以下為現(xiàn)場(chǎng)速記。
聯(lián)軟科技北區(qū)技術(shù)總監(jiān) 陳揚(yáng)
陳揚(yáng):大家上午好!數(shù)字化轉(zhuǎn)型大家很清楚,業(yè)務(wù)肯定先行,我們要通過業(yè)務(wù)新建來提升業(yè)務(wù)化轉(zhuǎn)型,可是安全也很重要,如果沒有充分的安全感,可能我們?cè)跀?shù)字化轉(zhuǎn)型過程中會(huì)受到一些掣肘,我今天話題講聯(lián)軟在新終端安全防御架構(gòu)上的的想法和理念。
終端領(lǐng)域跟其他領(lǐng)域安全不太一樣,大家知道IOT發(fā)展迅猛,終端在碎片化情況比較嚴(yán)重,無論是你的版本、類型都是比較復(fù)雜的,跟網(wǎng)絡(luò)的方式不太一樣,所以終端安全很多時(shí)候確實(shí)需要在一些在指標(biāo)監(jiān)控或者在安全運(yùn)營層面來講要提出更高要求,否則單純只是通過一些工具手段是很難達(dá)到很好的要求,就像我們剛才發(fā)生的事情一樣,雖然我們有一套很好的流程,很好的情況,還是出現(xiàn)了小小的失誤。
不知道剛才那個(gè)事情算不算數(shù)據(jù)終端層面小小的問題,如果說我們?cè)诮K端數(shù)據(jù)層面有很好洞悉的話,剛才數(shù)字軟件上的錯(cuò)誤就可以避免了。
我繼續(xù)今天我的話題,關(guān)于數(shù)字化轉(zhuǎn)型情況下終端安全的思路。
數(shù)字化轉(zhuǎn)型,剛才大量提到了,我們的業(yè)務(wù)以云為基礎(chǔ)來進(jìn)行業(yè)務(wù)的搭建。可是業(yè)務(wù)上云之后,我們?cè)诒澈髸?huì)看到哪些的安全問題?很自然的,我這邊有列舉了一些數(shù)據(jù),當(dāng)數(shù)據(jù)上云之后大家發(fā)現(xiàn),我們有大量的數(shù)據(jù)從企業(yè)的傳統(tǒng)邊界已經(jīng)向控制外邊界延伸了,因?yàn)槲覀儤I(yè)務(wù)要上云所以我們要將業(yè)務(wù)使用空間擴(kuò)展化,而這種擴(kuò)展從側(cè)面上帶來一個(gè)問題,邊界的模糊化,而模糊的邊界讓我們的安全更難做處理。同時(shí),數(shù)字化轉(zhuǎn)型也推動(dòng)了向攻擊面擴(kuò)展,以前可能只有部分人用,現(xiàn)在供應(yīng)商也可以介入,我們?nèi)藛T拿移動(dòng)化設(shè)備進(jìn)入到企業(yè)外空間使用我們的業(yè)務(wù),這時(shí)攻擊面大大增加,這時(shí)又如何考量呢?
