两万字干货!七大安全专家把脉疫情下的网络安全建设(附演讲PPT下载)
- 2020 年 3 月 12 日
- 笔记
来自疫情的爆发正在催发产业数字化加速转型。最近,在线办公、在线教育、在线医疗异常火热,然而,在线上业务访问突发性、集中性、高流量的状况下,也暴露出企业在网络安全上存在的诸多问题。疫情给网络安全带来了哪些新变化、新挑战?企业又该如何防护?
针对这些备受企业关注的安全问题,前几天,在中国产业互联网发展联盟(IDAC)安全专业委员会指导下,腾讯发起了一场“疫情下的企业网络安全建设研讨会” (会议精华速读请戳?),来自腾讯、中国信息通信研究院、绿盟科技、天融信科技、卫士通等企业的安全专家齐聚,带来了一场理论与实战结合的线上分享。
下面,让我们来看看安全行业的大咖们有何见解吧!
邓振波:零信任安全远程办公体系
远程办公的趋势下,如何兼顾云上业务的高效与安全?腾讯安全副总经理邓振波介绍了腾讯无边界访问控制系统保障远程办公安全的成功实践。无边界访问控制系统依赖可信设备、可信身份、可信应用,将身份安全、终端安全与链路安全角成完整闭环,可实现终端在任意网络环境中安全、稳定、高效访问企业资源及数据,为远程办公保驾护航。目前该体系已在政务、医疗、交通、金融等多行业应用,用户超6万,服务电脑终端超10万。
我这次的分享是腾讯自身在零信任体系下面远程办公的实践。
整个IT在不断升级变化中,特别是疫情在不断加速整个IT的变革,云化、远程办公化在疫情期间的增长趋势特别明显。根据一些统计,2月3日是很多公司复工的日子,阿里钉钉当天因为用户过多后台崩溃。从1月20日开始腾讯每天进行资源的扩容,8天扩容了10万台云主机,脉脉给出的报告显示,非常多的企业都在进行远程办公。2月16日艾媒咨询研究报告指出,有超过1800万家企业采用了线上远程办公的模式,共计有超过3亿的用户使用了远程办公的应用。
刚才几位专家也提到整个安全的情况并没有因为疫情的发生而有所改善,包括我们最近也接到了安全问题的求助,比如我们接到了互联网公司的求助,一位业务主管分享到工作群的办公工具和表格被发现感染病毒,导致部门200多名员工电脑被感染,包括某平台因为员工的问题导致删库跑路,这种事情真实上演。所以在远程办公的情况下,一个是外部的威胁一点都没有减少,内部的威胁因为远程办公不用回公司,这个时候可能出现人为逃避的情况;另一方面,远程办公也导致了一些安全的挑战。
IT的边界已经非常模糊化,因为要访问企业的应用,要从家里访问服务器,这时候怎么来提升边界?原来的IT边界已经非常模糊了,整个业务更加复杂,原来的IT就是纯粹的应用,都在同一个网络内,包括云和大数据的应用,IT业务模式复杂化。再有就是安全情况越来越高级化,刚才几位专家提到过年期间有几个新曝光的漏洞,高危漏洞最近不断曝出,并且形成了武器化,上半年的远程桌面BlueKeep漏洞利用就工具包中在网上公开售卖,包括PHP代码后门程序供应链上的攻击引起的后果是非常严重的。在病毒木马这块挖矿和勒索病毒一直在持续流行,自从2017年之后匿名信和利益趋势一直没有断过,未来估计也会持续流行。在APT攻击上不再局限于敏感的材料,攻击也开始和民生相关,大量的APT攻击武器库的泄露、军用网络服务器的民用化,APT攻击的特征倾向于高级的技术,比如无文件化、使用签名证书等等,导致APT这种攻击日益普遍,基本上只要有价值就可能产生APT攻击。还有数据泄露的问题越来越严重,这个有很多的案例,我们就不一一再说明了。
针对远程办公云化这个问题的基础上,腾讯是怎么考虑的?腾讯本身有几万员工,非疫情期间也有很多的移动办公场景。腾讯利用零信任体系从2016年开始搭建内部的零信任安全体系,内部已经开始应用基于零信任的无边界访问控制系统实现远程办公或者是内部的网络办公,这套体系确保设备可信、用户可信、应用可信的基础上,实现这个终端在任意网络环境中安全稳定高效的访问企业的资源及数据。这里面首先有设备,特别是疫情期间的远程办公,很多设备是新接入的,设备进行可信认证之后,我们通过中间这一层身份认证安全的检查,还有安全的监测之后,就可以顺利访问企业公有云应用、私有云应用,还有企业本地内部的应用。腾讯无边界访问控制系统有几个组成部分。
首先是终端;第二部分是整个网络的打通,让网络融为一体,可以相互通讯;第三个就是在这个基础上构建访问控制的系统,代表整个身份的认证,还有授权的控制。终端这块就是我们负责终端环境的安全、接入端的安全,在网络通道这侧实现网络的持续检测,在访问控制侧可以实现多维度灵活动态的授权。每个腾讯员工的电脑上都会安装iOA和腾讯御点,这两个产品完成了对终端的保护,包括软硬件的资产管理,还有漏洞的及时修复、病毒木马入侵的防护、终端安全策略加固、安全策略的分发等等。在用户这侧完成了对用户身份的认证,终端设备可信的认证过程,数据保护方面提供了云盘的服务,还有数据防泄露的方案在其中,后台会有一个动态的威胁感知,解决我们的EDR体系,利用大数据技术实时对行为进行分析,及时形成告警,非常有效地对应APT的攻击,实现拦截和防护。
无边界访问控制体系第二部分是提供网络的接入。第一种是使用VPN接入,你在家里办公,需要访问公司的网络可以通过VPN接入。无边界访问控制系统不需要VPN,可以是现在任意网络中免VPN的接入,对外可以访问,也能访问到公司内部的资源,终端无论在任何的地理位置访问,所拥有的权限都是一样的,经过认证之后,能访问到的资源和效果、权限都是一样的。终端与网关之间的加密都是通讯加密,感知都是透明化的,终端只要通过iOA登录之后,就无法感觉到什么改变。
第三个组成部分是多维度的访问控制,主要是通过网关实现的,包括进程审核、身份验证、设备识别等等,在无边界访问控制进行验证识别和安全检查之后就可以顺序访问企业的资源。多维度访问有非常多的策略,比如基于身份的控制,不同的角色能访问的业务系统是不一样的,销售人员访问销售系统,开发人员访问代码系统,这就完成了一个基本的身份和准入的控制。第二是基于目标的控制,比如说运维系统只能被指定的应用访问,非认可的应用是不能访问这个业务系统的,这里面可以举一个例子,原来某些程序的版本有一些漏洞,这时候如果进行访问会被禁止,和访问目标相关联或者访问的版本是不是官方的应用有关联。第三是基于整个状态的控制,这个终端的授权或者是访问的权限不是一成不变的,而是动态的,终端发现一些恶意的行为或者是进程,或者是有未修复的危险,我们就会进行拦截或者第一时间把它剔除整个网络。回到微盟的事件,如果我们检测到这里面有一些敏感的操作或者是异常的行为操作,我们完全可以把通路封住,因为所有的访问是通过网关访问,网关只要禁止就没有任何通路到达指定的目标。
再看一下整个应用的情况,我们从2016年开始做,2017年整体实施,现在整个公司的应用体系涉及的用户数有6万多,包括腾讯的正式员工、外包员工,服务的电脑终端数超过10万,每天处理的数据超过800亿条,里面有很多的安全日志、访问记录等等,所以处理的数据量还是比较大的,也依赖于大数据和后台的AI处理能力。
李晨:疫情的出现对于网络安全发展的影响
“尽管部分客户受疫情冲击较大出现经营困难,可能缩减网络安全预算或延迟采购计划,但网安行业高速发展的驱动力并未因疫情而改变。”会上,北京神州绿盟信息安全科技有限公司副总经理李晨分析了疫情对于网络安全市场的影响。
基于互联网数据中心对中国ICT市场受疫情影响的判断,主要影响集中在零售、交通、消费、制造、农业等领域,安全是IT的子领域。基于判断,影响主要集中在第一季度,第二季度影响有限。2020年第一季度,总体ICT市场规模预计在Q1下降10%,这也是中国ICT市场首次出现季度10%的降幅。但对于电信、教育、公共事业、政府、媒体等行业,影响幅度会比较小。下半年,ICT市场依然会实现正增长。
