2022 CIO信息安全高峰論壇|實力護航企業數字化轉型,深信服再度獲獎!
網絡攻擊愈演愈烈,勒索事件頻發,數據泄露加劇......企業網絡安全怎么辦?
7月6日,由《網絡安全和信息化》雜志社與IT運維網共同主辦的2022 CIO信息安全高峰論壇在線上召開,聚焦“數智轉型 護航業務安全”,探討數智時代下,企業業務發展與安全的和諧共生之道。深信服數據安全產品與方案總監羅維榮應邀參加論壇并以“圍繞保護數據處理活動建設數據安全實踐”為主題做了分享。
論壇現場隆重舉行了2022安全樣板工程和2022“鼎新”信息安全先鋒榜授牌禮,通過展示成功案例和優秀解決方案,為用戶落地業務安全提供重要參考和借鑒。深信服通過零信任安全解決方案為中信建投構建DevSecOps體系安全底座,榮獲“2022安全樣板工程(零信任)”獎項。
看點一數據安全——守護企業數字化轉型征程
隨著數字化進程的不斷深入,企業紛紛開始布局數據安全工作,但伴隨著數據資產逐漸集中、訪問邊界更加開放、使用方式越發復雜、數據權責已經分離的現狀,數據的本質發生了巨大的變化。
企業越來越難以清楚地看到所擁有數據的整體狀況和各個環節面臨的風險,加上體系化數據安全建設和泄密溯源能力的缺失,數字化轉型工作面臨安全力度不當、安全業務失衡、安全成本過高等巨大的挑戰。
如何在成本可控、均衡發展的前提下保障數據安全,成為了數據安全必須探索的問題。
對此,深信服提出了“依法治數,有效保護”的價值主張。
為什么要依法治數?
《數據安全法》和《個人信息保護法》的頒布與實施,標志著數據安全監管的頂層設計已經完成。另外,數據安全相關的行政條例、標準規范和行業管理辦法的相繼起草和發布也會建立更加細化和具體的數據安全監管合規體系。所以,企業應該以數據安全相關法律法規的要求為基礎構建自身的數據安全體系,滿足數據安全的監管要求。
如何有效保護?
數據安全本身的復雜性以及數據安全產品的碎片化導致數據安全建設落地的難度比較大,落地之后的數據保護效果往往達不到預期。只有結合自身現狀,有針對性地建設數據安全解決方案,并通過運營服務的持續運營優化,才能有效提升數據保護的效果。
基于“依法治數,有效保護”的價值主張,深信服提出了“平臺+組件+服務”的理念,通過“四化”(場景化、組件化、平臺化、服務化)進行具體建設,以期達到不同用戶的數據安全建設目標。
羅維榮以某政數局數據匯聚共享場景為例,分享了深信服圍繞保護數據處理活動建設數據安全的實踐——
數據匯聚共享是數字化轉型期間一個非常重要的場景,也是數據發揮價值的前提。數據從各個孤島匯聚到大數據平臺,再經過加工共享出去,就是匯聚共享的過程。具體來講,我們可以把它拆解為數據匯聚的場景、數據運維的場景、數據分析的場景以及數據共享的場景,這4類場景帶來的風險類型差別很大,保護特點也各有不同。
比如,在數據匯聚的場景,API和前置機是重要保護對象;在數據運維的場景,對運維人員的識別和動態權限管控是重點;在數據分析場景,基于業務分析目標精細化動態調整數據的訪問范圍權限變得非常重要;在數據共享場景,需要對API進行進一步的有效管控。
在復雜多樣的場景下,怎樣對數據進行統一管控?剛才說到的“平臺+組件+服務”就是一個方式。
平臺將流轉的數據及其風險進行集中采集管控,以數據為中心,管理數據資產,形成數據資源目錄,并利用AI進行分類分析;
基于分類分級的情況,可以圍繞不同的數據級別和業務標簽展開相應的數據保護策略,讓不同的數據安全組件分別實現相應的網絡策略,以簡化數據管控;
此外,深信服還具備數據安全的暗網情報監測服務、網盤的文件監控服務、文件監測預警服務等能力,通過這些專業的服務,可以幫助用戶更好地運營數據平臺。
看點二零信任——構建DevSecOps體系安全底座
連續 12 年被中國證監會評為目前行業最高級別的 A 類 AA 級,
在境內擁有205家證券營業部和19家期貨營業部,
這樣一家全國性大型綜合證券公司在數字化轉型過程中會遇到怎樣的威脅與挑戰?
從開發、測試到部署、運維,每一個環節都是“生死考驗”!
要贏得用戶信賴,就一定要做好安全防護。
中信建投證券股份有限公司(以下簡稱“中信建投”)在“十四五”發展規劃與數字化轉型規劃中,提出了按照安全開發生命周期管理的理念,希望結合開發運維安全一體化(DevSecOps)平臺建設,形成從開發、測試到部署、運維全生命周期的信息安全防護能力。
現實情況是,在安全開發生命周期的各個階段中,中信建投面臨著不小的安全威脅——部分測試業務處于“裸奔”狀態,存在較大安全隱患;企業核心數據資產存在泄露風險;人員權限管理固化,無法靈活調整。
為應對上述安全威脅,中信建投引入深信服零信任安全架構,提升抵御風險的能力,為其數字化轉型提供了新的建設思路。
中信建投零信任安全建設重點關注DevSecOps和零信任的有機結合,提升測試系統的安全風險免疫能力。零信任控制中心aTrust與CAS認證平臺對接,可實現單點登錄,員工僅需輸入一次賬號密碼,即可進入測試業務系統,保障員工訪問的安全性和便捷性;通過安全沙箱UEM保護敏感數據不落地,實現輕量級數據防泄密效果。
1.零信任安全解決方案與DevSecOps體系有機結合,有效規避安全風險
DevSecOps體系主要面臨的人員權限、三方依賴、自研代碼、DevOps工具集、內部威脅者等多種安全風險。而零信任基于“永不信任,持續驗證”的思想,消除對內部員工、外協人員等各種角色的隱式信任,并通過多因素認證來鑒別用戶的合法身份;能夠基于行為和環境動態調整用戶訪問權限,實現權限最小化;通過沙箱技術保障代碼安全,實現敏感數據保護;通過零信任動態鑒別DevOps工具集的使用等。
2.簡化管理與運維,讓安全管控更加簡單有效
區別于通過制度和要求來約束員工的終端和賬號安全的傳統機制,零信任通過數字化手段在網絡層面和應用層面進行限制,從而有效增強了安全基線的檢測和數據安全防護能力。同時,新業務、新應用發布將更加輕松,上線即可使用;風險研判、故障診斷和異常恢復更加容易。
3.改善員工體驗,靈活釋放辦公生產力
零信任平滑接入現有網絡架構,保障業務不中斷,保證員工利用 PC端或移動端開展遠程開發測試的需求。
結合中信建投的實際情況,深信服整合暴露面收縮、可信身份校驗、持續信任評估和數據防泄露等能力,實現全網身份、權限與應用的統一管理和業務訪問全流程的安全防護,構建簡單有效的零信任安全架構。
在基礎合規的前提下,通過持續運營、分步落地,方案的效果和價值能夠持續迭代升級,讓“正確的人”通過“正確的終端”在“任意網絡位置”基于“正確的權限”訪問到“正確的業務和數據”。