第三點(diǎn),我們看看移動(dòng)化的終端。畢竟我們線下業(yè)務(wù)轉(zhuǎn)型不僅僅是系統(tǒng)的建設(shè),我們希望我們的業(yè)務(wù)有更多的形態(tài),而這種形態(tài)的開展靠的是什么?靠的是人,靠人使用終端,這也是形態(tài)的變化,不同形態(tài)變化帶來大量IOT設(shè)備管理困難和難點(diǎn),這是我們?cè)诮K端領(lǐng)域主要考慮的信息點(diǎn),現(xiàn)在安全環(huán)境也非常清晰,無論從《網(wǎng)絡(luò)安全法》以及未來這幾年出的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》都要求我們?cè)诮K端數(shù)據(jù)層面提出更高的要求。
我今天的議題講兩個(gè)點(diǎn):
第一,在邊界模糊化的情況下如何重新定義我們的安全邊界。
第二,講一講終端如何重新定義和如何管理。
先看一下重新邊界的定義SDP,這個(gè)概念是2013年時(shí)CSA就早已提出,它概念的提出,核心目標(biāo)是提出一種可以更安全的接入方式。EPN接入點(diǎn)十幾年就產(chǎn)生了,而這十幾年一直沒有新技術(shù)的演進(jìn),而這種技術(shù)的提出很核心的一點(diǎn)幫助我們跨越終端,跨越不同形態(tài)模式下提出更可靠的、更安全的技術(shù)架構(gòu)。
去年Gartner已經(jīng)把SDP項(xiàng)目入選十大項(xiàng)目,如果你的企業(yè)想要完成相應(yīng)的安全建設(shè),前十大項(xiàng)目中入選SDP。
我們看聯(lián)軟SDP的設(shè)計(jì)理念,這里涉及眾多的細(xì)節(jié)我不一一贅述。核心點(diǎn)是通過幾個(gè)視角給予大家新的概念,首先是安全的視角,SDP采用的是離心架構(gòu)模式,從終端接入到接入管道再到云端側(cè),對(duì)于使用者來講業(yè)務(wù)都是隱藏的,所有傳輸數(shù)據(jù)協(xié)議都采用加密的方式。
從管理視角來講,管理側(cè)也非常簡單,你只要搭建一套邊界SDP系統(tǒng),所有接入端無論公有云、私有云、移動(dòng)終端亦或其他PC終端都可以采用統(tǒng)一的認(rèn)證系統(tǒng),統(tǒng)一認(rèn)證方式接入管理,這樣全局形成統(tǒng)一化的平臺(tái)來實(shí)現(xiàn)整體的管理。
而從用戶視角來講也非常方便,因?yàn)槲业氖褂酶惺軟]有變化,跟我使用日常APP沒有太大區(qū)別,也是打開手機(jī),打開一個(gè)APP,它的使用方式跟我已有一樣,從胸使用習(xí)慣來講不需要做額外太多培訓(xùn)類工作,可以很好的快速將這種技術(shù)推廣到我們的全公司里面去。所以我們希望這種技術(shù)未來幫助我們企業(yè)用新型的方式幫我們重新定義一下我們的軟件邊界。
再看一下關(guān)于終端側(cè),現(xiàn)在IOT設(shè)備量級(jí)已經(jīng)遠(yuǎn)遠(yuǎn)超出我們的想象了,也就是說從終端管理思路來講也要做改變,從傳統(tǒng)PC到移動(dòng)手機(jī)到PAD再到IOT設(shè)備,這都應(yīng)該納入全局管理思維中,只有這樣你的終端側(cè)才能引用全局性思維進(jìn)行總體管理。但終端側(cè)管理說實(shí)話還是蠻復(fù)雜的,因?yàn)樗喈?dāng)?shù)乃槠?,量?jí)非常多,我們一個(gè)集團(tuán),李總剛才講到全國70多萬人,地域分布在各個(gè)地方,量級(jí)擴(kuò)大,終端類型各種類型都有,安卓碎片,版本幾十個(gè)版本,終端是人在用,感受非常重要,業(yè)務(wù)怎么保障?如何跟業(yè)務(wù)相融合?這其實(shí)都是整個(gè)終端管理的難點(diǎn)。
