注册

《企业信息化》第1期

四川省企业联合会/四川省企业家协会

四川企联

2019

第1期

Aug

-P1-

主办     
            

四川省企业联合会
四川省企业家协会

编委会主任

邹广严
吴显名
伍晓绯

编委会副主任

编委会委员

梁勤
陶英

丁文平
寇大华

张恒

胡雪峰

游绍才

吴军

周围

伍嘉

总编辑

吴波

编辑

林英

一办公区
联系电话
二办公区
联系电话 

传真
传真
邮编
网址

成都市紫荆西路58号
(028)85184895   85173502
(028)85185371
成都市人民南路三段37号
 (028)85492080
 (028)85492085
 610041
 www.scecea.org.cn
四川企联网

四川省企业联合会信息化工作委员会(以下简称信工委)是隶属于四川省企业联合会的二级工作委员会,主要职能包括组织召开中国西部企业信息化峰会;组织召开四川省企业信息化年会;企业信息化沙龙活动、表彰先进、树立典型;企业信息化调研;企业信息化培训;企业信息化论坛;中介服务等。
习主席指出,“没有网络安全就没有国家安全。网络安全与信息化是一体两翼、驱动双轮”。在2019年5月召开的《数字中国建设峰会》上,中央网信办发布《数字中国建设发展报告(2018年)》,指出2018年我国数字经济规模达到31.3万亿元,占GDP比重达34.8%。然而网络安全市场容量却局限在400-500亿元空间,不论是绝对值还是在信息化中的占比,都很不恰当。近一段时间以来,Stuxnet、乌克兰电网、委内瑞拉电网、《塔林手册》、美伊网络战、Wannacry、HW行动等事件,都给我们敲响了警钟,我国网络空间安全产业跑步进入2.0时代(从“合规”导向到“能力”导向)。
2019年是四川省企联信息工委确定的“网络安全年”,为充分发挥四川省企联信息工委的组织和协调能力,帮助企业更精准地满足国家对企业网络安全的高要求,我们推出了这本《网络安全专刊》,向各会员企业推送最新的网络安全政策和法律法规则;推荐专业的培训讲座、解决方案以及优秀的网络安全服务商、先进的网络安全产品,帮助企业快速记效地提高网络安全防护能力。
欢迎各会员企业踊跃投稿,分享网络安全实战经验,共同成长、共同进步!
               四川省企业联合会信息化工作委员会
                     

