文 成都思維世紀(jì)科技有限責(zé)任公司董事長 章明珠

當(dāng)前，新一代信息通信網(wǎng)絡(luò)正在從以信息傳遞為核心的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，向融合計(jì)算、存儲(chǔ)、傳送資源的智能化云網(wǎng)基礎(chǔ)設(shè)施發(fā)生轉(zhuǎn)變。在 5G 網(wǎng)絡(luò)的加持下，以網(wǎng)為基礎(chǔ)、以云為核心，深度融合“云 + 網(wǎng)”IT 系統(tǒng)的云網(wǎng)融合一體化服務(wù)，已成為助力基礎(chǔ)電信運(yùn)營商從單純通信類業(yè)務(wù)向綜合信息服務(wù)轉(zhuǎn)型的重要抓手與業(yè)務(wù)著力點(diǎn)。然而以軟件定義網(wǎng)絡(luò)（SDN）、網(wǎng)絡(luò)功能虛擬化（NFV）為代表的云網(wǎng)融合技術(shù)，對網(wǎng)絡(luò)、業(yè)務(wù)、計(jì)算的融合重構(gòu)、多云互聯(lián)等，使得數(shù)據(jù)安全的技術(shù)、建設(shè)、運(yùn)營管理模式均與傳統(tǒng)網(wǎng)絡(luò)存在較大的差異，運(yùn)營商的數(shù)字基礎(chǔ)設(shè)施面臨著新型的數(shù)據(jù)安全挑戰(zhàn)。

一、云網(wǎng)融合下運(yùn)營商面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)與挑戰(zhàn)

（一）“封閉”網(wǎng)絡(luò)演進(jìn)為“開放”網(wǎng)絡(luò)

相對于傳統(tǒng)電信網(wǎng)基于專用硬件以及軟硬件緊耦合的技術(shù)體系，以通用硬件、云計(jì)算和虛擬化為代表的新的技術(shù)體系解耦了軟硬件封閉關(guān)系，電信系統(tǒng)的扁平化和分層化引入了更廣的攻擊界面，同時(shí)多地點(diǎn)、多種類終端的遠(yuǎn)程接入導(dǎo)致業(yè)務(wù)系統(tǒng)的物理安全邊界模糊，云上業(yè)務(wù)的暴露面擴(kuò)大，再加上部分系統(tǒng)采用開源組件或技術(shù)而引入的安全漏洞等，使得數(shù)據(jù)泄露或被非法竊取的風(fēng)險(xiǎn)增大且難以防范。

（二）安全邊界和策略的動(dòng)態(tài)變化，要求彈性的安全編排能力

云網(wǎng)融合應(yīng)用中所有網(wǎng)元功能可根據(jù)業(yè)務(wù)的需求動(dòng)態(tài)進(jìn)行擴(kuò)/縮容、遷移。相應(yīng)地，在 SDN控制器的調(diào)度下，網(wǎng)絡(luò)的拓?fù)淇赡芨鶕?jù)業(yè)務(wù)的需要進(jìn)行動(dòng)態(tài)變化，如果安全策略無法根據(jù)這種變化及時(shí)、快速地調(diào)整，就可能被攻擊者利用，導(dǎo)致安全事故（比如業(yè)務(wù)數(shù)據(jù)泄露、業(yè)務(wù)中斷等）。因此，云網(wǎng)融合環(huán)境對數(shù)據(jù)安全能力的情報(bào)共享、原子化服務(wù)及編排化協(xié)同提出了更高要求。

（三）架構(gòu)重構(gòu)，增加了安全防護(hù)和運(yùn)營的難度

為滿足智能化、自服務(wù)、高速、靈活等云網(wǎng)融合業(yè)務(wù)需求，需在通用物理資源、基礎(chǔ)能力平臺(tái)和數(shù)字化應(yīng)用等各個(gè)層面進(jìn)行統(tǒng)一管理或邏輯技術(shù)架構(gòu)的統(tǒng)一重構(gòu)，此過程中涉及大量新系統(tǒng)和網(wǎng)元的引入，同時(shí)虛擬化技術(shù)進(jìn)一步增加了系統(tǒng)組件的數(shù)量，需要管理運(yùn)營的實(shí)體數(shù)量呈指數(shù)級(jí)上升，這又進(jìn)一步增加了賬戶、權(quán)限管理的復(fù)雜度。如何快速地發(fā)現(xiàn)和解決問題、靈活地部署業(yè)務(wù)、規(guī)避安全攻擊、降低安全運(yùn)維成本，成為安全運(yùn)營管理面臨的巨大挑戰(zhàn)。

