以下为现场速记。
联软科技北区技术总监 陈扬
陈扬:大家上午好!数字化转型大家很清楚,业务肯定先行,我们要通过业务新建来提升业务化转型,可是安全也很重要,如果没有充分的安全感,可能我们在数字化转型过程中会受到一些掣肘,我今天话题讲联软在新终端安全防御架构上的的想法和理念。
终端领域跟其他领域安全不太一样,大家知道IOT发展迅猛,终端在碎片化情况比较严重,无论是你的版本、类型都是比较复杂的,跟网络的方式不太一样,所以终端安全很多时候确实需要在一些在指标监控或者在安全运营层面来讲要提出更高要求,否则单纯只是通过一些工具手段是很难达到很好的要求,就像我们刚才发生的事情一样,虽然我们有一套很好的流程,很好的情况,还是出现了小小的失误。
不知道刚才那个事情算不算数据终端层面小小的问题,如果说我们在终端数据层面有很好洞悉的话,刚才数字软件上的错误就可以避免了。
我继续今天我的话题,关于数字化转型情况下终端安全的思路。
数字化转型,刚才大量提到了,我们的业务以云为基础来进行业务的搭建。可是业务上云之后,我们在背后会看到哪些的安全问题?很自然的,我这边有列举了一些数据,当数据上云之后大家发现,我们有大量的数据从企业的传统边界已经向控制外边界延伸了,因为我们业务要上云所以我们要将业务使用空间扩展化,而这种扩展从侧面上带来一个问题,边界的模糊化,而模糊的边界让我们的安全更难做处理。同时,数字化转型也推动了向攻击面扩展,以前可能只有部分人用,现在供应商也可以介入,我们人员拿移动化设备进入到企业外空间使用我们的业务,这时攻击面大大增加,这时又如何考量呢?
第三点,我们看看移动化的终端。毕竟我们线下业务转型不仅仅是系统的建设,我们希望我们的业务有更多的形态,而这种形态的开展靠的是什么?靠的是人,靠人使用终端,这也是形态的变化,不同形态变化带来大量IOT设备管理困难和难点,这是我们在终端领域主要考虑的信息点,现在安全环境也非常清晰,无论从《网络安全法》以及未来这几年出的《数据安全法》和《个人信息保护法》都要求我们在终端数据层面提出更高的要求。
我今天的议题讲两个点:
第一,在边界模糊化的情况下如何重新定义我们的安全边界。
第二,讲一讲终端如何重新定义和如何管理。
先看一下重新边界的定义SDP,这个概念是2013年时CSA就早已提出,它概念的提出,核心目标是提出一种可以更安全的接入方式。EPN接入点十几年就产生了,而这十几年一直没有新技术的演进,而这种技术的提出很核心的一点帮助我们跨越终端,跨越不同形态模式下提出更可靠的、更安全的技术架构。
去年Gartner已经把SDP项目入选十大项目,如果你的企业想要完成相应的安全建设,前十大项目中入选SDP。
我们看联软SDP的设计理念,这里涉及众多的细节我不一一赘述。核心点是通过几个视角给予大家新的概念,首先是安全的视角,SDP采用的是离心架构模式,从终端接入到接入管道再到云端侧,对于使用者来讲业务都是隐藏的,所有传输数据协议都采用加密的方式。
从管理视角来讲,管理侧也非常简单,你只要搭建一套边界SDP系统,所有接入端无论公有云、私有云、移动终端亦或其他PC终端都可以采用统一的认证系统,统一认证方式接入管理,这样全局形成统一化的平台来实现整体的管理。
而从用户视角来讲也非常方便,因为我的使用感受没有变化,跟我使用日常APP没有太大区别,也是打开手机,打开一个APP,它的使用方式跟我已有一样,从胸使用习惯来讲不需要做额外太多培训类工作,可以很好的快速将这种技术推广到我们的全公司里面去。所以我们希望这种技术未来帮助我们企业用新型的方式帮我们重新定义一下我们的软件边界。