而終端本身能力來講也是非常復(fù)雜,從終端賦能來講,我們可能要考慮身份、權(quán)限、行為、數(shù)據(jù)、威脅等等,這個(gè)其實(shí)都是屬于終端安全所需要的賦能。這時(shí)候,我們需要提出一種新的概念,如何去管好我們的接入端,云、管、端的終端側(cè)。
這里提出我們新的ESPP架構(gòu),我們是一種純平臺(tái)化的方式來實(shí)現(xiàn)終端的統(tǒng)一管理。這個(gè)平臺(tái)可以用一種整體的方式來實(shí)現(xiàn)終端的賦能,以前終端建設(shè)大家可能是這樣的,比如我覺得終端現(xiàn)在需要一個(gè)網(wǎng)絡(luò)準(zhǔn)入的控制,我可能上一套系統(tǒng),我需要終端的個(gè)性化控制系統(tǒng)我可能要上一套系統(tǒng),也許我需要數(shù)據(jù)安全,我要上一套系統(tǒng),這時(shí)出現(xiàn)大量重復(fù)交互,發(fā)現(xiàn)問題時(shí)扯皮,安全問題等都會(huì)成為我們建設(shè)中浪費(fèi)精力和組織人員的問題。
所以我們采用平衡的方式來完成全方位的賦能,這時(shí)候這個(gè)平臺(tái)可以做什么?首先完成一個(gè)邊界的控制,當(dāng)你以一個(gè)安全狀態(tài),什么樣的終端是我們合法終端可以進(jìn)入邊界,在此之后可以完成全資產(chǎn)識(shí)別。終端類型很多,只有知道它是什么類型,每種類型是什么角色,每種角色賦予什么權(quán)限才可以很好的管理。
再往下我們關(guān)鍵完成行為管控,這些行為是可允許范圍內(nèi)還是出現(xiàn)問題的?之后我們?cè)偻ㄟ^整體數(shù)據(jù)的分析和處理來獲得一些用戶的畫像,了解我們的模型它是否偏離我們終端的模型?我們希望我們的平臺(tái)可以干三個(gè)事情:
第一,可以成為終端保護(hù)平臺(tái)。提供安全可控的能力。
第二,我們希望管理運(yùn)維上的效率工具。終端側(cè)很多東西可以通過小工具方式幫你處理和解決。
第三,員工生產(chǎn)力工具。我拿這個(gè)終端,它也是我們生產(chǎn)力工具。
我們講講終端側(cè)非常難解決的問題,首先問大家一個(gè)問題,我們清楚在我們集團(tuán)內(nèi)有多少終端嗎?有多少類別嗎?這些類終端分布在什么地方?其實(shí)這個(gè)問題,我至少在這一年跟很多用戶都聊過,大家都是打一個(gè)大大的問號(hào)的。尤其今年搞國防演練,我們要防止通過跳板方式入侵網(wǎng)絡(luò),這時(shí)你連資產(chǎn)是什么都不知道,你如何做管理呢?所以首先一個(gè)問題,我們得弄清楚,你這些資產(chǎn)是什么,怎么去管?而且這里有一個(gè)很重要的價(jià)值在哪里?如果說我們要搞全終端體系運(yùn)維指標(biāo)的話,比如我們?nèi)W(wǎng)有十萬個(gè)終端,你能知道9000個(gè)那你的指標(biāo)肯定不準(zhǔn),你不能只是在90%中去考慮那100%,這樣即使你做到100%也只有90%,所以從這個(gè)層面上來說,我們首先要解決的是我們要洞悉全網(wǎng)資產(chǎn)。
這里聯(lián)軟科技目前在全資產(chǎn)掃描和可視上來講投入了大量的精力,考慮了各種各樣的場(chǎng)景,我們目前來說是可以采用多方面的技術(shù)來實(shí)現(xiàn)全網(wǎng)資產(chǎn)掃描的,而且現(xiàn)在在某些用戶處已經(jīng)有得到了一些應(yīng)用和成效。其實(shí)終端場(chǎng)景確實(shí)比較復(fù)雜,比如你的亞終端沒有橫向流量,可能你的設(shè)備部署到某一個(gè)特定位置,我們?cè)谡麄€(gè)方案來講通過主動(dòng)探測(cè)、被動(dòng)掃描、網(wǎng)絡(luò)側(cè)、終端側(cè)多樣技術(shù)結(jié)合目前實(shí)現(xiàn)全資產(chǎn)可視和了解?,F(xiàn)在來看已經(jīng)可以支持40大類百余種識(shí)別,而且資產(chǎn)能力在逐步的添加。