二、總體解決思路

云網(wǎng)融合也促使網(wǎng)數(shù)安全能力的融合，基于云網(wǎng)融合的數(shù)據(jù)安全風(fēng)險(xiǎn)分析，運(yùn)營商應(yīng)首先解決引入云計(jì)算、SDN 和 NFV 等新技術(shù)后，帶來的數(shù)據(jù)訪問邊界變化的安全風(fēng)險(xiǎn)，確保數(shù)據(jù)訪問的安全可控。在此基礎(chǔ)上，實(shí)現(xiàn)基于業(yè)務(wù)、權(quán)限、敏感等級(jí)、風(fēng)險(xiǎn)情況等對數(shù)據(jù)細(xì)粒度的動(dòng)態(tài)防護(hù)，以及安全能力的靈活部署及按需服務(wù)等需求。

（一）基于安全服務(wù)邊緣（SSE）框架構(gòu)建數(shù)據(jù)的動(dòng)態(tài)可信訪問能力

在云網(wǎng)融合趨勢下，數(shù)據(jù)中心變得無處不在，傳統(tǒng)基于已知問題的靜態(tài)式、被動(dòng)式防護(hù)已無法滿足云網(wǎng)融合時(shí)代因訪問場景多變而產(chǎn)生的權(quán)限動(dòng)態(tài)調(diào)整、控制智能決策等新需求。應(yīng)著眼云網(wǎng)融合資源布局的多組織、大體系環(huán)境下的數(shù)據(jù)安全需求，聚焦身份、信任、業(yè)務(wù)訪問和動(dòng)態(tài)訪問控制等維度，采用依靠云訪問安全代理、云安全 Web 網(wǎng)關(guān)、零信任網(wǎng)絡(luò)訪問等核心安全組件構(gòu)建的 SSE 安全模型，對業(yè)務(wù)場景的人、流程、環(huán)境、訪問上下文等多維因素的信任進(jìn)行持續(xù)評(píng)估，并通過信任等級(jí)對權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整，構(gòu)建以身份為基石的動(dòng)態(tài)可信訪問控制能力。

云訪問安全代理（CASB），通過安全準(zhǔn)則精確控制對云中應(yīng)用程序及數(shù)據(jù)的任何訪問，抵御未經(jīng)授權(quán)的訪問嘗試，并聯(lián)動(dòng)如加密、審計(jì)、脫敏等安全原子能力，實(shí)施不同實(shí)體的安全訪問防護(hù)，從而防止數(shù)據(jù)丟失。

云安全 WEB 網(wǎng)關(guān)，對實(shí)體訪問流量進(jìn)行實(shí)時(shí)檢測，過濾流量中的惡意或非必要的軟件，并執(zhí)行數(shù)據(jù)安全相關(guān)合規(guī)策略。

零信任網(wǎng)絡(luò)訪問，對不同訪問實(shí)體接入的連接進(jìn)行微邊界定義（SDP）、加密、持續(xù)的行為檢測及信任評(píng)估、訪問控制等，實(shí)現(xiàn)數(shù)據(jù)資源的最小范圍和權(quán)限的可控訪問。

（二）構(gòu)建層次化的安全原子能力庫，彈性編排安全能力

在網(wǎng)絡(luò)與數(shù)據(jù)資源高度融合的環(huán)境下，圍繞數(shù)據(jù)全生命周期，從采集、傳輸、存儲(chǔ)、處理、共享、銷毀等環(huán)節(jié)，以數(shù)據(jù)為核心對業(yè)務(wù)流量和各類網(wǎng)絡(luò)、安全設(shè)備日志進(jìn)行關(guān)聯(lián)分析，同時(shí)將數(shù)據(jù)安全能力原子化、服務(wù)化，整合原生和外掛的安全能力，構(gòu)建數(shù)據(jù)底層識(shí)別、中層防護(hù)、高層管控及運(yùn)營的安全原子能力庫，并通過統(tǒng)一的安全能力平臺(tái)進(jìn)行統(tǒng)一匯聚、管理、編排及調(diào)度，形成覆蓋“云、網(wǎng)、應(yīng)用、數(shù)據(jù)、終端”的一體化安全運(yùn)營體系，從被動(dòng)響應(yīng)轉(zhuǎn)向主動(dòng)防御，從單點(diǎn)防御轉(zhuǎn)向全網(wǎng)聯(lián)防聯(lián)動(dòng)，實(shí)現(xiàn)全域安全能力的按需編排和彈性調(diào)度。

在數(shù)據(jù)采集環(huán)節(jié)，實(shí)施連接限制、敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)一致性和合法性校驗(yàn)等手段，保證各類數(shù)據(jù)采集活動(dòng)的合規(guī)性和安全性；對采集的數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)，對不同類和級(jí)別的數(shù)據(jù)實(shí)施相應(yīng)的安全管理策略和保障措施。

