2022 CIO信息安全高峰论坛|实力护航企业数字化转型,深信服再度获奖!
网络攻击愈演愈烈,勒索事件频发,数据泄露加剧......企业网络安全怎么办?
7月6日,由《网络安全和信息化》杂志社与IT运维网共同主办的2022 CIO信息安全高峰论坛在线上召开,聚焦“数智转型 护航业务安全”,探讨数智时代下,企业业务发展与安全的和谐共生之道。深信服数据安全产品与方案总监罗维荣应邀参加论坛并以“围绕保护数据处理活动建设数据安全实践”为主题做了分享。
论坛现场隆重举行了2022安全样板工程和2022“鼎新”信息安全先锋榜授牌礼,通过展示成功案例和优秀解决方案,为用户落地业务安全提供重要参考和借鉴。深信服通过零信任安全解决方案为中信建投构建DevSecOps体系安全底座,荣获“2022安全样板工程(零信任)”奖项。
看点一数据安全——守护企业数字化转型征程
随着数字化进程的不断深入,企业纷纷开始布局数据安全工作,但伴随着数据资产逐渐集中、访问边界更加开放、使用方式越发复杂、数据权责已经分离的现状,数据的本质发生了巨大的变化。
企业越来越难以清楚地看到所拥有数据的整体状况和各个环节面临的风险,加上体系化数据安全建设和泄密溯源能力的缺失,数字化转型工作面临安全力度不当、安全业务失衡、安全成本过高等巨大的挑战。
如何在成本可控、均衡发展的前提下保障数据安全,成为了数据安全必须探索的问题。
对此,深信服提出了“依法治数,有效保护”的价值主张。
为什么要依法治数?
《数据安全法》和《个人信息保护法》的颁布与实施,标志着数据安全监管的顶层设计已经完成。另外,数据安全相关的行政条例、标准规范和行业管理办法的相继起草和发布也会建立更加细化和具体的数据安全监管合规体系。所以,企业应该以数据安全相关法律法规的要求为基础构建自身的数据安全体系,满足数据安全的监管要求。
如何有效保护?
数据安全本身的复杂性以及数据安全产品的碎片化导致数据安全建设落地的难度比较大,落地之后的数据保护效果往往达不到预期。只有结合自身现状,有针对性地建设数据安全解决方案,并通过运营服务的持续运营优化,才能有效提升数据保护的效果。
基于“依法治数,有效保护”的价值主张,深信服提出了“平台+组件+服务”的理念,通过“四化”(场景化、组件化、平台化、服务化)进行具体建设,以期达到不同用户的数据安全建设目标。
罗维荣以某政数局数据汇聚共享场景为例,分享了深信服围绕保护数据处理活动建设数据安全的实践——
数据汇聚共享是数字化转型期间一个非常重要的场景,也是数据发挥价值的前提。数据从各个孤岛汇聚到大数据平台,再经过加工共享出去,就是汇聚共享的过程。具体来讲,我们可以把它拆解为数据汇聚的场景、数据运维的场景、数据分析的场景以及数据共享的场景,这4类场景带来的风险类型差别很大,保护特点也各有不同。
比如,在数据汇聚的场景,API和前置机是重要保护对象;在数据运维的场景,对运维人员的识别和动态权限管控是重点;在数据分析场景,基于业务分析目标精细化动态调整数据的访问范围权限变得非常重要;在数据共享场景,需要对API进行进一步的有效管控。
在复杂多样的场景下,怎样对数据进行统一管控?刚才说到的“平台+组件+服务”就是一个方式。
平台将流转的数据及其风险进行集中采集管控,以数据为中心,管理数据资产,形成数据资源目录,并利用AI进行分类分析;
基于分类分级的情况,可以围绕不同的数据级别和业务标签展开相应的数据保护策略,让不同的数据安全组件分别实现相应的网络策略,以简化数据管控;
此外,深信服还具备数据安全的暗网情报监测服务、网盘的文件监控服务、文件监测预警服务等能力,通过这些专业的服务,可以帮助用户更好地运营数据平台。
看点二零信任——构建DevSecOps体系安全底座
连续 12 年被中国证监会评为目前行业最高级别的 A 类 AA 级,
在境内拥有205家证券营业部和19家期货营业部,
这样一家全国性大型综合证券公司在数字化转型过程中会遇到怎样的威胁与挑战?
从开发、测试到部署、运维,每一个环节都是“生死考验”!
要赢得用户信赖,就一定要做好安全防护。
中信建投证券股份有限公司(以下简称“中信建投”)在“十四五”发展规划与数字化转型规划中,提出了按照安全开发生命周期管理的理念,希望结合开发运维安全一体化(DevSecOps)平台建设,形成从开发、测试到部署、运维全生命周期的信息安全防护能力。
现实情况是,在安全开发生命周期的各个阶段中,中信建投面临着不小的安全威胁——部分测试业务处于“裸奔”状态,存在较大安全隐患;企业核心数据资产存在泄露风险;人员权限管理固化,无法灵活调整。
为应对上述安全威胁,中信建投引入深信服零信任安全架构,提升抵御风险的能力,为其数字化转型提供了新的建设思路。
中信建投零信任安全建设重点关注DevSecOps和零信任的有机结合,提升测试系统的安全风险免疫能力。零信任控制中心aTrust与CAS认证平台对接,可实现单点登录,员工仅需输入一次账号密码,即可进入测试业务系统,保障员工访问的安全性和便捷性;通过安全沙箱UEM保护敏感数据不落地,实现轻量级数据防泄密效果。
1.零信任安全解决方案与DevSecOps体系有机结合,有效规避安全风险
DevSecOps体系主要面临的人员权限、三方依赖、自研代码、DevOps工具集、内部威胁者等多种安全风险。而零信任基于“永不信任,持续验证”的思想,消除对内部员工、外协人员等各种角色的隐式信任,并通过多因素认证来鉴别用户的合法身份;能够基于行为和环境动态调整用户访问权限,实现权限最小化;通过沙箱技术保障代码安全,实现敏感数据保护;通过零信任动态鉴别DevOps工具集的使用等。
2.简化管理与运维,让安全管控更加简单有效
区别于通过制度和要求来约束员工的终端和账号安全的传统机制,零信任通过数字化手段在网络层面和应用层面进行限制,从而有效增强了安全基线的检测和数据安全防护能力。同时,新业务、新应用发布将更加轻松,上线即可使用;风险研判、故障诊断和异常恢复更加容易。
3.改善员工体验,灵活释放办公生产力
零信任平滑接入现有网络架构,保障业务不中断,保证员工利用 PC端或移动端开展远程开发测试的需求。
结合中信建投的实际情况,深信服整合暴露面收缩、可信身份校验、持续信任评估和数据防泄露等能力,实现全网身份、权限与应用的统一管理和业务访问全流程的安全防护,构建简单有效的零信任安全架构。
在基础合规的前提下,通过持续运营、分步落地,方案的效果和价值能够持续迭代升级,让“正确的人”通过“正确的终端”在“任意网络位置”基于“正确的权限”访问到“正确的业务和数据”。