创刊词

2019/08/20

卷首语

创刊词

01

目录

contents

服务推荐

18

13

企业数据安全新趋势

专家视角

13

4

5

6

专家介绍

02

2

1

3

07

06

06

06

数据安全治理

近期数据泄露事件
数据安全治理的基本思路

本期主题

行业动态

04

重要活动
新规文件

04

05

04

2019年上半年网信大事记中央篇

    清华大学计算机工程硕士
美国德克萨斯A&M大学获计算机科学博士

             四川省企业联合会特聘安全专家
         曾任职于清华紫光成都公司总经理
     清华万博成都公司总经理
 专业研究网络安全领域20年

   教授级高级工程师
  国家科技部专家库专家
 国家高新技术企业评审专家
四川省制造业信息化专家组副组长

专家介绍

2019

专家介绍

2019

专刊

第1期

专刊

第1期

刘守培

陈逸龙 

胡华

四川大学国家保密学院教授
四川大学信息安全研究所副所长 
四川省发改委安全评审专家 
四川省计算机安全协会网络舆情专委会副主任

郑莉

清华大学计算机科学与技术系教授
国家级教学团队骨干
教育部教育信息化技术标准委员会副秘书长

周安民

-P2-

-P3-

Expert introduction

专家介绍

行业动态

2019

行业动态

2019

专刊

第1期

专刊

第1期

来源:《网络传播》杂志

新规文件

2019年上半年网信大事记中央篇

重要活动

《区块链服务管理规定》

时间:1月10日
行动方:国家网信办
目的:规定区块链信息服务活动,促进区块链技术及相关服务的健康发展

发布197个区块链信息服务备案编号

时间:3月30日
行动方:国家网信办
内容:依据《区块链服务管理规定》对备案主体进行监督检查,并督促未备案主体尽快履行备案义务。

《儿童个人信息网络保护规定(征求意见稿)》

《个人信息出境安全评估办法(征求意见稿)》

时间:5月31日
行动方:国家互联网信息办公室
目的:规范收集使用儿童信息个人等行为,保护儿童合法权益,为儿童健康成长创造良好的网上环境。

时间:6月31日
行动方:国家互联网信息办公室
目的:保障个人信息安全,维护网络空间主权,国家安全,社会公共利益,保护公民,法人的合法权益。

《2019年网络扶贫工作要点》

时间:4月28日
行动方:中央网信办、国家发展改革委、国务院扶贫办、工业和信息化部
目的:扎实推动网络扶贫行动向纵深发展

《数据安全管理办法(征求意见稿)》

时间:5月28日
行动方:国家网信办
目的:维护国家安全、社会公共利益、保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全。

第三届世界智能大会

2019年中国国际大数据产业博览会

时间:5月16日----5月19日
地点:天津

主办方:国家发展和改革委员会、科学技术部、工业和信息化部、国家广播电视总局、国家互联网信息办公室、中国科学院、中国工程院、中国科学技术协会、天津市人民政府

主题:“智能新时代”进展、策略和机遇

时间:5月26日----5月29日
地点:贵州  贵阳

主办方:中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国国家互联网创新办公室、贵州省人民政府

主题:“发展创新,数说未来“

“网络短视频正能量内容建设”座谈会

时间:1月24日
地点:北京
主办方:中央网信办
内容:听取部分重要单位在短视频正能量内容建设方面的成功经验、典型案例以及2019年工作设想。

2019年争做中国好网民工程推进会

时间:2月14日
地点:北京
主办方:中央网信办联合教育部、中国人民银行、全国总工会、共青团中央、全国妇联等
内容:总结2018年工程开展情况,并对2019年工作进行部署

第七届中英互联网圆桌会议

时间:4月9日
地点:北京
主办方:中国国家互联网信息办公室与英国文化、媒体和体育部
成果:总结2018年工程开展情况,并对2019年工作进行部署

第二届数字中国建设峰会

时间:5月6日-----5月8日
地点:福州
主办方:国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、福建省人民政府
内容:“以信息化培育新动能 用新动能推动新发展  以新发展创造新辉煌”

-P4-

-P5-

-P6-

-P7-

热点关注

2019

热点关注

2019

专刊

第1期

专刊

第1期

●2014年4月:合作公司员工泄露防伪数据700万条,某知名酒企损失超百万
●2018年1月:某地方卫生系统出“内鬼”泄露50多万条新生婴儿和预产孕妇信息
●2018年3月:某地方公务员利用职务之便,泄露82万条公民信息
●2018年4月:某科技公司内鬼窃取500余万条个人信息,并在网上售卖
●2018年1月:某手机厂商:4万消费者的信用卡数据泄露
●2018年4月:北京某教育网站遭入侵,攻击者窃取7万余元
●2018年7月:多家美容医院的客户信息被窃取
●2018年8月:某知名酒店集团5亿条数据泄露
●2018年9月:“XX驿站”1千万条快递数据被非法窃

近期数据泄露事件

数据安全治理的基本思路

我们的世界正在进入一个奇怪的分裂状态:一方面人们为大数据时代即将在各个领域发生的革命性进步而激动难眠,一方面人们也在为数据安全和隐私保护问题担心得睡不着觉。围绕大数据的创新和安全,各种政策、法律、标准、产品和学术研究表现出空前的热情。然而眼花缭乱的声音却使人们陷入了混乱,陷入了数据恐慌。如果我们不能尽快找到清晰的思路,不能尽快找到方法实现围绕大数据的发展与安全之间的平衡,我们可能丧失人类历史上迄今为止最大的一次发展机会,或者陷入最大的安全危机。本文要讨论的,就是大数据时代下该如何进行数据治理的基本抓手与核心思路。

