诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

  • A+
所属分类:云安全

诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析



诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。




诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


数字化对企业安全体系建设的影响浅析

文 | 刘志诚


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


刘志诚

乐信集团信息安全中心总监

诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。



诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
1、背景
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析



数字化是信息化的革命性升级,对企业的业务模式,运作流程,保障机制带来深刻的影响。企业数字化转型也成为当下热点话题。数字化转型对传统网络信息安全带来值得深入研究的挑战,同时,数字化也为网络信息安全能力建设提供了机遇。本文尝试从数字化对网络信息安全赋能的角度探讨数字化对企业安全体系建设的影响。


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
2、数字化的本质
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

图一:数字化的本质

信息化是通过信息模型的专业化推动企业信息流的的完善,再提升企业管理效率的同时,未涉及业务流程的根源在于非结构化数据处理能力的薄弱。从组织架构来看,企业高级执行层的CIO(首席信息官)为典型代表。


新技术的发展带来数据处理能力的增强,对传统信息化模型的依赖转变为技术架构体系的依赖,以人工智能为基础的自动化数据处理技术,进一步带来自动信息建模的可能性,摆脱了信息化专家建模的依赖,以互联网业务为典型特征的企业,其组织架构中高级执行层的CTO(首席技术官)逐渐成为典型代表。组织机构中高层信息技术代表的变革是信息化转型数字化的标志之一。


信息化时代信息流对企业的影响,重点在于支撑管理服务的运营,以企业资源管理系统(ERP)、人力资源管理系统(HRM)、财务管理系统、客户管理系统(CRM)、供应链管理系统(SRM)、智能制造系统(EMS)等独立的信息化系统实施为主,而业务核心流程依赖于线下的运营环境与流程。


这阶段的信息化软件主要是商业软件套件,这由多方面的原因造成,数据技术处理能力受限,物理与虚拟空间(CPS)融合不足,技术人才短缺,成本高昂等原因混合在一起,造成信息化时代的局限。


不同信息系统之间的烟囱式结构,数据难以互通和共享,信息流重复录入以及与业务脱节的情况比较常见。而成功的信息系统实施比较困难,信息系统项目失败率居高不下。


数字化时代,得益于传感技术,边缘计算技术,高速通信技术,机器人技术的进步,物理与虚拟空间(CPS)的融合贯通,业务核心流程运营数字化成为现实,融会了海量业务数据的企业的管理和支撑系统直接架构在业务系统之上,数据的实时处理需要云计算,大数据,人工智能,软件工程等技术的处理。这与信息化技术的进步,人才体系的发展密切相关,是时代孕育产生了数字化的新机遇。因此信息技术驱动的业务数字化是企业数字化的本质性标志。


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
3、数字化安全与安全数字化
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析图二、数字化安全与安全数字化对比


数字化时代对企业组织架构,业务流程,支撑能力带来技术驱动的根本性变革。网络信息安全的需求也带来革命性的改变。


云安全协会(CSA)提出的软件定义边界(SDP)安全,对企业数字化架构下的传统边界安全理论提出了重大挑战,谷歌先行,美国国家标准研究院(NIST)提出的零信任框架,通过对主体账号,设备,主体行为,业务访问决策引擎的定义,实现了无边界的安全理念。相对于传统网络架构的安全能力,在云原生场景下的基础设施安全,从网络层,到应用层,进一步对业务,数据层的安全提出了更高的要求。关于数字化安全的需求与解决方案的探讨作为数字化转型关键环节之一,至关重要。


同时,安全如果作为一个业务来看,自身的能力建设和发展,与数字化本身密切相关,如何利用数字化的技术和能力,解决传统安全产品与解决方案的问题,提升效率,强化功能,是安全数字化的核心命题。


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
4、安全数字化分析
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


4.1安全的核心业务流程

PART/01



安全的核心在于基于风险的方法,评估信息资产的脆弱点面对内外部威胁发生事故的可能性与损失的定性和定量评估,针对风险建立企业决策的风险接受水平,并采取措施降低,转移,规避或接受相关安全风险。


按照美国国防部的WPDRR模型,对风险事件建立预警,预防,检测,响应,恢复的能力,通过事前安全能力集成,事中及时检测与预警,事后响应,追溯,优化的机制,提升组织的信息安全纵深防御能力。


从安全分域治理的角度,关注办公环境的终端,网络安全以及IDC混合云的基础设施安全,关注业务开发过程管理的研发安全,关注内外部攻击的应用安全,关注黑灰产对抗的业务安全,关注用户隐私保护和业务数据的数据安全,是目前安全的核心防护主体。


4.2安全核心业务的数字化

PART/01


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析 

诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

图三:安全数字化框架


风险评估与预警实时化:安全数字化为信息资产的发现,识别,脆弱性的评估以及威胁的自动化发现,提供了依据,资产元数据的建立,脆弱性,威胁通过第三方情报,基线体系,实现动态化的风险评估,及时对安全风险的动态管控。丰富的数据源,数据的清洗,规约,处理能力的增强,在情报,流量、日志关联分析基础上建立的态势感知能力,实现风险实时预警和报告能力。


风险处理决策智能化:风险评估分析过程的实时化,动态化,提升风险决策能力数据输入的准确性,依赖于常规安全模型的风险决策,在人工智能背景下,通过机器学习,深度学习技术的引入和应用,实现了决策的智能化。


安全检测能力集成化:DevOps模式在实现开发运维一体化的同时,Sec工具链的集成,实现DevSecOps的业务开发安全本质。软件定义网络(SDN)、云原生架构实现管理面与数据面的分离,安全检测,监测能力的数字化集成奠定了基础。微服务与容器化对安全工具的部署和标准化集成提供了依据,快速实现安全预防能力,检测能力的部署。


应急响应的自动化:应用运行时防护(RASP)提升应用的动态安全风险检测能力,安全自动化编排(SOAR)通过剧本编排实现场景的安全风险响应自动化能力,提升安全的自动化处置能力。 


基础设施代码化(infrastructure as code):软件定义世界(SDX)的兴起,数据面与控制面分离成为基本功能,基于流量的安全分析,策略的定义,配置,管理深入到应用处理过程,提升了安全对业务过程保障的控制能力,安全基础设施的代码化对安全策略的精细化提供了条件。


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
5、安全数字化展望
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


企业数字化转型方兴未艾,目前仍处于变革转型期,过程中仍面临着巨大的挑战,基础设施的升级,认知模式与技术水平的提升,以及生态体系的完善构建仍是个漫长的过程。


同样,安全数字化对传统安全企业造成巨大冲击,产品,业务模式,技术能力面对着挑战,其中的路径依赖和转型惰性造成巨大的障碍,新兴创业企业存在大量的机会。


企业对传统安全企业的依赖,传统安全保障模式,技术框架,组织架构的制约同样存在着改革的阵痛,这个漫长的过程中,企业与安全厂商的互相磨合,成长,调整,适应,才能实现安全数字化的美好未来。




诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析



RECOMMEND

推荐阅读

诸子笔会|张永宏:安全数字化的价值端建设



诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
原文阅读查看往期征文合集


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析
诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

齐心抗疫 与你同在 诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析



诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

你怎么这么好看


诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

本文始发于微信公众号(安在):诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: