绿盟杯 | 诸子云分享汇：第一周直播回顾

如何选择公有云，从安全的角度来看，需要站在IT乃至企业的立场上，评估公有云是否具备足够好、足够适合企业需求的安全能力，主要包括以下几点。

首先，是否符合国家相关的法律法规要求；其次，要看企业自身IT能力更依赖何种公有云；第三，要看公有云自身安全能力如何；第四，云服务提供商所提供的各项服务是否满足企业的安全标准；第五，云服务提供商是否可以给到企业足够的持续性的支持；最后，是否具备足够的兼容性。

上图是Gartner报告中展示的云上安全架构的技术栈，其中详细列出了安全人员所必须学习的要点。比如云上的IAM、IaaS/PaaS/SaaS、CASB/CWPP等，这些基本知识都需要学习和理解；而一些外围的技术可以将学习的优先级放到后面，等到上云之后再进行深入的学习。这样一来就可以很好地帮助安全人员在学习相关技术时分清优先级，进而提升安全团队的整体能力。

相比私有云，公有云上数据存储的地点更多，存储形式也更加丰富，包括块存储、文件存储、对象存储、数据库等。同时，部分企业采用混合云的形式，将业务系统部署在多个公有云、私有云以及本地IDC之间，数据交互随时发生。更为复杂的数据分布和出口，无疑让云上数据安全防护变得更加困难。

针对这种现象，绿盟科技提出“知、识、控、察”四字理念进行云上敏感数据防护。

所谓“知”，是指需要知道企业的敏感数据有哪些，通过数据分级分类服务帮助企业明确需要防护的数据对象。所谓“识”，是指通过原生服务和第三方工具执行扫描，识别云上敏感数据并进行风险评估，增加敏感数据的可见性。所谓“控”，是指根据需要对敏感数据进行加密、脱敏和执行访问控制，确保数据在静态、传输过程中的机密性和完整性。所谓“察”，是指观察正在发生或已经发生的数据操作行为，通过部署DLP系统检查VPC边界处敏感数据的外泄，部署审计类产品满足针对数据库操作的事后审计与合规需求。

互动问答

如何将云原生安全能力与第三方安全能力结合，更好地为客户提供安全能力建设？

▶李睿捷：首先可以肯定，对于公有云上的业务安全防护，通过云原生能力和第三方能力的配合使用，效果无疑是最好的。

比如东西向安全防护，在做好基础的网络隔离之后，进一步深入到流量层面来看云上不同组件之间的网络通信到底发生了什么，其中隐藏了哪些问题。公有云基础设施归属于云服务商，企业作为租户只能接触到3层以上的虚拟网络，此时我们可以利用云服务商提供的原生服务，如“流量镜像服务”快速获取VPC内实际发生的流量，再配合第三方安全厂商提供的虚拟化流量检测能力，去解析流量内容，借助更专业的安全能力去发现威胁。

再比如租户希望对云上行为或者操作进行审计。无论租户是以何种方式对云上资源进行操作，其背后的作用机制都是基于对云上API的调用。如果租户VPC内的某些资源被删掉了，安全人员想要初步了解发生了什么、发生的时间、由哪个凭证完成了这个动作，可以最先调查云服务商提供的API审计服务，这里面记录了最原始的API Call。如果要进一步进行安全分析和溯源，那么可以将API审计服务和第三方安全厂商进行对接，对此进行深入调查和安全事件管理。

此外，还有常见的基于身份和属性的IAM服务，KMS密钥管理或加密服务，企业通常使用云原生的能力；而像防火墙、WAF等高级安全能力，无疑第三方安全厂商的技术积累会更加深厚，规则库和威胁情报等也更加丰富。对于云上安全，云服务商和第三方安全厂商各有所长，也各有不足，企业可以取长补短，通过配合实现1+1＞2的效果。

▶李达：这个问题首先涉及到云厂商的兼容性和耦合性，能够让企业选择第三方解决方案。其次，主流云服厂商提供的都是大而全的服务，相对来说安全能力比较广，但并不一定足够深入，毕竟其技术积累相对于专业的安全厂商来说还有所差距。所以对于这个问题，最好的方式就是两边兼顾。比如企业使用了主流云服务商的原生容器安全解决方案，其中各个功能的使用体验都不错，这种情况可以不考虑使用第三方解决方案。但在实际使用过程中，企业可能会发现云原生提供的修复方案不够充分，从而会降低漏洞修复的效率。这种情况下，企业就需要寻找第三方解决方案。