首先,数据本身无罪,有罪的是数据没有被安全地保护或使用。

大数据时代,每个角落都在产生数据,而这些数据正是新时代人类的财富:我们不仅依靠这些数据提供更精准贴心的服务,更依赖这些数据实现医疗、健康、教育、安全、环境保护等各方面的革命性进步。可是人们担心个人隐私在这个过程中被窥探,对似乎无所不在的数据采集记录行为无法忍受。但是回想一下,人们曾经在日记里写下自己最私密的事情、人们在自己的手机或计算机中存储自己的私密照片或信件、人们在很多政府部门的系统里存储自己的各种生物特征信息、人们在医院的系统里存储自己各种病情细节、人们向心理医生倾诉自己的内心等等,这些时候为什么不担心隐私泄露呢?
因为这些情况下我们觉得自己的隐私数据是不会被泄露的,虽然事实上也存在风险。所以,其实数据本身是无罪的,人们担心的是数据拥有或者处理者不能保护好数据或者滥用数据。因此,今天我们谈到隐私保护的时候,不应该只关注法律层面的隐私条款和限制信息采集,而应该更加优先关注如何提高所有拥有我们数据的组织的数据安全水平,确保他们手里的数据不会被窃取或者滥用。“用户画像”、“精准营销”不等于就会侵犯隐私,关键看具体实现的方法和管理措施。

关于数据安全的若干基本认识

本期热点-数据安全治理

-P8-

-P9-

热点关注

2019

热点关注

2019

专刊

第1期

专刊

第1期

目前存在的比较普遍的误区是把系统安全等同于数据安全,也就是说,把防止网络入侵带来的数据被窃取,等同于数据安全的工作。实际上这只是数据安全很小的一部分内容。
今天我们说数据安全的时候,应该包括三方面的内容:防窃取、防滥用和防误用。

●防窃取比较容易理解,不过全世界多年来的共识是,来自内部的安全威胁总体上占三分之二左右,要远大于来自外部的威胁。根据电子商务生态安全联盟的统计,在电商生态中这个比例还要更加悬殊。因此,即便是系统安全,也不能仅仅把防止外部攻击导致的数据窃取作为全部工作,防止来自内部的入侵和数据窃取反而更加重要。
●防滥用指的是防止数据被不正当使用,例如拥有数据的组织内部员工在无工作场景的情况下访问用户个人敏感数据。现实中,用户的身份证信息、医疗档案、购物记录、财产情况等信息,都会存在各种组织的系统中。当用户需要这些组织提供服务或者帮助的时候,这些组织的相应员工才可以根据用户的授权来访问这些数据。而如果这些组织中的员工未经用户请求私自访问这些数据,则属于一种滥用行为。从已经破获的并且披露的众多电信诈骗案件中可以看出,大量内部人员滥用职权倒卖用户信息,这些都属于数据滥用的场景。

目前大部分组织对这部分工作的意识淡薄、能力不够。在技术上是能够实现这类行为的监控的,配以制度的保障,可以有效遏制这类滥用行为。
有些业务场景更加复杂一些,例如包裹邮寄单上显示的收发件人的详细信息,在整个包裹流转过程中都面临泄露风险(现实中这些信息都是网络黑灰产收购的对象)。但即便这类场景,也有“隐私面单”等相应的技术出现。防滥用也包括一个组织对外进行数据披露、数据共享、数据转移等过程中的安全审核,这些审核工作确保这些行为合法,并且不会导致用户或者组织自身的利益受损。脸书事件最早的问题就是出在这个环节。
       ●防误用指的是防止数据在加工过程中出现过失性泄露。人类正在进入定制化生产的时代,这个时代的基础之一是基于大数据的加工计算。大数据加工计算的过程中如何做到不侵犯用户个人隐私,就是典型的防误用问题。显然这个问题已经成为今天的典型突出问题了。

大数据时代的数据安全包含哪些内容

包括徐玉玉事件在内的各种案例,实际上都不是从所谓的“大数据”那里偷取数据的。网络空间不存在物理位置的限制,因此现实中攻击者更容易从各个安全薄弱的服务器或组织那里下手,而不是和防护严密的大型大数据公司对抗。
以电商为例,猖獗的黑灰产绝大多数都是瞄准商家、独立软件供应商、物流等各个环节下手窃取订单等信息,然后用于诈骗等活动。大数据时代,数据在开放、复杂、快速变化的业务和产品链条中高频流动,数据成为复杂生态的每个环节中都无法剥离的部分。这是导致数据安全问题变得空前突出的根本原因,因为所有过去的数据安全方法基本上都失灵了。