再看一下关于终端侧,现在IOT设备量级已经远远超出我们的想象了,也就是说从终端管理思路来讲也要做改变,从传统PC到移动手机到PAD再到IOT设备,这都应该纳入全局管理思维中,只有这样你的终端侧才能引用全局性思维进行总体管理。但终端侧管理说实话还是蛮复杂的,因为它相当的碎片化,量级非常多,我们一个集团,李总刚才讲到全国70多万人,地域分布在各个地方,量级扩大,终端类型各种类型都有,安卓碎片,版本几十个版本,终端是人在用,感受非常重要,业务怎么保障?如何跟业务相融合?这其实都是整个终端管理的难点。
而终端本身能力来讲也是非常复杂,从终端赋能来讲,我们可能要考虑身份、权限、行为、数据、威胁等等,这个其实都是属于终端安全所需要的赋能。这时候,我们需要提出一种新的概念,如何去管好我们的接入端,云、管、端的终端侧。
这里提出我们新的ESPP架构,我们是一种纯平台化的方式来实现终端的统一管理。这个平台可以用一种整体的方式来实现终端的赋能,以前终端建设大家可能是这样的,比如我觉得终端现在需要一个网络准入的控制,我可能上一套系统,我需要终端的个性化控制系统我可能要上一套系统,也许我需要数据安全,我要上一套系统,这时出现大量重复交互,发现问题时扯皮,安全问题等都会成为我们建设中浪费精力和组织人员的问题。
所以我们采用平衡的方式来完成全方位的赋能,这时候这个平台可以做什么?首先完成一个边界的控制,当你以一个安全状态,什么样的终端是我们合法终端可以进入边界,在此之后可以完成全资产识别。终端类型很多,只有知道它是什么类型,每种类型是什么角色,每种角色赋予什么权限才可以很好的管理。
再往下我们关键完成行为管控,这些行为是可允许范围内还是出现问题的?之后我们再通过整体数据的分析和处理来获得一些用户的画像,了解我们的模型它是否偏离我们终端的模型?我们希望我们的平台可以干三个事情:
第一,可以成为终端保护平台。提供安全可控的能力。
第二,我们希望管理运维上的效率工具。终端侧很多东西可以通过小工具方式帮你处理和解决。
第三,员工生产力工具。我拿这个终端,它也是我们生产力工具。
我们讲讲终端侧非常难解决的问题,首先问大家一个问题,我们清楚在我们集团内有多少终端吗?有多少类别吗?这些类终端分布在什么地方?其实这个问题,我至少在这一年跟很多用户都聊过,大家都是打一个大大的问号的。尤其今年搞国防演练,我们要防止通过跳板方式入侵网络,这时你连资产是什么都不知道,你如何做管理呢?所以首先一个问题,我们得弄清楚,你这些资产是什么,怎么去管?而且这里有一个很重要的价值在哪里?如果说我们要搞全终端体系运维指标的话,比如我们全网有十万个终端,你能知道9000个那你的指标肯定不准,你不能只是在90%中去考虑那100%,这样即使你做到100%也只有90%,所以从这个层面上来说,我们首先要解决的是我们要洞悉全网资产。
这里联软科技目前在全资产扫描和可视上来讲投入了大量的精力,考虑了各种各样的场景,我们目前来说是可以采用多方面的技术来实现全网资产扫描的,而且现在在某些用户处已经有得到了一些应用和成效。其实终端场景确实比较复杂,比如你的亚终端没有横向流量,可能你的设备部署到某一个特定位置,我们在整个方案来讲通过主动探测、被动扫描、网络侧、终端侧多样技术结合目前实现全资产可视和了解。现在来看已经可以支持40大类百余种识别,而且资产能力在逐步的添加。
这张图是我们在某一个用户处态势感知的展示,我专门画了一个框,这个就是我刚才说的,终端整体运营管理的条面,如果这个框里在网设备做得不够标准,做得不够好,那么你的安全工作是无法做到百分之百的。
终端数据层面,我觉得可以提供很多的想象力,刚才各位前面多次提到,对于数据来说可以发现很多东西。终端数据不仅仅是安全问题,比如你是否被攻击,你是否中了毒?这只是终端数据中很小的问题,终端既然是人在用,我们可以通过人的行为给予你业务一些思考,这时只要你能充分了解他在终端所有操作,所有进程起和关,所有网络连接也许我们可以画出整体用户画像,这种画像就有很多想象力空间了。