在數(shù)據(jù)傳輸環(huán)節(jié)，利用鏈路加密、協(xié)議加密、數(shù)據(jù)加密、認(rèn)證鑒權(quán)等機(jī)制對數(shù)據(jù)傳輸進(jìn)行安全管理，構(gòu)建傳輸安全通道；防止數(shù)據(jù)丟失、泄露、篡改。建立數(shù)據(jù)傳輸接口安全管理工作規(guī)范，包括安全域內(nèi)、安全域間等數(shù)據(jù)傳輸接口規(guī)范。

在數(shù)據(jù)存儲(chǔ)與加工環(huán)節(jié)，采用數(shù)據(jù)脫敏、加密等手段。實(shí)現(xiàn)數(shù)據(jù)保密，提高敏感信息的安全性；加強(qiáng)數(shù)據(jù)的安全監(jiān)控，以及日志分析和操作審計(jì)等。

在數(shù)據(jù)應(yīng)用與共享環(huán)節(jié)，實(shí)施數(shù)據(jù)脫敏、數(shù)據(jù)水印、數(shù)據(jù)流轉(zhuǎn)監(jiān)測、接口行為監(jiān)測、導(dǎo)出管理、訪問控制、風(fēng)險(xiǎn)處置、事件溯源等手段，實(shí)現(xiàn)對數(shù)據(jù)、表的共享訪問控制、操作控制、應(yīng)急響應(yīng)和事后溯源。

在數(shù)據(jù)銷毀環(huán)境，針對不同的存儲(chǔ)方式、存儲(chǔ)內(nèi)容，建立數(shù)據(jù)銷毀周期管理能力，明確需要進(jìn)行數(shù)據(jù)銷毀的數(shù)據(jù)、方式和要求，明確銷毀數(shù)據(jù)范圍和流程；遵循可審計(jì)原則，建立數(shù)據(jù)刪除策略和管理制度，記錄數(shù)據(jù)刪除的操作時(shí)間、操作人、操作方式、數(shù)據(jù)內(nèi)容等相關(guān)信息。

（三）打造共享、共治的數(shù)據(jù)安全資源庫，構(gòu)建數(shù)據(jù)安全生態(tài)

云網(wǎng)融合產(chǎn)業(yè)生態(tài)復(fù)雜，業(yè)務(wù)場景多變，所需要的安全防護(hù)能力的形態(tài)、策略或性能差異較大，安全能力需自適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)變化，實(shí)現(xiàn)安全能力的自動(dòng)注入。一是需要借助云網(wǎng)虛擬化能力，實(shí)現(xiàn)安全資源的自動(dòng)分發(fā)與流動(dòng)部署，以適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)變化。二是需要利用大數(shù)據(jù)技術(shù)，將運(yùn)行的各類安全能力知識(shí)庫、管理制度及流程、安全防護(hù)策略庫、安全防護(hù)日志等數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并結(jié)合 AI 學(xué)習(xí)、智能推理，提煉行之有效的安全防護(hù)策略及實(shí)施方法，挖掘數(shù)據(jù)共性特征，形成面向行業(yè)、租戶、主題、數(shù)據(jù)資產(chǎn)等類型的數(shù)據(jù)安全資源庫，使安全能力、安全策略自動(dòng)匹配數(shù)據(jù)資產(chǎn)、業(yè)務(wù)環(huán)境等能力需求，形成多網(wǎng)元、多層次的協(xié)同安全生態(tài)。

三、總結(jié)

云網(wǎng)融合趨勢下，通信技術(shù)（CT）、信息技術(shù)（IT）和數(shù)據(jù)技術(shù)（DT）走向融合，在海量聯(lián)接、海量用戶、海量數(shù)據(jù)、高速互聯(lián)和海量融合應(yīng)用下，數(shù)據(jù)安全應(yīng)更加重視安全架構(gòu)的構(gòu)建。一是采用安全能力中臺(tái)統(tǒng)籌構(gòu)建數(shù)據(jù)融通、能力聚合、架構(gòu)統(tǒng)一、生態(tài)開放的云網(wǎng)端到端安全能力體系，逐步實(shí)現(xiàn)安全數(shù)據(jù)集中化，安全分析智能化、安全運(yùn)行編排化、安全服務(wù)能力化。二是加強(qiáng)數(shù)據(jù)安全共享、共治，構(gòu)建面向不同主題的統(tǒng)一安全合規(guī)標(biāo)準(zhǔn)及能力，讓安全基因不斷融入 IT 系統(tǒng)，打造持續(xù)信任的安全環(huán)境，形成共同協(xié)作的數(shù)據(jù)安全生態(tài)。

（本文刊登于《中國信息安全》雜志2022年第4期）