越来越多的人似乎倾向于“谁都不信任”,甚至一些研究也在朝着这个方向努力。但是在今天除非你不生活在人类社会中,否则这种思路反而让你陷入到更加不安全的地步。私密数据放在自己的手机上或者服务器上就更安全吗?除非你的手机或者服务器从来不用任何形式和网络发生链接,否则对网络攻击者来说,这些安全防护相对更弱的地方恰恰是更容易的目标。当然,如果你就认为自己能够永远打败全世界所有的网络攻击者那也行。
那么不使用任何电子产品不行吗?就算假设未来这样做依然可以生活,答案也是不行,因为用电的数据、看病的数据、出门走路的数据等都会被别人记录在别的地方。所以,如果我们不相信所有提供服务的企业或组织、我们也不能相信第三方机构因为他们的安全能力未见得更好、我们也不能相信自己能够抵抗全世界的网络攻击者,那怎么办?

其次,谁都不信任的话,用户的安全可能会更加糟糕。

我们担心泄露了自己的数据所以不安全,可是反过来,如果没有数据的话我们也无法得到安全保护。徐玉玉案件因为坏人偷了她的相关数据而产生了危害,章盈颖案件我们则多么希望好人知道她的位置信息从而能帮助到她。追踪老人或者儿童的位置信息可以防止他们走失,野外应急救援也需要位置信息,急救大夫需要病人的隐私健康信息才能救命,通过检测用户是否短时间在不同的城市登录系统是今天几乎所有产品判断用户账户是否被盗的基本手段……

第三,安全也需要数据。

第四,我们要解决的是“大数据时代下的数据安全”,而不是狭义的“大 

数据安全

用什么来衡量组织的数据安全呢?数据安全的能力成熟度可以作为基本抓手。能力成熟度是一种经过考验的方法,目前在越来越多的领域被应用,美国甚至制定了网络空间安全能力成熟度战略。数据安全能力成熟度模型,是借鉴能力成熟度的核心思想,结合数据在组织内的生命周期以及构成安全能力的关键要素而构建的。一个组织的数据安全能力成熟度等级,说明了这个组织在数据安全保护方面的综合能力水平。而这个水平的高低,则可以用于数据安全治理的各种相关工作。例如,相关政府部门或行业主管部门,可以根据本行业的数据敏感度特点决定哪些数据类型或者多大的数据规模需要多高的数据安全能力成熟度水平,进而让数据安全能力成熟度足够的组织才能够处理特定数据,从而实现本行业安全与发展的平衡;在数据共享、转移、交易等过程中,法律可以规定数据拥有者有义务要求数据接受者提供自己足够的数据安全能力成熟度水平,从而避免数据在流动过程中进入安全更差的组织,从而减少数据流动导致的安全失控;根据特定行业、特定数据类型以及特定时段数据安全威胁的具体情况,国家主管部门可以设定和调整特定领域数据安全能力成熟度的衡量标准和等级要求,从而实现整体数据安全状态的可控;组织可以通过自己的数据安全能力成熟度水平,让消费者用更加客观量化的方法衡量自己是否值得信任;等等。

以数据为中心,是数据安全工作的核心技术思想。人们比较习惯的是以系统为中心的思想,即围绕着一个数据库、一个产品、一个网站、一个服务器等评价其安全性。这种思路主要适用于保护一个特定系统的正常工作状态。但是在今天,数据在多个系统、产品、业务环节中频繁快速流转,这种以系统为中心的思想已经不能满足数据安全的需求了。以数据为中心的安全,是将数据的防窃取防滥用防误用作为主线,在数据的生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。这时候,某个系统被入侵,并不等于数据安全的目标就遭到最终的破坏,反之某个单一环节的安全能力再强,

