鑽石舞台

根據CNCF定義，可以將雲原生分為四個部分。第一部分是容器雲，容器雲的演進過程也是基礎設施的演進過程。為了滿足企業成本最小化和業務部署的性能效果，基礎設施從物理機到虛擬機，從公有雲到私有雲最後到容器雲。彈性逐漸遞增的同時，效率也逐漸擴大。

第二部分是DevOps，傳統的信息化主要是依靠購買第三方軟件作為管理的支撐的運行模式。而現在的數字化已經不單純是一個管理信息化系統，更多的是業務、運營的作業系統。這種作業系統體現出企業業務的核心競爭力，因此企業需要自己開發對應的作業系統，也需要從過去的商業化開發模式轉變成開發運營一體化的模式。其快速實現、快速交付的特點對安全帶來了很大的改變。

第三部分是微服務，微服務是整個業務和應用信息系統技術架構的變化以及API模式的崛起。通過對業務的細粒度的解耦，實現小團隊的快速交付。這會對整個業務系統、數字化系統的提升，都會有一個比較強的架構方面的支持。

第四部分是持續交付，以上三種都是為了提高用戶體驗，滿足持續交付和快速交付的市場需求。

互助問答

零信任應對數據安全相對於傳統的安全解決方案有哪些優勢？

劉志誠：數據安全分為預防和運營兩部分。從預防的角度來講，零信任解決了身份、權限訪問控制等方面提供數據安全的預防能力。其中需要注意的是，對於零信任大家更多的是從企業的視角來思考，2C業務的運維人員和企業內部員工的身份是有區別的。零信任在2C的場景中應對數據安全還是有欠缺的。

數據防泄漏最主要的就是一個規劃。先把目標定好，如果目標不清晰，後面所有的工作都是徒勞。

數據防泄漏由哪些部分組成，從企業端來看，一般包括網絡、終端、移動設備、雲和安全智能管理。下圖是一些控制措施，網絡包括應用隱身、互聯網隔離、URL過濾、郵件DLP等。終端包含AD域控、外設與移動存儲、密碼託管/代理、屏幕水印等。移動設備分為Android和IOS，包括應用沙箱、遠程擦除、遠程鎖屏等。雲則是包括雲原生DLP等安全防護措施。

安全智能管理這方面需要通過數據標籤化、數據發現實現分類分級，這是數據安全治理的基礎。另外還需要做日誌採集匯聚，這樣才能搭建數據安全的SOC，包括UEBA、威脅情報聯動和態勢感知。這些都需要日誌採集匯聚後才能完成。

互動問答

目前企業在上終端DLP時，與隱私合規會有衝突。對於這種衝突，有什麼好的建議嗎？

胡愷健：一方面可以通過禁用個人IM聊天軟件、個人郵箱等渠道，從而實現公司電腦不處理個人數據。第二是通過告知的方式取得個人同意，同時，可以與律師溝通，將數據處理活動的合法性基礎進行調整，例如採用合規義務，正當利益等合法性基礎來採集該類員工數據。

數據安全法的正式實施，預示着數據安全分量日益加重，隨着新技術的發展，網絡邊界被不斷打破，社會和企業都在面臨數字化轉型帶來的數據安全風險。為有效的解決數據安全中違規訪問、數據泄露等威脅，綠盟科技在針對數據安全的防護中，基於零信任架構，深度融合技術、管理和運營能力，通過內部體系建設、外部服務支撐、來實現持續的治理評估改進，實現入侵威脅的防禦和業務數據的安全流轉。

零信任體系下解決的數據安全問題，能夠充分考慮數據安全各個階段的安全風險，以數據為中心，為用戶構建端到端的數據安全信任模型，將安全管控手段覆蓋到數據生命周期的各個環節，對用戶、設備、網絡、業務、數據都採取「零信任」的態度， 持續驗證多方可信，動態保障數據全流程安全。

互助問答

零信任應對數據安全相對於傳統的安全解決方案有哪些優勢？

田旭達：零信任在防護對象、防護基礎、防護理念、防護效果等方面都具有一定優勢。在防護對象方面，零信任更側重以數據安全為中心，改變了傳統的以網絡為中心的防護，注重應用資源的本身。防護基礎是零信任本身的特性決定的，它不是基於邊界的防護架構，在訪問過程中，對用戶、終端等權限方面的驗證是一致的，沒有不同。防護理念方面，零信任在防護過程中限制了資源的可見性，實現了業務隱藏。在防護效果方面，零信任做到了動態防護，通過持續的信任評估、動態分析實現對數據資源的動態化訪問控制。

企業安全建設主要有兩個方向，一是從上至下，二是從下至上。從上至下是從管理層逐漸推動到全體員工，其前提是需要管理層或企業重視信息安全，願意為信息安全建設投入資源和精力。從下至上是反其道而行之，如果管理層或企業不重視安全的話，可以通過以點到面的方式來傳遞安全意識和思想。在面對類似未成立安全部門或是安全部門依附於系統運維部的企業，安全負責人可以選擇從下至上的方式建設企業安全。

還可以通過體系來入手，從ISO 27001或等保切入。首先無論是ISO 27001還是等保，都包含企業安全建設的各個層面。ISO 27001從A5到A18的14個域，涵蓋了企業需要做的基本內容。安全負責人在做相關工作時，既可以選擇其中的1、2個域，也可以全部作為一個大方向去規劃。

