诸子云|活动:5.20走进平安之企业安全建设落地实践
近年来,随着网络及数据安全监管力度的持续加强,国内网络安全、数据安全政策法规的逐步落地,在为企业安全建设提供有效指引的同时,也为企业的在安全管理、数据保护的落地和实施等方面带来了诸多挑战。监管的环境愈发严格、安全攻击手段的推陈出新,使得企业面临的安全形势日趋严峻。企业如何在保证业务和防护的基础上,更好地符合监管要求,是目前企业负责人最关注且最迫切需解决的问题。因此,加强企业内部网络安全风险管理,建立企业安全开发、安全运营闭环,强化数据安全体系建设,同步提高安全对抗能力,成为企业全面提升安全防护能力的必要手段。
5月20日,诸子云“走进平安-企业安全建设落地”实践研讨会正式举行,各个行业的信息安全专家汇聚一堂,以平安安全落地实践为切入点,由平安集团的各位安全负责人及安全专家基于当下信息安全风险管理、数据安全体系化治理、DevsecOps开发运营安全、安全攻防建设、安全运营落地实践以及金融行业云安全解决方案等六大企业网络安全热点展开分享和讨论。
活动由平安科技信息安全总监刘凯、平安科技安全团队负责人郑太海担任主持人。同时,有幸邀请到晨星资讯、安信证券、麦克韦尔、杰美特科技、中信银行信用卡中心、深圳农村商业银行、芒果网、中航证券、中兴通讯、大疆、招商证券 、维谛技术、宝能集团、五矿证券、国信证券、联易融数科集团等企业的安全专家。
随着网络安全、数据安全方面的监管力度不断加大,复杂多变的攻击手段也让安全的防护难度越来越大。安全在保障业务发展的同时也要满足监管的要求。因此,无论是网络安全还是数据安全都需要不断优化和升级。平安集团始终秉承着科技赋能金融、科技驱动生态的使命,随着平安集团的各个专业公司在科技创新和数字化转型的过程中,总结出关于如何开展安全防护、如何打造业务安全系统以及如何开展安全风险管理等方面的方法论。
本次议题会从安全治理、风险管理及合规能力这三个方面具体展开。安全治理会分享平安集团的考核和成熟度的评价体系、风险管理会分享平安集团信息安全考核、风险管理会分享数字化提升风险管控能力、合规能力会分享平安集团合规体系化建设。
平安集团信息安全治理模式分为向上承接集团战略规划和向下推进工作落实的考核体系,安全战略规划分为信息安全目标、组织架构设计、安全人才发展、统一运营监控、安全技术路线和蓝军攻防生态。安全管控模式呈现为“指导+赋能”,采用相互促进,相互协作的方式使安全管理平台、安全运营对专业公司提供指导赋能和运营支撑,并使安全管理平台与安全运营联动共享。
企业信息安全风险管理面临痛点包括以下三类。首先是安全体系,网络安全风险管理方法、经验沉淀不足;强监管态势下,监管要求缺乏内化能力,被动救火;安全建设缺少方向、不成体系,往往跟风投入,浪费成本。其次是风险管理,网络安全管理断点多,问题整改闭环参差;集团公司、总部公司向下风险管理活动分散,管理效能低;风险评估流程缺乏标准化,导致风险审核可能存在缺失。最后是治理水平,缺乏一站式全面风险管理视图,向上可视,向下预警;风险管理缺乏框架,风险数据无法整合应用,预测分析困难;管控效果缺少度量方法,体现安全价值,实现持续迭代改进。
应对以上问题,平安集团采用数智化管控为方向,全面风险管控大趋势安,全合规被动为主动;场景化、标准化风险管理过程,数据驱动未来,迭代风险改进过程;风险画像,一站式全面风险可视,预测风险态势,辅助决策。围绕管理策略底座、管控风险流程、风险数据底座和风险数据应用四个方面,通过平台实现全面风险闭环管理,通过自动化工具,监控整个组织的风险与合规态势。