热点关注

2019

热点关注

2019

专刊

第1期

专刊

第1期

实际上人们今天谈之色变的“用户画像”、“精准营销”等,早已经在普遍使用了,而且这些都是未来数字经济、智慧城市和治理等工作必不可少的技术。只是到具体的实现层面,有没有采用合适的制度和技术手段确保这些过程中不会泄露特定人的隐私,是今天每个组织需要回答的数据安全问题。在技术上这也不是无法做到的,有很多比较成熟的方法可以做到让用户感觉有个贴身秘书在给自己服务,但是实际上没有人能够在数据加工的全过程中窥探到特定用户的隐私。可是在意识上,恐怕现在绝大多数组织在这方面还需要提高。

1、以数据为中心

也不代表整体数据安全保护的能力就够好。
        在数据生命周期的不同阶段,数据面临的安全威胁、可以采用的安全手段有可能很不一样。例如,在数据采集阶段,可能存在采集数据被攻击者直接窃取,或者个人生物特征数据不必要的存储面临泄露危险等;在数据存储阶段,可能存在存储系统被入侵进而导致数据被窃取,或者授权用户无应用场景支持访问用户敏感数据,或者存储设备丢失导致数据泄露等;在数据处理阶段,可能存在算法不当导致用户个人信息泄露等。把不同阶段从不同角度面临的风险放到一起进行综合考虑,建立强调整体而不是某个环节安全能力,是以数据为中心的安全的核心思想。

搞清楚数据安全要解决哪些问题、大数据时代下解决这些问题所面临的主要挑战,就可以梳理数据安全治理的核心思路了。简单说,数据安全治理可以遵循“以数据为中心、以组织为单位、以能力成熟度为基本抓手”的原则。

数据安全治理三原则

以组织为单位,是数据安全治理的核心管理思想。
读完前面的内容后应该容易理解,一个服务器很安全、一个手机应用产品很安全都不代表着要保护的数据安全。数据会在不同的服务器、产品、业务中流转。而且从法律的角度来说,拥有或使用数据的组织才是承担数据安全责任的主体。因此,虽然在大数据时代还有数据共享、数据转移、数据交易等各种复杂的情况,但拥有或者处理数据的组织是所有这些活动的基本单元,因此也是数据安全治理的基本单位。
以组织为单位的数据安全治理,具体指的是数据在特定组织内全生命周期的安全,这个组织要对其负责。不论数据在这个组织中的生命周期涉及多少产品业务或人员,那些单个系统单个业务的安全都不说明问题,说明问题的应该被最终衡量的这个组织的数据安全。一个组织的数据安全水平,可以作为其是否符合法律要求、特定事件中具备怎样的责任、面向用户赢取信任、面向行业适合处理的数据类型和规模等的参考依据。换句话说,政府或者行业可以以组织为单位进行数据安全管理,而不是某个产品的安全,一个组织要证明的是自己整个组织的数据安全水平,而不是自己的某个应用的安全。

3、以能力成熟度为基本抓手

2、以组织为单位

-P11-

-P10-

热点关注

2019

专家视角

2019

专刊

第1期

专刊

第1期

数据安全治理的核心目的,是实现安全与发展的平衡,让大数据时代的发展能够健康持续进行下去。数据安全治理最需要避免的情况,是用安全的名义扼杀了发展(这是更大的不安全),或者导致谁重视安全谁吃亏,最后产生了劣币驱逐良币的现象出现。
数据安全治理要避免过去那种自上而下的“管家式”管理模式,因为每一个企业、每一个组织都将离不开数据,数据安全问题并不是只需要关注那些大企业大产品就行了。可是政府从上而下管理数千万家企业数千万个组织是不可能有好的效果的,更不要说这是业务产品超级复杂并且快速变化的新时代。因此,需要建立的是自下而上的制度,让组织自己有提升和证明自身数据安全能力成熟度水平的积极性,让数据安全能力成熟度高的组织拥有更大的发展空间和竞争优势,让规范的第三方数据安全服务产业发展起来实现专业的数据安全服务和测评认证体系,由此形成良好的数据安全治理生态,提升全社会的数据安全水平。

