FREEBUF-企業(yè)安全威脅統(tǒng)一應(yīng)對(duì)指南（網(wǎng)絡(luò)安全）

1、目 錄C A T A L O G1第一章概述企業(yè)安全發(fā)展概況2019企業(yè)安全展望第二章2企業(yè)安全威脅及應(yīng)對(duì)流程企業(yè)安全體系架構(gòu)法律與監(jiān)管合規(guī)安全規(guī)劃風(fēng)險(xiǎn)管理框架體系與職責(zé)通信與網(wǎng)絡(luò)安全身份識(shí)別與訪問(wèn)控制應(yīng)用安全與軟件開發(fā)安全操作安全與安全運(yùn)營(yíng)數(shù)據(jù)安全安全事件管理安全防護(hù)WAF&云WAF抗DDoS&云抗DCWPPRASPWeb內(nèi)容安全業(yè)務(wù)風(fēng)控?cái)?shù)據(jù)安全郵件安全EMMAPP安全身份識(shí)別與認(rèn)證訪問(wèn)控制病毒防護(hù)目 錄C A T A L O G2第二章企業(yè)安全威脅及應(yīng)對(duì)流程檢測(cè)安全測(cè)試主機(jī)漏洞檢測(cè)數(shù)據(jù)庫(kù)安全NTA/NDR威脅情報(bào)蜜罐惡意軟件檢測(cè)（沙箱）IDPSEDR應(yīng)急響應(yīng)與調(diào)查取證第三章3企業(yè)安全產(chǎn)品名

2、錄背景概述網(wǎng)絡(luò)安全市場(chǎng)淺析企業(yè)安全產(chǎn)品名錄專有管理檢測(cè)和響應(yīng)（MDR）服務(wù)調(diào)查取證SOC/態(tài)勢(shì)感知SIEM容災(zāi)備份行為審計(jì)持續(xù)改進(jìn)安全咨詢與培訓(xùn)教育測(cè)評(píng)&認(rèn)證眾測(cè)與SRC風(fēng)險(xiǎn)評(píng)估漏洞管理系統(tǒng)（VMS）滲透測(cè)試與評(píng)估攻防演練2019企業(yè)安全熱詞COHNAEPTER第一章1概述國(guó)家信息安全等級(jí)保護(hù)政策標(biāo)準(zhǔn)體系國(guó)家網(wǎng)絡(luò)安全法律法規(guī)政策體系第一章 概述企業(yè)安全發(fā)展概況當(dāng)前，全球各國(guó)都將網(wǎng)絡(luò)安全提升到了國(guó)家戰(zhàn)略高度，并出臺(tái)不同的政策對(duì)企業(yè)或個(gè)人進(jìn)行約束，以落實(shí)網(wǎng)絡(luò)安全保障工作。網(wǎng)絡(luò)安全行業(yè)受到的關(guān)注持續(xù)增加、新政策層出不窮、技術(shù)不斷革新、安全事件頻發(fā)，既帶來(lái)諸多挑戰(zhàn)，也蘊(yùn)藏著良多機(jī)遇。1.11政策法規(guī)推

3、進(jìn)發(fā)展合規(guī)是促進(jìn)網(wǎng)絡(luò)安全建設(shè)與發(fā)展的一大動(dòng)因。在國(guó)內(nèi)層面，網(wǎng)絡(luò)安全法實(shí)施超過(guò)一周年，成效有目共睹，權(quán)威媒體報(bào)道或已公開的全國(guó)各相關(guān)判決和執(zhí)法案例已達(dá)到百例左右。配套的實(shí)施細(xì)則或其他相關(guān)法規(guī)政策也陸續(xù)出臺(tái)實(shí)施。據(jù)不完全統(tǒng)計(jì)，2018年國(guó)內(nèi)發(fā)布、出臺(tái)或?qū)嵤┑木W(wǎng)絡(luò)安全相關(guān)政策、法規(guī)、條例、細(xì)則（包括征求意見稿）等數(shù)量超過(guò)三十部。其中，公安部發(fā)布的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法、公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定、互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指引（征求意見稿）；工信部發(fā)布的網(wǎng)絡(luò)安全實(shí)踐指南歐盟GDPR關(guān)注點(diǎn)、國(guó)家網(wǎng)信辦發(fā)布的金融信息服務(wù)管理規(guī)定、具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)安全評(píng)估規(guī)定；全國(guó)信息

4、安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式等多項(xiàng)標(biāo)準(zhǔn)都一一發(fā)布，對(duì)于企業(yè)的安全建設(shè)有著切實(shí)的監(jiān)督和指導(dǎo)意義。同時(shí)，全國(guó)人大常委會(huì)也發(fā)布十三屆全國(guó)人大常委會(huì)立法規(guī)劃，將個(gè)人信息保護(hù)、數(shù)據(jù)安全、電子商務(wù)、密碼等列入立法規(guī)劃。網(wǎng)絡(luò)安全戰(zhàn)略 規(guī)劃目標(biāo) 網(wǎng)絡(luò)安全法實(shí)施至今，配套的法規(guī)或標(biāo)準(zhǔn)雖然也在同步制定，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)接連制定了上百份支撐網(wǎng)絡(luò)安全法實(shí)施的標(biāo)準(zhǔn)，但過(guò)度期間的監(jiān)督和落實(shí)稍顯薄弱，導(dǎo)致一部分違法違規(guī)行為未得到及時(shí)處罰。但值得關(guān)注的是，等保2.0相關(guān)的信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求、信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求、GB/T 36627-20

5、18網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南等國(guó)家標(biāo)準(zhǔn)都已公開發(fā)布。新的等保條例增加云計(jì)算安全、物聯(lián)網(wǎng)安全、工業(yè)控制安全、大數(shù)據(jù)安全以及移動(dòng)互聯(lián)安全等五個(gè)領(lǐng)域的要求與標(biāo)準(zhǔn)，同時(shí)將其中的基本要求、測(cè)評(píng)要求以及設(shè)計(jì)要求的相關(guān)標(biāo)準(zhǔn)由單一標(biāo)準(zhǔn)變?yōu)橄盗袠?biāo)準(zhǔn)?？傮w安全策略國(guó)家信息安全等級(jí)保護(hù)制度定級(jí)備案安全建設(shè)等級(jí)測(cè)評(píng)安全整改監(jiān)督檢查經(jīng)費(fèi)保障教育培訓(xùn)隊(duì)伍建設(shè)安全可控技術(shù)檢測(cè)能力建設(shè)態(tài)勢(shì)感知應(yīng)急處置通報(bào)預(yù)警安全監(jiān)測(cè)安全規(guī)劃?rùn)C(jī)制建設(shè)組織管理網(wǎng)絡(luò)安全綜合防御體系風(fēng)險(xiǎn)管理體系安全管理體系安全技術(shù)體系網(wǎng)絡(luò)信任體系安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、等級(jí)保護(hù)對(duì)象、移動(dòng)物聯(lián)網(wǎng)、智能設(shè)備等物聯(lián)網(wǎng)、

6、云平臺(tái)、工控系統(tǒng)新的等保條例即將實(shí)施，將成為繼網(wǎng)絡(luò)安全法之后又一重要法規(guī)，也將成為各機(jī)構(gòu)部門、重點(diǎn)行業(yè)部署與開展安全工作的核心基礎(chǔ)?？梢灶A(yù)見，這一條例將進(jìn)一步推進(jìn)國(guó)內(nèi)社會(huì)對(duì)網(wǎng)絡(luò)安全的重視，推動(dòng)網(wǎng)絡(luò)安全行業(yè)全面發(fā)展，對(duì)企業(yè)的約束也將更加嚴(yán)格。在國(guó)際層面，2018年5月，歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）正式實(shí)施，成為當(dāng)年全球最受關(guān)注的標(biāo)志性網(wǎng)絡(luò)安全相關(guān)法律。GDPR實(shí)施以來(lái)，以Facebook、谷歌為代表的企業(yè)被歐盟各國(guó)“約談”并受到不同程度的處罰，數(shù)據(jù)泄露報(bào)告案例數(shù)量激增，大小企業(yè)紛紛整改并加強(qiáng)數(shù)據(jù)保護(hù)。以GDPR為參考，美國(guó)加州消費(fèi)者隱私法2018緊隨其后，全球掀起了個(gè)人數(shù)據(jù)保護(hù)的立法與執(zhí)法新

7、浪潮。作為全球網(wǎng)絡(luò)空間規(guī)則指定的引領(lǐng)者，歐美在2018年的立法依舊引人注目。美國(guó)的國(guó)家網(wǎng)絡(luò)戰(zhàn)略、網(wǎng)絡(luò)安全戰(zhàn)略；歐盟的NIS指令、歐盟網(wǎng)絡(luò)防御政策框架等紛紛更新、通過(guò)或?qū)嵤?。此外，澳大利亞、新加坡、印度、越南、巴西等也相繼推出適用于其本土的網(wǎng)絡(luò)安全相關(guān)戰(zhàn)略和立法。網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全等成為全球立法的共同關(guān)注點(diǎn)。更多新法律、法規(guī)、政策的制定與出臺(tái)，意味著網(wǎng)絡(luò)安全在國(guó)家層面上受到的重視程度進(jìn)一步提高。展望2019年，國(guó)際網(wǎng)絡(luò)空間立法呈 現(xiàn)出博弈與融合并重的趨勢(shì)。國(guó)內(nèi)外網(wǎng)絡(luò)安全立法熱度不會(huì)降低，且在網(wǎng)絡(luò)主權(quán)、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)等領(lǐng)域?qū)⒂懈鼑?yán)格舉措。此外，地緣政治的因素將使得安全產(chǎn)品、服務(wù)

