数字化时代企业该如何应对安全挑战？加强现代安全是关键_雷竞技须安全稳定

【雷竞技须安全稳定企业频道】自互联网诞生以来，网络安全一直是不容忽视的问题。它不仅关乎企业和个人的财产安全，更与国家安全和整个社会稳定密切相关。

近年来，随着云计算、人工智能、大数据、5G、物联网等数字技术不断成熟，重塑业务模式和管理模式的数字化转型在各行各业如火如荼地展开，在为有效利用数据的企业创造大好机遇的同时，也带来了大量的安全挑战。那么对于企业来说，该如何应对网络安全挑战，以确保数据、应用程序以及设备的安全呢？

10月25日，戴尔科技集团举办了主题为“加强现代化数据安全”的媒体沟通会，戴尔科技集团大中华区市场部高级顾问李君鹏和戴尔科技集团大中华区数据保护技术总监李岩从保护数据和系统、提升网络弹性以及减低安全复杂性等维度，分享了戴尔数据安全策略及解决方案如何帮助企业有效应对数据安全的威胁。

零信任为IT环境带来明确控制

现如今，保障网络安全已成为网络发展的头等大事，全球有多个国家和地区颁布了相关法律法规，如欧盟《通用数据保护条例》(GDPR)、中国《数据安全法》《等保2.0核心标准》等。

不仅如此，各种类型的安全框架也是提升安全性的关键。传统的安全防护是以网络边界为核心进行布防，做各种各样的安全措施。但如今，我们正迈向一个应用程序和数据通道跨多云拓扑的时代，数据是分布的，边界是虚拟的，再沿着网络边界进行布防已经变得不现实。

面对日趋复杂的网络安全形势，零信任被认为是数字化时代下提升网络整体安全性的有效方式，主要是基于三个核心原则：一是所有的设备和实体都必须是已知的，都要经过身份验证和确认;二是要明确地规定它的行为;三是他们的行为是被理解和监控的。

李君鹏指出，如果接受零信任将有三个比较大的转变，具体来看：

用户和设备方面，传统方式下，身份验证不是必需的，是可选的。比如进入大楼，在门口对身份验证通过之后，就可以在这个楼里自由行动了。而在零信任环境下，要持续进行身份验证，就是始终不信任网络内外的任何人、设备和系统。

风险管理方面，在安全行业有三种行为：已知好的行为、已知坏的行为和未知行为。传统的风险管理就是要分析各种各样的行为，将已知坏的行为捕获，花大量的时间去分析未知的行为;寻找坏的行为，但需要花费大量的时间去分析很多未知的行为。而零信任架构，只允许好的行为，未知和坏的行为一律拒绝。

威胁管理方面，在传统模式下，捕捉非安全的行为就像大海捞针一样。在零信任环境下，由于每一个事件，每一个设备，每一个基础架构上应该运行什么样的程序，行为都是明确的。所以，在零信任架构中，由于身份验证和策略，很容易检测到与已知的参数背离的行为。

数字化时代企业该如何应对安全挑战？加强现代安全是关键

戴尔科技集团大中华区市场部高级顾问李君鹏

李君鹏表示，向零信任转变是一种比较彻底、根本性的转变。虽然这与过去传统的安全方式完全不同，但现在这种理念正在全面推开，并且被广泛接受。企业要进行现代安全，基本上都要转向零信任架构。

据介绍，零信任架构由三部分组成，自上而下依次是业务控制、控制平面和零信任架构：

最上层的业务控制分为实验室访问、数据本地性。实验室访问指的访问权限;数据本地性指的是核心数据、敏感数据不能出境。这部分通常是由咨询机构负责，帮助用户分析该如何进行业务控制。

中间层的控制平面分为身份管理、策略管理和威胁管理。身份管理包括对用户的身份认证、设备的身份认证等，即确定你是谁;策略管理指的是访问权限，即你能干什么;威胁管理包括用户风险分析、设备风险分析等，即你干了什么。在零信任架构中，所有的设备、用户、应用程序能够在哪些架构上运行、访问都有明确的定义。

最下层的是基于零信任的基础架构，也就是存储、网络、服务器、终端等设备。如果基础架构不满足零信任架构的要求，就不能跟控制平面很好地整合在一起。

要开展零信任建设，只有一层是远远不够的，这三层必须要联动。不过，从目前来看，零信任只是一个架构，没有明确定义哪一部分应该做什么，每个部分之间应该怎么配合，没有零信任的API。因此，企业采用零信任架构，基本上要自己做整合，面临的负担是非常重的。

为此，戴尔科技集团发布了“零信任”安全策略，旨在通过简化零信任架构的设计和集成，帮助企业减轻负担，具体来看：

在设计和开发环节，戴尔科技集团安全开发生命周期(SDL) 优先考虑网络弹性和零信任，从功能构思和设计到生产和维护。为客户提供的IT基础架构作为其弹性基础的保证。

在制造和交付环节，戴尔供应链保证计划实施了在实体、人员和网络安全领域实现零信任的保障措施，以确保弹性的制造和交付过程。

在部署和维护环节，安全控制、自动化、遥测和全面的管理工具使用跨硬件和固件的强大安全层实现零信任部署。

在停用并重新调整用途环节，零信任一直延伸到生命周期结束，通过擦除所有系统数据来避免机密数据泄露和滥用，从而使系统能够安全地退出生产。

“零信任是戴尔科技集团基础架构端到端生命周期不可或缺的一部分。从产品开发到生产制造，到部署使用，再到生命周期结束，是一个端到端的整个生命周期关系。我们将持续创新，以应对日益增长的威胁。”李君鹏说。

