業(yè)務的安全穩(wěn)定發(fā)展無疑是所有企業(yè)的重要發(fā)展目標，但影響企業(yè)業(yè)務安全的因素眾多,，尤其在信息化時代,，數字化轉型幾乎已經成為所有企業(yè)的必選項，這讓企業(yè)的業(yè)務流程變得更加復雜,，同時也面臨著更多的風險,。要保證業(yè)務不會被不法分子通過設備漏洞攻擊、流程缺陷等問題所威脅和破壞,，企業(yè)組織必須積極建立起與業(yè)務數字化轉型步伐相匹配的新一代業(yè)務安全防護體系,，實現企業(yè)業(yè)務發(fā)展的長治久安。

　　本次牛人訪談我們邀請到了芯盾時代的聯合創(chuàng)始人,、CTO孫悅,，共同圍繞企業(yè)業(yè)務的安全發(fā)展進行了深入的探討，芯盾時代結合自身的實踐經驗向我們展示了，新一代業(yè)務安全防護體系的重要意義和構建方法,，共同探討了零信任等熱門技術理念對業(yè)務安全發(fā)展的重要意義,，并對業(yè)務安全的防護發(fā)展趨勢進行了分析預判。以下是訪談內容：

　　芯盾時代聯合創(chuàng)始人,、CTO,，曾任中國移動研究院安全產品部負責人、總經理,，北京郵電大學碩士,，率先提出以人為核心的業(yè)務安全理念，開創(chuàng)性地解決開放網絡環(huán)境下各行業(yè)在數字化發(fā)展過程中遇到的業(yè)務安全問題,，推動零信任業(yè)務安全產品在1000余家金融,、政企、運營商,、互聯網等大型客戶落地,，為3億+用戶提供業(yè)務安全防護。承擔多個國家級和省部級重大專項研發(fā),、產業(yè)化,、成果轉化項目。多次獲得部委級信息科技風險管理課題一等獎,、二等獎,。

　　目前，企業(yè)數字化轉型已經走向深入,，當越來越多的業(yè)務數字化后,，其應用安全面臨著哪些新挑戰(zhàn)？新一代業(yè)務安全防護體系該如何構建,？

　　孫   悅

　　在數字化轉型的大環(huán)境下,，企業(yè)業(yè)務安全面臨的新挑戰(zhàn)來自于業(yè)務環(huán)境和網絡環(huán)境的變化。

　　過去,，無論是大型上市公司還是中小型企業(yè),，業(yè)務系統相對封閉，大家的安全體系都以邊界防護產品為核心,，重點關注的防護對象是服務器,、網絡設備等網絡基礎設施。

　　2010年之后,，移動互聯網,、云計算、5G快速普及,，數字化轉型逐漸加速,，企業(yè)的各類業(yè)務不得不開放在非封閉的網絡環(huán)境里。尤其在疫情之下，很多員工遠程辦公,，企業(yè)內網必須更為開放才能滿足業(yè)務需求,。內網環(huán)境的開放帶來了很多基礎網絡設施之外的業(yè)務安全問題，安全防護重心也由原來的設備安全逐漸轉向業(yè)務安全,。為了應對隨之而來的新挑戰(zhàn),，企業(yè)需要建立新一代的業(yè)務安全防護體系。

　　要建立這個體系,，首先要確認參與業(yè)務流程的”人“的身份,，因此”人“是業(yè)務安全的核心。確認身份之后,，還要繼續(xù)確認這個”人“在業(yè)務流程中的行為,，通過對行為的分析與控制，最終構建一個兼顧安全,、體驗,、成本的信任模型，保證業(yè)務流程和業(yè)務系統的穩(wěn)定,、安全,。

　　這是一種動態(tài)的業(yè)務安全防護機制，與過去靜態(tài)的防護方案相比,，這一變化順應了數字化轉型下各行業(yè)的發(fā)展需求,，也促進了零信安全理念的發(fā)展和落地,。

　　企業(yè)在建立以人為核心的新一代業(yè)務安全防護體系時,，應重點關注哪些方面？

　　孫   悅

　　結合芯盾時代的實際經驗,，我認為要構建以”人“為核心的業(yè)務安全防護體系,，應該從”人、物,、事“三大維度出發(fā),，建立連續(xù)性和自適應的業(yè)務安全管理體系。其中,，”人“指業(yè)務流程中的參與者,；”物“指承載”人“的設備，比如手機,、PC,、物聯網設備、車聯網設備,，以及設備中的系統程序,；”事“代表行為，即業(yè)務流程發(fā)生時的所有行為表現。