8、的國(guó)際化受到更多法律法規(guī)的約束。當(dāng)前形勢(shì)下，網(wǎng)絡(luò)安全越來(lái)愈多地參與到全球政治、經(jīng)濟(jì)、科技、軍事等領(lǐng)域的博弈之中，國(guó)際間輿論影響、商業(yè)競(jìng)爭(zhēng)、破壞關(guān)鍵基礎(chǔ)設(shè)施等事件層出不窮，很多民族國(guó)家黑客攻擊從早前的暗中試探轉(zhuǎn)變?yōu)楦鞔_的破壞性攻擊，未來(lái)依舊有愈演愈烈之勢(shì)。企業(yè)在發(fā)展過(guò)程中也應(yīng)當(dāng)考慮這一因素，及時(shí)調(diào)整產(chǎn)品與業(yè)務(wù)架構(gòu)。1.12安全事件引發(fā)社會(huì)關(guān)注勒索軟件造成嚴(yán)重?fù)p失2016至2018年，包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在內(nèi)的勒索軟件不斷出現(xiàn)變種。雖然勒索軟件整體增長(zhǎng)開始放緩，但帶來(lái)的財(cái)物損失不斷攀升。有預(yù)測(cè)顯示，2019 年，勒索軟件造

9、成的損失可能升至115億美元，攻擊頻率可能縮減到14秒一次。2020 年，勒索軟件攻擊將翻兩番。其中，醫(yī)療保健等公共機(jī)構(gòu)將成為重災(zāi)區(qū)。值得注意的是，除了以經(jīng)濟(jì)為目的的攻擊外，近一年媒體公開報(bào)道的勒索攻擊中有很多與民族國(guó)家黑客組織有關(guān)。勒索攻擊正在從隨機(jī)攻擊轉(zhuǎn)向有針對(duì)性的攻擊，潛在利潤(rùn)較大的行業(yè)未來(lái)更可能成為勒索軟件的目標(biāo)。信息泄露再創(chuàng)新高近幾年每年都會(huì)有大規(guī)模數(shù)據(jù)泄露事件曝出，且一年比一年嚴(yán)重。信息泄露給企業(yè)、個(gè)人帶來(lái)的損失越來(lái)越大：企業(yè)蒙受財(cái)產(chǎn)和聲譽(yù)損失，個(gè)人財(cái)產(chǎn)和生活穩(wěn)定也受到威脅。在歐盟GDPR法規(guī)正式實(shí)施之后，大大小小的數(shù)據(jù)泄露事件爆出頻率增加。FaceBook劍橋分析事件；大規(guī)模汽車

10、廠商商業(yè)文檔泄露事件；Google+泄露事件；英國(guó)航空、國(guó)泰航空數(shù)據(jù)泄露；幾大酒店集團(tuán)數(shù)據(jù)泄露等等，每一起都牽動(dòng)著企業(yè)與公民的神經(jīng)。2019年開年之后，幾起不安全數(shù)據(jù)庫(kù)泄露的信息以億萬(wàn)為單位計(jì)算，黑客更是在暗網(wǎng)中大批量售賣賬號(hào)等信息。每周都會(huì)出現(xiàn)的數(shù)據(jù) 泄露新聞表明信息泄露事件已經(jīng)常態(tài)化，且不分行業(yè)、領(lǐng)域、國(guó)家。隨著全球進(jìn)一步數(shù)字化轉(zhuǎn)型，大量信息上網(wǎng)、聯(lián)網(wǎng)，信息泄露情況還將加劇。DDoS攻擊加劇行業(yè)報(bào)告顯示，DDoS攻擊占整體網(wǎng)絡(luò)攻擊的70%。大量企業(yè)已經(jīng)將DDoS攻擊列為最大威脅。DDoS攻擊不僅是出于勒索或商業(yè)競(jìng)爭(zhēng)等利益目的，還可能由于意識(shí)形態(tài)、政治等原因而造成。由于成本低、風(fēng)險(xiǎn)低，很容易

11、實(shí)施，以及近些年“DDoS as a Service”（DDoS服務(wù)）的興起，DDoS攻擊進(jìn)一步加劇。當(dāng)前，DDoS產(chǎn)業(yè)化已經(jīng)非常成熟，從業(yè)者分工明確，并與其他黑灰色產(chǎn)業(yè)存在交集。醫(yī)療、物聯(lián)網(wǎng)、教育等傳統(tǒng)行業(yè)互聯(lián)網(wǎng)化后，都遭受到了不同程度的攻擊，且呈上升的趨勢(shì)。DDoS攻擊連年加劇，造成的損失也愈發(fā)慘重。APT 攻擊帶來(lái)更多風(fēng)險(xiǎn)2018年，共有400多份高級(jí)威脅研究報(bào)告發(fā)布，同比增長(zhǎng)約3.6倍。我國(guó)研究機(jī)構(gòu)發(fā)現(xiàn)的APT攻擊組織包括APT28、Lazarus、海蓮花、MuddyWater等53個(gè)，攻擊目標(biāo)主要分布在中東、亞太、美洲和歐洲地區(qū)。攻擊的領(lǐng)域涵蓋軍隊(duì)國(guó)防、政府、金融、外交和能源等。同時(shí)

12、， 醫(yī)療、傳媒、電信等國(guó)家服務(wù)性行業(yè)領(lǐng)域面臨的APT攻擊風(fēng)險(xiǎn)也日益攀升。2019企業(yè)安全展望Gartner的報(bào)告顯示，全球網(wǎng)絡(luò)安全支出2019年將超1240億美元。這既包括各類安全事件造成的損失及相應(yīng)的補(bǔ)救支出，也包括企業(yè)為抵御風(fēng)險(xiǎn)而購(gòu)買的產(chǎn)品、服務(wù)等投入。一方面，整個(gè)安全行業(yè)攻防技術(shù)不斷升級(jí)，安全市場(chǎng)需求水漲船高，對(duì)于安全策略、安全產(chǎn)品的要求也越來(lái)越高。另一方面，全球數(shù)字化轉(zhuǎn)型帶來(lái)的數(shù)據(jù)化、在線化和移動(dòng)化也讓全球網(wǎng)絡(luò)關(guān)聯(lián)更深、互相依賴程度更高。人與人、人與設(shè)備、人與系統(tǒng)之間的互動(dòng)與連接導(dǎo)致安全邊界更加模糊。技術(shù)發(fā)展綜合人為因素，讓網(wǎng)絡(luò)安全形勢(shì)更加復(fù)雜。展望2019，安全威脅在數(shù)量和種類上都將

13、持續(xù)增長(zhǎng)，帶來(lái)更多挑戰(zhàn)。值得一提的是，2017企業(yè)安全威脅統(tǒng)一應(yīng)對(duì)指南中的展望內(nèi)容至今依然有參考價(jià)值，本報(bào)告則立足2018年企業(yè)安全領(lǐng)域出現(xiàn)的發(fā)展變化，展望新要點(diǎn)。除了前文所說(shuō)的勒索軟件、信息泄露以及DDoS攻擊等已經(jīng)發(fā)生且將持續(xù)發(fā)生的安全威脅外，2019年的安全威脅還將呈現(xiàn)以下特征：AI進(jìn)一步用于網(wǎng)絡(luò)攻擊 人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用逐漸成熟，但也成為了攻擊者的目標(biāo)和工具。攻擊者不僅會(huì)攻擊人工智能系統(tǒng)，還會(huì)使用AI驅(qū)動(dòng)的自動(dòng)化攻擊來(lái)探測(cè)網(wǎng)絡(luò)和系統(tǒng)、搜索可以被利用的新漏洞，或者利用AI技術(shù)批量分發(fā)惡意軟件、釣魚郵件、虛假信息等。在不久的將來(lái)，由人工智能驅(qū)動(dòng)的攻擊工具將會(huì)像其他在線銷售的攻擊工具

14、一樣，成為攻擊者節(jié)約成本、提升攻擊效率 的新選擇，并催生更多攻擊事件。傳統(tǒng)攻擊仍將持續(xù) 惡意軟件、木馬、漏洞利用等依舊是攻擊者最常利用的媒介與手段，但會(huì)隨著時(shí)間和技術(shù)的發(fā)展演進(jìn)出新的形態(tài)和種類。另一方面，傳統(tǒng)軟硬件中存在的漏洞會(huì)不斷爆出，暴露更多弱點(diǎn)，成為攻擊目標(biāo)。物聯(lián)網(wǎng)設(shè)備（關(guān)鍵基礎(chǔ)設(shè)施）安全風(fēng)險(xiǎn)將加劇 2019年，物聯(lián)網(wǎng)設(shè)備數(shù)量將繼續(xù)增長(zhǎng)，相關(guān)的安全問(wèn)題也隨之而來(lái)。物聯(lián)網(wǎng)設(shè)備在感知層、網(wǎng)絡(luò)層、應(yīng)用層都可能存在各種各樣的安全風(fēng)險(xiǎn)，多層面的問(wèn)題也更加復(fù)雜，更難應(yīng)對(duì)。除了大規(guī)模DDoS攻擊外，其他更嚴(yán)重 的問(wèn)題也將存在，甚至影響到人身安全（如針對(duì)車聯(lián)網(wǎng)、智能家居等的攻擊）。另外，針對(duì)工業(yè)控制系統(tǒng)

15、等關(guān)鍵基礎(chǔ)設(shè)施的長(zhǎng)期、持續(xù)性攻擊也開始增加。同時(shí)，未來(lái)將有更多的人機(jī)界面(HMI)漏洞被披露，這也將成為網(wǎng)絡(luò)犯罪分子侵入工業(yè)控制系統(tǒng)的一種重要方式。5G崛起及相關(guān)風(fēng)險(xiǎn) 盡管5G網(wǎng)絡(luò)及具備5G功能的手機(jī)和其他設(shè)備在短期內(nèi)不會(huì)大范圍部署，但毫無(wú)疑問(wèn)5G的發(fā)展將會(huì)非常迅速。IDG稱2019年是在5G方面“開創(chuàng)性的一年”，并預(yù)測(cè)5G和5G相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的市場(chǎng)將從2018年的約5.28億美元增長(zhǎng)到2022年的 260億美元，復(fù)合年增長(zhǎng)率達(dá)到118%。向5G的轉(zhuǎn)變將催生新的運(yùn)營(yíng)模式、新的架構(gòu)，進(jìn)而產(chǎn)生新的漏洞和弱點(diǎn)。未來(lái)，大量設(shè)備連接到5G，繞過(guò)WiFi路由器，會(huì)導(dǎo)致物聯(lián)網(wǎng)設(shè)備更加難以監(jiān)控。同時(shí)，通過(guò)5

