01.數(shù)字經(jīng)濟(jì)快速發(fā)展，企業(yè)數(shù)字化轉(zhuǎn)型正當(dāng)時(shí)近年來(lái)，宏觀經(jīng)濟(jì)進(jìn)入新常態(tài)，建設(shè)"數(shù)字中國(guó)"、發(fā)展"數(shù)字經(jīng)濟(jì)"成為了國(guó)家戰(zhàn)略。央企、國(guó)企作為中國(guó)經(jīng)濟(jì)的重要組成部分，通過(guò)數(shù)字化轉(zhuǎn)型，既可以全面推動(dòng)全社會(huì)數(shù)字化進(jìn)程，也可以全面提升自身核心競(jìng)爭(zhēng)力。1.1數(shù)字經(jīng)濟(jì)發(fā)展迅速，央企、國(guó)企成為主力軍生深刻變革。國(guó)家"十四五規(guī)劃"中，對(duì)數(shù)字中國(guó)建設(shè)提出了十個(gè)數(shù)字化應(yīng)用場(chǎng)景，央企、國(guó)企覆蓋了絕大部分場(chǎng)景，例如，智慧能源、智能制造、數(shù)字建筑等。央企、國(guó)企在我國(guó)經(jīng)濟(jì)發(fā)展中占據(jù)主導(dǎo)地位。根據(jù)財(cái)政部數(shù)據(jù)顯示，國(guó)有經(jīng)濟(jì)占全國(guó)經(jīng)濟(jì)總量的比例達(dá)到62.3%。數(shù)字經(jīng)濟(jì)成為未來(lái)競(jìng)爭(zhēng)的主戰(zhàn)場(chǎng)，央企、國(guó)企成為數(shù)字經(jīng)濟(jì)戰(zhàn)場(chǎng)的主力軍。的必由之路。全面推動(dòng)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)深度融合，將是"十四五"時(shí)期央企、國(guó)企參與數(shù)字經(jīng)濟(jì)發(fā)展，做強(qiáng)做優(yōu)做大國(guó)有資本的重要途徑，將打開(kāi)全社會(huì)數(shù)字化發(fā)展的新局面。央企、國(guó)企積極推進(jìn)數(shù)字化轉(zhuǎn)型既是響應(yīng)政府號(hào)召，也是保持自身核心競(jìng)爭(zhēng)力的重要途徑。如圖1所示，央企、國(guó)企數(shù)字化轉(zhuǎn)型，將數(shù)字技術(shù)與企業(yè)需求相融合，實(shí)現(xiàn)跨層級(jí)、跨地域、跨系統(tǒng)、跨部門(mén)、跨業(yè)務(wù)的協(xié)同管理，本質(zhì)上是業(yè)務(wù)、管理、人力全面數(shù)字化，最終實(shí)現(xiàn)降本增效提高企業(yè)的業(yè)務(wù)競(jìng)爭(zhēng)能力，釋放數(shù)字化轉(zhuǎn)型的真正價(jià)值。數(shù)字化轉(zhuǎn)型路線圖數(shù)字化轉(zhuǎn)型路線圖新業(yè)務(wù)·產(chǎn)業(yè)數(shù)字化·數(shù)字化生態(tài) 場(chǎng)景驅(qū)動(dòng)數(shù)字創(chuàng)新業(yè)務(wù)圖1：央企、國(guó)企數(shù)字化轉(zhuǎn)型路線及目標(biāo)①圖1引用《國(guó)有企業(yè)數(shù)字化轉(zhuǎn)型場(chǎng)景示范和線路圖研究白皮書(shū)》1.2央企、國(guó)企數(shù)字化轉(zhuǎn)型業(yè)務(wù)模式及安全場(chǎng)景根據(jù)數(shù)字化深入程度不同，企業(yè)數(shù)字化轉(zhuǎn)型大體會(huì)經(jīng)歷4個(gè)階段，最終會(huì)建成業(yè)務(wù)內(nèi)外全貫通的數(shù)字型現(xiàn)代組織,如圖2所示。圖2：央企、國(guó)企數(shù)字化轉(zhuǎn)型階段在數(shù)字化轉(zhuǎn)型內(nèi)容方面，制造、能源類(lèi)企業(yè)側(cè)重通過(guò)數(shù)字化轉(zhuǎn)型提高生產(chǎn)運(yùn)營(yíng)智能化水平，如智能制造、智慧園區(qū)等，而建筑類(lèi)企業(yè)偏重于基礎(chǔ)數(shù)字技術(shù)平臺(tái)的建設(shè)，重在推進(jìn)企業(yè)管理體系的數(shù)字化。制造類(lèi)央企、國(guó)企在數(shù)字化轉(zhuǎn)型中，以智能制造為主攻方向，積極打造工業(yè)互聯(lián)網(wǎng)平臺(tái)，加快產(chǎn)業(yè)鏈、供應(yīng)鏈資源共享和業(yè)務(wù)協(xié)同，主要聚焦三大方向：供應(yīng)鏈協(xié)同基于資源對(duì)接、協(xié)同生產(chǎn)，打造行業(yè)供應(yīng)鏈協(xié)同服務(wù)平臺(tái)，推動(dòng)行業(yè)上下游分散資源的有效匯聚與廣泛共享。智能化工廠基于工業(yè)互聯(lián)網(wǎng)，通過(guò)人工智能、5G、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、數(shù)字孿生、精益制造等數(shù)字技術(shù)，建設(shè)具有"柔性化、智能化、數(shù)字化"特征的智能工廠。數(shù)字化管理通過(guò)單點(diǎn)突破—局部擴(kuò)散—復(fù)制推廣—全面融合-優(yōu)化創(chuàng)新的路徑，推動(dòng)研發(fā)、產(chǎn)品、裝備、生產(chǎn)、管理、服務(wù)等業(yè)務(wù)場(chǎng)景，實(shí)現(xiàn)數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型，逐步搭建和完善企業(yè)內(nèi)部數(shù)字化管理平臺(tái)。研發(fā)設(shè)計(jì)類(lèi)CADCAECAM工業(yè)機(jī)器人研發(fā)設(shè)計(jì)類(lèi)CADCAECAM工業(yè)機(jī)器人如圖3所示，在制造業(yè)數(shù)字化轉(zhuǎn)型業(yè)務(wù)場(chǎng)景中，基礎(chǔ)層提供底層支撐；設(shè)備與軟件層提供現(xiàn)場(chǎng)生產(chǎn)與管理工具；平臺(tái)層主要進(jìn)行數(shù)據(jù)資產(chǎn)管理、分析與調(diào)用。供應(yīng)鏈場(chǎng)景研發(fā)場(chǎng)景輔助設(shè)計(jì)/驗(yàn)證工業(yè)模擬/驗(yàn)證生產(chǎn)場(chǎng)景財(cái)務(wù)場(chǎng)景供應(yīng)鏈場(chǎng)景研發(fā)場(chǎng)景輔助設(shè)計(jì)/驗(yàn)證工業(yè)模擬/驗(yàn)證生產(chǎn)場(chǎng)景財(cái)務(wù)場(chǎng)景供應(yīng)方管理與評(píng)價(jià)倉(cāng)庫(kù)管理設(shè)備檢測(cè)/管理智能排產(chǎn)采購(gòu)計(jì)劃制定物流方管理與評(píng)價(jià)供應(yīng)方管理與評(píng)價(jià)倉(cāng)庫(kù)管理設(shè)備檢測(cè)/管理智能排產(chǎn)采購(gòu)計(jì)劃制定物流方管理與評(píng)價(jià)質(zhì)量檢測(cè)生產(chǎn)預(yù)測(cè)營(yíng)收預(yù)測(cè)預(yù)算規(guī)劃客戶服務(wù)銷(xiāo)售預(yù)測(cè)財(cái)務(wù)管理微服務(wù)組件庫(kù)容器低代碼/零代碼各類(lèi)AP接口微服務(wù)組件庫(kù)容器低代碼/零代碼各類(lèi)AP接口數(shù)據(jù)標(biāo)準(zhǔn)管理數(shù)據(jù)質(zhì)量管理主/元數(shù)據(jù)管理數(shù)據(jù)計(jì)算數(shù)據(jù)服務(wù)Devops 練與管理Devops 數(shù)據(jù)安全工業(yè)/工藝仿真模數(shù)據(jù)安全擬與驗(yàn)證生產(chǎn)相關(guān)設(shè)備ERPSCMERPSCMCRMHRM嵌入式軟件其他軟件電信運(yùn)營(yíng)商網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)商傳感器芯片控制器減速器伺服系統(tǒng)工業(yè)網(wǎng)絡(luò)云服務(wù)A大數(shù)據(jù)工業(yè)安全圖3：制造業(yè)數(shù)字化轉(zhuǎn)型業(yè)務(wù)場(chǎng)景制造業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中，工業(yè)互聯(lián)網(wǎng)是實(shí)現(xiàn)全產(chǎn)業(yè)鏈、全價(jià)值鏈的資源要素互聯(lián)互通的基礎(chǔ)。