首先对整个安全市场来说,由于客户受疫情影响较大,比如疫情对制造业的巨大影响,客户本身的经营困难可能会间接影响到安全市场。安全业务有很大部分集中在政府、电信、金融领域,由于疫情肯定会延缓延迟采购预算和采购计划,也会对一季度的安全市场产生一些影响。第二个判断,安全企业本身有大中小企业的构成,疫情对现金流也会产生影响,如果安全企业本身的目标客户群在制造业,很有可能春节之后的一季度到4月份的时候会影响企业现金的问题,这个对于安全行业,特别是安全行业里面的中小公司会有比较大的影响。另外还有一个数据,我国安全相关的企业,包括提供安全设备、安全软件,还有安全服务、测评机构等等,加起来有3000余家。这其中头部的企业并不多,不管是上市的还是非主板的,大概也就是20余家企业,剩下的都是中小企业,这个(疫情)肯定会对大量的企业产生财务的风险。但是也会带来一些新的商机,包括政府治理智能化与现代化、城市集群等等,特别是非接触连接商业和服务加速这方面肯定会大幅度的兴起,像在线教育课堂、远程办公、5G的商业应用等等都会带来很大的促进和影响。
接下来我说一下整体的观点。首先,网络安全行业高速发展并不会因为疫情而改变。大家知道在政策法规、数字经济的推动之下,整个安全市场去年是500多亿,中国已经成为全球第二大的安全市场,今年很有可能会正式发布的一些要求包括数字保护、隐私保护等等,都会推动整个安全市场的增长。其次就是网络安全的目标市场本来是To B的市场,政府、企业大数据平台,包括政府数字化治理会继续推动安全的增长。第三个是刚需层面,即使我们有疫情,黑客并不会因为疫情而停止攻击。包括在春节期间曝光的境外黑客攻击等等。春节到现在一个多月的时间,重大的安全漏洞已经曝光了4次,其中影响比较大的像微软CVE-2020-0688,也就是微软的远程代码执行漏洞,攻击并不会因为疫情而出现减缓,所以安全本来就需要刚需解决这一类的问题。根据网络安全产业联盟的调查报告预测,中国市场会保持每年25%的高速增长。伴随着数字化,疫情得到有效控制后,产业的发展整体影响会比较小,我们自己的判断也是这样,我们今年也不会下调对市场的预测。
刚才是对整个市场的判断,我还想和大家分享一下疫情出现对于安全发展的变化。刚才提到IT治理的变化会直接促进IT的建设,这也会促进我们对安全增加信息化升级转型的力度,作为安全从业者也可以在这种IT建设里面有更多的能力和方式去做相应的建设和分享。第二点是疫情对经济社会的影响,也会促进安全企业格局的变化。由于中小企业的资金问题,很可能加速行业内的融资并购,导致两个方面,一方面通过投资并购的方式向大型安全企业靠拢,同时也存在一些特色化的安全企业,两种会并存,疫情的加速会促进这种产业格局的变化。第三就是云和远程方式在疫情期间得到了蓬勃发展,必然推动安全运营的发展,就是产品和交付的SaaS化,形成相应的产品服务体系,包括一体化的MDR的运营服务,这些方式可能都会推动远程运营方式的发展。安全更多的是比效能,这几天RSAC在北美举办, SaaS化的安全能力是大家关注的一个重点方向,不仅是IT SaaS化,安全也SaaS化,这是国内一个重要的方向,国内会有一段时间推进安全SaaS化和远程运营的发展。
最后分享一下疫情期间我们的解决方案。国家卫健委2月3日发布了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,我们简称叫做“五防”的要求,我们也推出了针对“五防”的安全解决方案,包括防攻击、病毒、篡改、瘫痪、泄密等五个方面整体的解决方案,这段时间在给医疗用户做免费的使用和推进。还有一个是针对远程运维的办公网提出了非接触网络安全监控的方案,主要还是基于安全运营中心,成都、宁波、北京现在有三个远程安全运营中心,在远程安全运营中心帮助用户建设端到端的网络安全运营服务。最后是比较火的是零信任安全,我今天看了一下专家演讲的题目,大部分也在提零信任安全,零信任安全是一个分析师在9年前提的概念,现在大家逐步比较认可,当然零信任安全有大的方案,比如说谷歌、微软他们在做自己的方案,他们的方案会比较全面,也有一些解决方案更多的是解决认证和远程办公或者是内网的零信任安全解决方案。零信任我们也推了相应的解决方案,疫情期间我们也推出了轻量的零信任安全解决方案,帮助员工通过远程办公做相应的先认证后访问的快捷方式。
最后用外交部新闻发言人华春莹在推特上的那条推文,没有一个冬天不可逾越,没有一个春天不会到来!咱们的安全企业,包括ICT在前一二季度可能都会有一些影响,但我觉得咱们的春天很快就会来。
韩斐:新形势下的在线化云密码服务的机遇与挑战
随着云办公进入“风口期”,其存在的风险也逐渐暴露,而密码其在解决网络安全问题的经济性、便捷性、有效性,以及在处理海量数据机密性保护、复杂网络实体认证等方面具有的独特优势,已成为云计算产业持续发展的“内在”基因。卫士通信息产业股份有限公司密码服务产品总监韩斐就分析了新形势下在线化云密码服务的机遇与挑战。
我这次分享的是安全行业当中的一个特定领域–密码,介绍新形势下的的安全趋势以及云密码服务能做的事情。
疫情期间大家已经被各种云的交互模式刷屏了,包括云握手、云聚餐、云课堂等等,相信大家在复工之后各种电话会议、视频会议、远程办公成为了主要的工作模式,其实这就是各种云办公的方式,有一句话说得很好,“移动的时候需要移动化,不能移动的时候,我们发现移动化变得更为重要”,因为不能移动的时候我们只能在家。但是又需要进行协同和办公,各类移动化的工具成为了复工之后的必备工具。
移动互联网的发展和疫情期间特殊情况下的推动,云办公进入了风口期,业内各大厂商都发布了移动办公的方案用于支持疫情期间各种协同办公需求,以支撑远程办公的相关业务。这次疫情让移动办公类的互联网产品迅速完成了基础用户的积累,用户也在迫不得已的情况下完成了移动办公习惯的养成,这极大缩短了教育用户的时间。移动办公的使用方面,用户也从原来签到打卡的功能转变成大量使用远程会议、群组交流这些高级功能。
随着疫情慢慢过去,大家可能更关注的问题就是如何留住用户,就是增加用户的黏性,一方面可以通过产品的功能、竞争性的优势以及对工作效率的提升这些层面进行用户的留存。而还有一个问题就是安全,安全是发展的前提,移动办公的安全也是很多移动办公用户重点关注的问题,使用移动办公会将企业的业务数据出现在互联网终端之上,这需要我们提供一些产品技术以保障企业的秘密数据、个人数据在移动办公过程的安全。现在各种网络安全事件纷纷出现,网络安全事件其实是一种灰犀牛事件,大家都知道网络安全事件会发生,我们也通过多种渠道进行了获取,但很多人却认为它不会发生在自己身上。其实我们每个人都应该清楚个人隐私信息已经在各个层面被泄露到黑产行业之中,只是没有一个契机或者我们的信息没有那么高的价值,所以网络安全事件没有发生。但是我觉得网络安全是我们需要重点保护和重点关注的事情。
现在主要是四个层面造成:首先系统层面,由于系统设计的短板导致系统被入侵,入侵之后数据会被攻击导致泄露;行为层面包括用户恶意以及无意的行为导致攻击,例如内部人员恶意攻击,导致企业数据被泄露,甚至业务连续性被阻断;业务系统层面,企业信息系统多样化,单个业务系统的短板可能导致整个企业信息化建设的崩溃,所以需要进行体系化设计,实现整体安全;由于企业的移动办公、互联网化的逐步盛行,互联网曝露的攻击面也越来越大,我们需要有效识别和阻断外部威胁。
从移动办公的角度来说,如果一个企业原来没有使用移动办公,疫情期间需要增加移动办公业务模式的话,需要关注三个层面的事情。
首先是边界,移动办公突破了网络边界的控制,增加了新的入口,它就增加了互联网的攻击面,增大了网络攻击的风险,新加入的移动办公终端可能是个人自有的终端设备,没有经过有效安全设计,如果我们不通过移动办公方案保护终端安全,它势必会成为网络攻击的突破口,一旦攻破终端着就会成为攻击的跳板,从而进入我们的企业网络中,攻击得手后数据就会被肆意窃取和修改,导致企业运营和信息安全的各种问题。
