网络安全和数据安全是当前企业关注的重点，随着《网络安全法》、《数据安全法》、《个人信息保护法》的发布以及网络数据安全管理条例和关键信息基础设施保护条例的发布，组织网络安全及数据安全的建设已经有了体系化的参考。同时，随着HW带来的实战需求，组织对于安全运营的要求也越来越高。

在此背景下，2月11日，诸子云南京分会举办了“网络与数据安全主题线下研讨会”，现场专家对网络安全及数据安全展开了深入讨论，针对API安全、云原生安全、IAM+，以及安全建设等多个角度进行了探索与解读。

本次研讨会由诸子云南京分会主办，宋士明担任主持。活动有幸邀请长安马自达、江苏省联社、Honeywell、江苏银行、东方农商行信息科技部、江苏银承网络科技股份有限公司、正大天晴、东吴证券股份有限公司、金智科技、苏宁易购、中兴通讯、华泰证券、南京证券、江苏新视云科技股份有限公司、星图金融、上海雷龙科技、海通证券等企业的安全专家参与。

杭州迪普科技股份有限公司技术总监刘吉林、青藤高级技术总监王洪中、北京芯盾时代解决方案总监&合伙人徐星宇、海通证券数据中心安全团队负责人马冰四位专家分别进行了分享。

数据安全发展在国家二十大中重点提出，二十大将数据安全明确定为18个国家安全保障体系之一，数据安全成为国家安全的重要组成部分。与此同时，2022年12月发布的数据二十条《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》中提出，维护国家数据安全，促进数据合规高效流通使用、赋能实体经济，促进全体人民共享数字经济发展红利，为推进国家治理体系和治理能力提供支撑，这与二十大进行了衔接。2023年1月，工信部等16部委联合印发《关于促进数据安全产业发展的指导意见》中，对数据安全的近期重点工作任务及重要内容进一步提供了具体的方向指引。

实际上，数据安全并不是新的概念，但是数据安全体系需要逐步打造和适应，从管理、合规等方面夯实安全治理的基础。数据安全的第一要务是合规，《网络安全法》于去年进行了第一次修订，将其与《个保法》、《数安法》进行了对齐和衔接。因此，在组织建设数据安全时，要考虑到《网安法》、《个保法》、《数安法》以及网络数据安全管理条例(征求意见稿)和关键信息基础设施保护条例中的要求。

回到API安全，2021年IBM Secrity X-Force报告中指出，其分析的数据安全事件中有三分之二是由不安全的API造成的；Gartner提供的报告数据分析显示，在2024年API安全问题引起的数据泄露风险将翻倍。

回顾近几年境外API安全事件，首先是印度政府数据库 API 访问不当导致信息泄露，致使11亿印度公民记录曝光。其次是Facebook多起数据安全泄漏事件与API有关，导致2.67亿个用户的隐私数据被非法售卖。最后是领英查询接口被恶意调用导致数据泄露，致使超过7亿用户数据在暗网被出售。

再看近几年国内由API安全收起的重大数据安全事件，淘宝、新浪和头部旅游公司出现的API安全事件较为典型。黑产人员利用淘宝的商品详细信息接口和信息分享接口，爬取淘宝客户数字ID及昵称，并爬取到淘宝客户的手机号长达八个月，累积爬取数据11亿8千万多条。新浪微博是黑产人员通过API用户查询接口批量上传通讯录信息售卖。某头部旅游公司则是黑产人员通过API接口爬取个人姓名、手机号、飞机起降时间等敏感信息进行售卖。

随着数字化转型，数据在不断打通，API成为数据重要的流通链路，API现在被广泛应用于组织的业务系统和业务应用，被攻击者视为完美的目标。当前API应用类型主要分为三类：开放API、面向合作伙伴API和内部API。API的主要安全威胁包括：API接口传输数据类型复杂多变，有些接口涉及敏感的商业数据、个人隐私数据。一旦发生泄露窃取，企业将面临巨大的合规风险和商密数据泄露风险；有相当多的API被开发出来，甚至经历了PoC过程，然后被抛弃和遗忘；许多重大数据泄露问题，其幕后原因都在于API遭到破坏、泄露或攻击。

据Salt Security发布的《State of API Security，Q3 2022》报告指出，截止到2022年Q3，其调研的110家企业中，同年对比发现，整体API流量提升168%，恶意API流量提升117%，受访者遇到的API安全问题达到94%，这些数据非常惊人。

在黑产人员针对API的攻击手段中，主要有7大手段：应用内部东西向流量盲点；中间件API 漏洞利用；业务应用自研API 漏洞利用与越权；业务应用安全开发规范失效（伪脱敏/过度数据透出）；人为攻击面暴露：临时调试接口、违规开放文件下载；内部人员违规导出大量客户信息；合作伙伴滥用数据接口。API 安全已经逐渐成为影响组织安全的核心问题。