16、G能輕松將大規(guī)模數(shù)據(jù)傳輸或備份到云端，這也為攻擊者提供了新的目標(biāo)。在這樣嚴(yán)峻的形勢(shì)下，企業(yè)可采取盡量全面的安全架構(gòu)和可靠的安全技術(shù)來(lái)應(yīng)對(duì)威脅。2019年，AI態(tài)勢(shì)感知與零信任安全架構(gòu)有望在威脅分析、身份識(shí)別與授權(quán)以及安全運(yùn)營(yíng)方面實(shí)際應(yīng)用并發(fā)揮作用。AI推動(dòng)網(wǎng)絡(luò)安全 經(jīng)過(guò)幾年時(shí)間的發(fā)展，AI在網(wǎng)絡(luò)安全領(lǐng)域的落地應(yīng)用逐漸成熟。例如，殺毒、WAF、反SPAM、反欺詐等領(lǐng)域中都需要使用大量規(guī)則體系，而機(jī)器學(xué)習(xí)本身能自動(dòng)生成規(guī)則，省去了高昂的人力資源維護(hù)成本。同時(shí)利用SVM、Random Forrest等算法，結(jié)合深度學(xué)習(xí)自動(dòng)提取特征的能力以及一些深度學(xué)習(xí)模型，可以快速識(shí)別安全事件，顯著提升安全工具的規(guī)

17、則運(yùn)維效率，并應(yīng)用在移動(dòng)殺毒、網(wǎng)頁(yè)安全防護(hù)中。另一方面，AI在生物識(shí)別（如指紋識(shí)別、人臉識(shí)別）與身份驗(yàn)證中也已經(jīng)有實(shí)際應(yīng)用。在智能門禁、需要人臉識(shí)別登錄的軟件等生物識(shí)別場(chǎng)景中，AI技術(shù)常常用于提取特征、生成模型、識(shí)別并分析內(nèi)容等，以達(dá)到精準(zhǔn)的識(shí)別效果。此外，基于數(shù)據(jù)和算法、結(jié)合人工分析的模式，也讓AI成為安全自動(dòng)化發(fā)展的一大動(dòng)力?！傲阈湃巍蓖苿?dòng)身份識(shí)別與授權(quán) “零信任”的核心在于拋棄對(duì)內(nèi)網(wǎng)的信任，假設(shè)整個(gè)企業(yè)網(wǎng)絡(luò)環(huán)境都不安全，假設(shè)員工和用戶等任何人、任何設(shè)備、任何系統(tǒng)都不可信，需要基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)?；诖耍徽摼W(wǎng)絡(luò)流量是發(fā)生在公司的安全邊界內(nèi)部還是外部，都必須經(jīng)過(guò)驗(yàn)證才能訪

18、問(wèn)任意內(nèi)容。從技術(shù)方案層面來(lái)看，零信任安全是借助現(xiàn)代身份管理平臺(tái)實(shí)現(xiàn)對(duì)人/設(shè)備/系統(tǒng)的全面、動(dòng)態(tài)、智能的訪問(wèn)控制。其實(shí)踐本質(zhì)是“以身份為中心進(jìn)行動(dòng)態(tài)訪問(wèn)控制?！币虼?，零信任需要借助當(dāng)今的身份訪問(wèn)與管理系統(tǒng)（IAM）進(jìn)行實(shí)踐部署，并融合進(jìn)企業(yè)自身基礎(chǔ)設(shè)施建設(shè)或遷移過(guò)程。谷歌在2018年落地的BeyondCorp項(xiàng)目，是“零信任”理念的實(shí)踐范例。在RSA 2019大會(huì)上，與“零信任”相關(guān)的議題和廠商產(chǎn)品數(shù)量激增，反映出“零信任”理念對(duì)整個(gè)網(wǎng)絡(luò)安全行業(yè)的影響，身份識(shí)別與授權(quán)在企業(yè)安全中的重要性也隨之提升。鑒于傳統(tǒng)內(nèi)外網(wǎng)邊界已 經(jīng)模糊，企業(yè)無(wú)法基于傳統(tǒng)物理邊界構(gòu)筑安全基礎(chǔ)設(shè)施，因此以身份為中心的零信任

19、安全在未來(lái)將愈發(fā)重要。態(tài)勢(shì)感知提升安全運(yùn)營(yíng)成效 “網(wǎng)絡(luò)態(tài)勢(shì)感知（Cyberspace Situation Awareness，CSA）”指在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及最近發(fā)展趨勢(shì)的順延性預(yù)測(cè)，進(jìn)而進(jìn)行決策與行動(dòng)。態(tài)勢(shì)感知產(chǎn)品本質(zhì)上是一個(gè)檢測(cè)、預(yù)警、響應(yīng)處置的大數(shù)據(jù)安全分析平臺(tái)，可以關(guān)聯(lián)威脅情報(bào)、機(jī)器學(xué)習(xí)、可視化等多種技術(shù)，讓用戶及時(shí)發(fā)現(xiàn)威脅并阻止威脅?，F(xiàn)階段的態(tài)勢(shì)感知系統(tǒng)在云上、網(wǎng)絡(luò)、主機(jī)等多場(chǎng)景中都有應(yīng)用，能實(shí)現(xiàn)安全事件告警及自動(dòng)關(guān)聯(lián)分析、漏洞掃描、資產(chǎn)識(shí)別、日志檢索分析、訪問(wèn)與攻擊及威脅分析、賬號(hào)密碼泄露檢測(cè)等多種功能。未來(lái)3-5年，基于威

20、脅情報(bào)的態(tài)勢(shì)感知將進(jìn)一步縮短威脅檢測(cè)和響應(yīng)時(shí)間，為日常安全運(yùn)維提供技術(shù)支撐，為安全分析提供資源；同時(shí)透明化網(wǎng)絡(luò)安全狀況，為風(fēng)險(xiǎn)決策管理提供客觀依據(jù)，大大提升 企業(yè)的安全運(yùn)營(yíng)效率。小結(jié)基于2018年企業(yè)安全概況以及各類事件呈現(xiàn)的威脅特征與趨勢(shì)，2019年，身份認(rèn)證將成為企業(yè)的新安全邊界，以“零信任”為代表的身份認(rèn)證與授權(quán)策略或技術(shù)、產(chǎn)品將大量出現(xiàn)。同時(shí)，數(shù)據(jù)安全、云安全將持續(xù)成為熱點(diǎn)，相關(guān)技術(shù)與產(chǎn)品將迎來(lái)更成熟的發(fā)展?？傮w來(lái)看，安全技術(shù)與產(chǎn)品將在原有基礎(chǔ)不斷開放融合，或融入新技術(shù)或開拓新解決方案，以便適應(yīng)更復(fù)雜的應(yīng)用環(huán)境、與安全保護(hù)的各個(gè)環(huán)節(jié)更流暢地連接。CTWHAOPTER第二章2企及業(yè)應(yīng)安對(duì)

21、全流威程脅第二章 企業(yè)安全威脅及應(yīng)對(duì)流程信息技術(shù)是企業(yè)生產(chǎn)經(jīng)營(yíng)最活躍的生產(chǎn)力要素，促使著生產(chǎn)模式的革新。隨著信息化浪潮的發(fā)展，信息安全已經(jīng)成為各主體持續(xù)性發(fā)展中必不可缺基本元素。信息安全本身關(guān)注信息系統(tǒng)在安全方面存在的問(wèn)題和面臨的威脅，且貫穿于信息生命周期的整個(gè)過(guò)程。同時(shí)也由于信息安全是一門交叉性學(xué)科，涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)和密碼技術(shù)等多個(gè)領(lǐng)域，具有其固有的復(fù)雜性和體系性。面對(duì)2019年愈發(fā)嚴(yán)峻的安全形勢(shì)，信息安全事件不斷增多，監(jiān)管越來(lái)越嚴(yán)格的背景下。做為企業(yè)不僅要嚴(yán)防精心策劃的外部攻擊以及監(jiān)管審計(jì)，也需要防范來(lái)自企業(yè)的內(nèi)部威脅?？v觀近幾年的安全事件，其導(dǎo)致的社會(huì)影響、以及經(jīng)濟(jì)和名

22、譽(yù)的損失也是逐年升高。信息安全已成為企業(yè)戰(zhàn)略中的關(guān)鍵部份，是企業(yè)全局發(fā)展的重要基石。企業(yè)信息安全建設(shè)的根本愿景，是保障企業(yè)的業(yè)務(wù)的安全可持續(xù)性發(fā)展，保證企業(yè)利益相關(guān)者生命、財(cái)產(chǎn)安全的延續(xù)。在此基礎(chǔ)上，越來(lái)越多的企業(yè)意識(shí)到以下四點(diǎn)根本問(wèn)題：自頂向下推進(jìn)：實(shí)踐證明，管理層的支持是安全規(guī)劃最重要的部分之一。安全規(guī)劃采用自頂向下的方法，得到高級(jí)管理人員的支持，可以確保財(cái)政資金、人力資源的有效投入，以及有效的跨部門間的合作。信息安全應(yīng)建立在信息系統(tǒng)整個(gè)生命周期中所關(guān)聯(lián)的人、事、物的基礎(chǔ)上，綜合考慮人、技術(shù)、管理和過(guò)程控制，不是局部問(wèn)題而是整體問(wèn)題有效性與ROI：安全工作永無(wú)止境，明確安全基線，面對(duì)風(fēng)險(xiǎn)實(shí)

