北京能源、北京燃气、北京水务、北京公交、首农食品……作为国民经济的“稳定器”和“压舱石”,北京国企在保障首都水、气、热、路、运、环、食等方面发挥不可替代的重要作用,承担几乎全部的公共交通服务、70%的城市供水量、96%的污水处理量、95%的燃气供应量、40%的供热面积、60%的垃圾处理量等等。可以说,2000多万首都人民的衣食住行、日常工作生活,背后都离不开北京国企的强大支撑。
“建设全球数字经济标杆城市”是北京市“十四五”规划提出的战略目标,目前,数字经济已占北京市GDP比重超过40%,位列全国第一。作为数字化转型的“先锋队”和“主力军”,北京国有企业近年来全面加速上云、用云的进程,带头引领以云计算为代表的新一轮科技革命,成为北京数字经济发展的重要力量。
然而,国企数字化平台大都承载着关乎国计民生、社会稳定的业务和数据,一旦遭受黑客攻击或数据泄露和破坏,都会引发不可估量的严重后果。近期以来全球频发的云基础设施频繁遭受攻击,更体现了这种严峻形势。如何在云体系建设过程中,提供安全可靠、自主可控的网络安全保障,成为摆在北京国资委和各国企面前迫切要解决的问题。
01
构筑国企云平台,赋能市属国企数字化转型
据国企云的建设方北控数科(北控集团全资成立的二级企业)相关负责人介绍,北控数科将发挥国资企业主力军作用,联合行业龙头企业,建设和运营国企数字协同创新云平台,以首善的标准,集约化建设安全可信的国企云平台,打造首都国企高质量发展的坚强数字化底座。
国企云建设坚持高标准、集中化的要求,兼顾云平台的功能齐全、运行高效、使用灵活、维护方便、安全稳定、易于扩展等优势。云平台建成后,不仅面对北控集团控股公司,更面向广大的北京市属国企,为客户提供行业私有云、混合云和大数据等整体解决方案。
02
国企上云用云加速,安全风险愈发复杂严峻
近年来,全球范围以云平台为目标的网络攻击事件频发,愈演愈烈。2023年8月,拥有8万台服务器的全球云服务商Leaseweb遭遇安全事件,导致一些关键系统被迫关闭,部分客户的云停止服务。12月,意大利云服务提供商Westpole在12月8日遭受网络攻击,上千个政府机构服务中断、数据丢失。
国企云安全面临以下四个方面的挑战:
首先是云计算给现有安全架构带来了严峻挑战,安全隐患无处不在。
云计算弹性化带来了便利,同时带来了大量僵尸主机、不当暴露的端口、不当安全配置、弱口令等等。有数据统计,政企90%安全事件和不当操作有关。而2023年Verizon数据泄露报告显示,74%数据泄露事件涉及人为因素。
同时,云计算导致传统安全域划分逐渐失效,东西向流量不可见、横向移动无法及时发现等成为主要的安全问题。云上业务的复杂化导致更多暴露面,无文件攻击、供应链攻击等新型攻击方式出现,竖井式的安全设备无法及时发现问题。
其次是外部的网络攻击日益专业化、趋利化,对关键基础设施威胁加大。
云上算力高度集中、数据高度集中、以经济为目的,勒索、挖矿、数据窃取等攻击方式大行其道。数字货币起推波助澜作用。云数据中心作为关键基础设施,以政治为目的,专业APT组织日益猖獗,国家关键基础设施成为主要攻击对象。
第三是虚拟化引入给云基础设施带来新的风险。
国企云基础设施防护包括构建云计算环境所需的云操作系统(云业务及云基础设施管理)、虚拟化层(Hypervisor)、基础设施(网络、计算、存储)的安全防护。云基础设施一旦被攻破将威胁到云平台所承载的所有应用安全。
由于云计算与虚拟化环境自身的特性,企业需要充分考虑虚拟化的引入为企业带来的相应的风险,根据各个风险点带来的问题及威胁建设针对性的防护方案,以保障企业数据的安全及业务系统的平稳运行。
最后是提供国企云服务的企业,普遍面临来自Web安全、内容安全、应用安全等业务应用层的风险。
其中在Web安全方面,企业云上业务系统多采用HTTP/S应用协议(Web)对外提供服务,因而其面临的各种攻击可能都会转嫁至云应用上,攻击者利用Web服务可能存在的诸多漏洞进行攻击,窃取业务系统数据或权限等;
在内容安全方面,云上业务系统数据可能遭受病毒、蠕虫、木马攻击,在传输过程中存在被中途窃取或篡改的风险,造成数据完整性和机密性受到影响;
而在应用安全方面,对于将应用迁移至云上的企业而言,在迁移过程中可能会涉及迁移安全、风险评估等诸多问题。
03
云平台与云安全同步建设,实现数据驱动的内生安全
面对市属国有企业迫切的数字化转型需求和面临的网络安全挑战,在市国资委指导下,北控数科(北控集团全资成立的二级企业)履行使命担当,构建国企数字协同创新云平台(简称:国企云),目标是打造一流的数字基础设施、一流的数据分析中心、一流的数字化服务中心,为市属国企提供一流的数字化服务。