加强现代安全已成必然

正如上文所提到的，传统的安全方法已不能满足今天对安全的治理需求，企业还需要采用成熟的现代化安全措施应对当前和新兴的威胁环境。戴尔科技通过提供专业知识和端到端工具，帮助企业实施现代安全解决方案：

第一，保护数据和系统

目前的网络安全建设主要面临的三个问题：一是后加安全，在开发完成应用程序后，再增加安全功能;二是安全是孤立的，在开发应用程序的过程中，开发人员各自开发自己相关的模块，不同的模块采用了不同的安全方式和方法，导致没有统一的安全管理，形成了一种孤立的方式;三是以威胁为中心，出现漏洞就去处理，而不是从业务的角度出发，有的时候为了解决某一个威胁造成业务中断。

“安全必须是内在的，要与被保护的架构原生在一起”，李君鹏表示，“在开发过程中，企业的信息安全团队，要与其他团队，如DevOps团队、基础架构、云团队、网络团队、桌面服务团队进行统一。另外，还要以业务为中心，根据关键业务运营来定义安全的规划，并确定优先级。”

戴尔科技的规模和资源，可以为客户的IT领域提供全面的先进工具和内在的功能，从而为企业带来显著的增量价值。

第二，提升网络弹性

网络弹性不单是一项技术，还是一种成果，它通过结合规划、控制和集成技术来实现，这些技术可管理整个生态系统中的检测、保护、检测、响应和恢复等功能。其中，网络恢复是整个网络弹性范围里面最关键的一个部分，作为一种数据保护解决方案，可将业务关键型数据与攻击面隔离开来。

数据显示，攻击者平均停留时间超过200天，在这一段时间里，攻击者要做很多事情，包括寻找核心生产数据、最关键的数据、备份系统、容灾系统等，当把所有情况探测清楚后，才发起攻击。目前，许多企业在遭遇勒索攻击时，普遍采用的方式是断网、等待网络安全部门检测，在这一过程中，业务必将受到影响。因此，网络弹性和网络恢复变得极其重要。

戴尔科技集团的“三位一体”数据保护策略，即备份(BR)+容灾(DR)+数据避风港(CR)，可帮助企业用户在面对不同威胁时按需采取不同的保护措施，构建数据保护的闭环，应对数据安全挑战。

在三位一体的保护架构中，位于保护金字塔的最顶端的数据避风港，旨在保护对于企业来说最核心的数据。

据李岩介绍，数据避风港具有四大特性：

1、系统是隔离的。环境与网络断开连接，物理上受到保护，并限制除具有适当审核批准的用户以外的用户。

2、将数据复制到不可变存储。保险库使用不可变存储，因此无法删除或修改文件。保持每个文件的原始完整性非常重要，这样才能进行准确分析。

3、过程完整性和智能。工作流确认保险库按预期运行，利用安全工具扫描数据集(必要时生成警报)和/或根据需要执行应用程序取证。

4、恢复和补救。事件后执行恢复/补救的程序(集成到正式的网络事件响应计划中)。

数字化时代企业该如何应对安全挑战？加强现代安全是关键

戴尔科技集团大中华区数据保护技术总监李岩

李岩表示，保护关键数据并实现恢复，不仅仅是一个解决方案，还需要做好数据的分级分类，例如哪些是重要的应用，重要的数据等。再就是人员和流程，比如在保护的隔离区中是否要建一个干净的清洁室，这里会做一些定期的恢复验证。从人员到流程，到数据的分级分类，再到解决方案，通过迭代和并行工作流实现成熟的网络恢复(数据避风港)计划。

第三，降低安全措施复杂性

复杂性是确保网络安全的一大挑战，戴尔可提供具有固有安全性和自动化功能的产品，并整合安全工具，帮助客户实现智能扩展。此外，戴尔科技的专家通过简化整个客户组织中的关键网络安全、业务连续性和数据保护计划，能够帮助企业降低安全的复杂性。

显然，戴尔科技集团作为值得信赖的全球安全提供商，在帮助客户加强现代安全方面的优势无疑是巨大的。李君鹏总结了三点原因：一是大规模的创新解决方案，由于戴尔的规模和资源，可以独特地将人员、流程和技术结合在一起，用于从战略规划到全面实施的任何安全项目;二是戴尔作为值得信赖的安全合作伙伴的世界级纪录，戴尔的解决方案是经过验证的安全解决方案和智能的创新。戴尔在帮助客户从经历网络事件当中进行恢复方面的成功率达到了97%;三是戴尔本身也跟客户一样进行安全现代化的旅程，帮助加速数字化的转型。

写在最后：

当下，数字化浪潮席卷而来，随着企业数字化转型不断深入，面临的各类安全威胁也在不断加剧。在安全领域深耕多年的戴尔科技，凭借着对安全领域敏锐的洞察力，以及创新技术、安全策略和解决方案，使企业获得安全且富有弹性环境的同时，可以将更多的注意力转移到提高核心竞争力上，实现业务突破。