举个最简单的例子,他的电脑中是否存在了不该存在的东西,比如这是财务部人员,那边是IT部人员,我通过全终端数据资产发现,我发现IT部人员电脑里存了很多报价单,这种模型是否可以告知你他存在一些数据不应该的情况?所以这种画像,当我们能够对终端拿到充分数据时,我可以基于我们企业需求设立相应用户画像,用户模型。包括安全层面、业务层面,包括用户感受型层面这些都可以去做,而这些数据都需要我们平台能够可以充分的获知你终端发生所有的事情,所有的行为。这个也是我们联软科技在整个终端数据层面所考虑的一个点。
简单来说,我可以根据它的行为设计一些模型画像,你的进程、你的流量、你的网络行为、你数据的行为、你数据的分布形成相应模型之后我们可以做偏离值,如果他超越了偏离值我们可以进行纵深查询,最终发现他的行为、特征是什么,可以给我们提供判断性的依据。这个是我们在数据层面的考量。
这张图也是展示了我们一些数据的整体分布,其实也是给我们在数据安全层面,在数据泄露层面来讲给予一些思考。
最后我讲一讲,我们关于终端侧比较常见的方式即我们的移动化。因为我跟很多用户聊过,他在移动化过程中遇到一些困难和问题。很多时候移动化有一个很重要的点,我们将一些封闭的应用已经是很封闭不允许拿到外边,我想拿到外边通过移动化的方式扩展它的使用空间,这时就有一个问题,因为很多数据是要过等保,我之前有一个用户准备了10几个应用,准备全部移动化,最后发现每个应用都要做等保,这时人力消耗、流程消耗非常巨大,这时提出一个问题,我们能不能用平台化的方式,用整体业务平台支撑方式来给予搭建这样的移动化平台呢?这个就是我们联软提供的移动化进程上的思路。
其实我们相当于你们要走移动化,可以先搭建移动化的平台,这个平台在安全上、合规性来讲已经做过充分的考量,可以帮助企业节省几个事情:
第一,APP统一化标准问题。因为你们移动化开发商肯定不一样,A业务有A开发商,B业务有B开发商,我们自己有一套研发体系可能也在做开发,如果每一家对安全层面考量不一样,APP上云,APP移动化它的标准怎么统一?这个时候我们其实是可以通过这个平台帮助大家统一。我们当然不仅仅提供平台和技术,我们还提供大量的数据安全性标准,可以帮助用户做安全的统一。
第二,接口标准化。我们之前跟APP开发商去聊过,比如一个APP如果考虑安全的建设和设计,它可能要花10天以上再重新做安全架构,这10天成本对应是10万到20万,如果每个APP都要做这样的开发,对企业来讲也是不小的时间成本和资金成本。我们通过统一标准化接口,通过SDK方式提供给所有APPW开发商,只要套用这个接口就可以完成APP平台化的上线。这个其实是大量的成本节省工作。
所以整个移动化进程当中,我们联软方式可以帮助打造整体的平台,这个平台之后,你们以后所有的移动的全生命管理,或者移动设备的全生命周期管理都可以基于这个平台来进行延伸和发展。
我们目前在国内做了最大的案例是中国银行,可能未来一段时间你们进入中国银行移动展厅时,他们在所有的智慧厅堂里移动设备都会上了这套系统。
这个是我们基于这个系统的一些展示。看起来跟我们常规使用是一模一样的,并没有一些差异化的地方,这个也是对我们的整个易用性有很好的提升。
今天主体内容先讲到这里,后面花一些时间给介绍一下联软。可能在座的各位领导对我们还是有些不是特别的熟悉。
联软成立有15年了,我们在之前一段时间周期内,一直在提供关于像整体终端侧解决方案,我们也提供云侧解决方案。目前在整个EPP移动端层面来讲,联软覆盖最多,我们我拥有国内终端领域具备最强的经验,可以帮助大家去解决终端侧面临的各种各样的问题。
以银行业为例,全国21家股份制商业银行已经有13家选用联软解决方案,这已经达到非常高的比重。而且在证券期货行业整体占用比例已经超过50%。对于世界500强来讲,目前我们已经有超过50家世界500强企业以及90以上的中国500强企业。
我今天的内容就讲到这里,谢谢大家!
京公网安备 11010502049343号