23、現(xiàn)一個(gè)安全對(duì)策將整體風(fēng)險(xiǎn)降至一個(gè)可接受的級(jí)別，滿足企業(yè)需求。以及安全需要考慮成本因素，保護(hù)的成本必須和保護(hù)的資產(chǎn)價(jià)值形成有效的比率持續(xù)改進(jìn)優(yōu)化：面對(duì)威脅，沒有銀彈，沒有萬(wàn)全之策。安全技術(shù)和管理是一門科學(xué)，遵循著發(fā)展的流程，并沒有革命性變化。因此在企業(yè)風(fēng)險(xiǎn)管理時(shí)，需要遵循科學(xué)的管理方法和思想，如PDCA，P2DR等。支撐著企業(yè)安全的持續(xù)性改進(jìn)優(yōu)化與業(yè)務(wù)的平衡共贏：企業(yè)的生存依賴于業(yè)務(wù)的發(fā)展，而不是只為安全目的而存在。因此企業(yè)安全建設(shè)的本質(zhì)是為業(yè)務(wù)服務(wù)，是業(yè)務(wù)可持續(xù)發(fā)展的重要屬性。一個(gè)沒有安全屬性的業(yè)務(wù)，是不健康，易被市場(chǎng)淘汰的。為業(yè)務(wù)構(gòu)建平衡可持續(xù)的安全保障是一個(gè)業(yè)務(wù)促進(jìn)機(jī)制，兼顧風(fēng)險(xiǎn)和業(yè)務(wù)效益

24、綜上所述，信息安全發(fā)展至今，早已不再是純技術(shù)層面的問(wèn)題，而成為了一門跨學(xué)科領(lǐng)域的復(fù)雜體系。必須自上而下地建立完整的安全策略以及可行安全流程，并從中吸取經(jīng)驗(yàn)不加以改進(jìn)，才可以為企業(yè)安全帶來(lái)最大程度的保障。下面，報(bào)告將從企業(yè)安全體系架構(gòu)、企業(yè)安全防護(hù)、檢測(cè)、應(yīng)急響應(yīng)與調(diào)查取證、持續(xù)改進(jìn)等五個(gè)維度，嘗試闡述企業(yè)安全建設(shè)的主要策略及流程，以及面臨不同威脅時(shí)的應(yīng)對(duì)方法。 ERROR0 110 01 01 01 0 1身份識(shí)別與認(rèn)證企業(yè)安全體系架構(gòu)安全防護(hù)檢測(cè)應(yīng)急響應(yīng)與調(diào)查取證持續(xù)改進(jìn)EAnrctheirtpercistuerSeecurityProtectionDetectionI&ncFiodreen

25、ntsRicessponseImprovement法律與監(jiān)管合規(guī)安全規(guī)劃風(fēng)險(xiǎn)管理框架體系與職責(zé)通信與網(wǎng)絡(luò)安全身份識(shí)別與訪問(wèn)控制應(yīng)用安全與軟件開發(fā)安全操作安全與安全運(yùn)營(yíng)數(shù)據(jù)安全安全事件管理WAF&云WAF抗DDoS&云抗D CWPPRASPWeb內(nèi)容安全業(yè)務(wù)風(fēng)控?cái)?shù)據(jù)安全郵件安全EMMAPP安全身份識(shí)別與認(rèn)證訪問(wèn)控制病毒防護(hù)IDPS EDR代碼安全審計(jì)漏洞檢測(cè)數(shù)據(jù)庫(kù)安全NTA/NDR威脅情報(bào)蜜罐惡意軟件檢測(cè)(沙箱)（專M有D管R）理服檢務(wù)測(cè)和響應(yīng)調(diào)查取證態(tài)勢(shì)感知SIEM容災(zāi)備份行為審計(jì)安全咨詢與教育測(cè)評(píng)&認(rèn)證眾測(cè)與SRC 風(fēng)險(xiǎn)評(píng)估漏洞管理系統(tǒng)（VMS） 滲透測(cè)試與評(píng)估攻防演練企業(yè)安全體系架構(gòu)大多情

26、況下，企業(yè)安全不僅僅關(guān)乎技術(shù)，更要基于信息安全大環(huán)境，結(jié)合企業(yè)所處行業(yè)、IT投入、業(yè)務(wù)需求等實(shí)際情況，參考可靠的安全架構(gòu)體系，自上而下地建立能在企業(yè)內(nèi)部落地的安全策略與安全流程。這其中，策略、流程、標(biāo)準(zhǔn)等內(nèi)容，是企業(yè)安全建設(shè)的頂層需求。企業(yè)需要構(gòu)建符合自身發(fā)展的安全體系架構(gòu)，來(lái)指導(dǎo)企業(yè)內(nèi)部的安全建設(shè)。法律與監(jiān)管合規(guī)2017年6月1日，網(wǎng)絡(luò)安全法正式實(shí)施。2018年9月10日，全國(guó)人大常委會(huì)立法規(guī)劃正式發(fā)布，個(gè)人信息保護(hù)法赫然在列。2019年3 月4日，全國(guó)人大二次會(huì)議答記者問(wèn)，大會(huì)發(fā)言人表示，2019年將制定數(shù)據(jù)安全法，繼續(xù)完善監(jiān)管體系，保障國(guó)家安全、公民個(gè)人隱私權(quán)益和社會(huì)安全穩(wěn)定。近兩年的時(shí)

27、間里，我國(guó)網(wǎng)絡(luò)安全法制體系正在不斷完善，也不乏強(qiáng)有力的執(zhí)法實(shí)踐案例，多家知名企業(yè)被立案調(diào)查、責(zé)令整改。與此同時(shí)，歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）關(guān)于個(gè)人信息違法的處罰金額可達(dá)2000萬(wàn)歐元或上一年全球營(yíng)業(yè)收入的 4%，全球范圍內(nèi)網(wǎng)絡(luò)安全違法成本空前提高。至于合規(guī)，簡(jiǎn)而言之就是要符合法律、法規(guī)、政策及相關(guān)規(guī)則、標(biāo)準(zhǔn)的約定。網(wǎng)絡(luò)安全領(lǐng)域內(nèi)，網(wǎng)絡(luò)安全等級(jí)保護(hù)、信息安全管理體系認(rèn)證（ISMS認(rèn)證）、計(jì)算機(jī)安全產(chǎn)品銷售許可、金融數(shù)據(jù)密碼機(jī)檢測(cè)規(guī)范等，都是典型的合規(guī)性要求。如果沒有做好法律法規(guī)中的具體要求，導(dǎo)致企業(yè)發(fā)生信息泄露等惡性事件，巨額罰款和品牌聲譽(yù)受損的打擊無(wú)疑是致命的。認(rèn)真貫徹合法合規(guī)，預(yù)防信息

28、安全事故、保證業(yè)務(wù)的連續(xù)性，不僅節(jié)省成本，還能進(jìn)一步提升企業(yè)良好的競(jìng)爭(zhēng)力。企業(yè)應(yīng)將其投入視為投資，免受處罰就是它們最好的回報(bào)。網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)絡(luò)安全法第二十一條指出，我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，也就是我們傳統(tǒng)所說(shuō)的等保。國(guó)家通過(guò)制定統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，把信息系統(tǒng)按照重要程度由低到高劃分為5個(gè)等級(jí)，并且分級(jí)別實(shí)施不同的保護(hù)策略。實(shí)行等保制度，對(duì)于促進(jìn)我國(guó)信息安全發(fā)展將起到關(guān)鍵的推動(dòng)作用，也是國(guó)內(nèi)最重要的合規(guī)需求。信息安全管理體系認(rèn)證ISMS認(rèn)證，是由認(rèn)證機(jī)構(gòu)依據(jù)ISO/IEC 27001對(duì)申請(qǐng)組織的ISMS進(jìn)行審核并認(rèn)證，是世界不同國(guó)家和地區(qū)、不同類型、不同規(guī)模的組織解決信息安全問(wèn)題的有

29、力武器。ISMS證書也成為企業(yè)向客戶、合作伙伴等各種相關(guān)方及社會(huì)大眾證明其信息安全能力和水平的標(biāo)志之一。除此之外，更多細(xì)分行業(yè)也擁有各自的合規(guī)標(biāo)準(zhǔn)。銀保監(jiān)會(huì)對(duì)金融行業(yè)提出了一系列合規(guī)要求、全球PCI標(biāo)準(zhǔn)定義了不同領(lǐng)域在處理支付問(wèn)題時(shí)的具體要求等，在此不做過(guò)多贅述。在企業(yè)安全建設(shè)中，需要以合規(guī)為基礎(chǔ)，再進(jìn)一步構(gòu)建整體安全體系。風(fēng)險(xiǎn)管理框架體系與職責(zé)企業(yè)安全信息建設(shè)中，整體規(guī)劃的重要性不言而喻。如果準(zhǔn)備不充分，往往會(huì)導(dǎo)致工作效率下降，浪費(fèi)大量成本，導(dǎo)致最終安全建設(shè)成果不佳。做好企業(yè)安全規(guī)劃以及在此框架下的年度工作計(jì)劃，決定了新一年的安全投入，包括人員和資金的預(yù)算。而預(yù)算的大小，直接與安全建設(shè)內(nèi)容篇

30、幅成正相關(guān)。1.規(guī)劃框架安全規(guī)劃的框架，主要包括概述、需求分析、安全目標(biāo)、各安全領(lǐng)域的現(xiàn)狀和差距分析、解決方案和計(jì)劃、安全資源規(guī)劃、當(dāng)年重點(diǎn)項(xiàng)目和重點(diǎn)任務(wù)、上一版安全規(guī)劃目標(biāo)差距分析等。概述框架介紹需求分析安全目標(biāo)差距分析總結(jié)復(fù)盤落地方案重與點(diǎn)工項(xiàng)作目資與源配梳置理解決方案2、制訂步驟制定安全規(guī)劃的步驟則包括調(diào)研、確定規(guī)劃目標(biāo)、制定解決方案、定稿、上層匯報(bào)、執(zhí)行與回顧等部分。通過(guò)實(shí)踐調(diào)研學(xué)習(xí)，對(duì)行業(yè)的未來(lái)趨勢(shì)和規(guī)劃方向有了大致了解之后，接下來(lái)就需要明確企業(yè)的安全目標(biāo)，分析現(xiàn)狀，對(duì)比差距。只有通過(guò)針對(duì)性地制定解決方案，才能確保目標(biāo)落地實(shí)現(xiàn)。完成安全規(guī)劃第一稿后，在安全團(tuán)隊(duì)內(nèi)部及其他團(tuán)隊(duì)進(jìn)行充分地

