安全中台:让安全举重若轻
2020-05-10
01安全中台的概念
中台和前台、后台对应,在应用系统中指的是在一些系统中,被共用中间件的集合。常见于网站架构、金融系统等。企业的安全中台是指基于标准的协议和流程,将企业现有的安全资源和专业安全服务能力,通过IT技术共享给企业一线的各个业务单元或其它管理部门,提供基于企业业务及管理变化创新的快速集成安全能力的响应支持。
02安全中台建设的意义
现如今,随着信息技术的不断发展和信息化建设的不断进步,企业中的业务系统、内部管控措施,日常运维工具、内部审计措施不断推出和投入运行。由于各类IT资产众多、业务逻辑复杂、人员不足等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。
产业互联网时代,安全已成为企业数字化转型的需求,既是企业发展的底线,也是制约企业发展的天花板,需要系统性构建。目前,每个业务系统正面临着三个普遍的困惑:
第一,不知如何评估安全构建投入的成效,信息安全是否存在重复建设的情况,不可能为每个业务单元或部门都配备安全团队及安全技术。
第二,业务单元负责人相对来说普遍缺乏信息安全相关经验。借助安全中台,做好产业安全战略官,降低业务系统的安全门槛,帮助业务系统快速构建系统化的安全能力,达到安全成本和效率两方面的平衡。
第三,传统的信息安全建设驱动力主要是合规以及风险,信息安全和企业的业务运营关联不密切,可能导致企业内部人员误以为安全团队只是单纯增加业务部门工作量,没有业务收益。
安全中台的搭建,相当于为企业提供一个随用随取的安全产品“货架”,从而满足企业内各业务系统、内部管控、日常运维、审计等个性化安全需求,为企业的业务以及整体顺畅运行提供安全支撑服务。这将是企业革新性的安全方式,也为信息安全建设赋予除合规和风险以外的其它重要意义,实现安全运维到整体安全运营的转变。
03安全中台总体思想
如图所示,安全中台能够提供各种不同级别的安全能力给企业内部各个相关部门,包括各业务系统建设、内部管理系统建设、日常运维操作、审计系统等,使得企业各系统可以实现快速搭建、部署、测试和拆除安全环境,降低安全部署的时间、人力成本。
安全中台具体应该包括以下内容:
为安全能力的实现统一标准
我们需要制定某种标准,让安全能力以某种约定形式进行封装,就像标准服务一样。
异构集成,满足安全能力无缝对接
异构集成是安全中台的核心能力之一,也是降低创新成本的关键。异构集成能够快速融合新安全能力,提高兼容性。分别实现安全能力的快速集成和前台应用的快速调用。
提供安全流程及规范化能力
企业内部很多工作,例如开发、运维、数据管理等需要协调多个安全功能,完成一系列流程。如何让这些业务很好的协同工作,也需要一个标准的流程。
04安全中台的安全能力
1、集中帐号管理及访问控制
为用户提供统一集中的帐号管理实现单点登录,并提供安全的身份认证方法(复杂密码、生物识别、Token、密钥或以上任意二种组合)。
通过整体访问控制策略保障企业内部使用的物理、网络资源、数据资源和各类应用系统资源等客体的机密性和完整性。访问控制策略包含基于角色以及强制访问控制策略,不仅能够实现被管理资源帐号的创建、删除及同步等功能,还可以通过角色或标签来限制账号的访问客体权限,并记录所有账号的关键操作用于审计,实现整体企业级的综合访问控制平台。
2、安全威胁监控及告警
利用大数据技术统一收集各种基础架构、安全设备以及应用系统等日志,进行综合关联安全分析,发现可能的攻击行为,为相关一线部门提供安全告警,并给出处理建议,实现统一的威胁分析告警平台。
3、漏洞管理
收集各类基础架构以及应用程序的漏洞信息,根据企业的资产重要等级、CVSS评分、利用难度、攻击矢量等度量值来确定漏洞风险级别,给出建议的漏洞修复时间窗口及可落地的漏洞修复方法。修复方法包含但不限于打补丁、修改配置、严格的访问控制措施等。
4、安全开发资源库
为开发部门提供安全需求库、安全设计库、安全代码样例以及可直接调用的安全组件,安全测试用例等资源库。使开发部门可以快速了解当前开发周期内的安全需求,实现方法以及验证方法,为应用开发安全提供有力支撑。
5、威胁情报
收集社会以及行业内的安全威胁情报,给企业内部相应部门提供威胁预警,提早进行防范。
6、数据保护
提供数据加解密、数据模糊化、数据脱敏等数据保护安全能力,供其它部门按照自身的数据安全需求自行调用。
05总结
安全中台主要指能够被共用的安全资源,包括账号管理及访问控制、威胁监控及告警、安全开发资源库、漏洞管理、威胁情报、数据保护等安全能力,并能够按需集成新的安全能力。现在的安全中台,相当于为企业提供一个随用随取的安全能力“货架”, 可以有效的整合企业内的各种安全能力,从而满足不同业务单元及企业管理的个性化安全需求。现在的安全中台也是连接业务能力和安全能力的桥梁, 做到企业安全能力与业务需求的持续对接。将来的安全中台,将像人类的神经系统一样,可以在转瞬之间,随着外界环境的变化,随时做出身体的应激反应。
可以预见,随着安全中台提供的安全能力越来越完善,安全中台不单单可以为本企业提供安全能力支持,还可以向全社会输出安全能力为企业产生经济效益,让信息安全成为企业重要业务收入之一。
· 参考链接 ·
[1]https://new.qq.com/omn/TEC20190/TEC2019073000496600.html
[2]https://new.qq.com/omn/TEC20191/TEC2019110700886600.html
[3]https://www.zhihu.com/question/57717433
[4]https://www.jianshu.com/p/40efdeafc8cd
[5]http://www.sohu.com/a/362545842_244641