在企业合规方面,企业面临信息安全多重监管,监管要求日趋严格等问题。国家“十四五”规划指出,在高质量推进数字化转型,营造良好数字生态环境的同时,需加强网络安全保障和个人信息保护,建立网络空间命运共同体。结合近年来信息安全法律法规,社会热点、监管动向、典型案例等进行解读,平安集团结合多年实践形成《强监管时代下信息安全合规汇编》,赋能业务,促发展。
本次议题内容包括数据安全面临的监管压力与内部治理问题、数据安全治理体系、数据安全解决方案典型案例。
随着《数据安全法》的出台,相关的法律、法规、标准和部门规章等不断发布,国内的监管趋于严格。且内外部安全管理迎来很多挑战,体系化、可视化、差异化的数据安全治理就尤为重要。
在开展数据安全工作时,普遍面临的问题首先是治理的体系化,对数据安全体系如何建设以及自身管理水平的认知等问题。其次是资产可视化,对数据的分类、分布和分级等问题。最后是保护差异化,如何制定差异化的保护要求以及如何应对复杂的数据处理场景等问题。
平安从2017年开始探索数据安全体系化治理,整个体系分为组织人员、制度流程、技术平台三个部分。组织人员确立了负责人制,明确决策层、管理层、执行层的职能与岗位人员要求;制度流程围绕数据生命周期开展制度体系建设、差距分析与风险评估、改进优化执行落地;技术平台通过预防告警、监控拦截、自动处置、决策支持等为治理提供系统化、自动化支持
下面是敏感数据加解密安全改造案例分享。改造方案包括“四先”改造顺序、5种改造工具、4类改造专家。首先是“四先”改造顺序,先少量应用试点,再全面推广改造;先上游加密改造,再下游天然承接;先处理增量数据,再处理历史数据;先有效使用密文,再彻底清除明文。其次是改造工具,包括、敏感数据盘点工具、使用国密算法的高性能加解密函数工具、敏感数据地图秘钥管理系统、具备合规资质工具平台、支持密文转明文的数据访问代理工具。最后是改造专家,涉及数据安全专家、业务架构专家、应用架构专家和开发测试专家。
本次议题分为三个部分。首先是建设DevSecOps的背景和目标,第二是应用开发安全解决方案,最后是典型案例。
选择DevSecOps的主要原因在于应用安全开发问题日益突出,以及需应对软件开发模式的持续升级演进。传统SDL往往只能业务先上线,安全问题后补救,安全管控较缓慢,常置于流程之外,当版本更新快时,传统安全手段会较大影响的业务交付。DevSecOps则面向了周期较短、迭代较快新业务场景,柔和嵌入研发运维流程,管控自动触发,人更聚焦于运营反馈处理,进而将安全逐步融入整个软件研发的文化范畴中。
平安DevSecOps四大目标是实现风险控制“左移”,提高应用系统安全水平;打通流程打通DevOps全流程,完善并标准化安全开发流程;实现各团队资源整合共享,提升安全研发能力;促进研发过程安全成熟度的持续提升。最终的目标是风险可管理、风险可视化、协作共赢和PDCA持续改进。
在落实DevSecOps的过程中主要聚焦以下五个步骤:安全培训、安全设计、安全编码、安全测试、安全运营。
安全培训贯穿了规划、需求、设计、开发、测试、预发布、生产发布、线上运营等一系列环节,通过不同类型的培训方式,实现了对研发过程中各类参与角色的全面赋能。
安全设计需要满足技术和管理的双向要求。通过威胁建模的风险评估以及规范的合规性分析,平安DevSecOps中已形成需求评审场景用例和最佳实践集合,为产品经理及架构师提供安全设计的有力支撑,同时依托安全解决方案,派生了对应的版本安全测试案例库,形成从设计到发布的管控闭环。