接下来讲一下密码,密码是网络安全的解决之道。云上数据的泄露、数据的篡改、用户仿冒和行为的否认,通过各种密码技术可以提高机密性、完整性、真实性和不可否认性,来解决前面的安全威胁,云密码可以成为产业安全发展的内在基因。其实密码是最有效、最可靠、最经济的手段,它在日常生活中广泛进行了使用,包括身份识别、安全隔离、信息加密、完整性保护和抗替代性这些层面。
2020年1月1日发布了《中华人民共和国密码法》,也对密码进行了明确的定义,密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术产品和服务。密码法也对密码进行了分类,分为核心密码、普通密码、商用密码,对于民用领域使用的是商用密码,商用密码是用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码来保护网络和信息安全。说到商用密码,其实我们国家已经建设了一套完善自主的算法体系,而且它是我国自主化程度相对比较高的技术体系,现在我们也可以看到在电子政务、电子商务、社会服务各个领域已经在大量使用商用密码,比如电力领域、金融领域商密算法的覆盖率非常高。从政府规范和法制层面高度重视密码的发展,1990年《商用密码管理条例》正式发布到现在正在修订,以及2016年、2017年密集发布了网络安全法以及CRI的安全保护条例的征求意见稿,这些都明确了密码的保护和审查评估的原则和要求,重要的是2018年7月份国家密码管理局作为国家密码的主管机构发布了36号文,就是金融和重要领域密码应用与创新发展工作规划,这个规划明确了各个领域以及各个部门密码改造的工作和职责,并且作为一个工作规划在全国范围内发布,其中提到构建以密码技术为核心的新网络安全体系。2019年结合我们的工作规划,等保2.0,包括信息系统密码应用基本要求也陆续发布,用于指导在具体信息化建设中,我们的密码应该怎么应用在具体的信息化建设中,如何开展密码应用和密码管理,等保2.0相对等保1.0的区别就是商用密码有明确的指示在里面,要经过国家密码主管部门核准的密码产品才能进行使用,同时规定要开展商用密码应用安全性评估,来确保新建网络新系统密码应用合规性、正确性和有效性。2019年10月份发布2020年正式实施的密码法,也明确将密评写到了法规的层面,也就是说如何商用密码使用不合规,如果原来说是违规,现在已经到了一个违法的层面。这些举措代表了商用密码收到了国家和各行业的关注,随着各个行业的发展将逐步进入风口期。
随着信息化的发展,密码也在逐步推进和发展过程中,云计算领域,首先从物理机到虚拟化时代,最后进入全面的云计算服务化时代。密码领域也是同样的,传统使用的是密码的硬件设备,近期随着虚拟化技术的演进和云服务的要求,推出了云服务器密码机产品,能够实现云环境下的服务器租用,基于云服务器密码机以及云服务的需求,我们提出了云密码服务的模式来支撑云计算的发展。从这三个阶段来看,私有化部署一直是过去乃至现在仍然大量使用的方式,也就是将密码机部署在数据中心中供业务系统和服务器调用,现在随着政务云以及企业云的建设,这种私有化部署模式已经带来很大的问题。比如企业或者政府部门要使用密码资源,就要协调云的运营商将密码机部署到数据中心中供服务器调用,其实这对人工成本、协调成本以及对网络架构产生改变,会带来一些网络安全的风险。基于这个考虑,密码行业也发布了云服务器密码机,能够实现密码机的虚拟化,提供密码资源池的部署模式,云服务提供商、运营商可以通过在云内自主部署云密码机构建密码资源池,通过虚拟化技术就可以像过去分发计算节点、存储节点一样,向租户分发密码运算节点,可以为各种应用提供密码服务,这是第二个阶段。第三个阶段就是密码即服务的时代,密码服务提供商构建密码服务平台,与云服务提供商对接来提供密码服务,它作为构建在云租户和公有云提供商之间信任的一个桥梁角色,作为一个中立第三方来提供服务。它提供的各种密码应用服务,包括密钥管理、认证印章、数据安全、安全接入这些都属于密码安全服务,基于基础密码服务基础上对外提供,此外还有一些基于密码的特色安全应用,同样可以作为Saas应用在密码服务平台上对外提供。提供这些服务的平台里面托管了用户的各种密钥、用户证书、印章,是具有高度价值的平台,它应该作为中立第三方,所以这个平台的服务提供商应该具有极强的社会责任感和价值感,又从保护国家安全、企业安全和个人安全的角度来维护平台,对外提供服务。总之,通过结合云服务的发展路线,将密码能力与方案输出,可以有效适用云场景下的网络和信息安全的保障需求。
第三部分,结合前面的分析我们提出了云密码服务的体系模型,该模型中以密码管理服务平台为核心,通过标准化的对接可以集成外部的优势产品,包括前面说的密码应用服务能力,包括数据安全、身份认证这些能力,都可以通过标准化对接接口集成到平台里面;为密码管理提供一窗式的管理机制,为租户提供密钥的管理能力、资源的审查和察看以及展示的能力;在密码应用服务,就是基于密码服务,将密码应用服务通过SDK的方式为用户提供,终端层面可以集成SDK,结合用户安全性的考虑,我们可以提供不同安全级别的SDK供用户选择,对于平台侧的应用系统提供基础SDK,以应对它在一些特定场景和专有功能上的密码应用需求;结合一些标准化场景,比如说即时通信、邮件、审批、数据存储这些标准化应用场景下,我们可以提供场景化SDK,从而实现对应用系统的快速集成。场景化SDK的价值在于解决业务应用提供商无法使用密码的问题,二密码产品提供商可能不太懂相关的实际需求,通过在中间构建了密码服务的SDK以解决这一问题,从而实现快速适配,密码管理服务平台可以适应公有云、私有云和混合云等不同模式。在公有云情况下密码管理服务平台可以作为中立第三方,为云上租户提供独立的密码服务,从而保证公有云和云上租户的安全。私有云场景下可以作为密码服务平台,与私有云共同集成建设和部署,为私有云提供密码服务能力。混合云其实就是结合业务需求,通过将部分系统进行私有化部署的方式,来满足混合云的需求。结合整体的部署模式以及四个特性,我们可以构建在云服务过程中的密码信任和密码边界,可以在零信任网络里面建设密码信任,在无边界的环境下建设密码边界,从而达成数据安全化的目标。这里可以有一个很形象的比喻,阐述一下密码的定位,我们可以把数据看作国家的国王,国王需要保护他自己避免被敌人攻击和暗杀,传统手段是通过建设城堡、城墙,建立一个巡逻卫队,建立监控措施,来避免被敌人的侵入,同时保护国王活动环境的安全。密码它对数据是一种贴身防护的模式,密码相当于国王穿了全覆盖的盔甲,他可以通过盔甲来防护其他攻击人员的暗杀,从这个层面来保护数据,因为它将我的防护边界从原来的城墙城堡到了人身的周边,它更贴近数据,它就更便捷更灵活,能够降低成本,同时提升防护的效能。
接下来我说一下疫情期间几种办公场景下密码服务的价值。远程办公场景下,密码服务平台可以为移动办公系统提供存储加密、基于证书的身份安全,在终端层面通过部署证书、部署密码模块,可以保证终端方面的防护,在接入层面终端需要访问平台的时候,在VPN上建立证书的认证机制和传输加密机制,从而保护传输链路的安全。通过终端、存储、身份、接入安全的各种密码技术建立在平台侧的密码信任,以及在传输链路上的密码边界,从而保证远程办公的安全运行。第二种是在即时通信领域,这个图其实是我们提供的企业微信加密服务的概要图,通过密码服务平台的密钥管理系统提供企业微信用户的密钥管理服务,通过密钥管理服务集成SDK,APP集成SDK之后就可以将密码的安全能力在企业微信中集成。企业微信可以将数据进行加密,交互过程中可以通过加密的方式保护数据传输过程中的安全,从而构建密码边界。第三个就是在线签署的场景,这是市场份额最大的,已经有几个独角兽企业。在线签章有两种模式,一种是云签章模式,第二种是本地签章模式。云签章模式更符合互联网的场景,在电子保单、电子合同、电子签约这些业务平台之上,我们通过云签章服务可以为它支撑提供签名和签章的密码运算能力,从而保证保单、合同签约产出物的可验证、可追溯以及合法合规的能力。第二种模式本地签章模式,对应的是传统的电子公文、电子招投标、OA审批,这种场景下需要给用户提供USBKey或一个介质装载签章证书,通过介质进行文件等资料的签署,签署之后产出物同样具有法律效力,能够进行相应的验证。这一场景密码技术的在行为层面建立的信任,结合电子签名法的法规,就可以让在线签署的行为具有法律效力。2月26日进博会举行了首场网络签约会,包括疫情期间远程签约、云签约已经是现在的主流。