企业云原生建设现状目前存在几大挑战，其中包括互联网带来的业务被迫调整和转型；厂商影响下开发、测试、部署、交付各不相同；单体应用系统独立，互连互通共享难；自动化运维程度低等等。

企业应用了容器云平台后，安全部门首先应该快速了解研发和运维的关注点，其中，研发和运维会关注4个指标，第一是规模，第二是可用，第三是敏捷，第四是成本。而实际上，规模与可用之间可以叫做大象起舞，当容器规模从几千上万到几十万、上百万的情况下，单纯关注可用而不考虑规模和需求，这样的安全措施会出现大问题。

规模与敏捷之间叫做巨人绣花，企业规划很大的时候，例如拥有很多APP或应用系统，想要快速的迭代就需要渗透到每一个细微领域，这样做的难度非常大。敏捷与可用之间叫做空中换发，就是在飞机飞行途中将发动机置换掉，这点也非常难以实现。最后是成本，使用云原生的组织成本会减少1/7，但人力成本适当提升。安全人员要了解以上需求和细节，才能更切实的、有针对性的解决问题。

云原生建设的必要性，首先要想到为什么容器是一个重要的安全目标。此前，安全的最后一公里是主机，当应用容器后，最后一公里变成了容器。那么应该如何应对容器安全？目前，容器安全存在以下问题：

容器的安全建设滞后，大量“裸奔”的容器成为了攻击者眼中“香饽饽”；容器的攻击面庞大，除了应用本身的脆弱性引入的攻击外，集群、容器运行时本身的脆弱性问题也不容忽视；容器的防护难度高，容器安全防护需要覆盖容器构建、部署、运行整个生命周期，所涉及的环节和流程链路都非常复杂；容器的攻击价值高，容器集群作为集权类系统，一旦失陷，基本上全部沦；容器漏洞影响范围大，若镜像或基础镜像存在问题，则将至少影响一个或多个集群；容器的攻击溯源难，容器的生命周期短，动态变化快，超过50%容器从上线到下架的整个生命周期不超过1天。

随着组织应用云原生，组织的业务和技术架构发生了变化，研发流水线被重塑；软件交付模式被重新定义；运维模式的升级；应用架构的升级；组织结构的升级等等。而组织传统的纵深防御体系使安全人员无法参与产品的开发及运维，出现问题却需要安全人员来负责，这是当前企业安全部门存在的最大矛盾。

现在，黑客的攻击手段已经非常成熟，可以称呼为平民化攻击，这类攻击是针对云原生上游的，针对供应商、开发系统中的开源部分等等。一旦攻击后，黑客就可以攻击到产品使用者。对于大部分组织安全部门来讲，在云原生体系中，对于第三方镜像来源、企业合规极限的不同版本以及漏洞等等，都会带来很大的挑战。

IAM属于大型企业以及相对较大的安全公司建设的内容。目前，组织业务安全存在几大问题，第一是应用系统存在管理和安全风险，其中包括身份的信息孤岛、业务系统帐号重叠、多场景的应用访问、缺乏访问风险管控等等。

2018年以前建设的业务系统中存在着大量的账户及用户信息，这些信息独立于各个业务系统中，这些被称之为信息孤岛，这会导致大量的业务系统在变更时，人员权限收放不清以及用户离职后用户信息未删除。其次是业务系统的账号重叠，在OA和财务系统中会存在大量身份或权限的混淆，同时还会有人身兼数职，造成无法确认身份的实际使用者以及对账户的扩散范围难以管控等问题。

第三是长期的多应用访问，这是在整个IAM+中都是非常重要的一环。在本地或远程访问过程中，切换应用系统都需要输入应用地址、用户名、口令进行登录。没有统一的信息化服务体验，也存在暴露面扩散的风险。IBM的IAM系统、微软的IAM系统亦或是其他公司的IAM系统，在做业务系统访问时只能体现出portal的认证或是统一认证的管理，但在IAM+的情况下，是可以做到资源的访问控制，动态的访问控制等等，这是与零信任相关联的地方。

最后是缺乏访问的风险管理。存在事前主体身份不确定、授权不清晰，事中操作行为不透明、过程不可控，事后结果无法审计溯源、责任不明确等问题，黑盒状态，安全风险不可控。如何做到实时的风控管理，分为两种情况，一种情况是将原来的日志变成实时分析，去联动IAM做相应的处置。这种方式专注于改造相应的日志和触发点。第二种情况是目前零信任体系中的动态访问控制，动态访问控制在IAM环节上会多出一个网关，将业务系统的流量或访问流量进行转发，例如将OA入口、财务入口和运维入口等都收到网关入口。网关入口的优势是可以将所有业务系统或访问资源的相对拦截，在但各业务系统中，可以做到响应访问资源的上下文分析管控。