31、討論并征求意見，最終完成定稿，向企業(yè)高級(jí)管理層上報(bào)。安全規(guī)劃的執(zhí)行與回顧，同樣也是規(guī)劃全生命周期中的重要環(huán)節(jié)?？此埔话愕珖?yán)格執(zhí)行的規(guī)劃，遠(yuǎn)勝于看似很好但無(wú)法或未能實(shí)施的規(guī)劃。3、具有針對(duì)性的安全規(guī)劃針對(duì)不同規(guī)模的企業(yè)，其安全規(guī)劃必然天差地別。創(chuàng)業(yè)型公司應(yīng)力求做到保障最基本的部分、追求最高的性價(jià)比，不求大而全；大中型企業(yè)業(yè)務(wù)營(yíng)收的持續(xù)性往往需要安全來(lái)做保障， 公司也愿意在安全上投入更多的成本，此類企業(yè)往往擁有專職的安全人員和團(tuán)隊(duì)，重視效果和ROI，并要求具備初步的縱深防御能力；生態(tài)級(jí)和平臺(tái)級(jí)企業(yè)之間的安全建設(shè)需求已經(jīng)不僅僅是量的差別，而是質(zhì)的差別，這種超大型體量的企業(yè)規(guī)模，注定了“買買買”是不可

32、能解決問(wèn)題的。除了企業(yè)邊界內(nèi)的安全以外，還要兼顧投后賦能、第三方、（數(shù)據(jù)）供應(yīng)鏈安全、生態(tài)安全，團(tuán)隊(duì)組建也不能只靠HR、獵頭，甚至用常規(guī)手段也很難組建起能消化這些總需求的團(tuán)隊(duì)。風(fēng)險(xiǎn)管理框架體系與職責(zé)企業(yè)風(fēng)險(xiǎn)管理，是指采取各種措施和方法，消滅或減少風(fēng)險(xiǎn)事件發(fā)生的各種可能性，或?qū)L(fēng)險(xiǎn)降低到一個(gè)可以接受的級(jí)別。至于究竟要達(dá)到哪一個(gè)級(jí)別，這主要取決于企業(yè)資產(chǎn)的價(jià)值、 預(yù)算的多少以及其他許多因素。由于企業(yè)的業(yè)務(wù)運(yùn)營(yíng)越來(lái)越依賴于信息資產(chǎn)，信息安全相關(guān)風(fēng)險(xiǎn)在整體風(fēng)險(xiǎn)中所占的比例也越來(lái)越高。1、信息安全風(fēng)險(xiǎn)管理策略信息安全風(fēng)險(xiǎn)管理是一個(gè)詳細(xì)的過(guò)程，一般包括背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審核和溝通

33、咨詢，這6個(gè)方面的內(nèi)容構(gòu)成一個(gè)螺旋式的上升循環(huán)，使得受保護(hù)的系統(tǒng)在自身和環(huán)境的變化中能夠不斷地應(yīng)對(duì)新的安全需求和風(fēng)險(xiǎn)。信風(fēng) 息險(xiǎn) 安管 全理 所有的IT系統(tǒng)都存在風(fēng)險(xiǎn)，現(xiàn)實(shí)中不存在能夠完全消除所有風(fēng)險(xiǎn)的方法。企業(yè)管理者必須決定哪些風(fēng)險(xiǎn)是可以接受的，哪些風(fēng)險(xiǎn)是不可以接受的。決定哪些風(fēng)險(xiǎn)可以接受時(shí)，企業(yè)應(yīng)進(jìn)行詳細(xì)的資產(chǎn)與風(fēng)險(xiǎn)分析以及確認(rèn)威脅列表。一旦完成威脅列表的編制，就必須對(duì)每種威脅及相關(guān)的風(fēng)險(xiǎn)逐一地進(jìn)行評(píng)估。目前有兩種風(fēng)險(xiǎn)評(píng)估方法：定量的風(fēng)險(xiǎn)分析和定性的風(fēng)險(xiǎn)分析。定量的風(fēng)險(xiǎn)分析把真實(shí)的貨幣價(jià)值分配給損失的資產(chǎn)。定性的風(fēng)險(xiǎn)分析把主觀的和無(wú)形的價(jià)值分配給損失的資產(chǎn)。特征定性的風(fēng)險(xiǎn)分析定量的風(fēng)險(xiǎn)分析

34、是否使用復(fù)雜的函數(shù) 是否使用成本/效益分析是否得到具體的值是否要求猜測(cè)是否支持自動(dòng)化 是否需要大量的信息是否客觀是否使用主要意見是否要求付出很多時(shí)間和努力 是否提供有用的和有意義的結(jié)果否否否是否否否是否是是是是否是是是否是是對(duì)于完整的風(fēng)險(xiǎn)分析來(lái)說(shuō)，這兩種方法都是必要的，大多數(shù)環(huán)境中使用混合的風(fēng)險(xiǎn)評(píng)估方法。風(fēng)險(xiǎn)評(píng)估可以為企業(yè)管理層提供細(xì)致的分析，以幫助其決定哪些風(fēng)險(xiǎn)應(yīng)該規(guī)避、哪些應(yīng)該被轉(zhuǎn)移、哪些應(yīng)該被接受。由于企業(yè)面臨的威脅和漏洞在不斷變化，因此， 風(fēng)險(xiǎn)評(píng)估需要定期進(jìn)行，以確保系統(tǒng)安全性得以持續(xù)改進(jìn)。2、風(fēng)險(xiǎn)管理團(tuán)隊(duì)不同組織在企業(yè)規(guī)模、安全態(tài)勢(shì)、威脅情報(bào)與安全預(yù)算方面各有差異。較小規(guī)模的企業(yè)可能

35、只有一名員工或較小的團(tuán)隊(duì)負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估或分析?？偠灾?，風(fēng)險(xiǎn)管理團(tuán)隊(duì)的總體目標(biāo)在于以最低的預(yù)算確保公司的安全。大多數(shù)情況下，風(fēng)險(xiǎn)管理團(tuán)隊(duì)成員并非由專門人員組成。相反，團(tuán)隊(duì)成員往往在企業(yè)內(nèi)部由其他崗位的人員兼任，他們只是暫時(shí)承擔(dān)風(fēng)險(xiǎn)管理任務(wù)。因此，企業(yè)管理層的支持非常有必要，只有這樣才可以順利進(jìn)行資源分配。企業(yè)應(yīng)適當(dāng)投入資金與時(shí)間對(duì)風(fēng)險(xiǎn)管理團(tuán)隊(duì)進(jìn)行必要的培訓(xùn)，為其提供風(fēng)險(xiǎn)分析工具，以確保風(fēng)險(xiǎn)管理工作的順利進(jìn)行。企業(yè)以取得的實(shí)際效果為目標(biāo)，企業(yè)安全也一樣，其投入產(chǎn)出比往往是最終決定方案是否合理的決定性因素。合理的風(fēng)險(xiǎn)管理策略可以提顯著升企業(yè)的投資回報(bào)率（ROI），企業(yè)運(yùn)行過(guò)程中的資金、人員、設(shè)備的投

36、入都要以提高企業(yè)競(jìng)爭(zhēng)力和企業(yè)效益為依歸。明確了風(fēng)險(xiǎn)管理體系和人員、職責(zé)，獲得了管理層支持，后續(xù)的安全策略才能有序地實(shí)施和落地。通信與網(wǎng)絡(luò)安全通信和網(wǎng)絡(luò)能夠互聯(lián)、使用不同的機(jī)制、設(shè)備、軟件、協(xié)議等基礎(chǔ)設(shè)施，他們相互關(guān)聯(lián)并形成一個(gè)整體，確保企業(yè)組織的正常運(yùn)轉(zhuǎn)。不論在哪種類型的企業(yè)中，基礎(chǔ)網(wǎng)絡(luò)設(shè)施都是企業(yè)賴以運(yùn)作的基石。一旦基礎(chǔ)網(wǎng)絡(luò)設(shè)施受到安全威脅，企業(yè)可能無(wú)法正常運(yùn)行，因此其重要性不言而喻。如今，傳統(tǒng)網(wǎng)絡(luò)邊界已經(jīng)消亡，企業(yè)網(wǎng)絡(luò)中充斥著不同的設(shè)備，網(wǎng)絡(luò)基礎(chǔ)設(shè)施愈發(fā)復(fù)雜，導(dǎo)致企業(yè)在IP網(wǎng)絡(luò)、協(xié)議、有線和無(wú)線網(wǎng)絡(luò)、硬件、終端、物理設(shè)備、傳輸介質(zhì)等多個(gè)層面都容易受到攻擊。近年來(lái)，達(dá)到Tbps級(jí)別的超大流量

37、DDoS攻擊越來(lái)越多，并向低時(shí)長(zhǎng)、高頻次發(fā)展，給企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)施帶來(lái)巨大威脅，且其復(fù)雜的流程也難以防御。而常見的Web漏洞和攻擊、系統(tǒng)、終端等相關(guān)的威脅，也給企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)施帶來(lái)了安全風(fēng)險(xiǎn)。另一方面，任何高端前衛(wèi)的安全防護(hù)體系，都離不開基礎(chǔ)設(shè)施的支撐。所以當(dāng)網(wǎng)絡(luò)發(fā)生攻擊事件的時(shí)候，網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)該具備自我保護(hù)的能力，能跟蹤和定位攻擊的來(lái)源。要想做好企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全，需要從網(wǎng)絡(luò)接入安全，網(wǎng)絡(luò)自我安全防護(hù)，重要IT資產(chǎn)的安全防護(hù)，網(wǎng)絡(luò)流量監(jiān)控等方面入手，做好企業(yè)網(wǎng)絡(luò)安全體系架構(gòu)，并關(guān)注入侵檢測(cè)（如IDPS等）、網(wǎng)絡(luò)攻擊防御（DDoS）、應(yīng)用防火墻 WAF（cname部署、module部署、網(wǎng)絡(luò)