工業(yè)互聯(lián)網(wǎng)安全是制造業(yè)數(shù)字化的可靠保障，如圖4所示，工業(yè)互聯(lián)網(wǎng)多層次安全保障體系涉及工業(yè)互聯(lián)網(wǎng)領(lǐng)域各個(gè)環(huán)節(jié)，包含應(yīng)用安全、平臺(tái)安全、網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施安全和數(shù)據(jù)安全等。原生應(yīng)用及后臺(tái)安全日志審計(jì)工業(yè)互聯(lián)網(wǎng)原生應(yīng)用及后臺(tái)安全日志審計(jì)工業(yè)互聯(lián)網(wǎng)應(yīng)用層安全web應(yīng)用及后臺(tái)安全日志審計(jì)數(shù)據(jù)服務(wù)安全微服務(wù)組件安全日志審計(jì)數(shù)據(jù)服務(wù)安全微服務(wù)組件安全開(kāi)發(fā)環(huán)境安全工業(yè)互聯(lián)網(wǎng)平臺(tái)層安全日志審計(jì)虛擬化安全網(wǎng)絡(luò)安全日志審計(jì)虛擬化安全網(wǎng)絡(luò)安全存儲(chǔ)安全服務(wù)器安全基礎(chǔ)設(shè)施安全邊界安全防護(hù)邊界接入認(rèn)證彈性訪問(wèn)控制邊界攻擊過(guò)濾抗DDOS攻擊流量監(jiān)控與審計(jì)圖4：工業(yè)互聯(lián)網(wǎng)多層次安全保障體系②①圖3引用：工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟報(bào)告②圖4引用：工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟報(bào)告能源流能源流能源流實(shí)時(shí)感知智能控制分布式技術(shù)、儲(chǔ)能技術(shù)、電力電子技術(shù)等驅(qū)動(dòng)電力智能化升級(jí)改造，推動(dòng)產(chǎn)業(yè)變革信網(wǎng)息流息能源流能源流能源流實(shí)時(shí)感知智能控制分布式技術(shù)、儲(chǔ)能技術(shù)、電力電子技術(shù)等驅(qū)動(dòng)電力智能化升級(jí)改造，推動(dòng)產(chǎn)業(yè)變革信網(wǎng)息流息流源息流智能控制和自動(dòng)化技術(shù)廣泛應(yīng)用高電網(wǎng)自動(dòng)化水平覆蓋率為行業(yè)數(shù)字化升級(jí)打下底層基礎(chǔ)全球"雙碳"背景下，能源電力轉(zhuǎn)型勢(shì)在必行。如圖5所示，運(yùn)用數(shù)字技術(shù)，實(shí)現(xiàn)電源側(cè)、電網(wǎng)側(cè)、負(fù)荷側(cè)及儲(chǔ)能側(cè)各類(lèi)可控資源與信息的數(shù)據(jù)接入與處理，打造源網(wǎng)荷儲(chǔ)-體化數(shù)字平臺(tái)，實(shí)現(xiàn)全鏈路的統(tǒng)籌、協(xié)調(diào)和優(yōu)化，極大提升能源利用效率，降低用能成本。電網(wǎng)運(yùn)行信息設(shè)備狀態(tài)信息市場(chǎng)及服務(wù)信息信息通信技術(shù)與電網(wǎng)運(yùn)行信息設(shè)備狀態(tài)信息市場(chǎng)及服務(wù)信息融合互聯(lián)網(wǎng)模式豐富了能源網(wǎng)網(wǎng)絡(luò)設(shè)備通信設(shè)備通信協(xié)議能源管理系統(tǒng)調(diào)度控制系統(tǒng)網(wǎng)絡(luò)設(shè)備通信設(shè)備通信協(xié)議能源管理系統(tǒng)調(diào)度控制系統(tǒng)能源交易系統(tǒng)人工智能、大數(shù)據(jù)、區(qū)塊鏈、物聯(lián)網(wǎng)、云計(jì)算等新興技術(shù)承擔(dān)不同角色，賦能能源電力全流程數(shù)字化轉(zhuǎn)型圖5：源網(wǎng)荷儲(chǔ)一體化數(shù)字平臺(tái)在發(fā)電環(huán)節(jié)，如圖6所示，通過(guò)數(shù)字化轉(zhuǎn)型打造智慧電廠，輔助發(fā)電企業(yè)實(shí)現(xiàn)生產(chǎn)、運(yùn)營(yíng)、服務(wù)的降本增效和創(chuàng)新升級(jí)。應(yīng)用層平臺(tái)層感知層基礎(chǔ)設(shè)施層智慧電廠全景圖實(shí)時(shí)泛在多源融合自主精益高效協(xié)同全域感知實(shí)時(shí)泛在多源融合自主精益高效協(xié)同全域感知設(shè)備管理設(shè)備管理系統(tǒng)設(shè)備管理系統(tǒng)廠房監(jiān)控系統(tǒng)廠房監(jiān)控系統(tǒng)設(shè)備狀態(tài)檢修系統(tǒng)設(shè)備預(yù)警系統(tǒng)物資及燃料管理燃料管理燃料管理智能倉(cāng)儲(chǔ)智能倉(cāng)儲(chǔ)能源管理系統(tǒng)能源管理系統(tǒng)運(yùn)行控制三維可視化三維可視化知識(shí)圖譜知識(shí)圖譜故障優(yōu)化故障優(yōu)化智能巡檢智能巡檢經(jīng)營(yíng)管理自動(dòng)報(bào)表自動(dòng)報(bào)表實(shí)施利潤(rùn)預(yù)測(cè)ERP實(shí)施利潤(rùn)預(yù)測(cè)ERP生產(chǎn)經(jīng)營(yíng)分析企業(yè)管控系統(tǒng)生產(chǎn)經(jīng)營(yíng)分析企業(yè)管控系統(tǒng)競(jìng)價(jià)上網(wǎng)系統(tǒng)文檔管理競(jìng)價(jià)上網(wǎng)系統(tǒng)文檔管理統(tǒng)數(shù)字平臺(tái)終端設(shè)備終端設(shè)備閘機(jī)工業(yè)攝像頭閘機(jī)工業(yè)攝像頭巡檢機(jī)器人巡檢機(jī)器人門(mén)禁門(mén)禁電力設(shè)備電力設(shè)備汽輪機(jī)發(fā)電機(jī)給水泵汽輪機(jī)發(fā)電機(jī)給水泵余熱鍋爐余熱鍋爐智能控制智能控制SCADANCSDCSSCADANCSDCSDEHDEH其他輔控其他輔控云基礎(chǔ)設(shè)施存儲(chǔ)資源計(jì)算資源網(wǎng)絡(luò)資源云平臺(tái)超融合-體機(jī)交換機(jī)防火墻路由器安全網(wǎng)管存儲(chǔ)資源計(jì)算資源網(wǎng)絡(luò)資源云平臺(tái)超融合-體機(jī)交換機(jī)防火墻路由器安全網(wǎng)管數(shù)據(jù)中心智能聯(lián)接圖6:智慧電廠業(yè)務(wù)模式②①圖5引用：國(guó)網(wǎng)《泛在電力物聯(lián)網(wǎng)白皮書(shū)》②圖6引用：國(guó)網(wǎng)《泛在電力物聯(lián)網(wǎng)白皮書(shū)》在用電環(huán)節(jié)，如圖7所示，展示了電網(wǎng)企業(yè)數(shù)字化轉(zhuǎn)型的整體架構(gòu)。