在安全保障方面,北控数科联合奇安信,共同建设和运营国企云,保障国企云安全,赋能市属国企数字化转型工作。以国企云核心能力为驱动,打造“北京方案”、创造“北京模式”、塑造“北京样板”用数字化手段助推北京全球数字经济标杆城市建设。
“作为促进央国企数字化转型重要底座,云平台在引入云、大数据等新技术的同时,也面临着新的安全风险,而传统安全模式已难以适应快速的变化,对此,我们提出了用新一代网络安全框架来保护国企云安全,获得了客户和相关合作方的普遍认可。”奇安信相关负责人表示。
更具体来说,新一代网络安全框架引入内生安全的理念。所谓内生安全,就是把安全能力与业务系统和相关流程紧密结合起来,进行深度融合,把原来静态的、局部的、外挂式的安全策略,升级为动态的、系统的、内生的防护措施,从而建立自适应的安全免疫体系。因此,国企云选择数据驱动的内生安全体系来构建国企云安全立体防护架构,保障自身安全。
首先,通过奇安信云安全管理平台为北控数科云搭建云基础安全防护体系,并通过三项核心功能满足云计算数据中心安全需求:
其次,云安全管理平台提供两类门户入口,支持租户通过自服务门户进行安全组件的创建和业务管理,也支持管理员通过平台管理门户进行统一管理,租户和管理员都支持三权分立模式,默认平台管理门户支持系统管理员,租户自服务门户支持租户系统管理员、租户审计管理员,开启三权后,支持系统、安全和审计三个角色。
针对云计算环境特性及安全需求分析,奇安信云安全管理平台遵循国家信息安全等级保护第三级要求和相关安全建设标准规范,构建了一套体系化的云计算环境安全保障体系,全面提升云计算安全管理水平以及运营水平,并具备自适应、弹性伸缩、敏捷性等管理优势,以适应云计算动态变化的安全需求。
此外,国企云安全中心基于新一代网络安全框架,以及内生安全理念,着力构建体系化、集约化的安全能力,以保障国企云、市属国企云上业务安全,并提供定制化安全服务。通过部署奇安信态势感知与安全运营平台等产品,全面感知市属国企云数据中心的安全态势,为国企用户业务的统一安全监测提供技术支撑、数据支撑。
得益于双方的深度信任和默契合作,国企云安全中心在云平台建设之初就深度融入其中,从而把安全能力与业务系统和相关流程紧密结合起来,进行深度融合,将原来静态的、局部的、外挂式的安全策略,升级为动态的、系统的、内生的防护措施,从而建立自适应的安全免疫体系,真正实现内生安全“自适应、自主、自生长”的目标。
在技术创新方面,该项目兼顾了项目的安全自主可控和未来可扩展性。国企云安全体系通过打造基于信创技术的新型网信架构,实现了网信基础设施的集约化建设、集约化管理、集约化运营,同时为市管企业数字化转型和信创替代提供全面技术支撑和服务保障。
同时,所有的网络安全产品,软、硬件也实现了全面信创。截至目前,国企云已全部支持IPv4与IPv6双栈协议,具备IPv4和IPv6转换平台,无论是网站群、移动办公应用上云后,从基础网络到安全防护都能满足企业IPv6改造要求。
安全人才短缺是市属各国企上云过程中的突出矛盾。为此,北控数科联合奇安信共同运营国企云安全,各自派出强大的技术支撑团队、人员,形成国企云安全中心的安全运营团队、安全服务团队,保障国企云自身安全的同时,还能够为市属国企提供专业的增值网络安全服务。
04
入选“十佳解决方案”,塑造国企云新标杆
本项目不仅是北京市国资委国企云安全建设的重要抓手,同时这种模式,对全国各地国企云建设及联合运营模式有非常强的借鉴参考复制意义和价值。
2023年12月15日,中关村数字经济产业联盟会员代表大会暨数字经济高质量发展论坛在京举行,会上发布了《2023全国数字经济典型场景与解决方案》研究报告并举行了颁奖仪式。凭借国企云安全方案中的技术体系和服务能力的出色表现,
展望未来,随着《数字中国建设整体布局规划》的推进,以及国家数据局的揭牌成立,数据要素市场化建设和国企数字化转型将进入全面加速阶段。央国企数字化转型也将面临着更多挑战,云体系作为服务政府和国资央企数字化转型的关键基础设施,迫切需要新一代网络安全框架来筑牢安全底座。奇安信和北控数科共同构建的国企云安全体系,为国内广大国企、央企等探索了一条可落地实践的标杆示范。
内容提供 / 北京北控数字科技有限公司
于水情 梁阳旭 方建国
END
⌲
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...