38、層部署、混合型架構(gòu)）、終端管理、安全網(wǎng)關(guān)等多個(gè)層面的安全。隨著網(wǎng)絡(luò)覆蓋越來(lái)越廣泛，網(wǎng)絡(luò)在全部連通之后，隨之而來(lái)的風(fēng)險(xiǎn)也不斷增大。一旦受到威脅，則有可能造成非常大的損失。如：基礎(chǔ)網(wǎng)絡(luò)可以被不法分子控制，通過(guò)網(wǎng)絡(luò)打擊造成企業(yè)、機(jī)構(gòu)等網(wǎng)絡(luò)停止運(yùn)行，或竊取海量數(shù)據(jù)重要信息系統(tǒng)可能被黑客控制進(jìn)而破壞物理設(shè)施關(guān)鍵信息資源被犯罪分子收集利用關(guān)鍵信息的技術(shù)產(chǎn)品可能被競(jìng)爭(zhēng)對(duì)手壟斷存在后門風(fēng)險(xiǎn)因此，企業(yè)以及組織機(jī)構(gòu)要確保采取適當(dāng)?shù)拇胧┍Ｗo(hù)基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全，避免相關(guān)的威脅。當(dāng)前關(guān)于基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全的關(guān)鍵趨勢(shì)包括數(shù)據(jù)關(guān)聯(lián)、威脅情報(bào)分析、端點(diǎn)安全、積極取證、簽名檢測(cè)、終端安全、數(shù)據(jù)加密保護(hù)、云計(jì)算安全、集成/嵌入式安全

39、設(shè)備自身的安全性等。這也是基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全需要關(guān)注的重點(diǎn)。身份識(shí)別與訪問(wèn)控制隨著企業(yè)信息化進(jìn)程的發(fā)展，企業(yè)網(wǎng)絡(luò)不斷更新和升級(jí)，網(wǎng)絡(luò)基礎(chǔ)設(shè)施復(fù)雜多樣，各設(shè)備功能迥異或不同廠商之間兼容性不足，導(dǎo)致大型、異構(gòu)網(wǎng)絡(luò)環(huán)境難以實(shí)現(xiàn)統(tǒng)一運(yùn)維和管控。在對(duì)企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全調(diào)查中，由于不安全的身份認(rèn)證及混亂的授權(quán)、審計(jì)所導(dǎo)致的事故占企業(yè)內(nèi)部安全風(fēng)險(xiǎn)的80%。有調(diào)查顯示，50%左右的數(shù)據(jù)泄露都源于企業(yè)內(nèi)部安全風(fēng)險(xiǎn)。由于通過(guò)訪問(wèn)能直接通關(guān)企業(yè)關(guān)鍵資產(chǎn)（最重要的就是數(shù)據(jù)資產(chǎn)），導(dǎo)致訪問(wèn)環(huán)節(jié)成為安全漏洞攻擊最多的環(huán)節(jié)之一。而訪問(wèn)控制則被視為企業(yè)資產(chǎn)保護(hù)的第一道防線。因此，身份識(shí)別、認(rèn)證、授權(quán)等相關(guān)的身份識(shí)別與訪問(wèn)控

40、制方案成為企業(yè)安全計(jì)劃的重要一環(huán)。企業(yè)可以運(yùn)用身份識(shí)別與訪問(wèn)控制系統(tǒng)防止攻擊者使用被盜用戶憑證進(jìn)入企業(yè)網(wǎng)絡(luò)及其信息資產(chǎn)，保護(hù)信息資產(chǎn)免于勒索軟件、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)釣魚和其他惡意軟件攻擊的影響。在很多企業(yè)中，部分用戶會(huì)擁有超出工作所需的訪問(wèn)權(quán)限，而身份識(shí)別與訪問(wèn)控制系統(tǒng)可以貫徹用戶訪問(wèn)規(guī)則和策略，減少保護(hù)用戶憑證與訪問(wèn)權(quán)限安全的復(fù)雜性和成本，增強(qiáng)業(yè)務(wù)生產(chǎn)力和集中管理能力。同時(shí)，還有助于系統(tǒng)管理員提高工作效率，降低管理負(fù)擔(dān)，并在發(fā)生相關(guān)安全事件的情況下迅速尋找源頭，及時(shí)響應(yīng)并合理追責(zé)。主體一般情況下，一個(gè)健壯的身份識(shí)別與訪問(wèn)控制體系應(yīng)當(dāng)具備完整的身份識(shí)別、認(rèn)證、授權(quán)以及可問(wèn)責(zé)性的閉環(huán)流程。如果一個(gè)主

41、體（用戶、進(jìn)程、計(jì)算機(jī)、代理等）能提供憑證并被正確標(biāo)識(shí)身份，主體試圖訪問(wèn)的系統(tǒng)就要確定該主體是否有權(quán)執(zhí)行該請(qǐng)求。通過(guò)不同的標(biāo)簽或訪問(wèn)控制手段驗(yàn)證主體身份并確定其有權(quán)訪問(wèn)特定客體（文檔、程序文件、計(jì)算機(jī)、數(shù)據(jù)集等）后，就可以為其授權(quán)。同時(shí)，主體在該系統(tǒng)內(nèi)的所有動(dòng)作都被記錄在案并保證主體能被唯一標(biāo)識(shí)。這樣，能保證所有訪問(wèn)行為都有跡可循，一旦出現(xiàn)問(wèn)題就可以追責(zé)。身份標(biāo)識(shí)身份驗(yàn)證可問(wèn)責(zé)性客體身份授權(quán)需要注意的是，在身份識(shí)別與訪問(wèn)控制系統(tǒng)中，有一個(gè)身份信息和訪問(wèn)開通生命周期，主要是指賬戶的創(chuàng)建、管理（管理賬戶、訪問(wèn)和跟蹤問(wèn)責(zé)）和刪除。這個(gè)周期對(duì)于系統(tǒng)的訪問(wèn)控制能力而言非常重要。如果沒有正確定義和維護(hù)用戶

42、賬戶，系統(tǒng)就無(wú)法建立準(zhǔn)確的身份信息，進(jìn)行身份認(rèn)證，提供授權(quán)或跟蹤問(wèn)責(zé)。賬號(hào)創(chuàng)建賬戶管理賬號(hào)刪除在實(shí)際應(yīng)用過(guò)程中，每個(gè)環(huán)節(jié)都可使用不同的技術(shù)與方案，具體將在后文中展開講述。當(dāng)然，除了身份和權(quán)限方面的安全，軟件和應(yīng)用程序（客體的一部分）從開發(fā)到使用和維護(hù)，也需要全包安全性，這就是下一環(huán)節(jié)要說(shuō)到的應(yīng)用安全與軟件開發(fā)安全。應(yīng)用安全與軟件開發(fā)安全應(yīng)用安全應(yīng)用安全是信息系統(tǒng)整體防御的一道屏障。在應(yīng)用層面運(yùn)行的信息系統(tǒng)包括各類基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)需求的應(yīng)用。應(yīng)用系統(tǒng)的安全保護(hù)就是保護(hù)系統(tǒng)的各種業(yè)務(wù)能夠正常安全地運(yùn)行。在云計(jì)算、大數(shù)據(jù)等技術(shù)得到充分運(yùn)用的時(shí)代，應(yīng)用安全仍是企業(yè)信息安全中不可忽略的重要組成

43、部分，辦公、業(yè)務(wù)、流程、數(shù)據(jù)都離不開應(yīng)用程序。根據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，75%的攻擊行為已經(jīng)由網(wǎng)絡(luò)層轉(zhuǎn)移到了應(yīng)用層，而超過(guò)80%的成功攻擊都利用了應(yīng)用層的漏洞。針對(duì)口令的攻擊、非授權(quán)獲取敏感信息、針對(duì)Web應(yīng)用的攻擊（XSS、SQL注入等）、針對(duì)移動(dòng)應(yīng)用的攻擊等攻擊事件和手段越來(lái)越常見。攻擊者常常利用應(yīng)用程序中的漏洞來(lái)竊取數(shù)據(jù)、知識(shí)產(chǎn)權(quán)、敏感信息等。因此，如果應(yīng)用安全防護(hù)不到位，企業(yè)將面臨重大威脅風(fēng)險(xiǎn)，甚至蒙受巨大損失。在落實(shí)應(yīng)用安全建設(shè)時(shí)，可參考以下框架：準(zhǔn)備確認(rèn)基礎(chǔ)需求管理技術(shù)架構(gòu)安全編碼安與全驗(yàn)測(cè)證試軟件開發(fā)安全軟件開發(fā)是由許多擁有不同技能和不同安全意識(shí)的開發(fā)者實(shí)施的一項(xiàng)復(fù)雜的任務(wù)。而軟件開發(fā)安

44、全則是指在軟件設(shè)計(jì)和開發(fā)過(guò)程中考慮安全性，讓安全融入產(chǎn)品核心之中，并在各個(gè)層面提供保護(hù)。為了實(shí)現(xiàn)靈活的操作目標(biāo)，很多公司都使用定制開發(fā)的軟件系統(tǒng)。但是，開發(fā)人員可能由于惡意和/或粗心，導(dǎo)致軟件留下后門或者存 在其他漏洞，容易被惡意攻擊者利用。另外，開發(fā)人員創(chuàng)建或修改的應(yīng)用程序通常會(huì)使用敏感數(shù)據(jù)，還會(huì)產(chǎn)生各種交互，如輸入、加密、邏輯處理、數(shù)字處理、通信、訪問(wèn)等，這都會(huì)導(dǎo)致敏感數(shù)據(jù)處于不安全的環(huán)境中。不論是后門、漏洞，還是敏感信息的不安全傳輸、交互， 都會(huì)給企業(yè)帶來(lái)安全風(fēng)險(xiǎn)。統(tǒng)計(jì)顯示，目前仍有近80%的開發(fā)人員沒有接受過(guò)任何安全編碼培訓(xùn)，并缺乏基本的安全意識(shí)。為了防范 這些風(fēng)險(xiǎn)和安全隱患，有必要確