通過(guò)提高電網(wǎng)企業(yè)配電和變電的數(shù)字化能力，構(gòu)建可觀、可控的智能電網(wǎng)，賦能雙碳目標(biāo)下新型電力系統(tǒng)建設(shè)。樞紐型：樞紐型：綜合能源服務(wù)、三站合—、企業(yè)運(yùn)營(yíng)共享型：資源商業(yè)化運(yùn)營(yíng)、虛擬電廠、客戶服務(wù)客戶服務(wù)電力運(yùn)行企業(yè)運(yùn)行新興業(yè)務(wù)據(jù)數(shù)據(jù)中臺(tái)業(yè)務(wù)中臺(tái)全業(yè)務(wù)統(tǒng)一數(shù)據(jù)中心物聯(lián)管理中心—體化"國(guó)網(wǎng)云"平臺(tái)統(tǒng)一信息支撐綜合知識(shí)支撐接入網(wǎng)骨干網(wǎng)數(shù)據(jù)網(wǎng)傳輸網(wǎng)融合現(xiàn)場(chǎng)采集智能業(yè)務(wù)本地通信邊緣物聯(lián)部件終端接入代理感知層電網(wǎng)基礎(chǔ)體系堅(jiān)強(qiáng)實(shí)體電網(wǎng)電網(wǎng)支撐站點(diǎn)平臺(tái)型：大數(shù)據(jù)運(yùn)營(yíng)、能源金融、電網(wǎng)運(yùn)行流泛在電力物聯(lián)網(wǎng)流堅(jiān)強(qiáng)智能電 技術(shù)支撐體系三型兩網(wǎng)能源互聯(lián)網(wǎng)企業(yè)發(fā)電側(cè)業(yè)務(wù)電網(wǎng)側(cè)業(yè)務(wù)標(biāo)準(zhǔn)化規(guī)范體系智能應(yīng)用體系智能電網(wǎng)裝備復(fù)合通信支撐信息物理用戶側(cè)業(yè)務(wù)應(yīng)用層平臺(tái)層網(wǎng)絡(luò)層評(píng)估認(rèn)證CPS數(shù)流圖7：電網(wǎng)企業(yè)數(shù)字化轉(zhuǎn)型的整體架構(gòu)電力行業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中，新的應(yīng)用不斷涌現(xiàn)，整體網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大。為了保障生產(chǎn)、輸電、交易、用電的全鏈路數(shù)字化安全發(fā)展，如圖8所示，通過(guò)建立-體化安全運(yùn)營(yíng)體系，全方位增強(qiáng)電力系統(tǒng)安全運(yùn)行效率。方針政策組織保障績(jī)效考核稽查檢查安全檢測(cè)宣傳教育關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)管理等級(jí)保護(hù)管理互聯(lián)網(wǎng)應(yīng)用安全安全管控系統(tǒng)生命安全周期管理數(shù)據(jù)及內(nèi)容安全管理自主可控和國(guó)產(chǎn)化替代風(fēng)險(xiǎn)預(yù)警和應(yīng)急處置安全情報(bào)共享供應(yīng)鏈安全安全管控4防御預(yù)測(cè)安全加固加密脫敏動(dòng)態(tài)授權(quán)入侵防御仿真威脅情報(bào)4防御預(yù)測(cè)安全加固加密脫敏動(dòng)態(tài)授權(quán)入侵防御仿真威脅情報(bào)安全基線訪問(wèn)控制安全隔離靶場(chǎng)滲透測(cè)試風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)組織機(jī)構(gòu)漏洞管理規(guī)范標(biāo)準(zhǔn)組織機(jī)構(gòu)-體化安全運(yùn)營(yíng)應(yīng)急響應(yīng)安全審計(jì)事件處置安全運(yùn)維調(diào)查取證應(yīng)急響應(yīng)安全審計(jì)事件處置安全運(yùn)維調(diào)查取證態(tài)勢(shì)呈現(xiàn)‖流量分析響應(yīng)檢測(cè)安全即服務(wù)技術(shù)支撐傳統(tǒng)安全網(wǎng)絡(luò)傳統(tǒng)安全網(wǎng)絡(luò)‖主機(jī)‖應(yīng)用電力監(jiān)控系統(tǒng)安全1終端數(shù)據(jù)1終端數(shù)據(jù)‖物聯(lián)網(wǎng)大數(shù)據(jù)‖移動(dòng)應(yīng)用物理及環(huán)境安全安全基礎(chǔ)設(shè)施圖8：電力行業(yè)一體化安全運(yùn)營(yíng)體系②①圖7引用：國(guó)網(wǎng)《泛在電力物聯(lián)網(wǎng)白皮書(shū)》②圖8引用：國(guó)網(wǎng)《泛在電力物聯(lián)網(wǎng)白皮書(shū)》建筑業(yè)數(shù)字化轉(zhuǎn)型，旨在提升整體集成管理水平，實(shí)現(xiàn)統(tǒng)-管理，降本增效，有效提高人均勞動(dòng)效能。從總體架構(gòu)看，如圖9所示，數(shù)字建筑是以數(shù)字平臺(tái)為關(guān)鍵支撐、標(biāo)準(zhǔn)規(guī)范為科學(xué)指引、安全防護(hù)為重要保障，整體呈現(xiàn)"三橫·兩縱"的結(jié)構(gòu)特征。從業(yè)務(wù)模式看，數(shù)字建筑以全鏈條數(shù)字化協(xié)同、全周期集成化管理、全要素智能化升級(jí)為主要模式，支撐和賦能建筑行業(yè)數(shù)字化轉(zhuǎn)型。全產(chǎn)業(yè)鏈咨詢單位設(shè)計(jì)單位建設(shè)單位施工單位運(yùn)營(yíng)單位供應(yīng)商業(yè)主政府部門(mén)··勘察軟件勘察軟件規(guī)劃軟件設(shè)計(jì)軟件工程審圖施工軟件運(yùn)維軟件…應(yīng)用軟件建筑全生命周期協(xié)同設(shè)計(jì)智慧生產(chǎn)智慧工地智慧運(yùn)維智能審查綠色建造解決方案智能建造裝配式建筑數(shù)字城市…應(yīng)用服務(wù)層業(yè)務(wù)使能平臺(tái)模型集成業(yè)務(wù)使能平臺(tái)模型集成BIM模型協(xié)同多源模型接入BIM模型算量數(shù)據(jù)使能平臺(tái)數(shù)據(jù)湖數(shù)據(jù)開(kāi)放數(shù)據(jù)治理數(shù)據(jù)融合新技術(shù)融合人工智能大數(shù)據(jù)機(jī)器人GISIOTCIM…圖形使能平臺(tái)圖形使能平臺(tái)幾何造型圖形渲染參數(shù)化建模BIM數(shù)據(jù)定義數(shù)據(jù)格式互聯(lián)互通工程制圖…能力平臺(tái)層計(jì)算基礎(chǔ)設(shè)施計(jì)算基礎(chǔ)設(shè)施存儲(chǔ)基礎(chǔ)設(shè)施網(wǎng)絡(luò)基礎(chǔ)設(shè)施測(cè)繪基礎(chǔ)設(shè)施感知基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施層圖9：數(shù)字建筑總體架構(gòu)隨著數(shù)字化轉(zhuǎn)型，建筑業(yè)面臨許多新風(fēng)險(xiǎn)。例如，遭遇網(wǎng)絡(luò)攻擊時(shí)，建筑企業(yè)的整個(gè)數(shù)字基礎(chǔ)設(shè)施可能會(huì)癱瘓，導(dǎo)致業(yè)務(wù)中斷，如果出現(xiàn)數(shù)據(jù)泄露，知識(shí)產(chǎn)權(quán)被竊取，可能會(huì)給企業(yè)帶來(lái)重大損失。