总结来看,密码服务管理平台是通过服务化的运营机制、场景化的对接模式、标准化的集成机制来实现密码泛在化,使得密码在互联网空间无处不在,保护大家在互联网中的日常办公、生活、娱乐、出行各个层面的安全,进而能够让我们的密码服务构建零信任环境下的密码信任,能够重构无边界环境中的密码边界,并基于此实现全生命周期下的数据安全。
李光辉:特殊工况企业安全生产保障与腾讯特色安服
“从信息安全总体架构来看,在网络安全、主机安全、应用安全、数据安全、业务安全中,数据安全是核心,尤其是疫情之下在线办公业务暴增,在线医疗、在线教育紧急开发上线,访问高并发的情况下,数据安全愈发关键。”会上,腾讯安全专家咨询中心企业级安全服务负责人李光辉分析了疫情下特殊工况企业面临的安全威胁,详细介绍了腾讯安全的重保安全服务在实践中的成功应用。
我们先从两个大的方向去讲,第一个就是特殊工况。因为新冠疫情的影响,企业的复工可能有一些推迟,但对于信息通讯和科技类的企业来说,线上的办公和应用达到了需要投入实战的状态,我们把目前的工况做了一个抽象化的特殊表示,我们可以从四个部分去看。第一,大量的远程办公开始介入,零信任需要进入实践化的状态。第二,O2O企业,包括在线医疗、在线教育等相关行业会有一些新的机遇,包括增长点,新的数字业务上线如何做到紧急开发中的安全保证呢?第三,目前全球的安全态势会非常复杂,在这样非常复杂的情况下,我们要着重关注哪些相关的威胁面,包括新增的安全情报如何转化成自身的安全建设。第四,我们要着重强调一下数据安全在企业运营中发挥了不可替代的作用。
我们着重分享一下对于零信任六个关键要素的强调。零信任强调的是永远不要信任、永远都要验证,在远程办公实战状态之中,端的设备,包括身份、应用、数据、架构、网络这六个部分如何强化自己的管理,并且把零信任的概念实践到企业生产之中。在整个身份侧需要强调细颗粒度的认证,是强认证相关性的内容,在Devices设备端这块非常强调基于策略进行自身的访问设置,在数据层面,我们也非常强调数据的分类治理与保护,在整个APP,就是应用细分层很多是依托线上的SaaS化服务包括API的引入和调用,这时候要强调一下API的管理和细分化,这里面会有很多安全问题,包括安全治理方向的问题。因为目前是在远程办公的情况下,安全运营工作人员,包括安全建设的小伙伴可能不在公司的现场,这时候就会出现非常严重的问题,当企业遭遇安全事件包括试探性的安全攻击的时候,我们如何进行实时的阻断,这时候会有一个最佳实践产品,它会实时阻断攻击,大家知道很多黑产的复工情况不是特别好,它会在目前的状态下针对企业、基础设施、云端资产进行相关的攻击,这时候相关的AI加上实时阻断架构侧的工具和应用就显得非常关键和有必要。最后一个要素是说在整个网络侧要强化整个网络运营的自动化,同时针对情报进行细分化的管理和认知。这是我们分享的四个部分的第一部分,远程办公情况下怎么样积极推进零信任实践,而且我们需要关注和注意哪些方面。
第二方面,我们以目前的实例进行一个说明。1月28日腾讯云产品中心接到了一个非常紧急的任务,为全国大中小城市做线上化数字应用系统,应用系统主要的功能是帮助我们做疫情的防控,包含四个比较大的模块,第一是疫情人员的自查上报,第二个是疫情的热点地图,查看我们周围有哪些疑似和确诊病例经历的痕迹,第三就是口罩的预约,第四就是引入腾讯医点,会做医疗的科普。当我们1月28日项目端接到这个任务时,整个任务从产品定义上来说为零,1月28日我们用了一天的时间做了产品的定义,做了代码和架构的梳理,同时我们梳理出来非常高效非常有效的安全模型,从全生命周期到整个公有云上的安全防护的方方面面,做了一个整体化的通用解决方案,给到200多个地市抗疫的小程序。这里面有两个方面,也可以让大家借鉴。现在很多企业在公有云、混合云环境中上线自己增量的业务,包括远程医疗、电商O2O行业、线上教育行业、融媒体行业等。这时候我们通过两个层面,第一个层面是在安全的业务侧,包括运维侧、数据安全和环境安全这四个大的方向,我们如何做好安全产品的布防与控制。第一从小程序前端我们会引入相关的HTTP,包括TLS的加密,提升加密传输的级别,业务安全层面我们会先进行Devices抗D的部署,然后接入buff上,整个buff会和抗D形成一个联动,在前端阻挡95%以上的攻击行为,同时开发人员会进行接入,在应用资产的安全侧做安全管理,包括也会引入到相关云上资产漏洞和检测的工具,这里面其实包含了非常多的融合性格的工作量,这也是目前在整个云端主要面向用户群体非常实战、非常有效的工具。同时,整个数据安全层面一直非常强调安全的管理,敏感数据的加密,包括数据备份、数据审计,这些相关的东西都是有非常成熟的模型和产品在公有云服务侧。
整个产品紧急上线开发的生命周期里头需要注重哪些点?1月29日开始开发到目前为止,全国累计在抗灾的数字化小程序上线了100个,总量将近200个,目前已经过半,在这样的情况下我们总结出来一个非常突出的点,就是说在目前的特殊工况下所有企业上线的新业务和应用基本都是小时级的迭代和开发过程,因为整个前端需求会非常高,包括后端交付压力非常大,这时候对于整个安全侧来说,无形之中安全的压力全都落到安全管理全流程的负责人身上。这时我们会注意一个问题,之前我们一直在说因为迭代,包括交付的时间压力导致我们会有很多的安全问题,现在已经压缩到小时级的开发和交付之后,我们的安全问题如何解决,这时候我们通过本次的实战,结合之前相关的历史经验和最佳实践,我们提出在目前新上线紧急开发的产品和应用上,提出了全生命周期的安全服务管理。我们分为三个阶段,第一阶段在风险排查阶段我们会引入,包括前端的APP、小程序、H5页面会有一个多版本的小时级的相关引入,为了配合在目前的开发情况下,如何做到小时级的交付前端的应用以及包括安全测试一定要跟上小时级的前端应用迭代。第二个是漏洞修复、回归测试上也有一套高效流程,会打通前端产品定义侧的同学,项目管理的同学,包括开发人员,包括他们所有的联动和沟通,要求了大家的配合能力、磨合能力非常强,这也是对于企业实战非常大的考验。第三个就是针对整个风险评估、云上资产的评估对要做到全面的覆盖,保证整个资产侧非常安全,虽然很多应用和小程序都采用了微服务的框架,但部署侧的安全和风险评估是非常必要的。剩下的就是关注最近实时动态更新的威胁情报,举一个例子,目前最近这个时间段已经曝出了4到6个非常高级别的安全漏洞,这时候我们要密切关注,因为这时候要做密切的安全情报的更新,更新完之后会把整个流程、积累的相关经验投入企业实践之中。比如最新微软的相关漏洞,这些漏洞如果不进行修复的话,现在进行远程办公端的设备安全态势会受到非常大的影响,进而影响企业安全生产侧的相关内容。持续监测侧会利用云端线上自动化的产品对资产进行覆盖,这个也是非常重要的持续检测,这也需要开发人员、安全运维人员实施远程投入和工作,一旦由于某些环节的遗漏出现了相关的安全事件,这时候如何第一时间做好安全事件的损害管控,如何第一时间做好内部横向安全风险延续的阻断,如何做好一个溯源和审计,这时候也显得非常重要。所以说现在对于所有企业来说,面临的研发安全风险非常高,因为时间的压力,包括威胁情报侧的更新,远程环境下面临的压力比以往多出很多倍。
刚才我们一直强调相关的情报也好,包括目前漏洞的利用情况,给大家综合一下云端、产品端检测到的数据。我们现在看到一个横向的柱状图,这里面表现的是针对目前云上相关的医疗单位,包括一些企业目前遭受攻击地的来源。
