敲黑板 划重点 网络安全体系的9大知识点都在这里
敲黑板 划重点 网络安全体系的9大知识点都在这里首席数字官2020-09-25 18:21:05文丨赵博智 编辑丨秦丽来源丨首席数字官在新基建浪潮之下,云计算、大数据、物联网、人工智能为代表的新一代信息技术迎来了新一轮的蓬勃发展,给社会生产生活带来革命性的转变,信息技术已经深度融入人们日常生活之中,同时,随着《网络安全法》、《国家网络空间安全战略》等一系列法律及纲领性文件的颁布,网络安全的重要性及
敲黑板 划重点 网络安全体系的9大知识点都在这里
首席数字官 2020-09-25 18:21:05
文丨赵博智 编辑丨秦丽
来源丨首席数字官
在新基建浪潮之下,云计算、大数据、物联网、人工智能为代表的新一代信息技术迎来了新一轮的蓬勃发展,给社会生产生活带来革命性的转变,信息技术已经深度融入人们日常生活之中,同时,随着《网络安全法》、《国家网络空间安全战略》等一系列法律及纲领性文件的颁布,网络安全的重要性及地位也在不断提升。
9月23日,锦囊专家、首席数字官联合微软中国以“构建内生安全体系,护航企业数字化转型” 为主题特别打造网络研讨会,由锦囊专家创始人、数字产业创新研究中心秘书长李圆主持,邀请微软企业服务大中华区Cybersecurity首席架构师张美波、康明斯中国投资有限公司 发动机事业部及制造IT总监张振、越秀地产信息安全负责人林冠、安永中国咨询合伙人施建俊博士,作客直播间,针对安全问题展开了深度讨论。
本文由【首席数据官】总结、提炼本次研讨会议主讲嘉宾的精华观点编辑而成九大知识点,欢迎阅读和分享。如想了解更多会议精彩,可登录锦囊专家官网收看回放视频。
知识点一:企业网络安全的痛点与需求
林冠:首先是国家法律强制性要求,第二是网络安全等级保护管理办法2.0对企业的信息安全的监管要求。在风险方面,首先,企业网络安全的痛点要先了解自身存在什么问题,就需要对企业的网络安全做整体的评估,同时对三方面进行持续加强:
1、安全管理方面:信息安全管理策略、标准和机构,安全制度和流程需不断完善。
2、安全技术方面:对系统安全漏洞的检测,对攻击行为的监控,对用户数据存的风险。
3、安全运维方面:计算、存储、网络、虚拟化、中间件、数据库需要统一的监控与审计。
网络安全是个管理体系,企业根据网安法和等保2.0结合自身的实际的业务进行落地,不是靠推硬件和杀毒软件就能建立起来的,无论是根据ISO27001标准还是根据等保2.0的标准来实施,要做到事前预防、事中处理、事后追溯,要落地,企业一把手必须亲自挂帅才能成功。
张振:近年来国家网安法和等保认证的要求成为公司合法合规在中国开展业务的基本前提。所有企业,尤其是外企必须重视。这也对公司的信息安全体系,组织架构,以及信息安全人才和技术提出更高的要求,是公司CIO 乃至业务最高层必须重视和优先对待的事项。
康明斯也在进行全价值链的数字化转型,从产品, 客户到供应链,制造和服务等业务,都在向数字化,移动化,互联化,智能化演进,在传统的信息安全之外, 又产生了更大的安全挑战。
知识点二:企业数字化转型过程中的网络安全挑战
施建俊:1.数据治理:随着数字化转型的不断深入,数据量从TB到PB 到EB不断增长,而数据的种类也越来越丰富,复杂性也越来越高,支撑的技术也在不断演进。在这样的情况下,企业需要清晰的知道数据到底在哪里?流动方向是怎么样的?谁在用它?同时要对于敏感和重要的数据进行分类标识。而对于特别敏感的数据要精确到字段级的控制,对于每个敏感属性的字段进行加密和脱敏。
2.资产边界:传统的信息安全视角下,信息资产仅硬件、人员、场地服务等方面,但新一代信息技术的发展,使得企业的数据资产数量激增,并随着分析技术的不断提升,很多原来不太敏感的数据集有可能转变为成高敏感数据集。