如圖10所示，基于數(shù)字建筑的總體結(jié)構(gòu)層次依據(jù)應(yīng)用層、平臺(tái)層、網(wǎng)絡(luò)層、感知層不同風(fēng)險(xiǎn)特征，建立一個(gè)清晰的安全框架，保障建筑業(yè)以更高效、安全和可持續(xù)的方式實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。①圖9引用：信通院《數(shù)字建筑白皮書(shū)》應(yīng)用檢測(cè)web安全數(shù)據(jù)隔離業(yè)務(wù)權(quán)限管理基礎(chǔ)架構(gòu)安全分布式數(shù)據(jù)庫(kù)應(yīng)用檢測(cè)web安全數(shù)據(jù)隔離業(yè)務(wù)權(quán)限管理基礎(chǔ)架構(gòu)安全分布式數(shù)據(jù)庫(kù)應(yīng)用安全系統(tǒng)安全平臺(tái)數(shù)據(jù)安全防APT威脅訪問(wèn)控制數(shù)據(jù)隱私保護(hù)資產(chǎn)識(shí)別入侵檢測(cè)數(shù)據(jù)加密租戶隔離身份驗(yàn)證網(wǎng)絡(luò)邊界防護(hù)網(wǎng)絡(luò)攻擊預(yù)警網(wǎng)絡(luò)安全隔離網(wǎng)絡(luò)安全DDOS防護(hù)網(wǎng)絡(luò)邊界防護(hù)網(wǎng)絡(luò)攻擊預(yù)警網(wǎng)絡(luò)安全隔離網(wǎng)絡(luò)安全DDOS防護(hù)數(shù)據(jù)安全傳輸數(shù)據(jù)傳輸加密數(shù)據(jù)傳輸安全數(shù)據(jù)完整性保護(hù)數(shù)據(jù)備份與恢復(fù)數(shù)據(jù)安全傳輸數(shù)據(jù)傳輸加密數(shù)據(jù)傳輸安全數(shù)據(jù)完整性保護(hù)硬件安全接入安全終端數(shù)據(jù)安全安全芯片入侵防護(hù)數(shù)據(jù)防泄漏設(shè)備防盜硬件安全接入安全終端數(shù)據(jù)安全安全芯片入侵防護(hù)數(shù)據(jù)防泄漏設(shè)備防盜加密通信數(shù)據(jù)加密設(shè)備防水可信驗(yàn)證密鑰管理設(shè)備防干擾強(qiáng)制認(rèn)證白名單異常分析數(shù)據(jù)防復(fù)制圖10：數(shù)字建筑安全保障體系架構(gòu)總結(jié)來(lái)看，央企、國(guó)企數(shù)字化轉(zhuǎn)型是—場(chǎng)效率與安全的革命，提升效率的關(guān)鍵在于，充分利用數(shù)據(jù)生產(chǎn)要素，充分解放云邊端一體化帶來(lái)的計(jì)算能力，充分發(fā)揮新技術(shù)帶來(lái)的數(shù)字化管理手段。同時(shí)，需要依據(jù)不同行業(yè)的業(yè)務(wù)場(chǎng)景，布局?jǐn)?shù)字化網(wǎng)絡(luò)安全建設(shè)，打造平臺(tái)型、系統(tǒng)性、縱深化的網(wǎng)絡(luò)安全體系。央企、國(guó)企數(shù)字化轉(zhuǎn)型過(guò)程中，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)應(yīng)用日益深入，使得企業(yè)網(wǎng)絡(luò)邊界日趨模糊，數(shù)據(jù)儲(chǔ)量和流量成倍上漲，網(wǎng)絡(luò)攻擊帶來(lái)的損失也成倍增加，企業(yè)安全建設(shè)面臨眾多安全挑戰(zhàn)。2.1現(xiàn)有安全體系滯后，不適配IT新架構(gòu)隨著數(shù)字技術(shù)的應(yīng)用，央企、國(guó)企在網(wǎng)絡(luò)架構(gòu)方面，向分布式、微服務(wù)架構(gòu)演進(jìn)，如圖11所示。新架構(gòu)、新模式也帶來(lái)了新的安全風(fēng)險(xiǎn)。.其-，傳統(tǒng)安全是基于過(guò)去靜態(tài)的、封閉的IT基礎(chǔ)設(shè)施設(shè)計(jì)的，很難適配云和云原生的基礎(chǔ)環(huán)境。1其二，企業(yè)采購(gòu)的不同安全產(chǎn)品是高度碎片化的，之間缺乏聯(lián)動(dòng)，這就導(dǎo)致安全運(yùn)營(yíng)人員難以獲取完整的風(fēng)險(xiǎn)和入侵信息，工作效率低下。■其三，在數(shù)字化浪潮下，企業(yè)會(huì)采用新的開(kāi)發(fā)模式和理念來(lái)提高業(yè)務(wù)效率，但是卻不會(huì)同步實(shí)現(xiàn)安全的數(shù)字化發(fā)展，使得安全能力迭代演進(jìn)緩慢。其四，將安全融入到業(yè)務(wù)全生命周期里，意味著企業(yè)要打破原有安全產(chǎn)品的條條框框，充分實(shí)現(xiàn)API化，增強(qiáng)產(chǎn)品集成能力，而這在短時(shí)間內(nèi)也是難以實(shí)現(xiàn)的。企業(yè)當(dāng)前的IT架構(gòu)是處于哪一個(gè)階段其他架構(gòu)連鎖反映信創(chuàng)體系搭建重塑研發(fā)流程重新定義交付模式運(yùn)維模式升級(jí)安全體系是否滯后大型綜合防御工事單點(diǎn)防御工事小型防御工事圖11：數(shù)字化轉(zhuǎn)型過(guò)程中企業(yè)架構(gòu)的變化2.2云架構(gòu)安全風(fēng)險(xiǎn)突出，數(shù)據(jù)泄露威脅加劇在新一代云計(jì)算技術(shù)架構(gòu)體系下，企業(yè)云上資產(chǎn)數(shù)量激增，也帶來(lái)更多安全挑戰(zhàn)。如圖12所示，一方面，企業(yè)可能并不清晰了解自身資產(chǎn)，以及安全風(fēng)險(xiǎn)；另—方面，部分企業(yè)網(wǎng)絡(luò)安全缺少系統(tǒng)化梳理和頂層架構(gòu)設(shè)計(jì)，從而導(dǎo)致職責(zé)不定、資產(chǎn)不清、風(fēng)險(xiǎn)不明、攻擊不知。職責(zé)不定資產(chǎn)不清攻擊不知安全建設(shè)過(guò)程中組織協(xié)調(diào)過(guò)程過(guò)于繁瑣，建設(shè)周期被拉長(zhǎng)第三方廠家引入的容器第三方廠家引入的容器化部署業(yè)務(wù)未被納管業(yè)務(wù)快速發(fā)展初期，忽視了安全建設(shè)，存在較多低級(jí)的安全問(wèn)題，極易被攻擊遠(yuǎn)程訪問(wèn)遠(yuǎn)程訪問(wèn)業(yè)務(wù)處于裸奔狀態(tài)，缺乏對(duì)容器的安全監(jiān)控手段你真的了解你的容器業(yè)務(wù)規(guī)模嗎？某國(guó)企客戶，梳理資產(chǎn)后發(fā)現(xiàn)，跑容器業(yè)務(wù)的節(jié)點(diǎn)有超過(guò)2萬(wàn)點(diǎn)沒(méi)有納入管理范疇?！つ逞肫罂蛻?，原以為只有不到30個(gè)跑容器的節(jié)點(diǎn)梳理后發(fā)現(xiàn)有700多個(gè)跑容器的節(jié)點(diǎn)。圖12：央企、國(guó)企數(shù)字化發(fā)展過(guò)程中的云安全挑戰(zhàn)同時(shí)，隨著越來(lái)越多的工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)、大數(shù)據(jù)平臺(tái)連接，數(shù)據(jù)規(guī)?？焖僭鲩L(zhǎng)，高價(jià)值數(shù)據(jù)成為更多黑客的目標(biāo)，近年來(lái)國(guó)內(nèi)外數(shù)據(jù)泄露事件頻頻發(fā)生。