DevSecOps，讓上雲即安全成為可能。

其次，安全右移保護雲上應用及API安全。 由於雲上開放度的持續提升，最直接體現在微服務化之後所有的應用API化越來越明顯，這時，API的資產、異常行為缺乏可見性，API的許可權管理變得異常複雜。在此方面，青藤WAAP構建了API資產自動發現、API風險監測、API異常行為實時檢測、API鏈路監控等能力，實現雲應用安全防護和API安全。

再者，安全下移實現雲安全配置管理。 因為配置錯誤導致雲環境風險暴露越來越成為一個顯著問題，針對於此，青藤CSPM實現雲安全資產管理、配置檢查、風險發現、配置管理等功能，提供一站式的風險梳理和發現，聯動防護一鍵處置告警，大幅提高了安全運維效率。

最後，安全上移提升雲端大資料分析及智慧安全運營能力。 在此方面，青藤進行了大量的預研，例如利用可擴充套件分散式圖計算技術降低海量大資料告警噪音、實現基於上下文的增強檢測、提升安全事件響應效率。並利用AI技術在威脅建模、自動化攻擊模擬、自適應安全策略、自適應檢測能力、智慧安全預測等方面發揮作用。

中央企業可以利用雲原生安全平臺，保護雲原生全生命週期安全。如圖6所示，雲原生安全平臺CNAPP整合了大量以前孤立的功能，包括：

• 開發工件掃描，包括容器；

• 雲安全態勢管理；

• IaC掃描；

• 雲基礎設施授權管理；

• 執行時雲工作負載保護平臺。

圖6 雲原生安全平臺功能

雲原生安全平臺最大的優點在於，對雲原生應用風險具有更好的可見性和更強的控制能力。它透過開發和執行時階段的多個工具集，實現雲原生全生命週期安全。如圖7所示，目前符合企業業務發展需要的雲原生安全方案，整體包括14大類安全要求。

圖7 雲原生安全方案要求

關於14大類安全要求的具體內容，筆者將在後續的文章中繼續展開詳細闡述。

中央企業業務上雲是實現數字化轉型的關鍵一步。有效的雲安全解決方案，可以解決企業上雲過程中面臨的各種新安全問題，讓企業安全上雲，放心用雲。

流量安全方案

現階段，各種未知威脅攻擊層出不窮，然而再gaoji的攻擊也會產生流量。如圖8所示，中央企業透過流量側的安全建設，做到全方向、全流量分析，提升未知威脅防禦能力。

圖8 網路全方向、全流量分析

（1）全流量威脅檢測響應能力

透過全流量威脅檢測響應方案，能夠準確發現網路中各種隱蔽的gaoji攻擊行為，做到事前預防、事中控制、事後回查，有效應對未知威脅。

該方案透過網路視覺化，自動識別東西和南北方向流量，並關聯終端資產資訊，如圖9所示。透過長期的流量監控分析，構建完整的資產訪問關係圖。在檢測到威脅時，結合Kill-chain的方式，將每個資產受到的攻擊進行關聯，結合上下文分析，實時統計資產的安全狀態。

• 事前預防：利用流量視覺化能力，看見資產，看清安全窪地，看透安全隱患。
  

該方案透過網路視覺化，自動識別東西和南北方向流量，並關聯終端資產資訊，如圖9所示。透過長期的流量監控分析，構建完整的資產訪問關係圖。在檢測到威脅時，結合Kill-chain的方式，將每個資產受到的攻擊進行關聯，結合上下文分析，實時統計資產的安全狀態。

圖9 網路視覺化自動識別東西和南北方向流量

• 事中控制：透過資料視覺化分析實現威脅追蹤，在造成破壞之前阻斷威脅。

該方案結合了威脅檢測技術、行為分析技術，實現對威脅的檢測。如圖10所示，該方案可發現數十種網路攻擊型別，透過快速發現網路中的惡意流量行為，並進行攔截和實時告警，幫助使用者及時響應攻擊行為。

圖10 發現網路中數十種攻擊型別

• 事後評估：透過全量資料，對事件進行回溯，評估事件影響及和處置效果。

該方案透過安全事件關聯分析，判斷告警的準確性和嚴重性，幫助使用者評估事件影響，發現安全弱點。同時，基於上下文檢測技術，以ATT&CK為模型，精準還原攻擊事件，實現業務安全的定性和定量分析。