企业数字化转型对于安全有什么意义？这个问题其实很简单：如果企业不需要进行内生地数字化转型，那安全就没有了发展的空间，也没有了持续投入的价值。企业之所以要进行数字化转型，是为了生存，提升国内外的竞争力，否则就会导致逐渐丧失原本可以获利的能力。数字化转型恰恰给企业提供了一个非常好的机会。

任何一家数字化转型企业在设计整体方案时，如果有了明确的业务目标，就可以基于目标制定安全的结构。企业可以把每一个阶段所需要的内容分别从安全制度、安全技术和安全运维这三个维度进行划分。

第一阶段很重要，企业必须要拥有一套完整的安全制度，尤其对于上市公司而言，制度是绝对不能缺失，否则在后续的安全运营体系中就会缺少依据，还会面临外部审计风险。

对于安全技术，以笔者所在公司为例，投入力度是非常大的，因为在我们看来，安全是基于高度对抗而产生的，因此在这样一个环境下，抛开安全技术，一切都是不成立；反之，如果只有安全技术，而缺乏安全制度的依托，那么安全技术就无法串联成整体的安全管理体系。

对于攻击面的发展展望，首先从政治层面，希望可以出台更多与攻击面相关的政策法规。攻击面会在未来成为新的技术点，持续深入地发展，需要加强政策引导和市场约束，建立攻击面防护相关的标准规范，同时从企业内部建立攻击面相关的制度流程，并常态化地开展攻击面梳理排查。

从科技创新、技术研究角度来看，企业内部应当对攻击面安全开展深入的技术研究，培养专业化团队，建立形成一套适合企业内部攻击面安全治理的平台和工具。

从安全厂商角度来看，需要加强产学研合作，通过场景调研推动攻击面安全产品和解决方案的建设，营造攻击面安全应对的良好生态，形成有效的行业化治理体系。

近几年网络安全保险概念日益成熟，笔者认为这是有必要的，因为它可以有效规避企业因网络安全事件导致的经济损失，提高企业网络安全防护能力和服务成效。同时网络安全保险可以与风险评估等流程实现互补，相辅相成、共同发展。

数字化转型利用现代化数字技术（云计算、大数据、物联网、5G、AI等）来创建或调整业务流程和客户体验，以适应不断变化的业务和市场需求。业务应用、IT架构、组织机制建设和完善是数字化转型的工作重点。我国“十四五”规划中以“上云用数赋智”作为数字化转型的技术支撑基础。

数字化转型的IT基础设施和应用的改造，存在诸多安全风险。网络安全需要在转型过程中同步规划、同步建设、同步运营。

绿盟科技建议组织在数字化转型过程中，参考网络安全总体框架，来规划和建设网络安全。

网络安全框架主要由安全技术体系，安全管理体系，安全组织建设以及合规要求等部分组成。两侧是合规要求，网络安全法律法规，网络安全的建设需要合法合规，这也是驱动网络安全发展的重要因素。底部是安全基础，向上依次是云平台安全、网络安全、主机安全、数据安全、应用安全。管理体系包括规章制度，组织流程和策略；与之对应的还有安全技术体系和安全运营体系。再向上是安全大脑或安全管理中心、运营中心，以及SOC体系，由此组成企业网络安全总体框架。

数字化转型的安全建设，首先构建纵深防御体系，实现安全防护，然后再完善威胁快速检测，自动应急响应的安全运营体系。

纵深防御，包含网络、访问、数据、风险等多个层面。访问主要与身份有关，通常围绕用户访问应用系统、后台数据库或主机系统，可以借助“零信任“理念来实现。针对数据安全和网络安全风险进行治理。网络安全态势感知平台，感知全局安全态势，并且把能力固化在日常运营工作中，参考PDCA的流程，实现企业安全能力的持续运营提升。