安全编码方面,平安DevSecOps已全面对接了主流的SAST、DAST、IAST、MAST、安全加固等工具集,已完全内嵌入平安内部CI/CD流程中,提供了每天数万次的安全扫描能力,并实现了与多种DevOps平台的兼容性对接。
安全测试方面,平安集团积累了数十年渗透测试的经验,沉淀了Web、App、物联网等不同类别的几百个安全测试集,在自动化测试工具以外,形成了有力的安全检测能力的补充。
平安DevSecOps在安全运营方面已逐步由“平台化运营”向“数智化运营”转变,基于日常的大量运营数据,形成了效率、效能、效用三方面的六十多个运营指标,并依此为基础,实现对专业公司研发安全的全面风险画像与精准赋能。
王延辉 平安集团银河实验室负责人
周圣龙平安集团信息安全专家服务团队经理
本次议题分为两个部分,平安集团银河实验室介绍和平安集团攻防服务能力。
银河实验室成立于2015年,至今有7个年头。18年成立了蓝军团队,主要任务是对集团的30家专业公司进行实战演练,模拟外部攻击者对集团专业子公司进行攻击。还包括研究团队,移动安全、威胁情报团队等。通过蓝军的攻击发现问题,并与安全运营团队进行攻防能力提升的专项活动。
平安集团银河实验室的业务规划包括产品孵化、技术研究、安全培训和安全测试。产品孵化包括零号培训平台、资产扫描系统、蓝军协作平台和主机入侵检测系统等;技术研究包括蓝军攻防技术研究、云原生技术研究和漏洞挖掘技术研究等;安全培训包括内网渗透技术培训、零号平台安全培训和CTF比赛和培训等;安全测试包括蓝军模拟攻击、蓝军攻防演练和集团重点应用安全测试等。
蓝军攻击流程,首先依托专家经验,对技战术的研究和落地;然后通过半自动化手段,借助自研平台工具,实现攻防自动化,节约劳动力;最后达成智能化,理想状态是通过自动化平台/工具,实现80%以上的攻击内容。
第二是蓝军队伍的建设,从人员、资源、平台三个维度进行建设。人员需要掌握红蓝对抗一些列技术技能,通过蓝军自建的攻击环境,使用自建的安全平台对目标发起攻击。最后对攻击任务进行评价。
第三是紫军攻防演练。主要任务有两部分,第一是设计攻防演练的剧本,使红蓝双方信息透明,加深两个团队之间的理解。第二是研究其他组织的攻击行为和过往案例,然后验证平安集团的防御体系是否可以抵挡攻击。过程中包括组织研究、演练迭代、演练设计、攻击链路、复盘跟进、协作文化等。紫军可以更好地协调红蓝双方,重点提升安全防御短板,培养安全人才。
本次分享介绍了平安集团的安全运营体系和安全运营落地实践。动态的自适应安全运营体系框架包含5大模块,分别是安全运营中心(SOC),安全感知和预测,纵深防御体系,持续智能监控和持续自动化安全响应。
第一个模块-安全感知和预测是通过安全扫描和专项检测进行感知,通过威胁感知、威胁管理和威胁应用进行预测,第二个模块-纵深防御体系分为两块,一方面是外部入侵,保障网络服务安全和业务安全,一方面是内部违规,终端安全管控和运维安全管控。第三个模块-持续自动化安全响应包括应急预案及演练、安全编排自动化相应、安全事件调查和统一事件管理。最后一个模式是持续智能监控,包括资产测绘与管理、信息采集及处理和智能分析与决策。
平安集团的安全运营中心是基于UEBA平台开展面向内部违规的安全运营工作的。最底层的控制层包括人脸识别、账号认证等;第二层的数据层基于员工基础数据、终端数据、系统和应用数据进行员工滑翔和系统画像;第三层的分析层包括实时分析层、离线分析和查询、离线模型平台和机遇黑、白、灰名单的基础服务;最上层应用层包括时间处理、智能决策响应等智能、实时、动态的管理。