3.基础建设:近年来,国家所提出的数字新机械的思路给政府和企业在十四五当中带来了前所未有的数字化转型的机遇。但新技术新事物的引入过程中,政府和企业都必须对安全进行同步规划,同步建设、同步运营。
4.隐私保护:企业在数字化转型过程中,会出现多个应用场景涉及到个人信息。在个人信息保护方面,不但是安全问题,也是法律问题,对于个人信息保护原则的落实,要从设计之初进行充分考虑,不仅限于在应用界面上的感知,而要端到端的落地到业务逻辑乃至于在整个IT和数据运行环境中。
5.新兴技术:新技术是把双刃剑,它在给我们带来数字化转型便利同时也有可能引入新的风险。人工智能技术的有效性依赖于算法和数据的质量和可靠性,如果所依赖的数据被恶意操纵,则人工智能所得出的判断结果也会有偏差;数据湖和数据中台技术使企业可以很方便的获取和利用数据,但在如何对敏感的数据进行识别和控制也是新的难题;在工业领域,工业互联网的融合等等,使原本不太容易触碰的网络环境,都可能成为新的攻击的对象;5G技术高带宽、低延时的特性会催生新的应用场景,也会产生更高的数据量和对带宽的要求。原来的边界防护的安全技术如何充分应对;区块链方面如果被黑客控制了大量计算资源并利用僵尸网络对区块链所依赖的密码算法进行算力攻击则有可能瓦解区块链的安全性。
知识点三:微软如何安全护航企业数字化转型
张美波:1.加强与全球政府机构的合作:微软和全球的政府机构保持长期持续的合作关系,今年3月,微软联合全球35个国家和地区的合作伙伴,通过司法与技术措施,一起大破全球最大僵尸网络,而在7月份的时候,微软遏制了一场针对62个国家和地区的全球性网络欺诈活动。
2.领导全球网络安全行业合作:微软是全球网络安全行业的领导者。“微软智能安全联盟”联合了全球的重要网络安全厂商,可全面保护企业的安全。同时微软为更好的应对全球性的网络攻击行为,推出主动防御计划,联合全球85个重要安全响应中心,快速应对安全威胁挑战。
3.持续在安全研发方面投入巨资:微软每年在安全产品研发方面投入超过10亿美元,位居全球前列。
4.提供全球第一流的网络安全产品和技术:微软为企业客户提供全球第一流的网络安全产品和技术,目前身份验证与访问管理(IAM)、终端保护平台(EPP/EDR)、统一终端管理(UEM)、云访问安全代理(CASB)、企业数据归档/存档(EIA)等5项安全产品及服务位于 Gartner领导者象限。
知识点四:面对生产、运营、管理等数据激增,如何构建预测防范体系
林冠:这是关于数据安全和如何建立数据安全管理体系的问题,大部分地产公司都会存在管理规范不全、数据密级定义无标准、数据防泄密管控弱、数据合规无指引等痛点。
在管理方面:缺乏对公司商业秘密、个人信息等敏感数据分级分类和数据全生命周期管控明细指引,管理职责不清、数据安全建设目标模糊。
在技术方面:缺乏数据分级保护技术明细指引,未曾开展数据安全专项风险评估,难以循序渐进地构建全方位的数据安全技术管控体系。
在构建预测防范体系过程中,越秀地产践行了3大目标:
1.合法合规 风险可控
依从法规:评估数据来源、价值、重要性、敏感度及合规风险,保障数据境内境外的合法合规(数据生命周期:采集-传输-存储-处理-交换-销毁,制定分级保护安全基线)。
符合监管:规避控股公司对上市主体,以及行业主管单位对上市主体的数据使用合规风险。
2.规范使用 敏感保护
分级分类:搭建数据分级分类标准体系,定义敏感数据资产。
过程管控:基于分级分类标准,与业务场景有效融合,设计数据生命周期管控流程,规范数据使用。
3.自主演进 释放价值
蓝图实践:依照数据安全建设的近、中、远期蓝图,逐步落地管理和技术措施。
自主演进:自我赋能,自主有序开展数据安全各项工作,最终达到数据“存、管、用”安全可靠。