互动问答

数据安全治理应该如何开展？

▶刘弘利：在数字化转型过程中，数据安全治理需要满足《数据安全法》和《个人信息保护法》的规定，为此绿盟科技提出“知、识、控、察”的四字理念。“知”是知道重要数据或敏感数据有哪些，存储在哪。实际上数据通常和应用绑定，所以企业需要厘清自己的应用，哪些应用对数据进行了生产或消费。“识”是识别敏感数据，对数据进行安全风险评估和分级分类。“控”是通过安全技术手段，针对某些敏感数据，在不影响开发或外包人员使用的前提下，对其进行保护。数据脱敏包括静态脱敏和动态脱敏，而对于快递、电商、外卖等配送过程中涉及到的敏感信息，也需要通过控制手段进行防护。“察”是通过审计日志发现恶意行为，进行检查。最后要进行数据治理的安全运营，通过数据策略平台对数据泄露、数据脱敏、敏感数据外发等行为进行全局态势感知。遵循以上几个步骤，最终将整个数据安全治理流程串联起来。

从2013版到2022版，第一个变化是标准名称的改变，之前叫“信息技术-安全技术-信息安全控制实用规则”，现在叫“信息安全、网络安全和隐私保护-信息安全控制”，体现了对网络攻防过程及个人隐私信息保护的重视。

在标准结构上，之前27002：2013版本包含18个章节，对应着27001附录A的14个安全领域；而2022版将正文调整为8个章节，其核心为4个安全主题。标准中的控制措施数量也由2013版的114个调整为93个，并且新增了控制属性和控制视图，另外增加了2个附录。

整体而言，新版标准对于组织信息安全管理工作的影响并不大，风险管理的方法论不变，对风险库做了扩容和调整；体系管理的范围更广，拓展到网络安全、隐私保护方面；体系管理的灵活性和兼容性更强，可以根据组织的需要创建不同的控制视图。

所谓边际效益，是指老板在市场上多投入一单位产量所得到的追加收入与所支付的追加成本的比较。当：

追加收入>追加成本，扩大；

当追加收入=追加成本，持平，效益最大化；

追加收入<追加成本，减少。

企业都是以盈利为目标的，所以信息安全存在的意义也是帮助企业创造收益。通过信息安全专员的工作，让企业信息安全不违规，甲方公司不处罚，就是为公司赚钱的一种方式。

如果能够把信息安全做得更好，做成乙方的一张名片，就能够在甲方当中获得较为良好的认知度和排名，从而更容易赢得客户的业务份额。

此外，一定要做好信息安全的能力培养，提高性价比。因为站在老板的角度来说，当收支处于平衡的时候，就会希望在维持同等收入的前提下降低成本。所以我们要提前帮助老板想到这一点，在他提出降低成本的要求之前，告知只需要更少的人员就可以创造同等的收益。而对于裁减的人数，可以通过为普通专员和项目经理赋能的方式，让安全意识普及，让信息安全管理工作更加高效。

总的来说，我们每个人都要做第一个汉堡。

互动问答

目前在考虑考CISSP，如何学习更有效率？

▶刘歆轶：考CISSP是个体力活，需要背很多东西，建议每天坚持看1-2小时，把短期记忆变成长期记忆，否则根本记不住，时间别拖太长，4-6个月比较合适。

汽车在当今社会是一件非常普通的东西，但它的产生却并不简单，涉及到一万多个零件，几千家供应商，OEM厂商及供应商的员工加起来可能超过几十万甚至上百万。如何保障车联网供应链企业的信息和数据不被员工泄露，将会是车企供应链一直面临的问题。

随着车联网安全成为国家战略，《网络安全法》、《数据安全法》、《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》、《个人信息保护法》、《关键信息基础保护条例》、《信息安全技术网络安全等级保护基本要求》、等法规相继出台并要求组织从业人员进行网络安全教育培训，而且要针对全员做安全意识培训和宣贯。

本次主题从黑客攻击的角度，揭秘黑客如何利用OME及其供应商员工薄弱的安全意识，通过网络公开信息获取车联网企业及供应商员工的敏感信息和重要数据，以及获取公司车联网系统的权限可能最终危害到车端安全、人身安全和社会公共安全等，提醒车企和供应链企业重视安全意识问题，建立安全意识文化，帮助员工构建人脑防火墙，使企业具备安全意识防范能力，从事后醒悟到提前预防、识别可能造成信息泄漏的危害。