举一个非常简单的例子,十年前浑水做空机构想要做空国内的一些线上教育企业,当然借助华尔街,包括相关金融资本力量也没有成功。但是目前线上的医疗行业,包括在线教育行业,已经成为了安全黑产攻击的重灾区,为什么?因为这时候是业务量非常高发的时期,包括这些O2O、电商、游戏都会成为重点的攻击对象,目前全球的攻击态势,同业之间的竞争显得更加激烈,因为我们发现很多攻击源来源于国内、东亚、南亚和东南亚地区,所以说在整个亚洲同业之间可能会存在安全威胁和竞争,这时候更要要求O2O、医疗、在线教育、电商这些行业一直要做好自己的安全工作,同时要关注更新的安全威胁情报,当我们发现并且看到这些威胁情报的更新之后,我们要第一时间做内部的自查,做完内部自查之后,我们一定要看自查过程之中覆盖的点是不是全面,我们做的升级措施、环节措施是不是非常到位,这些都非常重要,因为目前这几个漏洞披露之后,我们得到客户侧的反馈,这些漏洞的利用情况还是非常严重的,这块也是给大家做一个重点的提醒。
接下来我们强调一下数据安全在安全态势,包括安全应用业务里面的重要性。目前为止,从信息安全的总体架构可以看到,从网络安全、主机安全、应用安全、数据安全、业务安全里面,我们会着重强调数据安全的地位,包括需要重点关注的几大块。第一是在等保2.0之后,我们国家相关的合规性,对于国内企业的数据安全,包括数据审计、数据脱敏相关合规性的一些要求,这是我们新的业务和存量业务上一定要关注的点。第二个是关于DLP,包括DLP与云的结合,这块我们如何做好企业自身核心知识产权,包括核心资产的防护。第三就是说如果企业目前有一些出海的业务,我们一定要关注海外相关的,包括GDPR、欧盟、日本、北美最新的数据安全的标准,数据安全会有一些完整的解决方案,包括密钥管理等等,接下来我会讲特色安服,也会着重强调一下数据安全方面特色的安全服务。
接下来我和大家介绍一下腾讯安全在特色安全服务体系中的整体介绍。腾讯安全专家服务体系已经有超过20年的服务经验和实战经验,因为之前在腾讯内部我们也作为非常强的一个支持团队,支持我们自身业务的建设,安全实践方面我们有非常多的安全行业最佳实践建设,包括行业标准规定的参与、全球的安全研究、全球企业安全模型的讨论等等。第二个主要的特色就是说我们有非常高质量的可信赖的专家服务团队,这些服务团队里面所有人员的资力、研究能力、咨询能力、从业经验以及经手的行业项目都在整个同业中处于非常领先的地位。其次,在权威咨询这一块覆盖了金融行业、轨道交通行业,包括智能网联汽车行业,包括金融、能源与电力这些行业,我们都有从业超过15年的产业内的安全专家进行相关高级安全咨询的建设,这是安全服务体系比较重要的三个特性。
对外做安全服务实施的时候会分为三个大的部分,第一个部分是总体的安全咨询,这块分为12个部分,这12个部分可以根据企业的自身需求进行定制化的实施。第二块,整个咨询侧会有垂直行业从业15年以上的安全专家进行亲自的实施,包括安全高阶方案的设计,完全根据企业进行定制化的需求。在应用侧会提供非常强力的安全服务,比较有特色的是腾讯安全渗透测试服务。第三个就是数据安全,数据安全侧我们也提供精细化的数据安全咨询服务,包括数据安全的治理,包括个人隐私的调研,包括数据保护的评估,所有的东西都是非常精细化的模型。整个安全咨询服务侧我们形成了一套针对全行业通用的叫安全重保服务解决方案,它是全站式的解决方案,分为三个大的阶段。为什么推全栈式的解决方案?因为我们发现市场上有一个非常大的痛点,很多安全刚需型的企业进行安全建设时会遇到相应的问题,第一个就是到底做怎样的安全咨询,怎样做安全架构的梳理,这块他会面临很多问题。第二就是安全服务如何做到位,如果能发现安全风险和漏洞,包括安全的基线整改和加固,包括安全资产侧如何形成综合有效的整体提升的安全能力。第三就是说自动化的安全工具和安全产品如何匹配,每个企业引入或者做自己安全建设的时候,或多或少都会遇到这三个大方面的问题,我们就依据这三个痛点,整体的把三个痛点结合到一起,做了一个整体的安全重保服务解决方案,覆盖咨询端到安全服务的实施端,包括安全产品的检验和引入端。这块体现了一下安全价值,很多企业在我们遇到的一些存量客户,包括新的增量客户当中,所有行业做数字化转型之中,大家的安全建设思路需要一个新的力量去更新,因为传统企业做数字化转型中还是抱着被动防御的安全理念和思维,我们推出重保的整体解决方案也是为了从咨询、高端建设、架构的梳理、技术标准的制定到整个安服的设施和产品的检验和引入,一次性的形成主要对抗时代的安全建设综合体系和能力。
重保行业解决方案第一块是咨询侧,大家可以根据自己的需求选定咨询侧相关服务的内容,在整个安全服务侧也会提供相应的现场值守、内外网深度测试,包括相关的应急相应等等服务,包括安全产品的部署和引入,所有内容都可以定制化并且灵活组合,根据每个企业不同的需求进行打包的配置。
也和大家分享一下腾讯安全专家渗透测试服务团队,之前大家了解比较多的是在行业里头,尤其是智能网联汽车行业,包括物联、公共设备,像BMW、特斯拉这些标杆案例的发布,在整个国内国际包括网鼎杯、强网杯这些国家杯,包括2017年之前我们参与了海外的比赛,我们取得了一些不错的成绩,这也是我们专家渗透测试服务非常大的一个亮点,我们对于技术的要求是非常高的。整个渗透测试团队去做一个渗透测试项目的时候,在技术侧的标准要求下,我们会给到一个完整的白皮书,这个白皮书大概有70页左右,而且每一周或者每个项目完成之后,我们对会内部的安全标准或者测试实施标准进行更新。同时,也跟大家介绍一下腾讯安全专家服务中心对安全产品有一个在全国范围内最新的安全迭代和定义,如果之前按照安全建设的“人天服务”方式会遇到很多问题,很多客户会抱怨人天怎么核算和定义,内部如何在项目中做量化的管控,所以我们首先在全国范围内推广安全服务产品的迭代,曾经的人天计费我们会改成客户产品或者客户系统应用层级,包括数量计费的体系。同时,为了加强安全实施的成熟度,包括交付的满意度、交付的质量,我们对所有参与的客户都会提供满意度的调查问卷,这是非常丰富的问卷,从第一步售前的接触到项目的整改,包括完成之后的复测,这里面涉及的方方面面都会在问卷中有所体现,并且把这个交给客户,让客户对安全专家,包括渗透测试专家、咨询评估专家进行一个量化的打分,也进行一个客观的考核。
这是目前包括之前服务的一些客户案例,也是基于腾讯云在整个行业的广泛布局,目前我们的客户除了大交通领域的车企,包括中国国航、南航,再衍生到金融行业的银行、互联网金融、消费金融,再到出行领域、零售领域,包括通讯的基础设施供应商、移动设备制造商,O2O领域以及游戏、视频、在线流媒体,也包括很多国家政企类的政务数字化内容。
郑威:疫情防控新技术应用安全分析
中国信息通信研究院安全研究所行业部副主任高级工程师郑威在分享时提到,云计算、区块链、人工智能等新技术在此次新型冠状病毒疫情防控中得到广泛应用,提升了疫情防控效率、加速了病毒技术研究、推进了测温手段智能升级,但其在应用过程中出现的信息泄露、网络诈骗等安全风险也不容忽视,企业应重视新技术在疫情防控中的安全应用。
‘从国家的顶层设计、法律法规等标准规范文件来看,从“十三五”规划开始,要求加强建设数字中国,推动物联网、云计算、人工智能等技术向各行业渗透融合。国家卫健委发布的《健康医疗大数据标准安全和服务管理办法》中,也重点强调了网络安全工作的重要性。信息技术在数字医疗领域的融合为安全业务带来了新的机遇,AI、大数据、医疗上云、区块链等技术的应用场景潜在着大量的网络安全风险,预测到2025年AI应用市场的规模将达到1270亿美元,而数字医疗领域估计占比为20%。医疗上云是业务趋势,从调查报告来看,33%的医院采用的公有云未来还有较大的增长空间,大数据的区域中心、产业园区的国家试点相应推出,大数据应用、采集、传输、处理、存储、使用等全生命周期的安全规范值得企业关注,包括区块链等新技术的应用都值得进一步的探索。我们安全所(中国信息通信研究院安全研究所)也在支撑各相关行业的主管部门建立监管机制、拟定标准规范。