　　首先,，對”人“的身份認證管控,，需要改變傳統的靜態(tài)認證管控，實現連續(xù)和自適應,。舉個例子,，傳統的使用密碼或證書的認證管控均是基于靜態(tài)的規(guī)則，只要輸入正確的密碼,，就判定訪問身份是安全的,，這種方式在業(yè)務場景里存在巨大的安全風險。而基于”零信任理念“的身份認證管控必須貫穿于業(yè)務訪問流程中的所有環(huán)節(jié),，不再僅限于登錄那一刻,。管控策略也不再局限于放行或阻斷，而是可以自動執(zhí)行多因素認證,、安全提醒等多種管控手段,。

　　其次，在”物“的維度,，需要實現對終端設備的威脅感知,。在業(yè)務流程中，”人“需要使用設備訪問后臺資源,、獲取各種權限,。如果設備安全無法保障，很多安全風險也就無法控制,。以銀行App為例,，如果App不具備終端設備的威脅感知能力，那轉賬,、交易等行為的安全性就無法保障,，會帶來嚴重的金融安全風險。要保證”物“的安全,，涉及到大量終端安全防護技術,，比如設備指紋、數據沙箱等,。

　　最后一個”事“,，是指對人和物發(fā)生的行為進行分析決策。想要實現這一點,，需要為整個”零信任業(yè)務安全平臺“構建一個風險分析模型,。它相當于整個體系的”大腦“，通過它去分析,、判斷訪問行為是否存在安全威脅,。威脅感知為它提供數據來源,，相當于眼睛和耳朵，認證管控執(zhí)行它下發(fā)的策略,，相當于雙手,。

　　特別是像銀行這種有C端用戶的企業(yè)，采用了新型的業(yè)務安全防護體系后,，其業(yè)務安全就能夠得到更大程度的提升,，這也是以人為核心的新一代業(yè)務安全體系中連續(xù)性和自適應性的體現。

　　企業(yè)用戶如何才能實現業(yè)務安全防護的連續(xù)性和自適應性,？

　　孫   悅

　　想獲得新一代業(yè)務安全防護的成功實踐,，可以先從兩個方面著手：

　　首先是實現對威脅風險的態(tài)勢感知，尤其是用戶設備威脅風險的態(tài)勢感知,。我之前提到過,，在業(yè)務訪問流程中會涉及到大量的終端設備，來自B端,、C端,、E端的用戶。以企業(yè)的C端用戶為例,，想要實現對他們的態(tài)勢感知,，可以在他們的終端上增加設備指紋、簽名驗證,、安全基線檢查等手段,；對于E端的企業(yè)內部員工，辦公過程中產生的數據都要落到他們的設備上,，要保證這些數據被安全下載,、查看和使用，可以采用數據沙箱等防護手段,，避免數據被惡意人員竊取,。

　　第二,，要建立有效的用戶行為分析模型,，基于模型，對用戶的操作行為進行風險評估和響應處置,。行為模型的建立,，需要數據規(guī)則引擎和機器學習模型兩大技術。數據規(guī)則引擎的要求有兩個,，一是”功能全“,，引擎中有大量人工經驗抽象而成的規(guī)則，這些規(guī)則要足夠全面,，盡可能覆蓋所有業(yè)務場景,；二是”性能好“,，要保證規(guī)則執(zhí)行的實時性，在幾百毫秒的時間內執(zhí)行幾千條規(guī)則,，并且快速得出結果,。

　　數據規(guī)則引擎雖然可以滿足企業(yè)用戶靈活的配置要求，但因為人工總結的規(guī)則更多是面向已知的威脅,，存在一定的滯后性,。因此，能夠應對潛在的未知風險的機器學習模型越來越受到廣泛的關注,。以芯盾時代自身的實踐經驗來說,，我們目前已經建立了十幾種機器學習模型，風險監(jiān)測能力更強大高效,。

　　新一代業(yè)務安全防護體系是一種動態(tài)的防御機制,，打破了傳統的網絡邊界。那么您認為,，像零信任這樣的新安全理念對未來業(yè)務安全體系的發(fā)展有哪些影響和幫助,？

