文 成都思維世紀科技有限責任公司董事長 章明珠

當前，新一代信息通信網(wǎng)絡(luò)正在從以信息傳遞為核心的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，向融合計算、存儲、傳送資源的智能化云網(wǎng)基礎(chǔ)設(shè)施發(fā)生轉(zhuǎn)變。在 5G 網(wǎng)絡(luò)的加持下，以網(wǎng)為基礎(chǔ)、以云為核心，深度融合“云 + 網(wǎng)”IT 系統(tǒng)的云網(wǎng)融合一體化服務(wù)，已成為助力基礎(chǔ)電信運營商從單純通信類業(yè)務(wù)向綜合信息服務(wù)轉(zhuǎn)型的重要抓手與業(yè)務(wù)著力點。然而以軟件定義網(wǎng)絡(luò)（SDN）、網(wǎng)絡(luò)功能虛擬化（NFV）為代表的云網(wǎng)融合技術(shù)，對網(wǎng)絡(luò)、業(yè)務(wù)、計算的融合重構(gòu)、多云互聯(lián)等，使得數(shù)據(jù)安全的技術(shù)、建設(shè)、運營管理模式均與傳統(tǒng)網(wǎng)絡(luò)存在較大的差異，運營商的數(shù)字基礎(chǔ)設(shè)施面臨著新型的數(shù)據(jù)安全挑戰(zhàn)。

一、云網(wǎng)融合下運營商面臨的數(shù)據(jù)安全風險與挑戰(zhàn)

（一）“封閉”網(wǎng)絡(luò)演進為“開放”網(wǎng)絡(luò)

相對于傳統(tǒng)電信網(wǎng)基于專用硬件以及軟硬件緊耦合的技術(shù)體系，以通用硬件、云計算和虛擬化為代表的新的技術(shù)體系解耦了軟硬件封閉關(guān)系，電信系統(tǒng)的扁平化和分層化引入了更廣的攻擊界面，同時多地點、多種類終端的遠程接入導致業(yè)務(wù)系統(tǒng)的物理安全邊界模糊，云上業(yè)務(wù)的暴露面擴大，再加上部分系統(tǒng)采用開源組件或技術(shù)而引入的安全漏洞等，使得數(shù)據(jù)泄露或被非法竊取的風險增大且難以防范。

（二）安全邊界和策略的動態(tài)變化，要求彈性的安全編排能力

云網(wǎng)融合應(yīng)用中所有網(wǎng)元功能可根據(jù)業(yè)務(wù)的需求動態(tài)進行擴/縮容、遷移。相應(yīng)地，在 SDN控制器的調(diào)度下，網(wǎng)絡(luò)的拓撲可能根據(jù)業(yè)務(wù)的需要進行動態(tài)變化，如果安全策略無法根據(jù)這種變化及時、快速地調(diào)整，就可能被攻擊者利用，導致安全事故（比如業(yè)務(wù)數(shù)據(jù)泄露、業(yè)務(wù)中斷等）。因此，云網(wǎng)融合環(huán)境對數(shù)據(jù)安全能力的情報共享、原子化服務(wù)及編排化協(xié)同提出了更高要求。

（三）架構(gòu)重構(gòu)，增加了安全防護和運營的難度

為滿足智能化、自服務(wù)、高速、靈活等云網(wǎng)融合業(yè)務(wù)需求，需在通用物理資源、基礎(chǔ)能力平臺和數(shù)字化應(yīng)用等各個層面進行統(tǒng)一管理或邏輯技術(shù)架構(gòu)的統(tǒng)一重構(gòu)，此過程中涉及大量新系統(tǒng)和網(wǎng)元的引入，同時虛擬化技術(shù)進一步增加了系統(tǒng)組件的數(shù)量，需要管理運營的實體數(shù)量呈指數(shù)級上升，這又進一步增加了賬戶、權(quán)限管理的復(fù)雜度。如何快速地發(fā)現(xiàn)和解決問題、靈活地部署業(yè)務(wù)、規(guī)避安全攻擊、降低安全運維成本，成為安全運營管理面臨的巨大挑戰(zhàn)。