国内外的疫情防控总体形势严峻,1月25日党中央成立的疫情防控工作组建立联防联控的工作机制,最近一周(2020年2月最后一周)我国确诊病例数量趋于平稳,疑似病例逐渐降低。AI技术的安全应用,提高了疫情防控的工作效率,加速了冠状病毒的技术研究,促进了社区的疫情防控,并推进了测温手段的智能升级,比如腾讯的觅影CT设备用AI的算法实验了秒级的肺炎识别。
重点想和大家分享大数据安全的应用在疫情防控期间的重要作用。我们几乎每个人都是移动通信网络的用户,通过手机各类APP汇总的大数据主要分为三大类:第一类电信大数据,主要来源于电信、移动、联通三大运营商,其核心为手机的信令数据,基于手机的信令数据,几乎可以全覆盖的获取用户精准的定位、近期流动的去向情况,通过手机在各地区的漫入漫出情况,可以查询用户的动态流量。手机用户可以借助运营商的漫游查询来证明自己的个人轨迹,电信、移动、联通可分别发送查询漫游地的5个首字母加身份证的后4位,经运营商的许可授权可查询自己15天到30天内的手机漫游地区的地址。第二类互联网大数据,核心的数据包括了定位的数据、导航数据、支付数据以及地址数据,这些大数据可以勾勒出用户的行为轨迹和生活习惯,在了解人员动向、预测潜在的风险方面具备巨大的优势。第三类公共交通、公共场所类的大数据,主要来源于公共安全的系统,核心的数据包括飞机、火车、汽车等交通数据以及酒店、社区等居民数据,运用该类数据我们可以了解特定时间段内已感染、疑似感染、接触人群等敏感人员的移动轨迹,从而形成二次或多次传播的态势分析。从政府部门到企业均借助大数据技术开展疫情防控工作,1月27日工业和信息化部作为电信和互联网行业的主管部门,召开了疫情防控的大数据工作部署会议,由中国信通院负责支撑建立全国的大数据平台,31省的通信管理局也按照工信部的统一部署协同联动,与各省的通信管理局、各省的指挥控制部对接沟通,了解属地的疫情防控情况,并且对接大数据的需求,组织了电信、移动、联通三家基础电信企业开展相应的大数据防控工作。
众多互联网工具和解决方案以及网络防护能力,为全国抗击疫情极大提升了效率。云计算医疗上云为疫情防控提供了资源的服务,包括腾讯会议、企业微信免费提供了不限时的会议功能,包括腾讯安全为企业提供了网络安全相关的护航计划,腾讯云为系列的高校实验室免费提供了云超算的能力。区块链的技术,区域中心防丢失、防篡改、可溯源的特性,也保障了防控信息的公开透明。
疫情防控过程中的安全保障,尤其是联防联控过程中的个人信息保护也是重中之重。在国标《个人信息安全规范》中提出了个人敏感信息的概念,本质上采取了场景式的定义,与欧盟的GDPR逻辑相同。国标定义个人敏感信息为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息”。在当前疫情爆发的背景下,武汉市民及从武汉返乡的人员几乎被等同于新冠肺炎高危人群,姓名、家庭住址、身份证号码、联系方式等信息被用于隔离劝勉等目的,因此平时被视为个人信息的姓名、家庭住址等信息应该升格为个人敏感信息并进行保护。我们在刷短视频时也会看到个别的举报、辱骂,甚至是殴打武汉返乡人员等负面信息,尤其是各类社区采集流转的个人信息,其数据的安全问题值得我们关注。
我们有很多人员在疑惑普通百姓的个人信息被用于大数据处理是否合法合规,法律赋予人民政府、卫生行政部门、疾病预防控制机构、医疗机构等进行信息收集、分析的授权,人民政府可以在突发公共卫生事件应急预案中,将信息收集、分析的权力再次授权给相关的部门,且法律要求任何单位和个人均应该配合,其中包括相关个人信息的提供。我们应该关注疫情信息从采集、披露、应用等全周期的个人信息保护,我们也希望企业能够提供自动化的产品与解决方案,通过安全的标准化产品来规范数据的安全应用。我们也监测到一些新冠肺炎热点相关的APT攻击,企事业单位和个人都应该强化网络安全意识,通过技术手段提升安全防控能力。远程办公所引发的安全风险与市场机会是安全企业面向2B领域的重要契机,疫情期间我们同样需要警惕电信网络诈骗,包括购物类的各种口罩、双黄连、消毒、特效药物的抢购等,冒充类的捐款献爱心等,退费类的机票、火车票、酒店订单等信息。
最后是安全相关的工作思路以及建议。新技术在疫情防控工作中的安全应用,我们应该关注、预测、防控、诊疗、恢复四大方面,对于行业的主管部门,各部委应该加强协同合作,建立数据的互联互通渠道,并鼓励新技术在疫情防控中的安全应用,推动数字医疗与ICT技术的融合发展,并建立数据安全的具体标准规范,推进监督检查。疾控部门、医疗机构应协助新技术在数字医疗各场景的应用和推广,控制网络和信息安全问题,积极做好安全防控措施。各企事业单位应该发挥技术领域的优势,注重可落地的安全应用,强化安全意识,建立安全机制,提升防控手段,落实安全责任。普通的民众不要轻易打开来历不明的电子邮件及其附件,不轻易点击不明的链接,从正规的应用商店或官方网站下载应用程序,使用杀毒软件并技术进行升级。
中国信通院安全所也和工信部建立了国家级的威胁信息共享平台,我们也欢迎各位向我们报送疫情相关的威胁信息线索,切实维护网络秩序和公共利益。
刘斯宇:企业级远程办公的安全体系建设
“随着远程办公的大量运用,企业网络运营状况也发生重大变化,访问高并发,在大流量的情况下,终端安全、数据安全、网络安全都面临新的威胁和挑战。”北京天融信科技集团战略合作中心总经理刘斯宇分析了远程办公环境下网络安全环境的变化,并提出防护建议。远程模式打破了原来的稳定状态,企业需要寻求远程办公的开放性与企业网络环境及数据安全性之间的平衡,一方面要做好远程办公的应急安全加固,包括终端安全加固、远程网络加固,同时加强办公安全意识教育,提升员工网络安全意识,保障远程办公安全。
在开始今天的分享之前,先说明一下,我们现在疫情控制期间,主要面临的场景是在家办公,在家办公是远程办公的一种。这两个有什么区别呢?美国2010年颁布了一个《远程办公加强法案》,这个法案的背景和我们现在的情况类似,因为在2009年美国爆发了H1N1,那时候美国在家办公的趋势直线上升。据最新的统计显示,美国在家办公的比例在37%左右,如果排除自由职业、兼职等,仅计算全职的工作人员,大约是接近1/5,这1/5的人是公司的全职员工,只是不用去公司,长期办公地点在家里,这样就可以让我们做一下参考了。
我今天要分享的内容,先是从企业本身的情况去分析说有哪些情况需要做远程办公的,他们会采用什么样的情况做远程办公。第一个,我们先来看战疫期间远程办公典型的场景,第二个是对常见应用环境的分析。我们以面对面的接触频率和我们现在与专业设备的接触频率来做分类。以面对面接触的频率来看,我们有部分是需要进行远程办公的和不需要进行远程办公的,这两种的差别在于,当我们需要远程办公的时候,通过衡量人和设备的依赖程度来区分。当不需要和专业设备、固定场景打交道的时候,就可以采用远程办公。与之相对的是说当我需要面对面,而且我对专业设备依赖程度非常高的时候,这时候需要的并不是远程办公,而是自动化。但是当我们不依赖于面对面交流的时候,这时候是反过来的,当不需要和专业设备交流的时候,这时候采用远程办公和轮岗式的集中办公,以及当对专业设备需求不高的时候,这时候采用远程沟通的形式为好。具体到按照角色来分类,企业高管、销售外勤人员,这些人员面对面接触频率比较高,但我们对专业设备和固定场景的需求度比较少,这部分也是现在很多公司已经使用的远程操作模式处理公司业务。相对而言,比如在生产线上、供应链上的人员,就只能依靠在现场,因为他需要依靠现场设备做这些事情。这就是我们按照角色进行区分远程办公场景的内容。