如何保障數(shù)據(jù)安全，提升數(shù)據(jù)安全治理水平，成為央企、國(guó)企數(shù)字化轉(zhuǎn)型的重要課題。2.3數(shù)字化導(dǎo)致網(wǎng)絡(luò)攻擊面增大網(wǎng)絡(luò)攻防對(duì)抗中，防守方在明處，是一個(gè)不能挪動(dòng)的堡壘，而攻擊方躲在暗處，只要有足夠的耐心，總是可以找到漏洞。尤其在數(shù)字化背景下，企業(yè)網(wǎng)絡(luò)流量交錯(cuò)縱橫，網(wǎng)絡(luò)攻擊面不斷增大，攻防之間的不平衡愈發(fā)顯著。如圖13所示，從近幾年的攻防實(shí)戰(zhàn)中發(fā)現(xiàn)，攻擊者攻擊戰(zhàn)術(shù)不斷升級(jí)，防守難度越來(lái)越大。攻擊意圖攻擊目標(biāo)攻擊源攻擊形態(tài)攻擊路線攻擊方式長(zhǎng)期經(jīng)營(yíng)長(zhǎng)期經(jīng)營(yíng) 內(nèi)存馬等武器、容器的漏洞攻 內(nèi)存馬等武器、容器的漏洞攻弱密碼弱密碼應(yīng)鏈漏洞應(yīng)鏈漏洞打哪指哪指哪打哪打哪指哪指哪打哪-純技術(shù)"技術(shù)+人力純技術(shù)"技術(shù)+人力定向式入侵迂回式入侵定向式入侵迂回式入侵集權(quán)定向打擊集權(quán)定向打擊分散式打擊圖13：近幾年央企、國(guó)企攻防實(shí)戰(zhàn)總結(jié)圖15企業(yè)面臨安全人員短缺和安全能力能力不足的挑戰(zhàn)同時(shí)，企業(yè)大多數(shù)服務(wù)器操作系統(tǒng)及信創(chuàng)系統(tǒng)都基于開(kāi)源軟件。如圖14所示，開(kāi)源漏洞隱患大，企業(yè)漏洞治理陷入困局，帶來(lái)更多的安全風(fēng)險(xiǎn)和挑戰(zhàn)。疲于應(yīng)對(duì)監(jiān)管合規(guī)檢查，不解決漏洞問(wèn)題就經(jīng)常被通報(bào)追責(zé)疲于應(yīng)對(duì)監(jiān)管合規(guī)檢查，不解決漏洞問(wèn)題就經(jīng)常被通報(bào)追責(zé)投入時(shí)間打補(bǔ)丁耗時(shí)耗力，往往會(huì)浪費(fèi)大量的時(shí)間在處理無(wú)意義的補(bǔ)丁上和跨部門(mén)溝通上投入精力投入精力投入經(jīng)費(fèi)購(gòu)買(mǎi)了太多的安全產(chǎn)品和服務(wù)，漏洞的問(wèn)題購(gòu)買(mǎi)了太多的安全產(chǎn)品和服務(wù)，漏洞的問(wèn)題擔(dān)心被攻擊關(guān)鍵的業(yè)務(wù)，老舊系統(tǒng)沒(méi)有修，風(fēng)險(xiǎn)持續(xù)暴露，總擔(dān)心出問(wèn)題；漏洞修復(fù)空窗期沒(méi)有應(yīng)對(duì)辦法，又擔(dān)心系統(tǒng)被拿下圖14：安全漏洞治理困境2.4企業(yè)安全人員明顯不足企業(yè)新業(yè)務(wù)、新技術(shù)層出不窮，新的安全風(fēng)險(xiǎn)隨之而來(lái)，給安全人員帶來(lái)巨大壓力。—方面，企業(yè)安全人員有限，在安全事件發(fā)生時(shí)，可能錯(cuò)過(guò)處置的"黃金時(shí)間"，造成不可挽回的影響；另-方面，企業(yè)現(xiàn)有人員的安全能力，無(wú)法跟上外部攻擊技術(shù)的更新迭代。如圖15所示，企業(yè)面臨安全人員短缺和安全能力不足的挑戰(zhàn)。效果無(wú)法體現(xiàn)領(lǐng)導(dǎo)問(wèn)解決了什么問(wèn)題說(shuō)不出來(lái)人員不足買(mǎi)了產(chǎn)品沒(méi)人用經(jīng)驗(yàn)不足技能不足買(mǎi)了產(chǎn)品不會(huì)用發(fā)現(xiàn)告警無(wú)從下手(·經(jīng)驗(yàn)不足技能不足買(mǎi)了產(chǎn)品不會(huì)用發(fā)現(xiàn)告警無(wú)從下手資產(chǎn)不清，不了解家底運(yùn)營(yíng)人員不足，缺乏專(zhuān)業(yè)支持資產(chǎn)不清，不了解家底自身團(tuán)隊(duì)規(guī)模較小，成員往往身兼數(shù)職，專(zhuān)業(yè)人才匱乏導(dǎo)致運(yùn)營(yíng)工作推進(jìn)緩慢難以精細(xì)化。自身團(tuán)隊(duì)規(guī)模較小，成員往往身兼數(shù)職，專(zhuān)業(yè)人才匱乏導(dǎo)致運(yùn)營(yíng)工作推進(jìn)緩慢難以精細(xì)化。的內(nèi)容缺少持續(xù)性、精細(xì)化的運(yùn)營(yíng)?？焖夙憫?yīng)及處置有待提升對(duì)核心資產(chǎn)的威脅感知不夠快速響應(yīng)及處置有待提升針對(duì)核心資產(chǎn)的入侵行為沒(méi)有重點(diǎn)關(guān)注，導(dǎo)致核心資產(chǎn)被入侵后出現(xiàn)災(zāi)難性后果。應(yīng)急響應(yīng)機(jī)制欠缺，針對(duì)核心資產(chǎn)的入侵行為沒(méi)有重點(diǎn)關(guān)注，導(dǎo)致核心資產(chǎn)被入侵后出現(xiàn)災(zāi)難性后果。往往"眉毛胡子一把抓"，難以快速應(yīng)對(duì)。3.2構(gòu)建數(shù)字化信創(chuàng)安全能力信創(chuàng)的核心是創(chuàng)新應(yīng)用和自主可控，但并不意味著安全，3.2構(gòu)建數(shù)字化信創(chuàng)安全能力信創(chuàng)的核心是創(chuàng)新應(yīng)用和自主可控，但并不意味著安全，甚至可以說(shuō)，信創(chuàng)更需要安全。央企、國(guó)企作為信創(chuàng)發(fā)展的主力軍，離不開(kāi)信創(chuàng)安全能力建設(shè)。如圖17所示，企業(yè)在使用搭載國(guó)產(chǎn)關(guān)鍵部件設(shè)備時(shí)，需要部署必要安全設(shè)施，打造信創(chuàng)安全能力，確保信息系統(tǒng)自主、可控、安全。P政策引導(dǎo)為了解決數(shù)字化轉(zhuǎn)型過(guò)程中面臨的安全挑戰(zhàn)，企業(yè)在安全建設(shè)過(guò)程中，應(yīng)圍繞網(wǎng)絡(luò)安全與數(shù)字化同步建設(shè)的思路，立足數(shù)字化新架構(gòu)和信創(chuàng)發(fā)展，打造體系化、實(shí)戰(zhàn)化、有效化的安全防御體系。3.1業(yè)務(wù)與安全融合，讓安全數(shù)字化普遍來(lái)看，企業(yè)安全發(fā)展落后于數(shù)字化業(yè)務(wù)發(fā)展。所以，針對(duì)企業(yè)中安全與業(yè)務(wù)發(fā)展脫節(jié)的現(xiàn)狀，青藤首次提出了"業(yè)安融合"理念，讓安全與業(yè)務(wù)實(shí)現(xiàn)能力、體系和流程三個(gè)方面的深度融合，如圖16所示。在業(yè)務(wù)方面，要將安全洞察融合到風(fēng)險(xiǎn)管理框架和數(shù)字發(fā)展計(jì)劃中；將業(yè)務(wù)、IT流程與安全要求、合規(guī)要求進(jìn)行融合。在安全方面，要持續(xù)確認(rèn)、衡量和管理安全態(tài)勢(shì)，以降低風(fēng)險(xiǎn)，并確保合規(guī)；將安全融合到Devsecops流程中，拉齊安全、開(kāi)發(fā)和運(yùn)營(yíng)實(shí)踐。數(shù)字化網(wǎng)絡(luò)設(shè)計(jì)信息系統(tǒng)設(shè)計(jì)資源池設(shè)計(jì)管理設(shè)計(jì)業(yè)務(wù)評(píng)估數(shù)字基建業(yè)務(wù)遷移容災(zāi)備份資源配置監(jiān)控運(yùn)維規(guī)劃階段運(yùn)營(yíng)階段建設(shè)階段規(guī)劃階段運(yùn)營(yíng)階段網(wǎng)絡(luò)安全建設(shè)圖16：網(wǎng)絡(luò)安全和數(shù)字化同步建設(shè)圖17：構(gòu)建數(shù)字化信創(chuàng)安全能力①圖17引用：嘶吼安全產(chǎn)業(yè)研究院《信創(chuàng)安全典型行業(yè)應(yīng)用專(zhuān)題報(bào)告》NDR全流量威脅檢測(cè)與響應(yīng)能力安全運(yùn)營(yíng)平臺(tái)大類(lèi)安全服務(wù)應(yīng)用安全NDR全流量威脅檢測(cè)與響應(yīng)能力安全運(yùn)營(yíng)平臺(tái)大類(lèi)安全服務(wù)應(yīng)用安全3.3安全責(zé)任共擔(dān)保障云上安全企業(yè)上云走向"精耕細(xì)作"，在推動(dòng)"云＋產(chǎn)業(yè)"結(jié)合的進(jìn)程中，責(zé)任共擔(dān)模型將更好地指導(dǎo)云租戶和云服務(wù)商，明確其安全責(zé)任。laas、paas、saas三種不同的云服務(wù)模式中，云服務(wù)商和企業(yè)云租戶對(duì)計(jì)算資源擁有不同控制范圍，控制范圍則決定了安全責(zé)任的邊界。如圖18所示，針對(duì)不同的云計(jì)算服務(wù)模式，各責(zé)任主體需負(fù)責(zé)各自控制范圍內(nèi)的安全合規(guī)工作。各租戶各租戶負(fù)責(zé)各自信息系統(tǒng)的安全與合規(guī)應(yīng)用及數(shù)據(jù)保護(hù)應(yīng)用及數(shù)據(jù)保護(hù)應(yīng)用及數(shù)據(jù)保護(hù)應(yīng)用及數(shù)據(jù)保護(hù)中間件層保護(hù)中間件層保護(hù)中間件層保護(hù)客戶虛擬機(jī)層保護(hù)客戶虛擬機(jī)層保護(hù)客戶虛擬機(jī)層保護(hù)硬件及虛擬化層保護(hù)硬件及虛擬化層保護(hù)硬件及虛擬化層保護(hù)云服云租戶云平臺(tái)云平臺(tái)運(yùn)營(yíng)者負(fù)責(zé)平臺(tái)的安全與合規(guī)圖18：云安全責(zé)任共擔(dān)模型3.4構(gòu)建立體的安全防御體系數(shù)字化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)呈現(xiàn)多樣化、復(fù)雜化、難預(yù)測(cè)的趨勢(shì)。企業(yè)亟待構(gòu)建與數(shù)字化業(yè)務(wù)融合的新型網(wǎng)絡(luò)安全體系，并全面適配信創(chuàng)架構(gòu)，實(shí)現(xiàn)防御有效化。如圖19所示，整體來(lái)看，主要包含以下四個(gè)方面:其一，加強(qiáng)云安全防護(hù)建設(shè)。建立全棧云安全防護(hù)體系，提升整個(gè)業(yè)務(wù)鏈、供應(yīng)鏈的安全防護(hù)能力?！銎涠嵘髁總?cè)安全能力。通過(guò)流量側(cè)的漏洞管理，以及全流量威脅檢測(cè)響應(yīng)體系建設(shè)，把安全工作做到實(shí)處。其三，補(bǔ)齊數(shù)據(jù)安全的短板。按照數(shù)據(jù)生命周期，從管理和技術(shù)兩方面，打造可管、可控、可視的數(shù)據(jù)安全體系?！銎渌模鉀Q安全運(yùn)營(yíng)能力不足的困境。借助專(zhuān)業(yè)的安全服務(wù)，既滿足企業(yè)日常運(yùn)營(yíng)，也滿足重點(diǎn)時(shí)期安全管理需要。蜂巢·云原生安全平臺(tái)萬(wàn)相蜂巢·云原生安全平臺(tái)無(wú)感知數(shù)據(jù)安全網(wǎng)關(guān)圖19：體系化安全架構(gòu)圖化安全防御，實(shí)現(xiàn)新場(chǎng)景、新架構(gòu)下的新安全。4.1先進(jìn)云安全方案云計(jì)算逐步成為企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施。如圖20所示，央企、國(guó)企需要針對(duì)云安全可見(jiàn)性、安全防護(hù)、安全檢測(cè)、安全響應(yīng)等方面，建立安全運(yùn)營(yíng)閉環(huán)管理覆蓋主機(jī)側(cè)和容器側(cè)，通過(guò)統(tǒng)-安全防護(hù)平臺(tái)，形成聯(lián)合發(fā)現(xiàn)、聯(lián)合抵御的縱深防護(hù)體系。-風(fēng)險(xiǎn)預(yù)測(cè)-通過(guò)內(nèi)部威脅預(yù)測(cè)、外部威脅情報(bào)等手段，監(jiān)控外部威脅，實(shí)現(xiàn)攻擊預(yù)測(cè)、提前預(yù)防的目標(biāo)-全面防護(hù)-面對(duì)持續(xù)攻擊降低受攻擊面,實(shí)現(xiàn)"攻擊減速"的目標(biāo)-持續(xù)檢測(cè)-7*24小時(shí)在線檢測(cè)和響應(yīng)，減少威脅停留時(shí)間，及時(shí)發(fā)現(xiàn)并控制事件，防止事件升級(jí)-快速響應(yīng)-深度威脅分析,聯(lián)動(dòng)響應(yīng)與處置,對(duì)發(fā)生的重大安全事件進(jìn)行回溯分析，實(shí)現(xiàn)及時(shí)處置、止損、追蹤溯源的目標(biāo)圖20：央企、國(guó)企云安全運(yùn)營(yíng)框架目前，央企、國(guó)企云安全建設(shè)重點(diǎn)，應(yīng)圍繞云工作負(fù)載保護(hù)展開(kāi)。云工作負(fù)載保護(hù)平臺(tái)可以實(shí)現(xiàn)跨物理機(jī)、公有云、私有云、混合云等多種數(shù)據(jù)中心環(huán)境的安全防護(hù)。其防護(hù)的云工作負(fù)載種類(lèi)包括，基礎(chǔ)設(shè)施即服務(wù)(laas)和平臺(tái)即服務(wù)(paas)計(jì)算實(shí)例、容器以及運(yùn)行在物聯(lián)網(wǎng)(IOT)上的工作負(fù)載。云工作負(fù)載保護(hù)平臺(tái)是基于主機(jī)agent的解決方案，主要功能如圖21所示漏洞利用防護(hù)/內(nèi)存防護(hù)漏洞利用防護(hù)/內(nèi)存防護(hù)工作負(fù)載的應(yīng)用程序控制/白名單系統(tǒng)完整性保護(hù)基于身份的微隔離和流可視化加固、配置和漏洞管理運(yùn)營(yíng)和安全基線服務(wù)器工作負(fù)載EDR行為檢測(cè)、威脅檢測(cè)與響應(yīng)重要，但也許應(yīng)該在工作負(fù)載外執(zhí)行基于風(fēng)險(xiǎn)層次的CWPP管理可選，但應(yīng)在文件存儲(chǔ)上執(zhí)行具備風(fēng)險(xiǎn)防護(hù)能力的HIPS核心保護(hù)策略惡意軟件掃描次要基礎(chǔ)無(wú)惡意代碼、無(wú)惡意代碼、無(wú)郵件、web客戶端管理員、特權(quán)管理變更管理日志管理圖21：云工作負(fù)載保護(hù)平臺(tái)功能分層云工作負(fù)載保護(hù)平臺(tái)涵蓋了工作負(fù)載整個(gè)生命周期的安全需求。從功能分層圖上可以看出，云工作負(fù)載保護(hù)平臺(tái)的核心安全策略是"防護(hù)"，包括漏洞利用防護(hù)/內(nèi)存防護(hù)、應(yīng)用程序控制/白名單、系統(tǒng)完整性保護(hù)、微隔離與流可視化、加固配置和漏洞管理。企業(yè)在選擇該類(lèi)解決方案時(shí)，可以參照如下最佳實(shí)踐定制云工作負(fù)載保護(hù)策略，以滿足企業(yè)特定的需求;終端EDR產(chǎn)品不能滿足企業(yè)工作負(fù)載安全防護(hù)需求;■安全廠商需要支持對(duì)windowsserver2008的防護(hù)，并在未打補(bǔ)丁的情況下提供相應(yīng)緩解措施；1大多數(shù)企業(yè)采用混合多云架構(gòu)，云工作負(fù)載保護(hù)平臺(tái)需要利用統(tǒng)-管理平臺(tái)實(shí)現(xiàn)集中管理;通過(guò)開(kāi)放API，便于云環(huán)境中功能的自動(dòng)化管理;在評(píng)估云工作負(fù)載保護(hù)平臺(tái)能力時(shí)，將容器保護(hù)作為—項(xiàng)強(qiáng)制功能；■將工作負(fù)載檢測(cè)擴(kuò)展到CI/CD流程中；.云工作負(fù)載保護(hù)解決方案，需要提供CSPM功能。為了支持?jǐn)?shù)字化業(yè)務(wù)，企業(yè)開(kāi)始采用云原生技術(shù)架構(gòu)，這也帶來(lái)了新的安全風(fēng)險(xiǎn)。企業(yè)可以利用云原生安全平臺(tái)，保護(hù)云原生全生命周期安全。如圖22所示，云原生安全平臺(tái)整合了大量以前孤立的功能，包括:開(kāi)發(fā)工件掃描，包括容器；云安全態(tài)勢(shì)管理;.lac掃描；.云基礎(chǔ)設(shè)施授權(quán)管理;.運(yùn)行時(shí)云工作負(fù)載保護(hù)平臺(tái)。CNAPP的詳細(xì)功能工件掃描工件掃描-SAST/DAST-API掃描-SCA-風(fēng)險(xiǎn)掃描-CVE-secrets-敏感數(shù)據(jù)-惡意軟件-攻擊路徑分析安全安全DevopsDev運(yùn)行時(shí)保護(hù)運(yùn)行時(shí)保護(hù)-網(wǎng)絡(luò)應(yīng)用和API保護(hù)-應(yīng)用監(jiān)控-云工作負(fù)載保護(hù)平臺(tái)-網(wǎng)絡(luò)分段-風(fēng)險(xiǎn)掃描-CVE-secrets-敏感數(shù)據(jù)-惡意軟件-攻擊路徑分析云配置-基礎(chǔ)設(shè)施即代碼掃描-網(wǎng)絡(luò)配置和安全策略-云基礎(chǔ)設(shè)施授權(quán)管理-kubernetes安全態(tài)勢(shì)管理-云安全態(tài)勢(shì)管理圖22：云原生安全平臺(tái)功能云原生安全平臺(tái)最大的優(yōu)點(diǎn)在于，對(duì)云原生應(yīng)用風(fēng)險(xiǎn)具有更好的可見(jiàn)性和更強(qiáng)的控制能力。它通過(guò)開(kāi)發(fā)和運(yùn)行時(shí)階段的多個(gè)工具集，實(shí)現(xiàn)云原生全生命周期安全。如圖23所示，目前符合企業(yè)業(yè)務(wù)發(fā)展需要的云原生安全方案，整體包括14大類(lèi)安全要求。部署模式Devops工具集成基礎(chǔ)設(shè)施安全K8s的集成和功能網(wǎng)絡(luò)安全容器運(yùn)行時(shí)保護(hù)secrets管理部署模式Devops工具集成基礎(chǔ)設(shè)施安全K8s的集成和功能網(wǎng)絡(luò)安全容器運(yùn)行時(shí)保護(hù)secrets管理通用監(jiān)測(cè)通用監(jiān)測(cè)基礎(chǔ)設(shè)施支持基礎(chǔ)設(shè)施支持管理管理圖23：云原生安全方案要求關(guān)于14大類(lèi)安全要求的具體內(nèi)容可參見(jiàn)《關(guān)鍵信息基礎(chǔ)設(shè)施云安全指南》。央企、國(guó)企業(yè)務(wù)上云是實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的關(guān)鍵一步。有效的云安全解決方案，可以解決企業(yè)上云過(guò)程中面臨的各種新安全問(wèn)題，讓企業(yè)安全上云，放心用云。4.2流量安全方案現(xiàn)階段，各種未知威脅攻擊層出不窮，然而再高級(jí)的攻擊也會(huì)產(chǎn)生流量。如圖24所示，央企、國(guó)企通過(guò)流量側(cè)的安全建設(shè)，做到全方向、全流量分析，提升未知威脅防御能力。全方向全方向網(wǎng)絡(luò)出口內(nèi)網(wǎng)核心安全域邊界全流量協(xié)議鑒別行為分析數(shù)據(jù)包解碼＋圖24：網(wǎng)絡(luò)全方向、全流量分析通過(guò)全流量威脅檢測(cè)響應(yīng)方案，能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)中各種隱蔽的高級(jí)攻對(duì)未知威脅。事前預(yù)防：利用流量可視化能力，看見(jiàn)資產(chǎn)，看清安全洼地，看透安全隱患。該方案通過(guò)網(wǎng)絡(luò)可視化，自動(dòng)識(shí)別東西和南北方向流量，并關(guān)聯(lián)終端資產(chǎn)信息，如圖25所示。通過(guò)長(zhǎng)期的流量監(jiān)控分析，構(gòu)建完整的資產(chǎn)訪問(wèn)關(guān)系圖。在檢測(cè)到威脅時(shí)，結(jié)合kill-chain的方式，將每個(gè)資產(chǎn)受到的攻擊進(jìn)行關(guān)聯(lián)，結(jié)合上下文分析，實(shí)時(shí)統(tǒng)計(jì)資產(chǎn)的安全狀態(tài)。II隔離出站、入站、雙向的網(wǎng)絡(luò)流量南北流向II隔離出站、入站、雙向的網(wǎng)絡(luò)流量南北流向WEB防護(hù)虛擬存儲(chǔ)安全虛擬存儲(chǔ)安全主機(jī)和容器流量可視化和微隔離vswitchVTHPVDBAvswitchvswitchVTHPVDBAAgentAgent服務(wù)器VNDR微隔離{主機(jī)安全AgentAgent服務(wù)器VNDR服務(wù)器VMVMVMVM服務(wù)器VMVMVMVM圖25：網(wǎng)絡(luò)可視化自動(dòng)識(shí)別東西和南北方向流量事中控制：通過(guò)數(shù)據(jù)可視化分析實(shí)現(xiàn)威脅追蹤，在造成破壞之前阻斷威脅。該方案結(jié)合了威脅檢測(cè)技術(shù)、行為分析技術(shù)，實(shí)現(xiàn)對(duì)威脅的檢測(cè)。如圖26所示，該方案可發(fā)現(xiàn)數(shù)十種網(wǎng)絡(luò)攻擊類(lèi)型通過(guò)快速發(fā)現(xiàn)網(wǎng)絡(luò)中的惡意流量行為，并進(jìn)行攔截和實(shí)時(shí)告警，幫助用戶及時(shí)響應(yīng)攻擊行為。圖26:發(fā)現(xiàn)網(wǎng)絡(luò)中數(shù)十種攻擊類(lèi)型事后評(píng)估：通過(guò)全量數(shù)據(jù)，對(duì)事件進(jìn)行回溯，評(píng)估事件影響及和處置效果。該方案通過(guò)安全事件關(guān)聯(lián)分析，判斷告警的準(zhǔn)確性和嚴(yán)重性，幫助用戶評(píng)估事件影響，發(fā)現(xiàn)安全弱點(diǎn)。同時(shí)，基于上下文檢測(cè)技術(shù)，以ATT&CK為模型，精準(zhǔn)還原攻擊事件，實(shí)現(xiàn)業(yè)務(wù)安全的定性和定量分析。漏洞管理是企業(yè)面臨的老大難問(wèn)題。近年來(lái)，工業(yè)互聯(lián)網(wǎng)技術(shù)不斷應(yīng)用，工控漏洞快速增長(zhǎng)。企業(yè)如何更早感知重點(diǎn)漏洞威脅？