二、總體解決思路

云網(wǎng)融合也促使網(wǎng)數(shù)安全能力的融合，基于云網(wǎng)融合的數(shù)據(jù)安全風險分析，運營商應(yīng)首先解決引入云計算、SDN 和 NFV 等新技術(shù)后，帶來的數(shù)據(jù)訪問邊界變化的安全風險，確保數(shù)據(jù)訪問的安全可控。在此基礎(chǔ)上，實現(xiàn)基于業(yè)務(wù)、權(quán)限、敏感等級、風險情況等對數(shù)據(jù)細粒度的動態(tài)防護，以及安全能力的靈活部署及按需服務(wù)等需求。

（一）基于安全服務(wù)邊緣（SSE）框架構(gòu)建數(shù)據(jù)的動態(tài)可信訪問能力

在云網(wǎng)融合趨勢下，數(shù)據(jù)中心變得無處不在，傳統(tǒng)基于已知問題的靜態(tài)式、被動式防護已無法滿足云網(wǎng)融合時代因訪問場景多變而產(chǎn)生的權(quán)限動態(tài)調(diào)整、控制智能決策等新需求。應(yīng)著眼云網(wǎng)融合資源布局的多組織、大體系環(huán)境下的數(shù)據(jù)安全需求，聚焦身份、信任、業(yè)務(wù)訪問和動態(tài)訪問控制等維度，采用依靠云訪問安全代理、云安全 Web 網(wǎng)關(guān)、零信任網(wǎng)絡(luò)訪問等核心安全組件構(gòu)建的 SSE 安全模型，對業(yè)務(wù)場景的人、流程、環(huán)境、訪問上下文等多維因素的信任進行持續(xù)評估，并通過信任等級對權(quán)限進行動態(tài)調(diào)整，構(gòu)建以身份為基石的動態(tài)可信訪問控制能力。

云訪問安全代理（CASB），通過安全準則精確控制對云中應(yīng)用程序及數(shù)據(jù)的任何訪問，抵御未經(jīng)授權(quán)的訪問嘗試，并聯(lián)動如加密、審計、脫敏等安全原子能力，實施不同實體的安全訪問防護，從而防止數(shù)據(jù)丟失。

云安全 WEB 網(wǎng)關(guān)，對實體訪問流量進行實時檢測，過濾流量中的惡意或非必要的軟件，并執(zhí)行數(shù)據(jù)安全相關(guān)合規(guī)策略。

零信任網(wǎng)絡(luò)訪問，對不同訪問實體接入的連接進行微邊界定義（SDP）、加密、持續(xù)的行為檢測及信任評估、訪問控制等，實現(xiàn)數(shù)據(jù)資源的最小范圍和權(quán)限的可控訪問。

（二）構(gòu)建層次化的安全原子能力庫，彈性編排安全能力

在網(wǎng)絡(luò)與數(shù)據(jù)資源高度融合的環(huán)境下，圍繞數(shù)據(jù)全生命周期，從采集、傳輸、存儲、處理、共享、銷毀等環(huán)節(jié)，以數(shù)據(jù)為核心對業(yè)務(wù)流量和各類網(wǎng)絡(luò)、安全設(shè)備日志進行關(guān)聯(lián)分析，同時將數(shù)據(jù)安全能力原子化、服務(wù)化，整合原生和外掛的安全能力，構(gòu)建數(shù)據(jù)底層識別、中層防護、高層管控及運營的安全原子能力庫，并通過統(tǒng)一的安全能力平臺進行統(tǒng)一匯聚、管理、編排及調(diào)度，形成覆蓋“云、網(wǎng)、應(yīng)用、數(shù)據(jù)、終端”的一體化安全運營體系，從被動響應(yīng)轉(zhuǎn)向主動防御，從單點防御轉(zhuǎn)向全網(wǎng)聯(lián)防聯(lián)動，實現(xiàn)全域安全能力的按需編排和彈性調(diào)度。

在數(shù)據(jù)采集環(huán)節(jié)，實施連接限制、敏感數(shù)據(jù)識別、數(shù)據(jù)一致性和合法性校驗等手段，保證各類數(shù)據(jù)采集活動的合規(guī)性和安全性；對采集的數(shù)據(jù)進行分類分級標識，對不同類和級別的數(shù)據(jù)實施相應(yīng)的安全管理策略和保障措施。