（2）漏洞管理實現漏洞無效化

漏洞管理是企業面臨的老大難問題。近年來，工業網際網路技術不斷應用，工控漏洞快速增長。企業如何更早感知重點漏洞威脅？如何更快進行針對性防禦？如何更高效地進行漏洞加固？最有效的方式就是實現漏洞無效化。

該方案以“安全漏洞”為視角，對漏洞利用行為，進行針對性的遮蔽，使漏洞探測和攻擊行為失效。如圖11所示，透過漏洞管理方案，從防禦惡意漏洞探測、漏洞定向攻擊、病毒利用漏洞擴散三個角度，從南北向、東西向兩個維度，進行立體式的漏洞利用行為防禦。

圖11 南北向+多級東西向漏洞利用防護

透過漏洞無效化管理，可實現以下幾個方面的安全防護：

• 防護來自外部或南北向的漏洞探測行為，外部探測行為將獲取不到漏洞資訊。

• 防護南北向的漏洞攻擊行為，攔截來自外部的漏洞攻擊。

• 防護已感染惡意軟體主機利用漏洞橫向滲透的行為，東西向的漏洞探測行為將會被攔截。

• 防護已感染惡意軟體主機主動的東西向的漏洞攻擊行為，攔截內部的漏洞攻擊。

• 防護已感染惡意軟體的分支機構對漏洞的探測和攻擊利用行為。

中央企業透過流量側的安全建設，滿足企業在gaoji可持續攻擊檢測、全網安全威脅監測、重保等各個場景的安全防禦需求。

資料安全方案

隨著中央企業數字化轉型，海量資料的價值在流通、融合、共享中進一步被挖掘，資料安全成為企業數字化轉型過程中的核心需要。

（1）資料安全建設要求和整體方案框架

中央企業數字化發展過程中，資料使用呈現場景複雜、資料使用者多、資料量大、暴露面大的特點。如圖12所示，企業資料安全建設需要圍繞資料全生命週期，在採集、儲存、傳輸、處理、交換、銷燬等各環節中保護資料安全，實現資料不被洩露、竊取、篡改、毀損、非法使用等，保證資料的完整性，保密性和可用性。

圖12 資料生存週期各階段安全要求

中央企業資料安全建設涉及政策法規、技術保障、管理制度等多方面問題，為此需要以法規監管要求和業務發展需要為輸入，依靠技術工具和管理制度的支撐作用，遵循“事前可觀、事中可控、事後可追溯”的原則，按照資料生命週期各階段安全要求，圍繞關鍵資料平臺、重要網路節點、涉敏業務系統，持續檢測與評估，打造可管、可控、可視的資料安全體系。具體安全方案如圖13所示。

圖13 中央企業資料安全建設方案

（2）應用級資料安全，補齊最後一塊短板

企業數字化轉型是利用新一代數字技術，將業務流程的物理資訊連結起來，形成有價值的資料資產，透過資料流通與使用釋放資料資源價值，增強自身競爭力。在此過程中，應用級資料活躍度增高，流轉風險加劇。為了“讓資料使用更安全”，中央企業需要重點打造應用級資料安全能力，補齊資料安全領域最重要的一塊短板。如圖14所示，企業透過資料安全管理平臺，實時、精準的監測和分析，實現資料安全管理 平臺化、日常化、可量化。

圖14 資料安全管理平臺

企業透過應用級資料安全建設，可以完整、實時地瞭解任何一個業務系統，任何一個頁面的資料使用情況，專業、客觀、量化地回答：“什麼時候，有哪些人，在什麼地方，使用了哪些系統中的什麼資料？”。如圖15所示，該方案實現全面資料態勢梳理監測、持續風險評估策略最佳化、高效安全風險發現溯源，打造360°無死角安全防護，提升業務系統資料使用效率和使用者體驗。 

圖15 全面資料態勢梳理監測

資料安全日益成為人們關注的焦點。在整體政策要求和具體實踐當中發現，企業資料安全建設要與數字化程式同步規劃、同步建設，實現發展和安全之間的平衡。

0 3  寫在最後

當前是數字中國、網路強國建設的關鍵時期，也是企業數字化轉型的重要戰略機遇期。數字經濟成為未來競爭的主戰場，中央企業在關係國家安全和國民經濟命脈的主要行業，佔據支配地位，成為數字經濟戰場的主力軍。隨著新一代數字技術在各行各業深度應用，各種新技術、新場景層出不窮，也催生了眾多新的安全威脅。中央企業亟待構建與數字化業務融合的新型網路安全體系，提高網路安全保障的專業化、規範化、集約化水平，構築網路安全屏障，努力成為數字中國、網路強國建設的中堅力量。