45、保整個(gè)軟件開發(fā)生命周期的安全性。在軟件開發(fā)項(xiàng)目的初期給系統(tǒng)構(gòu)建安全性比在已經(jīng)開發(fā)好的系統(tǒng)中添加安全性容易得多，所以在初期就考慮安全性是極為重要的。軟件開發(fā)往往符合一個(gè)生命周期，也就是軟件開發(fā)生命周期（SDLC）。常見的SDLC模型都能解決需求收集、設(shè)計(jì)、開發(fā)、測(cè)試/驗(yàn)證、發(fā)布/維護(hù)等問(wèn)題。而在軟件開發(fā)生命周期的各個(gè)階段增加必要的安全活動(dòng)，將安全集成在培訓(xùn)、需求分析、設(shè)計(jì)、編碼、測(cè)試和維護(hù)等軟件開發(fā)的每個(gè)階段，這就是安全開發(fā)生命周期（SDL）。SDL有助于開發(fā)人員構(gòu)建更安全的軟件、解決安全合規(guī)要求，同時(shí)降低開發(fā)成本。其中，STRIDE是SDL實(shí)踐中可以采取的一種威脅建模方法，包括Spoong（仿

46、冒）、Tampering（篡改）、Repudiation（抵賴）、 Information Disclosure（信息泄漏）、Denial of Service（拒絕服務(wù)）和 Elevation of Privilege（權(quán)限提升）等威脅類型，可涵蓋目前絕大部分安全問(wèn)題。資料來(lái)源于 MicroSoft此外，BS（I Build Security In）、OWASP、ISO/IEC 27034等專注應(yīng)用安全及軟件安全開發(fā)的實(shí)踐或認(rèn)證標(biāo)準(zhǔn)。ISO/IEC 27034標(biāo)準(zhǔn)包含應(yīng)用安全綜述和概念、組織規(guī)范框架、應(yīng)用程序安全管理過(guò)程、應(yīng)用安全驗(yàn)證以及特定應(yīng)用的安全指南。它是ISO/IEC 27000系列

47、的一部分，能讓軟件開發(fā)過(guò)程與ISO/IEC的信息安全管理體系（ISMS）模型保持一致?？傮w來(lái)說(shuō)，做好應(yīng)用安全與軟件開發(fā)安全，有助于降低企業(yè)面臨的安全風(fēng)險(xiǎn)、降低損失并節(jié)省成本。而軟件和應(yīng)用開發(fā)出來(lái)之后，人員的操作、應(yīng)用程序/軟件的運(yùn)行、相關(guān)環(huán)境的運(yùn)轉(zhuǎn)，則需要相關(guān)的安全運(yùn)營(yíng)策略來(lái)保證安全。操作安全與安全運(yùn)營(yíng)安全運(yùn)營(yíng)是關(guān)于保持網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)、應(yīng)用程序和環(huán)境運(yùn)轉(zhuǎn)并以安全和受保護(hù)的方式運(yùn)行所發(fā)生的一切事物。它包括確保人員、應(yīng)用程序和服務(wù)器僅擁有訪問(wèn)鎖需要的資源的權(quán)限，并通過(guò)監(jiān)控、審計(jì)和報(bào)告控制來(lái)實(shí)現(xiàn)監(jiān)督，降低可能由非授權(quán)訪問(wèn)或?yàn)E用造成損失的可能性。操作制度規(guī)范IBM安全報(bào)告顯示，網(wǎng)絡(luò)安全事件中超過(guò)95

48、%是由于人為原因（有意或無(wú)意）引起的。例如誤點(diǎn)釣魚郵件中的鏈接、丟失USB存儲(chǔ)器甚至是有意或無(wú)意地與未經(jīng)授權(quán)的人共享信息，諸如此類屢見不鮮。針對(duì)上述問(wèn)題，企業(yè)安全運(yùn)營(yíng)中存在許多基本原則，如知其所需、最小特權(quán)、職責(zé)和責(zé)任分離等。通過(guò)這些原則演進(jìn)出的操作規(guī)范， 是企業(yè)安全運(yùn)營(yíng)的第一步。職責(zé)劃分矩陣 安全基線安全基線概念最早由微軟公司提出，類比于“木桶理論”，可以認(rèn)為安全基線是安全木桶的最短板，或者說(shuō)，是最低的安全要求。安全基線涉及的范圍相當(dāng)廣泛，主要分為安全管理基線和安全技術(shù)基線兩大類，又可細(xì)分出物理安全基線、安全運(yùn)維基線、安全控制基線等眾多分支。物理安全基線當(dāng)缺乏對(duì)物理環(huán)境的控制時(shí)，即使管理、技

49、術(shù)或邏輯訪問(wèn)控制得很好，也不能提供足夠的安全性。如果懷有惡意的人獲得了對(duì)設(shè)備的物理訪問(wèn)，那么他們可以做任何想做的事，包括從泄漏、更改到破壞的所有事情，物理安全基線就是阻止本地未授權(quán)訪問(wèn)的第一道防線。安全運(yùn)維基線雖然是安全運(yùn)維工作中的基礎(chǔ)事項(xiàng)，卻與很多安全事件緊密相連，例如登錄策略未配置導(dǎo)致賬號(hào)被爆破、敏感信息泄露、默認(rèn)口令、開啟了含有漏洞服務(wù)的端口等。做好安全運(yùn)維基線配置與核查，可以在很多突發(fā)情況下?lián)碛懈嗟捻憫?yīng)時(shí)間。安全基線配置需要管理層自上而下的支持，安全運(yùn)維人員需要同業(yè)務(wù)、開發(fā)、運(yùn)維人員討論商談，定制適用的基礎(chǔ)運(yùn)維環(huán)境統(tǒng)一計(jì)劃， 使用相同版本的操作系統(tǒng)和應(yīng)用軟件。開發(fā)人員（包括外包開發(fā)）

50、使用運(yùn)維建議的操作系統(tǒng)版本定制開發(fā)，安全運(yùn)維人員使用分發(fā)軟 件統(tǒng)一進(jìn)行基線的配置修改。安全控制基線AC-1AC-2 AC-2 AC-5訪問(wèn)控制策略和程序AC-6AC-7 AC-10職責(zé)分離最小特權(quán)失敗的登陸嘗試協(xié)同會(huì)話控制安全意識(shí)培訓(xùn)賬戶管理P-1P-1P-1P-1P-1P-2P-3安全控制基線主要包含訪問(wèn)控制策略和程序、賬戶管理、安全意識(shí)培訓(xùn)、職責(zé)分離、最小特權(quán)等管理要求。下圖為訪問(wèn)控制基線的部分清單，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所為這些要求添加了編號(hào)、名稱和優(yōu)先級(jí)。P-1代表優(yōu)先級(jí)最高，P-2代表優(yōu)先級(jí)居中，P-3 代表優(yōu)先級(jí)較低，具有較高的參考意義?？刂凭幪?hào)控制名稱優(yōu)先級(jí)資產(chǎn)安全管理資產(chǎn)管理指基

51、于一定的管理規(guī)范，通過(guò)管理工具或技術(shù)手段，由指定的人員記錄企業(yè)基礎(chǔ)設(shè)施軟硬件、機(jī)房環(huán)境、系統(tǒng)配置、業(yè)務(wù)配置等各種IT系統(tǒng)資產(chǎn)的詳細(xì)信息，并對(duì)資產(chǎn)信息的變化和異動(dòng)進(jìn)行檢測(cè)和管理。在安全運(yùn)營(yíng)工作中，安全資產(chǎn)管理也起著關(guān)鍵作用。例如在0day漏洞成為1day漏洞后，漏洞的利用方式和影響范圍已經(jīng)曝光。在這個(gè)業(yè)務(wù)安全最脆弱的階段，如何同犯罪分子賽跑，爭(zhēng)分奪秒地揪出存在安全風(fēng)險(xiǎn)的資產(chǎn)，是時(shí)下最緊迫的問(wèn)題。重要關(guān)注點(diǎn)近年來(lái)，云計(jì)算的模式逐漸被業(yè)界認(rèn)可和接受。但簡(jiǎn)單地將主機(jī)、平臺(tái)或應(yīng)用轉(zhuǎn)為虛擬化形態(tài)，并不能解決傳統(tǒng)應(yīng)用的升級(jí)緩慢、架構(gòu)臃腫、無(wú)法快速迭代等問(wèn)題，云原生（Cloud Native）的概念應(yīng)運(yùn)而生。

52、在云原生應(yīng)用和服務(wù)平臺(tái)構(gòu)建過(guò)程中，近年興起的容器技術(shù)憑借其彈性敏捷的特性和活躍強(qiáng)大的社區(qū)支持，成為了云原生等應(yīng)用場(chǎng)景下的重要支撐技術(shù)。此外，Gartner提出的流行概念DevSecOps在融合DevOps實(shí)踐的基礎(chǔ)上，在相應(yīng)階段加入了安全性檢查，并集成到CI/CD管道中。據(jù) Gartner預(yù)測(cè)，2019年底DevSecOps框架中的部分內(nèi)容將在超過(guò)70%的大企業(yè)中實(shí)現(xiàn)落地。在不遠(yuǎn)的未來(lái)，DevSecOps一定會(huì)逐漸從概念逐步走向落地，成為企業(yè)安全運(yùn)營(yíng)實(shí)踐的重要組成部分。數(shù)據(jù)安全在企業(yè)的正常運(yùn)行過(guò)程中，信息系統(tǒng)的各個(gè)層面（網(wǎng)絡(luò)、主機(jī)、應(yīng)用）都涉及到數(shù)據(jù)的傳輸、存儲(chǔ)和處理，一旦數(shù)據(jù)遭到破壞，就會(huì)影

53、響系統(tǒng)的正常運(yùn)行。根據(jù)信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型的定義，數(shù)據(jù)安全是指以數(shù)據(jù)為中心的安全，保護(hù)數(shù)據(jù)的可用性、完整性和機(jī)密性，從組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)組織機(jī)構(gòu)的數(shù)據(jù)進(jìn)行安全保護(hù)。2018年，企業(yè)面臨的最為頻繁的信息安全挑戰(zhàn)莫過(guò)于數(shù)據(jù)安全事件，動(dòng)輒幾億用戶數(shù)據(jù)遭到外泄，給企業(yè)和用戶帶來(lái)了不可估量的嚴(yán)重后果。根據(jù)IBM的2018年調(diào)研結(jié)果顯示，數(shù)據(jù)泄露事件給受調(diào)查企業(yè)帶來(lái)的平均成本比上年增長(zhǎng)6.4%，高達(dá)27.9%的企業(yè)表示未來(lái)兩年再次出現(xiàn)重大數(shù)據(jù)安全事件的可能性極高。其中云上數(shù)據(jù)安全已經(jīng)成為重災(zāi)區(qū)，2017年AWS上存儲(chǔ)的180萬(wàn)伊利諾伊州選民的信息被泄露，給美國(guó)公

