以下為現(xiàn)場速記。
聯(lián)軟科技北區(qū)技術(shù)總監(jiān) 陳揚
陳揚:大家上午好!數(shù)字化轉(zhuǎn)型大家很清楚,業(yè)務(wù)肯定先行,我們要通過業(yè)務(wù)新建來提升業(yè)務(wù)化轉(zhuǎn)型,可是安全也很重要,如果沒有充分的安全感,可能我們在數(shù)字化轉(zhuǎn)型過程中會受到一些掣肘,我今天話題講聯(lián)軟在新終端安全防御架構(gòu)上的的想法和理念。
終端領(lǐng)域跟其他領(lǐng)域安全不太一樣,大家知道IOT發(fā)展迅猛,終端在碎片化情況比較嚴(yán)重,無論是你的版本、類型都是比較復(fù)雜的,跟網(wǎng)絡(luò)的方式不太一樣,所以終端安全很多時候確實需要在一些在指標(biāo)監(jiān)控或者在安全運營層面來講要提出更高要求,否則單純只是通過一些工具手段是很難達(dá)到很好的要求,就像我們剛才發(fā)生的事情一樣,雖然我們有一套很好的流程,很好的情況,還是出現(xiàn)了小小的失誤。
不知道剛才那個事情算不算數(shù)據(jù)終端層面小小的問題,如果說我們在終端數(shù)據(jù)層面有很好洞悉的話,剛才數(shù)字軟件上的錯誤就可以避免了。
我繼續(xù)今天我的話題,關(guān)于數(shù)字化轉(zhuǎn)型情況下終端安全的思路。
數(shù)字化轉(zhuǎn)型,剛才大量提到了,我們的業(yè)務(wù)以云為基礎(chǔ)來進(jìn)行業(yè)務(wù)的搭建。可是業(yè)務(wù)上云之后,我們在背后會看到哪些的安全問題?很自然的,我這邊有列舉了一些數(shù)據(jù),當(dāng)數(shù)據(jù)上云之后大家發(fā)現(xiàn),我們有大量的數(shù)據(jù)從企業(yè)的傳統(tǒng)邊界已經(jīng)向控制外邊界延伸了,因為我們業(yè)務(wù)要上云所以我們要將業(yè)務(wù)使用空間擴展化,而這種擴展從側(cè)面上帶來一個問題,邊界的模糊化,而模糊的邊界讓我們的安全更難做處理。同時,數(shù)字化轉(zhuǎn)型也推動了向攻擊面擴展,以前可能只有部分人用,現(xiàn)在供應(yīng)商也可以介入,我們?nèi)藛T拿移動化設(shè)備進(jìn)入到企業(yè)外空間使用我們的業(yè)務(wù),這時攻擊面大大增加,這時又如何考量呢?
第三點,我們看看移動化的終端。畢竟我們線下業(yè)務(wù)轉(zhuǎn)型不僅僅是系統(tǒng)的建設(shè),我們希望我們的業(yè)務(wù)有更多的形態(tài),而這種形態(tài)的開展靠的是什么?靠的是人,靠人使用終端,這也是形態(tài)的變化,不同形態(tài)變化帶來大量IOT設(shè)備管理困難和難點,這是我們在終端領(lǐng)域主要考慮的信息點,現(xiàn)在安全環(huán)境也非常清晰,無論從《網(wǎng)絡(luò)安全法》以及未來這幾年出的《數(shù)據(jù)安全法》和《個人信息保護(hù)法》都要求我們在終端數(shù)據(jù)層面提出更高的要求。
我今天的議題講兩個點:
第一,在邊界模糊化的情況下如何重新定義我們的安全邊界。
第二,講一講終端如何重新定義和如何管理。
先看一下重新邊界的定義SDP,這個概念是2013年時CSA就早已提出,它概念的提出,核心目標(biāo)是提出一種可以更安全的接入方式。EPN接入點十幾年就產(chǎn)生了,而這十幾年一直沒有新技術(shù)的演進(jìn),而這種技術(shù)的提出很核心的一點幫助我們跨越終端,跨越不同形態(tài)模式下提出更可靠的、更安全的技術(shù)架構(gòu)。
去年Gartner已經(jīng)把SDP項目入選十大項目,如果你的企業(yè)想要完成相應(yīng)的安全建設(shè),前十大項目中入選SDP。