放在全球化的视野上看,如果我们做到这些的话,中国还将赢得在这个领域的全球影响力。因为中国不仅有庞大的数字经济市场,而且在业务创新上领先全球。这意味着我们会遇到最丰富的场景,我们能够积累最丰富最有说服力的经验。因此我们有机会告诉和引领全世界,大数据时代下的数据安全治理究竟该怎么做,只要我们有这个意识和雄心。

实现良币驱逐劣币,让数据安全成为竞争力

文章来源:阿里研究院

-P12-

-P13-

        网络攻击的主要目的从破坏以证明存在感(入侵是目的),到窃取价值数据来实现经济目的(盗窃是目的)。攻击手段越来越趋于复杂,攻击形式也不再单单以网络为媒介。
       传统IT安全的解决模式:RA/事件->发现风险->解决方案->采购设备/软件->调试上线->验证功能。可以看到,这是一种典型的瀑布式处理风险的方式,首先必须要清楚威胁,找到方案,最后实现防护。对于新的攻击,往往是造成了损失,丢失了数据后才会得到补救。亡羊补牢,为时未晚——毕竟羊是丢了。
        

1

安全技术趋势----行为关联

1

随着数据的价值越来越大,丢失价值数据造成的影响越来越广泛。恶性数据泄露事件事给决策层带来的影响越来越不可接受,事后补救已经不能算一个解决方案。数据安全被越来越多的成熟型企业,特别是大型企业作为标准的安全解决方案之一。
      作为一种高级网络安全威胁检测手段,用户实体行为分析(UEBA)这个网络安全市场的新成员,这两年一直备受关注。我们来看一下市场分析定位,就能感受到用户实体行为分析(UEBA)的发展速度了。

 2014年,Gartner发布了用户行为分析(UBA)市场界定
 2015年,Gartner将用户行为分析(UBA)更名为用户实体行为分析(UEBA)
 2016年,用户实体行为分析(UEBA)入选Gartner十大信息安全技术
 2017年,用户实体行为分析(UEBA)厂商强势进入2017年度的Gartner SIEM魔力象限
 2018年,用户实体行为分析(UEBA)入选Gartner为安全团队建议的十大新项目。
      

企业数据安全新趋势

专家视角

-P14-

专家视角

2019

专家视角

2019

专刊

第1期

专刊

第1期

       2017年,Garter 在全球顶级安全厂商面前提出了CARTA(Continuous Adaptive Risk and Trust Assessment) 模型,基于传统的安全风险解决方案(下图),

       CARTA模型给新时代的信息安全提供了全新的理念(下图)。此模型发表后,引起了业界的强烈反响。

1

新型安全模式

2

       基于真实环境的策略(配置)动态的部署到防护体系中;依赖策略和威胁情报,动态感知环境中的风险;生成的报告反馈给工作人员甚至决策者,所谓企业风险的评估依据;同时以来相关数据,生成新的安全基线,为策略更新提供有效依据。随着计算以及存储技术的快速发展,数据的保存不再是瓶颈,基于大数据的人员画像、行为分析变得越来越现实,基于CARTA模型及大数据计算、态势感知以及行为分析等技术慢慢的浮出水面。
       CARTA模型的运行是基于外部干预的人工智能解决方案。有效解决了持续复杂攻击的及时响应,预判风险甚至提前预防问题。全新的智能防护体系通过专业的信息注入和自动化处理,自动地为企业提供持续的、主动的安全保护,将客户的安全风险降低至新的等级。
      

 相关的技术,如UEBA(User and Entity Behavior Analytics)技术已经被各大安全厂商普遍认可。各大厂商都在现有安全解决方案的基础上提出了自己的UEBA分析平台,以满足重要客户越来越苛刻苛刻的需求。
       异军突起的部分国内安全厂商,以数据安全解决方案为核心技术,在数据安全的自动化全面保护的道路上不断摸索。2018年,在基于深度内容感知的DLP技术基础之上,结合了AI人工智能与大数据技术,逐步形成了以人为中心与行为关联的内部威胁防护体系新思路---内部威胁防护体系(Insider Threat Protection)。为中国在全球安全领域抢得了一份先机。