互动问答

车联网终端安全防护有好的解决方案推荐吗？

▶孙权：据我所知，车联网终端防护是通过IDPS的方案进行威胁检测。提供IDPS方案的厂商有很多，像为辰信安、奇安信、360、擎天信安等，都可以尝试。

基于漏洞治理的目标，希望能够在上级主管单位的领导下，通过与各企业和第三方安全机构的合作，根据网络安全法、数据安全法、个人信息保护法、关保条例等，建立行业内的漏洞治理标准，做到精准施策、有的放矢，实现持续性漏洞清零目标。

首先是规则统一，包括漏洞评级、整改时限和详细信息，将其形成标准化。以笔者所在企业为例，目前正在和上级主管部门开展讨论，准备共同编写并实施所属行业的漏洞评级标准。

中央网信办此前公布过一份漏洞评级标准，但从细节来说还有一些需要完善的地方。比如每个SQL注入漏洞扣6分，弱口令6分，跨站5分，评级标准相对简单。但对于实际安全工作来说，并没有特别大的借鉴意义。因此还是需要做到真正有效的漏洞评级。

有了统一的标准，才可以举一反三，全面地针对业务系统查找短板漏洞，迅速整改，杜绝重复性错误，避免重复性漏洞的使用。同时通过攻防演练反哺企业漏洞治理，最终打造攻防兼备的能力。

在实际的攻防演练中，攻击方可能会通过分支机构的脆弱点作为入口对总部发起攻击，如果缺少情报共享机制，总部就无法对威胁进行快速的分析和处置。因此，企业开始逐渐意识到建立基于情报共享的联防联控机制的重要性。

安全运营保障中台是绿盟科技对于前后端技术资源的整合，将战时的安全保障能力赋能到攻防演练行动当中。通过中台保障体系，给企业提供情报运营共享，包括产品能力优化、分析研判、应急处置、溯源反制等能力。企业也可以通过中台保障体系及时有效地进行安全风险的闭环管理，从而提升企业整体的安全保障效果。

在攻防演练行动结束之后，企业可以将实战化安全保障工作中积累的经验进行分析和总结。分析当前网络安全工作的现状，做好整改优化和规划统筹，并且将实战化安全运营保障的机制应用到未来的日常安全运营工作中。根据当前安全体系建设的成熟度情况逐步构建安全运营体系，从而提升企业自身业务安全可持续的保障水平。

互动问答

企业组织的攻防演练安全运营保障工作主要有哪些？

▶程明：对于作为企业来说，首先需要领导的充分重视，尤其在当前重保的环境下，领导靠前指挥是一件非常重要的事情，并且根据实际经验，高层重视的确必不可少。另外，团队很重要，需要形成统一的指挥和调配。第三点，巧妇难为无米之炊，由于安全技术需要不断完善，因此需要确保资金的保障和投入。如果自研能力较强，企业可以建立一套网络安全运营指挥和调度的统一平台；反之也可以借助第三方平台的能力。最后，对于人员安全意识，宣贯培养是有效的，也是非常有必要的。

▶刘艳东：在攻防演练前期，需要进行攻防演练的宣贯，建立企业与第三方安全公司之间良好的沟通机制。同时要制定详细的工作计划，覆盖安全运营保障的整个流程，并基于安全能力建设现状进行评估。此外可以通过自动化工具和人工渗透的方式发现潜在的问题，从而针对性地进行提升。由于攻防演练期间有大量社工类、钓鱼类的攻击方式，因此对于人员安全意识培养非常重要。在这个过程中，通过模拟演练，也可以很好地验证安全保障准备工作的有效性。

通过此前的梳理，法律法规要求常见于地产企业的以下业态。首先，因为物业和销售具有ToC业务属性，业务过程中会涉及客户的个人隐私数据，是地产信息安全建设需重点关注的领域，所以需要通过参考等保要求完善系统的安全性。同时如长租公寓、酒店、文旅等ToC业务，也需要进行等保相关的建设。