在數(shù)據(jù)傳輸環(huán)節(jié)，利用鏈路加密、協(xié)議加密、數(shù)據(jù)加密、認證鑒權(quán)等機制對數(shù)據(jù)傳輸進行安全管理，構(gòu)建傳輸安全通道；防止數(shù)據(jù)丟失、泄露、篡改。建立數(shù)據(jù)傳輸接口安全管理工作規(guī)范，包括安全域內(nèi)、安全域間等數(shù)據(jù)傳輸接口規(guī)范。

在數(shù)據(jù)存儲與加工環(huán)節(jié)，采用數(shù)據(jù)脫敏、加密等手段。實現(xiàn)數(shù)據(jù)保密，提高敏感信息的安全性；加強數(shù)據(jù)的安全監(jiān)控，以及日志分析和操作審計等。

在數(shù)據(jù)應(yīng)用與共享環(huán)節(jié)，實施數(shù)據(jù)脫敏、數(shù)據(jù)水印、數(shù)據(jù)流轉(zhuǎn)監(jiān)測、接口行為監(jiān)測、導出管理、訪問控制、風險處置、事件溯源等手段，實現(xiàn)對數(shù)據(jù)、表的共享訪問控制、操作控制、應(yīng)急響應(yīng)和事后溯源。

在數(shù)據(jù)銷毀環(huán)境，針對不同的存儲方式、存儲內(nèi)容，建立數(shù)據(jù)銷毀周期管理能力，明確需要進行數(shù)據(jù)銷毀的數(shù)據(jù)、方式和要求，明確銷毀數(shù)據(jù)范圍和流程；遵循可審計原則，建立數(shù)據(jù)刪除策略和管理制度，記錄數(shù)據(jù)刪除的操作時間、操作人、操作方式、數(shù)據(jù)內(nèi)容等相關(guān)信息。

（三）打造共享、共治的數(shù)據(jù)安全資源庫，構(gòu)建數(shù)據(jù)安全生態(tài)

云網(wǎng)融合產(chǎn)業(yè)生態(tài)復(fù)雜，業(yè)務(wù)場景多變，所需要的安全防護能力的形態(tài)、策略或性能差異較大，安全能力需自適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)變化，實現(xiàn)安全能力的自動注入。一是需要借助云網(wǎng)虛擬化能力，實現(xiàn)安全資源的自動分發(fā)與流動部署，以適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)變化。二是需要利用大數(shù)據(jù)技術(shù)，將運行的各類安全能力知識庫、管理制度及流程、安全防護策略庫、安全防護日志等數(shù)據(jù)進行關(guān)聯(lián)分析，并結(jié)合 AI 學習、智能推理，提煉行之有效的安全防護策略及實施方法，挖掘數(shù)據(jù)共性特征，形成面向行業(yè)、租戶、主題、數(shù)據(jù)資產(chǎn)等類型的數(shù)據(jù)安全資源庫，使安全能力、安全策略自動匹配數(shù)據(jù)資產(chǎn)、業(yè)務(wù)環(huán)境等能力需求，形成多網(wǎng)元、多層次的協(xié)同安全生態(tài)。

三、總結(jié)

云網(wǎng)融合趨勢下，通信技術(shù)（CT）、信息技術(shù)（IT）和數(shù)據(jù)技術(shù)（DT）走向融合，在海量聯(lián)接、海量用戶、海量數(shù)據(jù)、高速互聯(lián)和海量融合應(yīng)用下，數(shù)據(jù)安全應(yīng)更加重視安全架構(gòu)的構(gòu)建。一是采用安全能力中臺統(tǒng)籌構(gòu)建數(shù)據(jù)融通、能力聚合、架構(gòu)統(tǒng)一、生態(tài)開放的云網(wǎng)端到端安全能力體系，逐步實現(xiàn)安全數(shù)據(jù)集中化，安全分析智能化、安全運行編排化、安全服務(wù)能力化。二是加強數(shù)據(jù)安全共享、共治，構(gòu)建面向不同主題的統(tǒng)一安全合規(guī)標準及能力，讓安全基因不斷融入 IT 系統(tǒng)，打造持續(xù)信任的安全環(huán)境，形成共同協(xié)作的數(shù)據(jù)安全生態(tài)。

（本文刊登于《中國信息安全》雜志2022年第4期）