　　孫   悅

　　市場需求促進技術理念發(fā)展，技術進步助力業(yè)務安全能力提升,，零信任理念在新一代業(yè)務安全防護體系的建設中發(fā)揮了巨大的作用,。

　　目前，零信任理念在國內落地的具體產品主要是SDP（軟件定義邊界）網關產品,。SDP有很多的技術點,，比如剛剛談到的連續(xù)、自適應的身份認證管控,，還有一個核心功能”網絡隱身“,，很受客戶的認可。我們可以這樣理解”網絡隱身“的概念,，傳統的網絡安全防御手段可以看做是筑造城墻,，為了避免攻擊，防守方會將城墻壘得越來越高,，但SDP則是通過SPA單包認證技術讓攻擊者直接看不到這堵墻,。當我們在做攻防演練的時候，攻擊方首先就會去探測防守方的網絡中是否存在一些可滲透的IP或端口,，單包認證讓這些端口在探測時處于非開放的狀態(tài),，讓攻擊者探測不到網絡，讓企業(yè)”網絡隱身“,。

　　諸如SDP網關這樣的融合了零信任理念的產品,，滿足了當下行業(yè)用戶對業(yè)務的動態(tài)安全防護需求，幫助企業(yè)用戶實現了安全,、快速的數字化轉型高質量發(fā)展,。

　　業(yè)務安全未來的整體發(fā)展形勢如何,？在技術實現上是否會有一些新變化？

　　孫   悅

　　首先,，越來越多的企業(yè)認識到了業(yè)務安全的重要性,。僅僅相對于五年前，企業(yè)用戶在業(yè)務安全領域的預算和投入就有了明顯的增高,，而且這些投入很多并不是IT設施建設上的預算,，而是和業(yè)務預算綁定在一起，所以我們現在經常說”業(yè)務即安全,，安全即業(yè)務“,。在未來，業(yè)務安全市場的發(fā)展速度會進一步提升,，市場會越來越廣闊,。

　　其次，數字化轉型浪潮下,，越來越多的企業(yè)需要建設新一代業(yè)務安全防護體系,，圍繞”人、物,、事“形成持續(xù)認證,、動態(tài)授權、威脅發(fā)現與動態(tài)處置的閉環(huán)操作,。我剛剛列舉了金融行業(yè)的實際案例,，這是因為金融行業(yè)的To C端業(yè)務一直處于業(yè)務安全防護技術水平的前沿，這一特征表現最為明顯,。隨著業(yè)務環(huán)境和網絡環(huán)境更加開放,，政府、電力,、能源,、通信、物流,、制造等更多的行業(yè)也會像金融行業(yè)一樣,，進行深度的業(yè)務安全防護建設?；诹阈湃卫砟畹漠a品方案將從金融行業(yè)逐步下沉到這些行業(yè)中來,，客戶量級也會從原來的大型企業(yè)逐漸向中小型企業(yè)拓展,。

　　另外,，就零信任理念本身來說，現階段企業(yè)用戶最先關注的還是南北向流量的安全風險治理,，即外網訪問內網,、內網連接外網這樣的業(yè)務訪問流行為,。但現在很多客戶已經逐漸呈現出對東西向流量的關注，想利用零信任理念,，實現同一網絡下的服務器對服務器,、容器對容器，甚至API對 API之間的數據訪問流的安全管控,。

　　總的來說呢,，未來用戶對零信任理念的應用范圍將越來越廣，應用粒度會越來越細,，會圍繞”人,、物、事“,，形成更加智能化,、精細化、安全系數水平更高的零信任業(yè)務安全防護體系,。

　　評論

　　隨著信息化與數據化的發(fā)展,，網絡安全與業(yè)務安全已經融為一體，如何滿足業(yè)務安全的需求成為許多企業(yè)與廠商面臨的新挑戰(zhàn),。在此背景下,，”以人為核心的業(yè)務安全“理念必將受到更多的關注和認同。解決企業(yè)業(yè)務安全的同時保證業(yè)務的效率是企業(yè)面臨的永久課題,，不同的企業(yè)有不同的解決思路,，覆蓋”人、物,、事“三個維度的防護思路,，具有較高的可操作性和價值。

更多信息可以來這里獲取==>>電子技術應用-AET<<