在平安集团建设的纵深主动防御体系中,针对外部攻击威胁的网络服务安全防御包括数据安全、应用安全、系统安全和网络安全。网络安全通常采用边界隔离、抗DDoS、边界防火墙等。系统安全一般采用主机入侵检测、虚拟化及容器安全、蜜罐系统等。应用安全包括WEB应用防火墙、网页防篡改、安全网关等。数据安全包括数据库审计、敏感数据管理及脱敏、数据流向监控等。
在平安集团建设的纵深主动防御体系中,针对内部违规行为的终端安全防御及管控包括网络安全、桌面安全、数据安全。网络安全通常采用垃圾邮件网关、邮件APT、上网行为管理等。桌面安全包括防病毒、EDR、桌面防火墙、EMM、EUBA等。数据安全包括邮件DLP、桌管终端DLP、上网DLP、终端DLP等。
云计算对安全带来的挑战包括六个方面。首先是传统安全问题在云安全环境中依然存在,其中包括数据泄露、身份、凭证和访问管理不足、不安全的API或系统漏洞等。第二是云计算环境下增加了安全暴露面,无所不在的网络访问使传统安全防护措施难以防护虚拟网络和虚拟计算安全,也难以实现弹性防护。第三是云上安全组件缺乏统一管理,云安全组件呈“信息孤岛”、无法统一监控和管理,组件间缺乏联动防御。第四是云安全合规需求,包括等保2.0云计算扩展需求、《网络安全法》等合规要求也覆盖到云计算场景。第五是云计算技术复杂性带来的新的安全问题,包括虚拟化技术、虚拟网络、共享技术漏洞、虚拟机逃逸等,新技术的使用带来新的安全问题和风险。最后是责任主体不清晰,云平台建设商与云租户都为安全责任主体,各负其责,谁运行谁负责。
常见的云安全需求包括数据安全、云平台安全、安全产品和安全服务。数据安全包括云上不同租户的数据隔离、数据防泄露、用户隐私保护等。云平台安全包括云环境下网络、虚拟主机、存储等层面的安全风险以及部分国有金融客户对信创云的需求。安全产品包括租户组建云上防御体系需要的安全防护产品,如抗DDoS、主机安全、云WAF等。安全服务则包括安全合规(如等保、ISO认证)、安全咨询、安全技术服务等。
平安云整体云安全解决方案包括安全技术体系、安全管理体系与安全运营体系的三位一体式解决方案。
安全技术体系包括覆盖云上SaaS、PaaS、IaaS的应用安全、平台安全和基础安全。应用安全包括云WAF防护、WEB漏洞扫描、多因子认证、代码扫描等,保障云上SaaS层安全;平台安全通过镜像安全、主机入侵检测、主机防病毒、访问控制RAM、主机漏扫等实现云PaaS平台的安全可靠;基础安全包括抗DDoS、IPS/IDS、网络APT、网络防病毒、网络隔离、虚拟私有网络等实现IaaS层的基础安全。安全技术体系是云安全的技术支撑,提供保障云安全的纵深防御技术体系。
安全管理体系分为安全治理、安全管理。安全治理包含安全战略规划、治理及管控模式、组织人员职责、安全考核体系。安全管理包含制度规范与流程、政策与监管合规、数据全生命周期访问控制策略、数据安全稽核审计策略等。安全管理体系形成云安全的考核评价体系和验证体系,是安全技术体系组建的依据和准绳。
安全运营体系包含安全运营监控体系、安全运营操作管理、安全事件响应流程、安全日志监控与审计、安全漏洞检测和管理、终端安全事件处置、运维账号及权限管理、防火墙策略管理、运维接入管理、业务连续性管理、灾备及恢复机制等。安全运营体系连通安全技术体系与安全管理体系,使安全技术、人员、流程能有效运转起来,并不断优化,实现安全管理目标。
现场花絮
活动相关资料欢迎大家在知识星球下载~
齐心抗疫 与你同在 
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