企业面临的多重安全挑战，第一是多业务支持，构建企业统一集中的应用安全能力，需要支持多种应用系统在任意时间、任意地点的实时访问，避免业务流程在任何一个点卡顿，确保业务的顺畅运行。第二是全场景防控，需要支持移动端APP、公众号/小程序，PC端Web应用、C/S应用，云应用的本地访问、远程访问、机构间互访等立体业务矩阵，需对全链条应用安全进行防控，不留短板。第三是跨团队协同，应用安全的效果不仅取决于信息科技部门，还需要结合业务模式、业务流程、业务规模进行协同配合。第四是业务风险隐蔽化、随机化。

“人”为因素作为最不可控风险因素，会随时随地因主观和客观原因，在应用层爆发安全风险。第五是应对不断进化的安全威胁，威胁手段进化的越来越快，为了能够应对黑产的进化，需要为整个应用安全体系具备 “智能大脑” 成为可自进化的防护体系。第六是构建多维度多层次业务安全体系，实现面向多元的风险及实时处理能力和面向全链条、全生命周期的多维、动态、协同、柔性自适应的智能业务安全体系。第七是建立业务安全方法论，需要完善的应用安全管理体系和技术防控能力，在应用/业务层构建安全堡垒。最后是安全目标和业务目标之间的平衡，安全是为业务服务的，要始终平衡安全和业务之间的关系。

监管合规与实战这两个方面是驱动组织安全发展的两大动因。在2016年以前，《网络安全法》尚未颁布，当时组织的安全需求和方向是部分的主机安全，网络安全，较少的安全制度，完成等保测评， ISO27001等监管要求。安全团队只有1个人的现象较为常见，证券行业根据规模1-3人，银行约10人。随着《网络安全法》的颁布，组织的安全方向变为较为完善的网络安全、主机安全；部分领域的应用安全、数据安全、关注实践等保2.0、Gartner ASA等安全框架。组织安全职能开始细分，安全团队规模开始扩张。

2018年-2020年，随着HW的开展，组织的安全需求进一步提升，对信息安全运营也开始重视。到2020年之后，网络安全相关法律开始体系化（数据安全法、个人信息保护法等“四法三规”），同时，业务开始驱动安全发展，这时，安全部门不仅要满足监管需求，还要满足业务需求。安全技术可以作为业务的输出手段，并向内及向外输出。

海通证券在安全探索的过程中有三个难点：面广、事多、人难找。面广，安全部门的工作太多，需要体系化发展。事多，安全工作太多太杂，需要根据不同的优先级来制定不同的规划，优先级最高的是不被监管通报，其次是实战需求。人难找，有经验的、有能力的安全人才难以招纳，需要将制度、流程、经验技术沉淀到平台。所以，安全工作需要现将基础打好，首先确保网络和基础设施的安全，然后将资产梳理清楚，如果还将建设思路停留在购买设备，那么这些设备的日志、告警都很难及时处理。

海通证券坚持平战结合，打牢安全基础，其顶层设计是GRC 信息安全治理、风险、合规，管理体系是网络安全领导小组、工作小组。安全基本功是资产+漏洞+运营，最终达到闭环。作为安全负责人，资产的细粒度一定要高，因为人无法保护你不知道存在的东西。漏洞方面，要清楚漏洞有哪些，这样才能通过运营达到闭环。当然，闭环的实现是基于现有水平，将所有以确认的资产和漏洞进行闭环处理，然后再逐步提高精度和广度。

漏洞方面，海通证券选择能力自建与外部辅助相结合的方式。各个组织的安全能力和水平不一样，监管要求也不一样，因此，需要在提升固有安全能力的同时，引入外部辅助，尽可能的发现和解决漏洞。海通证券对漏洞生命周期进行了一个分类，漏洞生命周期包括发现、评测、优先级、修补、衡量。发现包括基础设施、SCMDB、资产画像；评测包括扫描、渗透接入、巡检计划编排、项目相关；优先级包括数据清洗、数据聚合、评估模型、优先级评估、规则运营；修补包括电子工单、跟踪闭环、安全能力库；衡量包括自动复核、度量反馈、优化分析。

、

活动相关资料欢迎大家在知识星球下载~

诸子云 | 活动：11.5深圳网络安全新势力专题研讨会

齐心抗疫 与你同在