我們看聯(lián)軟SDP的設(shè)計理念,這里涉及眾多的細(xì)節(jié)我不一一贅述。核心點是通過幾個視角給予大家新的概念,首先是安全的視角,SDP采用的是離心架構(gòu)模式,從終端接入到接入管道再到云端側(cè),對于使用者來講業(yè)務(wù)都是隱藏的,所有傳輸數(shù)據(jù)協(xié)議都采用加密的方式。
從管理視角來講,管理側(cè)也非常簡單,你只要搭建一套邊界SDP系統(tǒng),所有接入端無論公有云、私有云、移動終端亦或其他PC終端都可以采用統(tǒng)一的認(rèn)證系統(tǒng),統(tǒng)一認(rèn)證方式接入管理,這樣全局形成統(tǒng)一化的平臺來實現(xiàn)整體的管理。
而從用戶視角來講也非常方便,因為我的使用感受沒有變化,跟我使用日常APP沒有太大區(qū)別,也是打開手機,打開一個APP,它的使用方式跟我已有一樣,從胸使用習(xí)慣來講不需要做額外太多培訓(xùn)類工作,可以很好的快速將這種技術(shù)推廣到我們的全公司里面去。所以我們希望這種技術(shù)未來幫助我們企業(yè)用新型的方式幫我們重新定義一下我們的軟件邊界。
再看一下關(guān)于終端側(cè),現(xiàn)在IOT設(shè)備量級已經(jīng)遠(yuǎn)遠(yuǎn)超出我們的想象了,也就是說從終端管理思路來講也要做改變,從傳統(tǒng)PC到移動手機到PAD再到IOT設(shè)備,這都應(yīng)該納入全局管理思維中,只有這樣你的終端側(cè)才能引用全局性思維進(jìn)行總體管理。但終端側(cè)管理說實話還是蠻復(fù)雜的,因為它相當(dāng)?shù)乃槠考壏浅6啵覀円粋€集團,李總剛才講到全國70多萬人,地域分布在各個地方,量級擴大,終端類型各種類型都有,安卓碎片,版本幾十個版本,終端是人在用,感受非常重要,業(yè)務(wù)怎么保障?如何跟業(yè)務(wù)相融合?這其實都是整個終端管理的難點。
而終端本身能力來講也是非常復(fù)雜,從終端賦能來講,我們可能要考慮身份、權(quán)限、行為、數(shù)據(jù)、威脅等等,這個其實都是屬于終端安全所需要的賦能。這時候,我們需要提出一種新的概念,如何去管好我們的接入端,云、管、端的終端側(cè)。
這里提出我們新的ESPP架構(gòu),我們是一種純平臺化的方式來實現(xiàn)終端的統(tǒng)一管理。這個平臺可以用一種整體的方式來實現(xiàn)終端的賦能,以前終端建設(shè)大家可能是這樣的,比如我覺得終端現(xiàn)在需要一個網(wǎng)絡(luò)準(zhǔn)入的控制,我可能上一套系統(tǒng),我需要終端的個性化控制系統(tǒng)我可能要上一套系統(tǒng),也許我需要數(shù)據(jù)安全,我要上一套系統(tǒng),這時出現(xiàn)大量重復(fù)交互,發(fā)現(xiàn)問題時扯皮,安全問題等都會成為我們建設(shè)中浪費精力和組織人員的問題。
所以我們采用平衡的方式來完成全方位的賦能,這時候這個平臺可以做什么?首先完成一個邊界的控制,當(dāng)你以一個安全狀態(tài),什么樣的終端是我們合法終端可以進(jìn)入邊界,在此之后可以完成全資產(chǎn)識別。終端類型很多,只有知道它是什么類型,每種類型是什么角色,每種角色賦予什么權(quán)限才可以很好的管理。
再往下我們關(guān)鍵完成行為管控,這些行為是可允許范圍內(nèi)還是出現(xiàn)問題的?之后我們再通過整體數(shù)據(jù)的分析和處理來獲得一些用戶的畫像,了解我們的模型它是否偏離我們終端的模型?我們希望我們的平臺可以干三個事情:
第一,可以成為終端保護(hù)平臺。提供安全可控的能力。
第二,我們希望管理運維上的效率工具。終端側(cè)很多東西可以通過小工具方式幫你處理和解決。
第三,員工生產(chǎn)力工具。我拿這個終端,它也是我們生產(chǎn)力工具。