其次，在做體系時是不可能由一個人或一個部門來完成，是必要的有多部門的協同。例如涉及到人力資源，就需要聯動人力資源部門，當和很多部門聯動之後，就可以了解到業務部門的實際情況。在這個過程中可以向他們普及信息安全的概念和意識，在後面信息安全推廣和建設時都會有很大幫助。

第三是通過體系認證後可以獲得證書，這個證書可以為業務帶來實際的價值。例如將證書掛在官網上做宣傳推廣，或者在產品投標時帶來額外的加分等等。因此，就可以獲得業務部門的支持。

如果企業在等保或ISO 27001等相關體系都已經完成了，那還可以選擇嘗試新的體系。例如最近很火的ISO 27701等等。這些體系可以擴充企業對安全的認知，當企業在面對瓶頸時可以通過這些體系獲得指引。

互助問答

網安新人如何評估項目的時間計劃？

新人要多去詢問上級，通過與其溝通拉近彼此的距離。另一方面，在定好時間規劃後要與上級達成共識，與上級共同承擔風險和後果。

滿足監管的專項行動需要做以下四點。定要求、自評估、循環改和設卡點。

監管的專項行動都會有依據，定要求就是結合專項行動提供的公告來設立企業內部的要求。當滿足這些要求之後，就需要開展自評估。自評估主要是通過調研和技術結合的方式，結合不同的場景來評估是否滿足之前制定的要求。循壞改是根據評估的結果，進行整改，然後繼續評估來保證已經改過的問題不會重複出現。設卡點就是在APP正式發布或上線之前進行合規檢查。

定要求的來源有哪些？一個是部門規章和專項行動的要求。第二是信安標委的實踐指南，結合前面就可以獲得更加具體和可落地的要求。第三是監管通報，根據其內容可以大致清楚一些重點方面的要求。最後定要求在推進的過程中可能會面臨一些挑戰，主要是業務方面。因此需要對要求足夠的熟悉，然後有理有據的告訴業務部門規定的來源和目的。

目前，已經有30餘家專注於工業互聯網平台的企業，這些企業統稱為雙跨企業。工業互聯網平台本質是工業的數字化轉型，並且在工業領域相對領先。由於我國工業基礎較為薄弱，相當多的中小型企業達不到上平台的能力和水平。但也有類似海爾、美的等有大量資金支持的企業可以上工業互聯網平台。雙化企業聚焦賦能，例如為汽車企業提供上雲等服務。

在安全方面，近年來工業互聯網的安全事件頻有發生，部分專家認為工業互聯網的風險非常大。實際上我個人認為無需多慮，因為很多企業比外界更清楚風險所在。目前工業互聯網還沒有達到所有最核心、最敏感的設備都上雲，還沒有說在遠端一個指令就可以使生產設備宕機等等。很多企業目前還處於數據採集、資產梳理等初級階段。

互動環節

工業互聯網領域用哪種輕量級的身份認證管理模式？

身份認證方面跟互聯網行業基本區別不大，常規的硬件加密機HSM，加上sso技術，（oauth2.0 saml ）等。有一種技術方面採用x.509簡化版本證書，應用於低能耗的硬件，但應用很少。ca和kpi體系認證夠用。

工業互聯網的安全風險是傳統工控系統像工業互聯網轉化的風險。下圖是《中國工程科學》2021年發布的期刊中的圖片。左邊的傳統工控系統強調的是與互聯網隔離的模式，採用了三級模型來描述工廠內部的局域網。其中包括工廠級、車間級和現場級。

工業互聯網與傳統工控的區別是右圖。其中，設備智能化指的是不再是原來簡單的輸出輸入設備，而是採用了更多包括智能傳感器的高級操作系統。每一台設備都擁有獨立的輸入輸出功能。另外，在工廠級實現了IT與OT的融合，可以看成是一套邊緣計算體系。還有業務上雲，也是傳統工控系統的隔離網絡有所區別。通過數據執行在雲端進行數據共享和企業協作。

互動環節

生態指的是生物在一定自然環境下的生存和發展狀態，也指生物的生理特性和生活習性。類比安全生態的話，其中企業就是生物，產業鏈和時代背景就是環境，生存發展狀態就是安全的出發點：有沒有嚴重的信息安全事件等。信息安全事件對行業的督查和法規的監管都有一定影響。安全價值提升包括品牌影響力、企業合作影響等等。

生態關係包括企業自身的信息安全生態、信息安全事件生態、員工安全意識和技能生態、信息安全產業鏈生態以及干係第三方企業的信息安全建設的成熟度。首先左邊的事件生態對企業有驅動作用。員工安全意識不僅僅是對企業自身，對於其他行業和企業也會產生循環的效果。第三方則是互相傳遞、互相影響的作用。最後的信息安全產業鏈則是對企業整個信息安全的建設和認知起到關鍵作用。

本次議題的安全運營不是指安全管理中心技術平台，SOC需要相對全面的安全設備支持，並且基於不同的業務場景來定製開發和配置。本次議題的安全運營是指基於已有的產品和服務，實施相對有效地策略來處置風險，然後持續對安全進行賦能，最終達成安全目標，關鍵在於如何利用有限的資源進行有效的運營。

很多企業的安全建設情況是不一樣的，但是即便是只有一台防火牆，也可以把安全做起來。具體來講，從業務視角看資產、合理的使用開源產品、追求合適而不是完美、努力追求價值體現可以達成更高效的安全運營效果。

目前，很多安全管理都停留在紙面上。ISO 27001、等保雖然從體系、制度上看都很完善，但如果不實際落地意義不大，真正的安全運營是能夠將安全策略有效落地。