网安强中强｜第一周赛况：零信任SASE、开源治理、数安实践、资产情报系统、应用安全度量指标体系

2022年，国内原本已有偃旗息鼓之势的新冠疫情再度卷土重来，一时之间，封控隔离、居家办公、线上作业成为许多城市与行业的主流。线下难逢，线上来见。安在新媒体再启网安强中强——2022（第二届）数字安全创新实践直播大赛。

本次直播大赛聚焦数字安全，探寻创新方向，强调落地方案，务实于供需对接。直播议题覆盖数据安全、零信任、API安全、攻防对抗、资产管理、开源治理、SASE等多个重点及前沿热点话题，针对新问题，探索新方向，提出新理念，展示新技术，分享新产品，解析新方案。

每周直播结束，我们都会对上周直播进行回顾总结。每次直播期间，我们都会从提问当中抽取若干幸运者，获得单场活动奖励，奖品包括诸子云知识星球免费券、《中国网络安全产品年度报告2022》纸质版、《中国网络安全创新报告2022》纸质版、《CSO进阶之路-从安全工程师到首席安全官》（书籍），以及各类数码潮品。

同时，本次大赛首次建立“网安强中强大赛专家评委群”，直播分享者将于诸子云甲方专家进行互动交流，共同碰撞出更多安全经验理念火花。参与互动的嘉宾都有机会抽取上述奖品。

零信任SASE：助力数据安全与合规体系

安全行业正在飞速发展，我们面临的威胁格局也在不断改变，企事业单位大规模数字化转型也在不断发展，零信任作为新一代网络安全理念还饱受热议，但转眼间SASE 也加入赛道，各安全厂商纷纷阐述对SASE的理解并推广自己的产品和方案，在炒作和热议下很多企业组织已经开始了零信任SASE之旅，但建设之路并不清晰。

亿格云科技是将涉及到的安全能力进行相应的融合，在一个平台通过一个客户端构建了一体化的解决方案和安全防护体系。亿格云科技的数据架构核心就是通过零信任安全访问和数据安全能力两大模块，去构建企业的安全防护能力。

直播提问精选：

Q:产品的关键技术抓手是哪一项，解决办公数据安全风险？

A:产品关键的技术抓手是全域数据防泄漏XDLP技术，从“人”、“数据”、“通道”，三位立体解决企业面临的办公数据安全风险，打破传统安全解决方案需要部署10多款安全产品且产品间数据孤立，安全能力无法联动、安全效果差的现状。并通过将终端桌面管理、AV、EDLP、UEBA能力与网络侧威胁情报、EDR、DNS安全以及7层精细化应用管控等能力进行安全融合构建XDLP能力，全场景覆盖总部、分支机构、BYOD、混合办公等工作环境，为企业提供全面的行为、数据可见性，建立自动化的数据安全运营体系。

开源治理实践如何自动化和智能化落地

2021年开源首次被列入国家“十四五”规划和2035年远景目标纲要，同时金融行业人民银行办公厅、中央网信办秘书局、工业和信息部办公厅、银保监会办公厅、证监会办公厅五部门联合发文《关于规范金融业开源技术应用与发展的意见》，说明从国家层面以及在垂直行业内越来越重视开源技术的使用和规范。

直播提问精选：

Q：引入管控的有效性如何操作，特别是库的维护，如果内网环境如何解决引入环节的问题？

A：我们可以在本地搭建我们的私服库，也就是在引入的环节，不建议是从外网直接下载的。那么针对于本地的私服库，我们可以通过自动化的工具去做定时的检测，检测完成之后，比如说有一些已经淘汰的或有漏洞的组件，我们需要及时去更新和替换掉，那么这样是可以解决内网下的引入问题。当然，我们说尽量不要直接去下载，那么如果需要进行下载更新呢？比如说组件的更新替换和新组件的引入到我们的私服库当中，那么需要我们在引入环节增加一个评估流程，评估是否可以将网络组件引入本地库，这时最好用一些工具去做扫描和评估。