我們講講終端側(cè)非常難解決的問題,首先問大家一個問題,我們清楚在我們集團內(nèi)有多少終端嗎?有多少類別嗎?這些類終端分布在什么地方?其實這個問題,我至少在這一年跟很多用戶都聊過,大家都是打一個大大的問號的。尤其今年搞國防演練,我們要防止通過跳板方式入侵網(wǎng)絡(luò),這時你連資產(chǎn)是什么都不知道,你如何做管理呢?所以首先一個問題,我們得弄清楚,你這些資產(chǎn)是什么,怎么去管?而且這里有一個很重要的價值在哪里?如果說我們要搞全終端體系運維指標(biāo)的話,比如我們?nèi)W(wǎng)有十萬個終端,你能知道9000個那你的指標(biāo)肯定不準(zhǔn),你不能只是在90%中去考慮那100%,這樣即使你做到100%也只有90%,所以從這個層面上來說,我們首先要解決的是我們要洞悉全網(wǎng)資產(chǎn)。
這里聯(lián)軟科技目前在全資產(chǎn)掃描和可視上來講投入了大量的精力,考慮了各種各樣的場景,我們目前來說是可以采用多方面的技術(shù)來實現(xiàn)全網(wǎng)資產(chǎn)掃描的,而且現(xiàn)在在某些用戶處已經(jīng)有得到了一些應(yīng)用和成效。其實終端場景確實比較復(fù)雜,比如你的亞終端沒有橫向流量,可能你的設(shè)備部署到某一個特定位置,我們在整個方案來講通過主動探測、被動掃描、網(wǎng)絡(luò)側(cè)、終端側(cè)多樣技術(shù)結(jié)合目前實現(xiàn)全資產(chǎn)可視和了解。現(xiàn)在來看已經(jīng)可以支持40大類百余種識別,而且資產(chǎn)能力在逐步的添加。
這張圖是我們在某一個用戶處態(tài)勢感知的展示,我專門畫了一個框,這個就是我剛才說的,終端整體運營管理的條面,如果這個框里在網(wǎng)設(shè)備做得不夠標(biāo)準(zhǔn),做得不夠好,那么你的安全工作是無法做到百分之百的。
終端數(shù)據(jù)層面,我覺得可以提供很多的想象力,剛才各位前面多次提到,對于數(shù)據(jù)來說可以發(fā)現(xiàn)很多東西。終端數(shù)據(jù)不僅僅是安全問題,比如你是否被攻擊,你是否中了毒?這只是終端數(shù)據(jù)中很小的問題,終端既然是人在用,我們可以通過人的行為給予你業(yè)務(wù)一些思考,這時只要你能充分了解他在終端所有操作,所有進(jìn)程起和關(guān),所有網(wǎng)絡(luò)連接也許我們可以畫出整體用戶畫像,這種畫像就有很多想象力空間了。
舉個最簡單的例子,他的電腦中是否存在了不該存在的東西,比如這是財務(wù)部人員,那邊是IT部人員,我通過全終端數(shù)據(jù)資產(chǎn)發(fā)現(xiàn),我發(fā)現(xiàn)IT部人員電腦里存了很多報價單,這種模型是否可以告知你他存在一些數(shù)據(jù)不應(yīng)該的情況?所以這種畫像,當(dāng)我們能夠?qū)K端拿到充分?jǐn)?shù)據(jù)時,我可以基于我們企業(yè)需求設(shè)立相應(yīng)用戶畫像,用戶模型。包括安全層面、業(yè)務(wù)層面,包括用戶感受型層面這些都可以去做,而這些數(shù)據(jù)都需要我們平臺能夠可以充分的獲知你終端發(fā)生所有的事情,所有的行為。這個也是我們聯(lián)軟科技在整個終端數(shù)據(jù)層面所考慮的一個點。
簡單來說,我可以根據(jù)它的行為設(shè)計一些模型畫像,你的進(jìn)程、你的流量、你的網(wǎng)絡(luò)行為、你數(shù)據(jù)的行為、你數(shù)據(jù)的分布形成相應(yīng)模型之后我們可以做偏離值,如果他超越了偏離值我們可以進(jìn)行縱深查詢,最終發(fā)現(xiàn)他的行為、特征是什么,可以給我們提供判斷性的依據(jù)。這個是我們在數(shù)據(jù)層面的考量。
這張圖也是展示了我們一些數(shù)據(jù)的整體分布,其實也是給我們在數(shù)據(jù)安全層面,在數(shù)據(jù)泄露層面來講給予一些思考。