落实考核:满足上级监管单位的数据安全考核要求。
张振: 1.在构建层面: 把网络安全列为工业4.0体系框架的重要领域并成立专业团队、重新规划建设包括工业物联网在内对新一代网络架构、确保工厂内对所有设备入网的安全可靠。
2. 在应用层面:对所有应用系统进行网安法合规排查,并按紧要次序进行安全等保认证。
3. 在数据层面:康明斯通过与微软的合作,加强了数据湖的安全架构设计,确保数据访问和使用的安全。
知识点五:如何借助AI和自动化技术为企业安全保驾护航
张美波:1、随着安全攻击技术的发展,企业所面临的攻击行为是不断高度进化的,例如每年面临新增的上亿个恶意软件。攻击的针对方面也是不断进化的,从系统平台到应用服务,从网络到数据,从IT到OT。这种情况下需要充分的借助新型技术的力量来应对安全威胁的挑战,例如安全大数据、AI、机器学习、云计算和自动化技术等等。
2、对于企业而言,要靠自身去通过上述新技术实现安全防护能力比较困难,因此一方面需要借助微软等专业安全厂商的力量;另外一方面,仅购买外部的安全产品和服务远远不够,如何在实际的企业环境下通过合理的部署和集成,真实的获得相应的安全防护能力,也是非常考验企业安全管理和领导者的能力。
3、对于专业安全厂商而言,对于新技术的应用和适配能力,以及自身所提供的安全产品和能力输出变得非常重要。
施建俊:自动化技术的运用可以在两个维度帮助到企业:
1.可以减少检测和响应事件的时间,帮助企业最大程度地降低遭受攻击的风险;当发现漏洞或合规异常时自动部署安全控制,以减少攻击面;
2.通过自动执行劳动力密集型的任务来节约人力,帮助企业节约运营费用,例如可以将很多账号权限管理、信息资产和敏感信息的管理、以及安全控制和安全开发的测试和跟踪等。通过使员工专注于更高价值的任务,最大限度地减少由于缺乏挑战或职业发展而导致的员工流失。
知识点六:如何利用企业威胁事件实现主动防范
张美波:这个问题的核心点是企业安全运营(或者SOC)的能力。对于安全运营而言,主要分为三个阶段的安全能力:安全日志/事件/信息的集中搜集、事件日志数据/攻击行为的分析/展现/研判、针对安全攻击的响应/阻断/恢复。
基本上来讲,对于企业而言,需要思考在以上三个阶段目前具备什么能力,未来希望具备什么能力,这样才能更好的制定后续的发展目标和计划。同时也需要和专业的安全厂商合作,充分的利用安全专业厂商的产品和技术来构建自身的安全能力。
施建俊: 企业面临的潜在威胁事件除了依靠自身侦测和发现之外,还应该及时了解外部正在发生什么,同行正在遭受什么样的威胁,这些威胁是否会影响到自己,是否已有经过验证的手段能应对这些潜在威胁。这需要企业能通过适当的渠道及时了解与自身相关的威胁情报,并及时进行研判和采取预防措施。防范于未然是比救火更好的手段。
知识点七:数字信任的标准与实践模型
信息安全管理体系(ISO27001),不仅只有通用的最佳实践,也有基于行业和新兴技术的实践。
网络风险管理框架(NIST CSF)是美国标准化组织推出的网络安全的最佳实践标准。从识别、保护、检测、响应、恢复5个方面建立数字性的安全框架。
网络安全基本要求(等级保护2.0):国家网络安全等级保护经过多年的发展,从针对信息系统本身的保护扩展为针对企业网络空间的保护。在等级保护2.0的新版的标准当中融入了新一代信息技术带来的额外的安全管控要求。
数字化转型的信任构建
在数字化转型过程中,信任的构建是业务和战略的问题,企业首先要摸清家底,如信息资产、运营能力、管理能力、开发能力等方面,之后对数字化转型的目标进行初步的预测,并基于预测分析不同业务场景的重要性,同时梳理目标状态找到自身的缺陷和需求。明确自身的问题后,还要进行外部的调研,获取同行的经验教训、业界标准规范、未来发展趋势等。
知识点八:微软针对网络安全有哪些解决方案?