這張圖是我們?cè)谀骋粋€(gè)用戶處態(tài)勢(shì)感知的展示,我專門畫了一個(gè)框,這個(gè)就是我剛才說的,終端整體運(yùn)營管理的條面,如果這個(gè)框里在網(wǎng)設(shè)備做得不夠標(biāo)準(zhǔn),做得不夠好,那么你的安全工作是無法做到百分之百的。
終端數(shù)據(jù)層面,我覺得可以提供很多的想象力,剛才各位前面多次提到,對(duì)于數(shù)據(jù)來說可以發(fā)現(xiàn)很多東西。終端數(shù)據(jù)不僅僅是安全問題,比如你是否被攻擊,你是否中了毒?這只是終端數(shù)據(jù)中很小的問題,終端既然是人在用,我們可以通過人的行為給予你業(yè)務(wù)一些思考,這時(shí)只要你能充分了解他在終端所有操作,所有進(jìn)程起和關(guān),所有網(wǎng)絡(luò)連接也許我們可以畫出整體用戶畫像,這種畫像就有很多想象力空間了。
舉個(gè)最簡單的例子,他的電腦中是否存在了不該存在的東西,比如這是財(cái)務(wù)部人員,那邊是IT部人員,我通過全終端數(shù)據(jù)資產(chǎn)發(fā)現(xiàn),我發(fā)現(xiàn)IT部人員電腦里存了很多報(bào)價(jià)單,這種模型是否可以告知你他存在一些數(shù)據(jù)不應(yīng)該的情況?所以這種畫像,當(dāng)我們能夠?qū)K端拿到充分?jǐn)?shù)據(jù)時(shí),我可以基于我們企業(yè)需求設(shè)立相應(yīng)用戶畫像,用戶模型。包括安全層面、業(yè)務(wù)層面,包括用戶感受型層面這些都可以去做,而這些數(shù)據(jù)都需要我們平臺(tái)能夠可以充分的獲知你終端發(fā)生所有的事情,所有的行為。這個(gè)也是我們聯(lián)軟科技在整個(gè)終端數(shù)據(jù)層面所考慮的一個(gè)點(diǎn)。
簡單來說,我可以根據(jù)它的行為設(shè)計(jì)一些模型畫像,你的進(jìn)程、你的流量、你的網(wǎng)絡(luò)行為、你數(shù)據(jù)的行為、你數(shù)據(jù)的分布形成相應(yīng)模型之后我們可以做偏離值,如果他超越了偏離值我們可以進(jìn)行縱深查詢,最終發(fā)現(xiàn)他的行為、特征是什么,可以給我們提供判斷性的依據(jù)。這個(gè)是我們?cè)跀?shù)據(jù)層面的考量。
這張圖也是展示了我們一些數(shù)據(jù)的整體分布,其實(shí)也是給我們?cè)跀?shù)據(jù)安全層面,在數(shù)據(jù)泄露層面來講給予一些思考。
最后我講一講,我們關(guān)于終端側(cè)比較常見的方式即我們的移動(dòng)化。因?yàn)槲腋芏嘤脩袅倪^,他在移動(dòng)化過程中遇到一些困難和問題。很多時(shí)候移動(dòng)化有一個(gè)很重要的點(diǎn),我們將一些封閉的應(yīng)用已經(jīng)是很封閉不允許拿到外邊,我想拿到外邊通過移動(dòng)化的方式擴(kuò)展它的使用空間,這時(shí)就有一個(gè)問題,因?yàn)楹芏鄶?shù)據(jù)是要過等保,我之前有一個(gè)用戶準(zhǔn)備了10幾個(gè)應(yīng)用,準(zhǔn)備全部移動(dòng)化,最后發(fā)現(xiàn)每個(gè)應(yīng)用都要做等保,這時(shí)人力消耗、流程消耗非常巨大,這時(shí)提出一個(gè)問題,我們能不能用平臺(tái)化的方式,用整體業(yè)務(wù)平臺(tái)支撐方式來給予搭建這樣的移動(dòng)化平臺(tái)呢?這個(gè)就是我們聯(lián)軟提供的移動(dòng)化進(jìn)程上的思路。