企业传统的网络安全思路上,往往关注的重点在网络和威胁的维度,基于此的安全解决方案流程如下:

既然目前大多数攻击的最终目标是价值数据,而掌握价值数据的不是人就是机器,相对的所有关注点都在内部(逻辑上),面向人和数据的关注点。角度变了,攻防主动权随之发生了变化。
关注点转到价值数据后,安全保护的目标变得更加明确。由于相关数据资源及相关使用和操作权限是内部掌控的。数据资产管理(生命周期管理,分类分级、权限管理,使用审计、流程管理等),数据流转监控(使用记录,传数据路、改动记录,跟踪记录,网络监控等)
     

异常动作识别(非正常时间数据使用和传输、异常大量数据传输、异常数据通道传输等)进而汇总成为完整的内部数据动态模型,有效地将安全的主动权掌握在自己手中。
 全新的解决方案,随之而来的是海量的数据,多维度的分析,多样化的安全模型,复杂的数据计算…… 基于人的安全团队将面临新的挑战。先进的理念,配合进化的架构和适当的技术,才能使与其落地,真正的为企业用户甚至决策和提供有效的支持,同时使安全团队从海量的数据、事件、告警中解脱出来,真正的做人才擅长的事情——决策和创

由此可以看出,最终我们解决的是已知风险,每个安全点上的逻辑需要非常严谨,使用的判断方式绝大多数是非白即黑的简单手段,不仅仅是被动防御、弹性不够,而且越来越不适应大数据时代下的动态自适应模式。分析原因,威胁来自外部,且不受自身控制,未被发现的安全漏洞只有在发生安全事件后,进行有效的追溯才有可能被发现。同时,随着自然人和各种设备因素对整个安全体系的影响越来越不可控。再加上网络边界的不断模糊,协同工作越来越普遍,传统安全解决模型像在大海中央的要塞,随时有可能被不断升级的浪潮淹没。

以人为中心的内部威胁防护体系

3

-P15-

-P16-

专家视角

2019

专家视角

2019

专刊

第1期

专刊

第1期

来源:

         1. 业务深度介入。传统的安全自我介质为一套体系,与业务关联性差,结果导致安全的价值无法体现。内部威胁防护体系不是一款产品,而是一套解决方案。业务介入的情况,直接决定了内部威胁防护体系的交付成功率。
      2. 用户/设备识别机制。为了达到使用效果,必须将大量的审计数据准确的和用户/设备匹配起来,这样才能保证内部威胁防护体系的新人风险评分具有客观准确性。
 3. 价值数据分类分级。定义了价值数据的标准,结合国家、地区、行业的法律法规,才能制定客观的,可执行的安全基线。数据是流动的,不断更新的。不断优化的数据识别机制,能够大大提高内部威胁防护体系系统的效率,从而体现其价值。
 4. 第三方数据源。没有任何一套安全解决方案是完美的,通过信息互通,实现整个IT安全的立体覆盖,同时加入认为的修正干预。结合企业的实际需求。
     
     

      5. 企业无SOC/SIEM产品。目前的安全业界分析,UEBA的最佳实践需要数据输入源。SOC/SIEM如果已经使用,企业最需要的不是内部威胁防护体系,而是基于大量审计日志的分析模型。
      6. 强监管。内部威胁防护体系基本需求是企业Web风险与协议行为的模块,但是如果没有有效的监控和管理手段,Web的分析没有任何说服力。所以建议内部威胁防护体系在企业全面部署数据安全产品后,逐步的将内部威胁防护体系介入。
      7. 专业的安全咨询团队。无论是内部威胁防护体系,还是UEBA,或者SIEM/SOC,甚至态势感知。其基础是有一个强大的解决方案支撑团队。安全专家团队必须拥有整个安全面的深刻理解和专业判断,才有可能让智能安全解决方案有效落地,开花结果。