平安数据安全实践

5G、 AI、云计算、区块链等科学技术的发展，离不开以数据为核心的数字技术的支撑。数据作为数字时代的核心要素，已经成为经济增长的动力。

数据是企业日常频繁使用的生产要素，而且使用方式特别多样灵活，而去应对日常生活场景的挑战是非常大。而平安特别重视内部数字化程度，随之伴随的数据安全问题也特别突出，再加上集团内部业态丰富，数据类型也是多种多样，这给我们带来的安全挑战也是巨大的。

所以近几年来数据安全一直是平安集团安全的头号工作，没有之一。在平安集团内部也会面临的技术、制度还有流程落地的难度和挑战，所以我们投入大量的技术工具，这些工具的建设主要考虑安全性和合规、成本、效率等几个关键点。

从数据的输入端到输出端去建设每个环节所对应的安全支撑工具，比如输入端的数据采集，我们考虑的是数据落地前要去做加密，在数据存储环节要提供数据扫描工具帮助识别敏感数据具体分布在哪些地方，在数据使用端，提供一些敏感数据脱敏的能力帮助运维等技术岗及安全人员去查询加密数据。

另外在数据跨分公司交换及外务合作伙伴之间的交换数据时，我们要提供一些数据隐私计算的支撑和敏感文件外发报备流程的管理。

端到端的相关工作的工具建设都是依赖安全基础能力的底座。比如对特定类型的数据进行特定的方式的数据脱敏，给了一条特定的消息或者数据利用工具自动检测其是否包含某种特定数据的能力以及要有相应资质认证的脱敏算法库和密钥管理软件设备等等。技术安全底座有部分是自研的，有些是和业界知名权威的合作伙伴共同开发的。 

直播提问精选：

Q：数据安全的第一步如何有效的完成资产梳理，不同的行业如何快速的开展数据分类分级？

A：我建议第一步是先从CMDB即你的资产管理中心里找到所有的这种数据库，先要对你的数据库的元数据以及样本，每列抽几条。因为这是后面不论是根据特征来去做敏感数据的识别，还是根据分类分级机器学习，这都是一个基础的数据。

分类分级挑战，其实就一个经验，因为其实现在不论是金标还是证券标准，它的字段、定义、分类、指引等，都不是100%的可落地实操，你在实际分的过程中，比如说去分法人姓名、手机号、身份证等，这种还是比较好分的，但是去分关键的技术配置、日志这种，或者是有一些定义不是特别清楚的部分，就比较纠结。所以，我觉得这个标准跟实际业务场景里面的数据怎么去对照，这是一个比较大的挑战。

另外就是量的问题，因为分类分级的话，比如说在平安分类分级，要全部去分的话，这个量是难以想象的，不论铺多少人，可能短期内也分不出来，所以这时需要借助一些自动化识别的一些规则。然后在这基础之上，可能去要去依赖一些模型训练，就是人不停地去给模型做纠正，然后模型不停地根据人的分类偏好去给出一些推荐，这样能够一定程度提升人工分类分级的效率。

基于关系图的实时资产情报系统

准确的资产管理仍然是有效IT管理、安全运营和公司治理的先决条件，雾帜智能AssetWise——基于关系图的实时资产情报系统具有盘得清、盯得紧两大特征。

盘得清指基于模型、实例、关系的新型资产管理方式、主动和被动地收集资产信息、提供资产仪表板和监控视图、允许随时发起资产盘点、支持定时开展资产治理等。

盯得紧指的是：近实时刷新资产数据库；提供资产活动轨迹、快照；应对云、容器等新时代技术挑战；提供灵活的资产接入和录入方式；允许用户自定义资产接入适配器等。

AssetWise技术实现的架构：左侧是客户内部既有的传统信息系统、设备、网络、服务器或者CMBD、EXCELL表格等等，这里既有的一些信息可以通过主动的方式直接去获取，比如资产管理数据库CMBD 里面有个信息可以直接读取，如果是云平台可以用API接口可以直接读取资产信息列表等信息。