最后我講一講,我們關(guān)于終端側(cè)比較常見的方式即我們的移動化。因為我跟很多用戶聊過,他在移動化過程中遇到一些困難和問題。很多時候移動化有一個很重要的點,我們將一些封閉的應(yīng)用已經(jīng)是很封閉不允許拿到外邊,我想拿到外邊通過移動化的方式擴展它的使用空間,這時就有一個問題,因為很多數(shù)據(jù)是要過等保,我之前有一個用戶準(zhǔn)備了10幾個應(yīng)用,準(zhǔn)備全部移動化,最后發(fā)現(xiàn)每個應(yīng)用都要做等保,這時人力消耗、流程消耗非常巨大,這時提出一個問題,我們能不能用平臺化的方式,用整體業(yè)務(wù)平臺支撐方式來給予搭建這樣的移動化平臺呢?這個就是我們聯(lián)軟提供的移動化進(jìn)程上的思路。
其實我們相當(dāng)于你們要走移動化,可以先搭建移動化的平臺,這個平臺在安全上、合規(guī)性來講已經(jīng)做過充分的考量,可以幫助企業(yè)節(jié)省幾個事情:
第一,APP統(tǒng)一化標(biāo)準(zhǔn)問題。因為你們移動化開發(fā)商肯定不一樣,A業(yè)務(wù)有A開發(fā)商,B業(yè)務(wù)有B開發(fā)商,我們自己有一套研發(fā)體系可能也在做開發(fā),如果每一家對安全層面考量不一樣,APP上云,APP移動化它的標(biāo)準(zhǔn)怎么統(tǒng)一?這個時候我們其實是可以通過這個平臺幫助大家統(tǒng)一。我們當(dāng)然不僅僅提供平臺和技術(shù),我們還提供大量的數(shù)據(jù)安全性標(biāo)準(zhǔn),可以幫助用戶做安全的統(tǒng)一。
第二,接口標(biāo)準(zhǔn)化。我們之前跟APP開發(fā)商去聊過,比如一個APP如果考慮安全的建設(shè)和設(shè)計,它可能要花10天以上再重新做安全架構(gòu),這10天成本對應(yīng)是10萬到20萬,如果每個APP都要做這樣的開發(fā),對企業(yè)來講也是不小的時間成本和資金成本。我們通過統(tǒng)一標(biāo)準(zhǔn)化接口,通過SDK方式提供給所有APPW開發(fā)商,只要套用這個接口就可以完成APP平臺化的上線。這個其實是大量的成本節(jié)省工作。
所以整個移動化進(jìn)程當(dāng)中,我們聯(lián)軟方式可以幫助打造整體的平臺,這個平臺之后,你們以后所有的移動的全生命管理,或者移動設(shè)備的全生命周期管理都可以基于這個平臺來進(jìn)行延伸和發(fā)展。
我們目前在國內(nèi)做了最大的案例是中國銀行,可能未來一段時間你們進(jìn)入中國銀行移動展廳時,他們在所有的智慧廳堂里移動設(shè)備都會上了這套系統(tǒng)。
這個是我們基于這個系統(tǒng)的一些展示。看起來跟我們常規(guī)使用是一模一樣的,并沒有一些差異化的地方,這個也是對我們的整個易用性有很好的提升。
今天主體內(nèi)容先講到這里,后面花一些時間給介紹一下聯(lián)軟。可能在座的各位領(lǐng)導(dǎo)對我們還是有些不是特別的熟悉。
聯(lián)軟成立有15年了,我們在之前一段時間周期內(nèi),一直在提供關(guān)于像整體終端側(cè)解決方案,我們也提供云側(cè)解決方案。目前在整個EPP移動端層面來講,聯(lián)軟覆蓋最多,我們我擁有國內(nèi)終端領(lǐng)域具備最強的經(jīng)驗,可以幫助大家去解決終端側(cè)面臨的各種各樣的問題。
以銀行業(yè)為例,全國21家股份制商業(yè)銀行已經(jīng)有13家選用聯(lián)軟解決方案,這已經(jīng)達(dá)到非常高的比重。而且在證券期貨行業(yè)整體占用比例已經(jīng)超過50%。對于世界500強來講,目前我們已經(jīng)有超過50家世界500強企業(yè)以及90以上的中國500強企業(yè)。
我今天的內(nèi)容就講到這里,謝謝大家!