如果以规模来区分,大致有中小型企业、咨询&设计&培训&服务类企业、大型集团企业和互联网&IT企业等四种情况。中小型企业本身对于业务和对于工程的依赖并不高,进行文档处理的时候集中办公的需求也高,两三个人就可以把流程完成;咨询&设计&培训&服务类企业以人力方式提供各类专业服务,不依赖专有硬件设备,但是需要频繁地做面对面的交流,才能把流程和业务以及工作推进下去;大型集团企业的业务形态复杂,而且人员众多,存在复杂的协同办公,往往一个流程涉及多个部门和大量人员,还可能是在异地协同的;互联网企业或者IT企业业务不依赖或极少依赖于专有硬件设备,对面对面接触的依赖较低,而且本身又适合维护一整套完整的远程办公体系,这样的体系可以帮助提升业务效率。
远程办公大概会有几种形态。说是形态,也可以理解成阶段,初期是不采用专业的远程办公方式,小微企业利用QQ和微信直接进行联系,把一些文档在互相之间进行传递,这就可以进行简单的办公。当我们进行复杂一些办公的时候,就要开始使用第三方线上的办公软件,比如说现在在用的腾讯会议、企业微信,以及2月3日复工之后启用的各种远程工具,帮助我们形成组织化、规模化的办公形态。当我们进入到规模化的业务数据和敏感的资料以及复杂的协同流程的时候,这时候就要建立起一整套完整的远程办公体系,同时就是自建远程办公配套的安全规划和安全体系,这个就是我要介绍的内容,叫做企业级远程办公的内容,下面看一下针对企业级远程办公的安全分析。
远程办公在疫情期间存在两个比较突出的点,第一点是访问量的高并发,原来我们针对远程办公,我们所使用的资源是有限的,因为我们在平时并不会储备大量的并发授权和带宽用来接受全部员工都从远程访问办公网络,这种情况下在疫情期间突然间的爆发,带来了设备的承载压力,同时也带来了运维方面的压力;原来的数据只在办公网内进行流转,现在流转出来之后,到了员工远程办公使用的PC或者网络中,而这些设备可能并非是专用的办公设备,没有达到可以满足办公的网络安全防护条件;出现这样的情况主要在于疫情的来临是突然的,我们的准备和资源储备是有限的。对于这样的情况存在有哪些安全风险呢?大致会分成四类的安全风险,第一类是终端风险,员工准备的办公设备,因为疫情期间刚好是春节假期,很多人的办公电脑并不在自己当前使用的环境中,导致临时使用的电脑终端环境不那么理想,同时使用的网络也可能是家庭网络或者公共网络,不是专门用于办公的网络,这个过程中所使用到的数据就需要从公司的内网转移到现在所使用的公共网络,再传输到现在所使用的这台在家办公的电脑上,这个过程数据在转移过程中存在比较大的安全问题;同时在此期间,我们又面临很多钓鱼网站或者是恶意攻击,在这个特定的时期其实有大量的木马、钓鱼邮件“浑水摸鱼”,他会借着疫情的主题和办公的名义吸引大家查看这样的内容,多数情况下,我们在家办公的环境中并没有针对这样的攻击做相应的防范,这样的防范在办公环境中本来已经被防御得很好了,但是换到家用环境中,这种风险就会再次出现,而且危害更大。
出现前面说的这些情况,主要的根源问题是什么呢?可能有以下几个方面,我们的安全体系在建设过程中是不够完整的,人才安全培训的意识是不到位的,对于相关的应急储备和应急响应措施也是不足的,这里面所对应到的本质是说,当数据从原来的稳定状态和本身已经建立起的安全环境中移出了原有的环境,这个环境或者说安全域被打破之后,它对于安全性的要求就和我们在家办公的场景产生了冲突,这个冲突我们要解决是,办公的开放性和环境安全性之间的平衡,解决这样一个平衡的原则就是要符合相关的法律法规,来确保我们做的事情有理有据有标准可依。
我们再来介绍一下远程办公的需求在疫情整个生命周期的发展流程,疫情爆发初期正处于春节假期期间,对远程办公的需求不大,大多数单位只有部分用户启用了有限的应用,多数用户浅尝辄止;疫情爆发的中期正处于春节假期结束之后,对远程办公的各种需求应运而生,大量在线用户的高并发导致业务压力骤升,资源储备和功能应用不足;疫情爆发的观察期也就是全面复工之后,远程办公的各种应用模式也进入了观察期,面临各种深度考验,前期忽略的安全问题频发,应急响应资源紧缺;疫情爆发的后期,已经建立起企业级远程办公安全体系,经过了各种深度考验,不仅应急措施到位,还在解决前期的安全问题基础上,广泛深入的考虑了各种安全威胁和隐患,为长期稳定运营远程办公,优化业务流程做好了充足的准备。针对这样的分析来看,我们现在处在的阶段是第三到第四阶段。
下面介绍疫情期间远程办公的应急处理,主要有两大分类,一个是要做应急的安全加固,另外一个是做安全意识的教育。现在最迫切的是做终端的安全加固,现有环境中解决终端的问题特别重要,大量的安全问题出现的点就是在终端上面,由于大多数人在使用的终端并不是原本的办公终端,或者说本身我们对这些终端的使用过程中并没有做很好的加固和控制,导致我们准备的环境是不充分的。因此与刚才几位专家都提到的一样,终端是我们要做应急的第一项工作。第二项加固工作是做远程的监测,这个过程中要确保企业级的整体业务一直处于稳定运行,包含对于网络的可用性、对于业务的完整性和服务的脆弱性以及包括舆论性的监测内容。除了终端和网络,接下来很重要的一点是关于数据交换的加固,这次企业远程办公过程中,最大的一个变化就是我们有一部分数据需要从内网交换到远程办公者的终端上,远程办公的数据持有者和数据使用者大家都处于远程办公的状态,这个过程当中需要提供一个完整的流程来去确保这个数据的使用安全,这是保证远程办公安全体系建设处于合规的重点。第四项加固工作,及时更新威胁情报是前面专家都提到的内容,安全情报的利用有助于我们实时掌握最新的攻击和最新的漏洞情况,这些是我们应急加固能力的投入点,以及可以让我们及时进行防护的响应点,接收最新的情报信息,并且把它应用在防控安全落实的点上,我们可以看到威胁情报会把预警响应的信息落实到实际所管控的各个点上,从而实现良好的管控效果。
此外,要强调安全意识。大量的员工处于在家办公的状态,以北京为例,北京新冠肺炎防控工作新闻发布会上提到,北京企业的复工率是2/3,这2/3的企业中到岗率是1/3,这就说明有大量的员工利用个人的设备即BYOD接入公司的网络,这个过程中个人的应用以及办公的网络安全习惯,还有场景的内容都需要从相关环节上进行重视和培养。除了个人意识之外,还有企业一级的安全意识提高,首先有国家安全事件的各种通报,其次还有像腾讯今天组织的安全沙龙分享,都是有助于我们在这个过程中提高应急响应的意识,以及有一些好的工具、好的技术、好的方式和方法能够让我们及时实践提升安全能力。
企业级的远程办公安全体系应该如何构建,我们看一下安全框架和解决方案。这里提供的是远程办公的网络安全框架,它基于远程办公的过程中,去强调我们要做整体的安全检测、安全防护,通过感知和协同的方式做到动态的防护和聚力赋能。网上最近有一个段子是说,如果公司再不复工的话,领导可能会发现没有我也不影响公司的收入。这个段子很有意思,但侧面说明了一件事情,并不是所有的业务都需要在企业级的内网中面对面的实施,实际上有很大一部分内容可以放到远程办公框架体系中运行,这样的运行是提高效率和解决业务痛点的一个很好的方式。一旦我们在现在的形势下发现了远程办公的优势,虽然远程办公的需求总量会随着疫情周期逐渐减少,但会把平时远程办公的需求总量增加,一旦发现了远程办公的优势和好处,就会把一些业务由私有化的内容转成云化,或者转成远程移动办公的形态,这种办公的形态刚好对应了我在开场时提到的美国《远程办公加强法案》,实际上导致美国在家远程办公人数逐渐增加的趋势,核心点并不是疫情,美国2009年爆发了疫情,为什么2010年之后出了法案,同时2010年之后远程办公每一年的比例还在逐年上升?主要的原因是因为把基础设施建设好了。这次的疫情刚好也是一个机会,让我们把远程办公的基础建设好,这样的基础一旦建设好之后,我们就会发现有很多的场景可以通过远程办公的形态提高工作效率。