其實(shí)我們相當(dāng)于你們要走移動(dòng)化,可以先搭建移動(dòng)化的平臺(tái),這個(gè)平臺(tái)在安全上、合規(guī)性來講已經(jīng)做過充分的考量,可以幫助企業(yè)節(jié)省幾個(gè)事情:
第一,APP統(tǒng)一化標(biāo)準(zhǔn)問題。因?yàn)槟銈円苿?dòng)化開發(fā)商肯定不一樣,A業(yè)務(wù)有A開發(fā)商,B業(yè)務(wù)有B開發(fā)商,我們自己有一套研發(fā)體系可能也在做開發(fā),如果每一家對(duì)安全層面考量不一樣,APP上云,APP移動(dòng)化它的標(biāo)準(zhǔn)怎么統(tǒng)一?這個(gè)時(shí)候我們其實(shí)是可以通過這個(gè)平臺(tái)幫助大家統(tǒng)一。我們當(dāng)然不僅僅提供平臺(tái)和技術(shù),我們還提供大量的數(shù)據(jù)安全性標(biāo)準(zhǔn),可以幫助用戶做安全的統(tǒng)一。
第二,接口標(biāo)準(zhǔn)化。我們之前跟APP開發(fā)商去聊過,比如一個(gè)APP如果考慮安全的建設(shè)和設(shè)計(jì),它可能要花10天以上再重新做安全架構(gòu),這10天成本對(duì)應(yīng)是10萬到20萬,如果每個(gè)APP都要做這樣的開發(fā),對(duì)企業(yè)來講也是不小的時(shí)間成本和資金成本。我們通過統(tǒng)一標(biāo)準(zhǔn)化接口,通過SDK方式提供給所有APPW開發(fā)商,只要套用這個(gè)接口就可以完成APP平臺(tái)化的上線。這個(gè)其實(shí)是大量的成本節(jié)省工作。
所以整個(gè)移動(dòng)化進(jìn)程當(dāng)中,我們聯(lián)軟方式可以幫助打造整體的平臺(tái),這個(gè)平臺(tái)之后,你們以后所有的移動(dòng)的全生命管理,或者移動(dòng)設(shè)備的全生命周期管理都可以基于這個(gè)平臺(tái)來進(jìn)行延伸和發(fā)展。
我們目前在國內(nèi)做了最大的案例是中國銀行,可能未來一段時(shí)間你們進(jìn)入中國銀行移動(dòng)展廳時(shí),他們?cè)谒械闹腔蹚d堂里移動(dòng)設(shè)備都會(huì)上了這套系統(tǒng)。
這個(gè)是我們基于這個(gè)系統(tǒng)的一些展示??雌饋砀覀兂R?guī)使用是一模一樣的,并沒有一些差異化的地方,這個(gè)也是對(duì)我們的整個(gè)易用性有很好的提升。
今天主體內(nèi)容先講到這里,后面花一些時(shí)間給介紹一下聯(lián)軟??赡茉谧母魑活I(lǐng)導(dǎo)對(duì)我們還是有些不是特別的熟悉。
聯(lián)軟成立有15年了,我們?cè)谥耙欢螘r(shí)間周期內(nèi),一直在提供關(guān)于像整體終端側(cè)解決方案,我們也提供云側(cè)解決方案。目前在整個(gè)EPP移動(dòng)端層面來講,聯(lián)軟覆蓋最多,我們我擁有國內(nèi)終端領(lǐng)域具備最強(qiáng)的經(jīng)驗(yàn),可以幫助大家去解決終端側(cè)面臨的各種各樣的問題。
以銀行業(yè)為例,全國21家股份制商業(yè)銀行已經(jīng)有13家選用聯(lián)軟解決方案,這已經(jīng)達(dá)到非常高的比重。而且在證券期貨行業(yè)整體占用比例已經(jīng)超過50%。對(duì)于世界500強(qiáng)來講,目前我們已經(jīng)有超過50家世界500強(qiáng)企業(yè)以及90以上的中國500強(qiáng)企業(yè)。
我今天的內(nèi)容就講到這里,謝謝大家!
京公網(wǎng)安備 11010502049343號(hào)