●保护基线——企业首先要建立基线的概念,为持续的安全模型运行提供了判断依据基础。
●内部威胁分值——为人员风险画像提供了简单的判断依据。结合相关审计数据,通过异常行为风险、精准威胁行为预测、专家模型分析等智能算法,客观的展现内部人员/设备的安全可信风险。
● 统一内容安全管理平台——在企业内部执行统一的安全策略对企业安全的有力保障。如果不能形成全覆盖,安全投入的回报率会大打折扣。同时,同一纬度的全面分析更有利于给决策层提供客观的数据参考。
 ●自动化——总体上来说,内部威胁防护体系应该是一套自动化的智能系统,可以根据动态的数据变化主动的进行策略优化,部署,分析,应用等一系列动作,实现有限干预的智能化。从而使安全团队从大量、简单、重复性的操作中解脱出来,投入到真正的高级安全工作当中去。

右图是企业内部威胁防护体系解决方案持续性风险检测与响应的安全框架。
  

企业内部威胁防护体系架构

4

   实际环境中,内部威胁防护体系的最佳实践环境应有以下特征:

      从行为分析角度而言,其本质就是锁定以人为对象的风险主体,通过对全流量的捕获,采用大数据技术与人工智能的建模、解析、关联。去透析出湮没在各种安全事件噪音中的真正风险对象

-P17-

-P18-

-P19-

服务推荐

2019

服务推荐

专刊

第1期

2019

专刊

第1期

服务热线:180 0052 0060  林女士

服务热线:180 0052 0060  林女士

为帮助企业更精准地满足国家对企业网络安全的高要求,帮助企业有效地选择网络安全服务,四川省企业联合会信息化工作委员会特筛选以下3项网络安全服务产品,欢迎广大企业与我们联系。

1、基于AI的数据安全服务平台

 ●通过部署具有各种形态的数据内容感知能力的系统实现对机密、敏感的数据进行检测与保护。

2、安全文件云服务

 ●构建一个精细化的文件全过程管理平台,实现对企事业单位种类繁多,数量庞大的图文档数据进行集中的安全存储、体系化的统一管控,致力于解决企事业单位内部海量办公图文档资料的存储、安全、共享协作、内容管理等迫切需求

3、网络安全在线安全监管服务

 ●通过部署态势感知系统,并以SaaS+人工的方式,为企业构建一套威胁监测、持续评估、 持续加固、主动响应的在线安全监管服务。 
 

1、基于AI的数据安全服务平台

 现代企业的运行,与网络密不可分。人是网络安全的核心,与网络接触的相关人员的行为,也是网络安全的最大风险。《网络安全法》对人员的教育培训也作了明确的要求!许多企业已将对从业人员的网络安全的考核作为年度上岗的基本条件。
为此,选择一套网络安全学习与考核平台,落实解决网络的人员安全问题,非常有必要。

网络安全全员培训与考试服务    

主动防御的人机共智的动态安全服务:运行安全和数据安全服务

●安全建设与整改咨询服务
●安全监督和检查服务

基于网络安全的法规,并根据企业的业务和信息化体系,从安全目 标、范围、原则,基于合规安全和业务安全,为企业规划相应的安全管理、 技术及营运体系。

1、网络安全规划服务

2、等保测评及等级保护2.0体系服务 

 ●辅助定级服务                 
 ●等级保护测评服务                    

3、网络风险评估服务

通过识别并评估资产等级,分析安全威胁和脆弱性,评估安全措施的 有效性,进行网络的风险评估,为网络安全建设或加固提供依据。 

4、网络安全应急体系服务

基于网络安全的残余风险和最新态势,从意外灾难、设备故障、数据泄露、代码故障、网络攻击等维度的风险、设计网络安全的应急预案,并定期开展应急演练,帮助企业提高网络安全应急响应的能力。

网络安全咨询服务

网络安全咨询服务

一办公区
联系电话
二办公区
联系电话 

四川省企业联合会
四川省企业家协会

成都市紫荆西路58号
(028)85184895  85173502
(028)85185371
成都市人民南路三段37号
 (028)85492080
 610041
 www.scecea.org.cn
四川企联网

传真
邮编
网址

Copyright © 2024 陕西妙网网络科技有限责任公司 All Rights Reserved

增值电信业务经营许可证:陕B2-20210327 | 陕ICP备13005001号 陕公网安备 61102302611033号