张美波:微软推出的Microsoft 365是全面的智能安全集成解决方案,通过以下四个方面实现完善的、集成的企业网络安全防护、控制和管理:
1.身份验证与访问管理:保护用户身份验证与凭据;基于用户的风险级别动态控制资源的有效访问(零信任架构)。
2.威胁保护与安全检测:覆盖全攻击链的、实时的安全威胁监测。并且在受到威胁攻击时,快速且智能应对威胁并快速恢复。
3.信息保护:全数据生命周期的安全管理与保护。确保企业中的文档、信息、电子邮件只被合法访问。
4.安全管理与监控:通过可视化工具,全面覆盖、深入监控企业环境安全性,实现统一的安全态势感知和策略管理。
微软云计算“零信任”架构
微软是“零信任”的先驱,也是“零信任”的世界级领导者,微软云计算的零信任架构主要围绕 Azure AD和Conditional Access,基于用户的风险级别动态控制资源的有效访问。
当用户发起请求访问时,会从多个维度评估用户访问的可信度、安全性和整体风险级别,例如通过Azure Identity Protection分析用户访问的上下文相关性,通过Intune和Defender ATP 评估设备层面的风险等,然后基于在Conditional Access中定义的企业统一的安全访问控制策略来决定是否允许用户访问。
除此之外,微软也具有针对云计算时代的、庞大而复杂的安全战略架构,如下图所示:
Microsoft云计算时代安全战略架构
知识点九:快速简单地提升企业整体安全水平的方法(如turn on MFA, System Center,重视日志的保留和分析)
张美波:我先给大家一个几乎是“零成本”的、而且可以快速提高整体企业终端安全防护能力的方法,就是使用Windows系统(包含服务器系统和客户端系统)例如Windows 10里面内置的Windows Defender 杀毒软件,而且保持默认设置。这个已经对终端提供了非常好的安全防护能力,就是缺少一个企业集中管理平台而已,因为它的集中管理能力是通过我们的Defender ATP去实现的。
除了这个快速的方案之外,我的观点是:
通常而言需要先识别企业的核心IT资产和保护目标,根据重要性决定保护的优先级,重要并紧急的事情优先做。在安全防护和加固层面,一是首先保护企业的身份验证基础服务和用户凭据,保护特权账户和特权管理操作;二是保护核心数据资产,三是保护其他的被攻击面。
在安全监测和响应层面,需要提高安全数据和状态的可视化,强化安全审计、分析、监测和响应的技术和管理流程。加强对IT管理人员和用户的安全意识教育,人是安全里面最重要的部分,也是风险最高的部分。
林冠:“网络安全始于心、安全网络践于行”,要迅速提升企业的安全管理水平,就要从董事长、CEO的层面从上而下落实,从公司的决策层行动起来,对企业自身存在的网络安全问题进行深刻认知,分阶段、分步骤、定目标去落地,具体责任落实到人,企业的网络安全第一责任人就是公司一把手,把责任层层分解,把目标层层定义。然后才是技术体系的落地,管理+技术两个抓手同步开展。
施建俊:提升企业整体安全水平最简单和最省钱的方式是提升员工的安全意识,让每个员工充分了解自己在企业安全中的责任、掌握必要的技能、了解企业的安全事件报告机制等,就可以起到事半功倍的效果。
【划重点】
信息安全是综合治理的过程,实施的措施由人、技术和流程三方面组成,制定完整的内生安全体系,不能一蹴而就,需要企业从一把手、CIO、一线人员的全体智慧和长时间努力。
作为企业的IT负责人,首先要对数据安全、网络安全有自己的认知。其次要明白数据安全、网络安全应如何做,并形成方法和体系。最后要主动规划和预算,在基本建设上中进行相关投入,还要和企业的IT建设一样有相关的制度和持续的机制,不断进行优化提升,最重要的是要提升整体的安全意识。
更多推荐
所有评论(0)