54、民隱私安全和選舉安全蒙上了一層陰影。2018年國(guó)內(nèi)某云服務(wù)商，云盤故障，導(dǎo)致一用戶三份備份數(shù)據(jù)離奇丟失，致使該用戶平臺(tái)業(yè)務(wù)全部停運(yùn)，融資計(jì)劃停止，造成了不可挽回的損失。目前企業(yè)在技術(shù)層面面臨的主要數(shù)據(jù)安全挑戰(zhàn)有以下三點(diǎn)：外部非授權(quán)人員對(duì)信息系統(tǒng)進(jìn)行惡意入侵，非法訪問(wèn)隱私數(shù)據(jù)；數(shù)據(jù)具有易復(fù)制性，發(fā)生數(shù)據(jù)安全事件后，無(wú)法進(jìn)行有效的追溯和審計(jì)；數(shù)據(jù)有流動(dòng)、共享的需求，大量數(shù)據(jù)的匯聚傳輸加大了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。除了技術(shù)層面的安全挑戰(zhàn)，過(guò)去一年里多個(gè)政府部門和機(jī)構(gòu)發(fā)布了有關(guān)數(shù)據(jù)安全和敏感信息保護(hù)的要求，數(shù)據(jù)安全不僅僅是企業(yè)的運(yùn)營(yíng)和管理問(wèn)題，而是上升到刑事責(zé)任范疇，發(fā)生重大事件可能會(huì)導(dǎo)致企業(yè)相關(guān)人員定罪入刑

55、。此外，等級(jí)保護(hù)2.0 云計(jì)算擴(kuò)展要求中對(duì)于審計(jì)數(shù)據(jù)的控制，云服務(wù)商和云服務(wù)客戶的數(shù)據(jù)訪問(wèn)權(quán)限以及云端加密數(shù)據(jù)的密匙管理也都有明確要求。這也給許多以數(shù)據(jù)為生的創(chuàng)新型企業(yè)造成了很多壁壘和問(wèn)題，許多企業(yè)為了規(guī)避合規(guī)風(fēng)險(xiǎn)，選擇了縮小業(yè)務(wù)范圍，甚至出現(xiàn)了叫停部分業(yè)務(wù)的情況。確保本地和云端數(shù)據(jù)安全已經(jīng)成為企業(yè)業(yè)務(wù)想要良性發(fā)展的高優(yōu)先級(jí)需求。企業(yè)在建立數(shù)據(jù)安全體系的過(guò)程中，需要將網(wǎng)絡(luò)安全、系統(tǒng)安全、業(yè)務(wù)安全、云服務(wù)商安全等多種因素納入到一起考慮，通過(guò)分層建設(shè)、分級(jí)防護(hù)，全面覆蓋終端數(shù)據(jù)安全、網(wǎng)絡(luò)數(shù)據(jù)安全、存儲(chǔ)數(shù)據(jù)安全、應(yīng)用數(shù)據(jù)安全等方面，才能實(shí)現(xiàn)延展性強(qiáng)的可控?cái)?shù)據(jù)安全管理體系。同時(shí)，企業(yè)在數(shù)據(jù)治理過(guò)程中也

56、需要注意合規(guī)要求。我國(guó)網(wǎng)絡(luò)安全法第三十七條明確規(guī)定：“企業(yè)因業(yè)務(wù)需要，確需向境外提供數(shù)據(jù)的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估?！币虼?，擁有跨境業(yè)務(wù)的企業(yè)在處理數(shù)據(jù)時(shí)，需要跟國(guó)內(nèi)外相關(guān)部門有效溝通，合理合法地處理數(shù)據(jù)；同時(shí)還需告知個(gè)人用戶，獲取用戶同意并對(duì)用戶信息保密處理。企業(yè)在數(shù)據(jù)安全策略和流程的制定與推進(jìn)過(guò)程中，需要根據(jù)自身情況做好數(shù)據(jù)生命周期安全管理框架的設(shè)計(jì)與人員職責(zé)分工。數(shù)據(jù)生命周期管理數(shù)據(jù)生命周期管理（Data life cycle management，DLM）是一種基于策略的方法，用于管理信息系統(tǒng)的數(shù)據(jù)在整個(gè)生命周期內(nèi)的流動(dòng)，包括數(shù)據(jù)的創(chuàng)建、使用（分級(jí)

57、分類、標(biāo)簽化等）、歸檔、銷毀等。企業(yè)可參考下方流程圖遵照數(shù)據(jù)安全生命周期安全開展建設(shè)工作，保證從數(shù)據(jù)產(chǎn)生到銷毀整個(gè)鏈條的安全，不要遺漏任何一個(gè)環(huán)節(jié)：訪問(wèn)控制、加密 權(quán)限管理、內(nèi)容發(fā)現(xiàn)CMP(DLP) 、加密邏輯控制、應(yīng)用安全信息碎片、安全刪除內(nèi)容發(fā)現(xiàn)歸類、賦予權(quán)限組織架構(gòu)及職責(zé)分工行為監(jiān)控/執(zhí)行、權(quán)限管理邏輯控制、應(yīng)用安全加密、資產(chǎn)管理業(yè)務(wù)主管部門首先應(yīng)對(duì)自身數(shù)據(jù)的業(yè)務(wù)重要性，包括敏感等級(jí)進(jìn)行定義，由統(tǒng)一的數(shù)據(jù)管理部門（可以是信息技術(shù)部）統(tǒng)籌管理并制定分類標(biāo)準(zhǔn)，然后企業(yè)需要對(duì)數(shù)據(jù)資產(chǎn)的分類對(duì)數(shù)據(jù)使用角色進(jìn)行梳理，明確不同受眾的分工、權(quán)利和職責(zé)，最終實(shí)現(xiàn)數(shù)據(jù)安全的分級(jí)管理。一個(gè)良好的組織架構(gòu)所有

58、必要的角色并給這些角色分配正確的安全職責(zé)，一個(gè)典型的數(shù)據(jù)安全管理框架中的責(zé)任分層包括：行政管理層、數(shù)據(jù)所有者、數(shù)據(jù)看管員、系統(tǒng)所有者、安全管理員、主管、變更控制分析員、數(shù)據(jù)分析員、用戶、審計(jì)員。一些規(guī)模較大的企業(yè)還可以設(shè)置數(shù)據(jù)保護(hù)官（DPO）的角色，專門負(fù)責(zé)數(shù)據(jù)安全的工作。行政管理層：首席信息官（CIO）、首席隱私官（CPO）、首席安全官（CSO）或首席信息安全官（CISO）。這里尤其要注意隱私保護(hù)方面的人員配置，對(duì)于安全專業(yè)人員來(lái)說(shuō)這是一個(gè)更加偏向合規(guī)的領(lǐng)域，主要負(fù)責(zé)指數(shù)據(jù)過(guò)度收集和數(shù)據(jù)濫用方面對(duì)法律法規(guī)的遵從性，對(duì)于很多把自身的盈利模式建立在數(shù)據(jù)之上的公司而言，這方面的工作特別有挑戰(zhàn)性數(shù)據(jù)

59、所有者：負(fù)責(zé)管理某個(gè)業(yè)務(wù)部門，對(duì)特定信息子集的保護(hù)和應(yīng)用負(fù)最終責(zé)任數(shù)據(jù)看管員：由IT或安全部門員工擔(dān)任，負(fù)責(zé)數(shù)據(jù)的保護(hù)與維護(hù)工作系統(tǒng)所有者：負(fù)責(zé)將安全能力集成到業(yè)務(wù)的決策和羨慕開發(fā)中 安全管理員：負(fù)責(zé)實(shí)施和維護(hù)企業(yè)內(nèi)具體的安全網(wǎng)絡(luò)設(shè)備和軟件主管：最終負(fù)責(zé)所有用戶活動(dòng)和產(chǎn)生的有關(guān)數(shù)據(jù)資產(chǎn)變更控制分析員：負(fù)責(zé)批準(zhǔn)或否決變更網(wǎng)絡(luò)、系統(tǒng)或軟件的請(qǐng)求數(shù)據(jù)分析員：負(fù)責(zé)保證以最佳方式存儲(chǔ)數(shù)據(jù)，為需要訪問(wèn)數(shù)據(jù)的用戶提供最大便利用戶：任何例行詩(shī)句的使用者，有遵守操作安全措施，保證數(shù)據(jù)對(duì)他人具有機(jī)密性、完整性和可行用的義務(wù)以上角色和職責(zé)，建議企業(yè)自身情況，可以進(jìn)行職責(zé)刪減或角色合并。安全事件管理任何技術(shù)或者設(shè)備都

60、無(wú)法提供絕對(duì)的安全保障，雖然任何組織都不想看到安全事件的發(fā)生，但卻又不得不在未知威脅到來(lái)之前做好充分的準(zhǔn)備。萬(wàn)一安全事件發(fā)生，通過(guò)合理的安全事件管理策略，可以盡可能減少事件所造成的負(fù)面影響。安全事件，通常指攻擊結(jié)果，或指對(duì)部分用戶來(lái)說(shuō)是惡意或故意行動(dòng)的結(jié)果。參照 RFC 2350 的定義，安全事件就是任何破壞某些計(jì)算機(jī)或網(wǎng)絡(luò)安全方面的不良事件。而在事件響應(yīng)的過(guò)程中，安全事件則可能會(huì)具體到某些網(wǎng)絡(luò)行為特征，包括網(wǎng)絡(luò)入侵、DDoS 攻擊、惡意軟件、未授權(quán)訪問(wèn)以及其他違反安全策略的行為等等。這些事件都會(huì)給企業(yè)帶來(lái)?yè)p失或負(fù)面影響，因此，合理有效的安全事件管理，有助于企業(yè)了解事件詳情、及時(shí)評(píng)估響應(yīng)，同時(shí)