对于个人信息保护需要在不同场景里进行适配。比如在工程施工的过程中，劳务信息系统会录入大量的建筑工人的个人信息，需要投入个人信息的关注。在企业管理中，人力部门也会涉及大量的个人信息，存在泄露风险。再比如财务系统中，账号、发票等包含了个人信息；销售、客服、物业等也需要重点关注个人信息安全的保护，

移动APP合规是近几年监管审查的重点。地产企业主要在销售、物业、公寓和酒店四个方面会产生强烈的APP使用需求，企业需要重点关注APP的合规使用。另外在文旅和商业地产，也可能需要给予一定的关注。

如果企业存在跨境业务，需要关注海外的法律合规，比如欧盟的GDPR，美国的加州隐私保护法等。同时，如果涉及到境内数据向外传输，也需要关注其中的安全风险。此外，企业还需要关注数据在内部不同业态之间的流动和使用，比如物业和地产分别上市，或分属不同公司主体，那么数据在从地产商传输到物业的过程中，就需要通过客户的确认和同意。

本次分享围绕企业合规建设实践，主要回答两个问题：

1、做安全合规，常常面临一个灵魂拷问：合规风险有多大？

RE：随着我国网安法、数安法、个保法的发布施行，标志着安全合规，已成为每一家企业、每一个公民应尽的法律责任和义务。一旦违背，将面临严峻的违法惩处。同时，随着法律法规的日益完善，我国监管机构的管理模式也在不断完善，通过构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局，重点突出关键责任链监管，以此实现监管全覆盖。

2、安全合规做什么？

按照笔者多年来的合规治理经验，我们可以将合规划分为4个框架。如下图。左侧是合规依据，包括了法律、部门规章、行业标准以及监管动态。右侧上方则是业务目标和战略，它与合规依据相辅相成。法律法规明确了企业的业务范围，而企业业务在调整时也需要遵循不同的法律法规。合规依据、企业业务与目标共同决定了企业安全管理、安全技术和合规运营的建设原则和策略。

而安全技术，从对象划分，包括网络、主机、应用等等，我们可以用生命周期管理的方式来进行规划与建设，完成整个技术体系建设。接下来是我们今天重点阐述的内容：合规运营体系。它是利用安全管理和技术体系，准确识别合规风险，确定优先级，从而进行合规建设，并在这个过程中，用数据来量化和呈现。我们将以“隐私合规治理体系”进行讲解。

写在最后，做安全合规，愿大家不忘初心。

◆ 合规的本质，是共赢。社会、企业、人民利益的多赢；

◆ 安全依赖业务，但合规不完全是。合规是以法律法规为准绳，拥有对违规业务的一票否决权；

◆ 安全合规的星辰大海，是更透明、更高效、更创新。

绿盟科技认为，企业安全合规首先要进行等保安全建设，针对信息系统实现统一的安全规划，保证全系统的安全。需要构建纵深防御体系，并对其进行持续优化，《网络安全法》当中就提出了同步规划、同步建设、同步使用的“三同步”原则。同时，按照等保要求，企业需要对核心资产、应用及业务进行保护，在此基础上构建可信、可靠、安全的计算环境，构建网络区域边界可控、可审计的安全区域边界，以及安全可靠的网络传输通道。

上图是绿盟科技依照等保2.0“一个中心、三重防护”建设思想构建的纵深防御体系框架。通过管理中心，企业可以构建态势感知能力，对整个系统进行检测、响应和预警，持续监控分析，保证系统安全。一旦发生安全风险，立即响应并处置。

以通信网络做为纽带，优化企业基础网络架构，收缩攻击面。以安全区域边为依托，强化纵深防御，实现对威胁的深度检测和响应，做到防范于未然。安全计算环境是安全防护的纵深，需要改进对于业务的管控，加强数据动态防护，保护企业全面安全。

互动问答

关键信息基础设施在等保2.0标准体系中处于什么地位？

▶ 金佳华：根据我的理解，关键信息基础设施和等保2.0是互为交叉的。等级保护条例中明确提出关键信息基础设施是在网络安全等级保护制度的基础上进行的重点保护，主要针对几个方面着重加强：首先是对网络安全攻击事件进行防范，其次是抵御违法犯罪行为，进行整体能力的保障，从而维护数据完整性、保密性和可用性。