不过，在信息收集过程中有一些信息可能并不是躺在那里，需要我们主动换另外一种方式去获取，比如可以采用漏洞扫描器在网内开展端口的扫描，可以通过其他的既有的软件比如所网管软件在网内做资产发现，通过这种主动的方式完成信息收集。

当然也提供被动的资产信息收集方式，比如在网内有很多终端比如客户端、服务器、员工电脑、数据库等等，相互之间是有通讯的是有交互的，这些日常IT活动的流量表面看起来没有任何价值，但是其中包含了很多资产信息，这些资产信息如果能被利用就可以利用到我们资产里。

举例来说，如果在行为上网管理里看到某个终端的电脑正在访问百度或者腾讯QQ的网站，那么你能知道源IP地址就是资产；公司某员工通过门禁卡刷了门禁系统进入公司，那员工的身份ID就是人员资产。

直播提问精选：

Q：目前是否已经有成熟的落地？资产管理与SOAR等产品的异构产品的组合使用情况是否能介绍一下？

A：目前雾帜智能的AssetWise正在多个天使客户处在使用，并已得到不错的反馈，我们会经过迭代后正式商用推出。关于资产管理与外部产品的协作，其实可以通过SOAR类的安全剧本开展资产信息的收集和更新，以及针对资产问题进行自动化治理。

应用安全度量指标体系实践分享

指标是对客观世界的数字化描述，巴塞尔委员会《操作风险管理与监管的稳健做法 》中指出风险指标是指用来考察银行的风险状况的统计数据和／或指标，对这些指标要进行定期审查，以提醒注意银行有关风险的可能变化。风险指标指标即泛指任何能反映某一风险信息的变量，而关键风险指标（KRI）就是能很好检测某类风险。

KRI指标设计思路的思维导图的右侧是按开发阶段来划分的，包括需求评审、设计评审、项目组、验收测试、专项安全测试，以及运维期间发现的模拟环境、生产事件发现、国家机关发现、第三方机构发现及专项安全检测。

从图中可以发现开发阶段最末端会有一些加红的小圆圈，这表示在当时未被选用，原因在于企业内部的成熟度或者制度不规范流程节点不健全以及缺乏相应要求。比如提到的系统安全定级不准确，因为有的企业系统安全等级本身就没有分的很细化的等级标准。

其中还有一些蓝色的小圆点，这个表示指标是否要去用是存疑的。比如，静态安全测试中进行代码复读发现的安全缺陷占比，设计这个指标是因为某些企业在类似安全代码中是有要求的，但是开展的实践并不理想，所以大部分项目组并没有去做数据统计，从而在工作中就变成存疑的点。

左侧为按缺陷库为核心需要关注的点以及基础环境和应用层面的分类，当然缺陷的分类可能跟某些企业不太一样，主要原因在于不同的客户会有不同的考量，会具体根据客户的需求做相应的调整。

当然除了数据缺陷库还有相关的组件库等内容。另外基础环境折叠起来是因为基础环境跟开发环境相关联但跟业务不是强关联。应用层面有注入、xss、访问控制、数据安全校验、图形验证码、客户端安全、身份验证、第三方类库、资源管理、内存安全、审计缺失、编码质量、会话安全等。

直播提问精选：

Q：公司还没有应用安全指标体系，怎么入手建设这个系统？

A：这个问题比较大，其实要考虑一下公司现有的成熟度，如果现有的整体成熟度比较差，我建议先从应用的生命周期角度，去完善各类基础的控制，比如安全需求、安全组件库、常见缺陷的修复方式、解决方案，以及一些必要的系统上线前的相关要求。如果成熟度已经相对比较高的话，那可以根据自身的数据质量，从缺陷维度尝试先去建立一些指标进行分析。

另外，如果整体的成熟度已经比较高了，并且类似于缺陷管理平台、代码审计工具、漏扫工具，甚至交互式安全测试工具，以及类似于安全运营平台之类的都已经有了，那就要考虑一下相关平台之间的打通，以及数据如何精加工和比较好的图形化的呈现方式。

相关演讲文档，可以加入诸子云知识星球获取。扫描下图二维码即可获取加入途径。