下面我介绍一下针对企业级远程办公的网络安全体系整体解决方案。在我们现在的远程办公环境中,首先要采用分级分类的方式把场景进行具体化,不同办公场景的办公人员予以不同级别的解决方案;其次,全面防护,需以全面合规作为原则,在区域边界、计算环境、通信网络等各个层面进行安全防护;最后是技管结合,需让技术措施与管理措施并行,互相促成,构成完善的远程办公安全建设体系。按照NIST标准,我们提供两种解决方案:采用隧道架构以及远程桌面访问架构。这样的解决方案中,根据不同的业务和不同的人员进行区分,区分了这些人员之后,我们可以看到他在每一种场景下面哪些是长期存在的,哪些在不影响工作进度的情况下可以进行开放的。在企业中,远程办公的角色可分为,主要采用隧道架构的一般员工以及运维人员,主要采用远程桌面访问架构的敏感员工和开发人员。对于数量众多的一般岗位员工,需在个人BYOD设备部署终端威胁防御,通过VPN连接到公司网络中,最终访问以超融合承载的常规内网办公系统,达到安全远程办公目的。在产生数据交换需求时,通过数据安全交换云进行远程办公期间的数据交换,从而保障一般员工办公环境的数据安全;对于运维岗位员工,在除了和一般员工相同的办公场景外,还需要通过VPN连接到公司网络中,最终访问部署在运维管理区的堡垒主机,通过堡垒主机,进行网络设备和安全设备的安全运维,同时由堡垒机进行运维行为的审计;对于敏感岗位员工,在一般员工的办公场景外,还需要在个人BYOD设备上部署云桌面系统,通过VPN连接进入内网部署了云桌面的超融合服务器,通过云桌面数据不落地的方式,进行敏感业务系统的敏感数据处理,从而保障公司核心数据的安全;对于开发岗位员工,一些开发工作依赖于之前在公司内网环境搭建的专业IT环境,远程办公时,在一般员工的办公场景外,还需要在个人BYOD设备上部署云桌面系统,通过VPN连接进入内网部署了云桌面的超融合服务器,访问之前在线下工作时常用的业务环境,从而调用公司内网计算资源,以及保障开发人员开发或者维护的公司核心数据资产不外泄。
吕一平:腾讯安全“疫情”观
腾讯产品安全运营部总经理吕一平从短期、长期两方面分析了疫情对产业发展的影响。从短期来看,工作和协同模式由线下转向线上,疫情让远程办公、远程教学成为刚需。从长远来看,将有更多的行业在数字化和互联网方面支持核心业务和工作的开展。例如,从客户角度来看,客户营销模式、触达客户的渠道、交付客户体验和价值方式会产生变化;从公司运营角度,核心业务的模式、业务资源投入的侧重点、成本结构、人员能力结构也会发生变化;从行业生态角度看,供应链体系企业间的协同模式和商业模式同样会出现变化。
我和大家分享一下腾讯安全在疫情期间做的一些工作,包括我们怎么看待这次疫情带来的线下转线上的趋势产生很大变化以后,一些长远的看法。
疫情期间,腾讯云在抗疫期间整体投了2亿的费用在抗疫小程序的开发工作中,主要是帮助地方政府处理疫情期间触达用户的工作,包括居民的信息收集、口罩预订等等各方面。其实你会发现安全在里面起了非常关键的作用,所有的疫情小程序都收集了大量的用户数据,特别是包含了很多敏感数据,包括身份证号、手机号、家庭住址,很多敏感信息都在小程序里面传递。到目前为止,我们已经帮助全国各地小程序安全上线了一百余个小程序,这也是我们为抗疫胜利所做的努力。春节开始我们就一直在忙这件事情,也发现了一个变化,抗疫前期我们配备的小程序是居民信息统计、口罩发放、隔离人员的信息同步等等,复工以后对于流动人口的统计,包括腾讯的健康码,最新的统计数据已经覆盖了全国超过7亿的居民。很多的企业和很多的地区都利用健康码作为是否能复工的标准。你会发现这些在线的服务从数据安全的角度来讲非常重要,特别是腾讯安全小程序上线的开发时间非常紧,任务很重,我们是全力投入,用高质量的产品和服务,包括我们的能力体系,最终保证了抗疫在线服务和小程序的顺利上线,能够为抗疫做一些贡献。
我们也能看到复工复学以来,工作的模式、协同的模式由线下转到线上,我们也看到了一些突出的领域,比如说零售电商,包括像教育在线化的变化是很明显的。从短期的角度来看,随着疫情的逐渐好转,复工复学会是下一阶段最重要的任务,远程办公、远程学习是一个刚需。腾讯安全目前已经有成熟的面向复工复学的安全防控方案,可以帮助大家尽快恢复生产和学习,为大家正常的线上工作和学习提供保障。但是我们还在继续往前看,从长远的角度来看,办公和远程学习是最基本的线上需求。但是我们看到的趋势是更多的行业会在互联网和数字化方面会支持核心业务的开展,这个带来的变化就更大了,并不像远程办公重视保证数据安全、接入安全这么简单了,行业的核心业务会从线下转到线上,商业模式也会发生变化。比如核心业务线上化以后,从客户角度来讲营销模式变化了,触达客户的渠道也变化了,交付客户体验和价值的方式也会发生变化,最终我们以什么样的产品、什么样的方式交付给用户,可能也会从线下走到线上,这是从客户的角度。
从公司运营角度来讲,核心的业务模式发生变化了,业务资源投入的侧重也会发生变化,更多的资源会更多的向线上倾斜,包括公司运营的成本结构也会发生变化,线上投入和线下投入的占比也会发生变化,包括对于人员能力的结构也会发生变化,线下的业务模式和运营模式和线上的业务模式、运营模式对人员的要求也是不一样的,我们怎么样应对这样的变化?
从行业生态来讲,特别是针对一些供应链体系特别长的行业,供应链体系企业间的商业模式也会发生变化,比如很多政府通过云签约的模式代替了线下的签约,包括制造企业采购的模式也从线下转到线上,大家可以看到数字化和互联网化的变化越来越多的会和核心业务进行强结合,这个过程中对安全就提出了更高的要求,怎么保障业务的可用性和安全性。特别是有些业务的数据会离开可控网络,可能会走到互联网上,我们怎么保障安全性,这一方面腾讯也做了思考,行业客户转型过程当中怎么保障相应的工作。
我们有一个观点,我们看到各行各业有很多新的趋势,大量的新技术从数字化和互联网化进入到传统行业当中,这些新技术的应用和原来传统行业的专长和能力是不太匹配的,对他们来讲都是新的能力、新的技术和新的知识,所以说这个其实是需要一个大协同的工作,我们怎么样能够和传统行业的企业客户一起配合起来,然后做一些知识传递、能力传递,做好方案的工作,能够配合传统行业进行转型过程当中的安全。所以我们的观点是什么呢?随着大量新技术的引入,安全不能成为行业数字化转型的绊脚石,我们需要更主动更积极地思考怎么去应对数字化新场景下面的新的安全风险和挑战,能够为行业客户做好保驾护航的工作。从短期来看,我们做好抗疫、做好复工复学。从长远来看需要深入理解行业客户的需求,我们会投入更多的精力和资源为行业客户量身定制相应的行业安全解决方案,助力数字化转型和互联网化的工作。
产业互联网时代,腾讯安全将联合生态合作伙伴发挥最大协同效应,为产业客户提供更优质的安全解决方案,共同推动产业互联网的健康发展。
关注腾讯安全(公众号:TXAQ2019)
回复产业安全思想会获取演讲PPT
或者扫码进入小程序阅读。
– END –
腾讯安全正在护航产业安全
– 政府机构&综合性国企 –
国家市场监督管理总局 | 深圳宝安区政府 | 公安部交科所 | 深圳金融办 | 信通院 | 深圳公安局 | 招商局集团 ……
– 金融行业 –
中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光大银行 | 微众银行 | 交通银行 | 富途 ……
– 交通行业 –
如祺出行 | 祥鹏航空 | 电科航电 | 蔚来 | 深圳地铁 | 国铁吉讯 | 广汽集团 | 上汽集团 | 滴滴出行 ……
– 零售行业 –
贵州茅台 | 蒙牛乳业 | 东鹏饮料 | 家乐福 | 洋河酒厂 | 永辉超市 | 宝洁 ……
– 互联网 –
同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | YY直播 | 快手 | 知乎 | 熊猫直播 | 京东 | 顺丰 | 蘑菇街 ……
腾讯安全的一手干货,你也“在看”吗?
↓↓↓