如何更快進(jìn)行針對(duì)性防御？如何更高效地進(jìn)行漏洞加固？最有效的方式就是實(shí)現(xiàn)漏洞無(wú)效化。該方案以"安全漏洞"為視角，對(duì)漏洞利用行為，進(jìn)行針對(duì)性的屏蔽，使漏洞探測(cè)和攻擊行為失效。如圖27所示，通過(guò)漏洞管理方案，從防御惡意漏洞探測(cè)、漏洞定向攻擊、病毒利用漏洞擴(kuò)散三個(gè)角度，從南北向、東西向兩個(gè)維度，進(jìn)行立體式的漏洞利用行為防御。屏蔽病毒利用漏洞橫向滲透流量鏡屏蔽病毒利用漏洞橫向滲透屏蔽病毒利用屏蔽病毒利用漏洞橫向滲透流量鏡屏蔽病毒利用漏洞橫向滲透屏蔽病毒利用漏洞探測(cè)>漏洞攻擊>防火墻VPN專(zhuān)線>VPN專(zhuān)線>●<>核心交換機(jī)分支機(jī)構(gòu)Npatch核心交換機(jī)分支機(jī)構(gòu)屏蔽漏洞探測(cè)攻擊行為流量鏡流量鏡流量鏡量鏡<<匯聚交換機(jī)匯聚交換機(jī)NpatchNpatch匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)NpatchNpatch流量鏡像接入交換機(jī)接入交換機(jī)接入交換機(jī)接入交換機(jī)Npatch漏洞橫向滲透6蠕蟲(chóng)病毒辦公區(qū)辦公區(qū)辦公區(qū)安全管理區(qū)服務(wù)器區(qū)圖27：南北向+多級(jí)東西向漏洞利用防護(hù)通過(guò)漏洞無(wú)效化管理，可實(shí)現(xiàn)以下幾個(gè)方面的安全防護(hù):防護(hù)來(lái)自外部或南北向的漏洞探測(cè)行為，外部探測(cè)行為將獲取不到漏洞信息?！龇雷o(hù)南北向的漏洞攻擊行為，攔截來(lái)自外部的漏洞攻擊。防護(hù)已感染惡意軟件主機(jī)利用漏洞橫向滲透的行為，東西向的漏洞探測(cè)行為將會(huì)被攔截。防護(hù)已感染惡意軟件主機(jī)東西向的漏洞攻擊行為，攔截內(nèi)部的漏洞攻擊。防護(hù)已感染惡意軟件的分支機(jī)構(gòu)對(duì)漏洞的探測(cè)和攻擊利用行為。央企、國(guó)企通過(guò)流量側(cè)的安全建設(shè)，滿足企業(yè)在高級(jí)可持續(xù)攻擊檢測(cè)、全網(wǎng)安全威脅監(jiān)測(cè)、重保等各個(gè)場(chǎng)景的安全防御需求。4.3數(shù)據(jù)安全方案隨著央企、國(guó)企數(shù)字化轉(zhuǎn)型，海量數(shù)據(jù)的價(jià)值在流通、融合、共享中進(jìn)-步被挖掘，數(shù)據(jù)安全成為企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中的核心需要。央企、國(guó)企數(shù)字化發(fā)展過(guò)程中，數(shù)據(jù)使用呈現(xiàn)場(chǎng)景復(fù)雜、數(shù)據(jù)用戶多、數(shù)據(jù)量大、暴露面大的特點(diǎn)。如圖28所示，企業(yè)數(shù)據(jù)安全改、毀損、非法使用等，保證數(shù)據(jù)的完整性、保密性和可用性。圖28：數(shù)據(jù)生存周期各階段安全要求央企、國(guó)企數(shù)據(jù)安全建設(shè)涉及政策法規(guī)、技術(shù)保障、管理制度等多方面問(wèn)題，為此需要以法規(guī)監(jiān)管要求和業(yè)務(wù)發(fā)展需要為輸入，依靠技術(shù)工具和管理制度的支撐作用，遵循"事前可觀、事中可控、事后可追溯"的原則，按照數(shù)據(jù)生命周期各階段安全要求，圍繞關(guān)鍵數(shù)據(jù)平臺(tái)、重要網(wǎng)絡(luò)節(jié)點(diǎn)、涉敏業(yè)務(wù)系統(tǒng),持續(xù)檢測(cè)與評(píng)估，打造可管、可控、可視的數(shù)據(jù)安全體系。具體安全方案如圖29所示。組織建設(shè)組織建設(shè)組織架構(gòu)組織職責(zé)協(xié)同機(jī)制數(shù)據(jù)資產(chǎn)管理持續(xù)收集與評(píng)估安全檢測(cè)日志審計(jì)數(shù)據(jù)識(shí)別安全多方計(jì)算監(jiān)控預(yù)警數(shù)據(jù)備份安全態(tài)勢(shì)感知數(shù)據(jù)銷(xiāo)毀數(shù)據(jù)生命周期采集傳輸存儲(chǔ)使用共享銷(xiāo)毀關(guān)鍵數(shù)據(jù)平臺(tái)、重要網(wǎng)絡(luò)節(jié)點(diǎn)、涉敏業(yè)務(wù)系統(tǒng)數(shù)據(jù)源鑒別數(shù)據(jù)加密數(shù)據(jù)脫敏數(shù)據(jù)水印同步規(guī)劃同步建設(shè)同步運(yùn)數(shù)據(jù)安全評(píng)估應(yīng)急響應(yīng)機(jī)制個(gè)人信息保護(hù)賬號(hào)權(quán)限管理數(shù)據(jù)出境管理安全監(jiān)督檢查第三方管理管理支撐技術(shù)支撐制度建設(shè)集中認(rèn)證數(shù)據(jù)恢復(fù)安全防御安全處置風(fēng)險(xiǎn)識(shí)別圖29：央企、國(guó)企數(shù)據(jù)安全建設(shè)方案企業(yè)數(shù)字化轉(zhuǎn)型是利用新一代數(shù)字技術(shù)，將業(yè)務(wù)流程的物理信息鏈接起來(lái)，形成有價(jià)值的數(shù)據(jù)資產(chǎn)，通過(guò)數(shù)據(jù)流通與使用釋放數(shù)據(jù)資源價(jià)值,增強(qiáng)自身競(jìng)爭(zhēng)力。在此過(guò)程中，應(yīng)用級(jí)數(shù)據(jù)活躍度增高，流轉(zhuǎn)風(fēng)險(xiǎn)加劇。為了"讓數(shù)據(jù)使用更安全"，央企、國(guó)企需要重點(diǎn)打造應(yīng)用級(jí)數(shù)據(jù)安全能力，補(bǔ)齊數(shù)據(jù)安全領(lǐng)域最重要的一塊短板。如圖30所示，企業(yè)通過(guò)數(shù)據(jù)安全管理平臺(tái)，實(shí)時(shí)、精準(zhǔn)的監(jiān)測(cè)和分析，實(shí)現(xiàn)數(shù)據(jù)安全管理平臺(tái)化、日?；⒖闪炕?。數(shù)據(jù)數(shù)據(jù)運(yùn)維大數(shù)據(jù)運(yùn)維管控大數(shù)據(jù)運(yùn)維管控審批/認(rèn)證大數(shù)據(jù)審計(jì)針對(duì)多種數(shù)據(jù)源敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險(xiǎn)評(píng)估系統(tǒng)數(shù)據(jù)交換平臺(tái)脫敏/水印圖30:數(shù)據(jù)安全管理平臺(tái)企業(yè)通過(guò)應(yīng)用級(jí)數(shù)據(jù)安全建設(shè)，可以完整、實(shí)時(shí)地了解任何一個(gè)業(yè)務(wù)系統(tǒng)任何一個(gè)頁(yè)面的數(shù)據(jù)使用情況，專(zhuān)業(yè)、客觀、量化地回答："什么時(shí)候，有哪些人，在什么地方，使用了哪些系統(tǒng)中的什么數(shù)據(jù)？"。如圖31所示，該方案實(shí)現(xiàn)全面數(shù)據(jù)態(tài)勢(shì)梳理監(jiān)測(cè)、持續(xù)風(fēng)險(xiǎn)評(píng)估策略優(yōu)化、高效安全風(fēng)險(xiǎn)發(fā)現(xiàn)溯源，打造360無(wú)死角安全防護(hù),提升業(yè)務(wù)系統(tǒng)數(shù)據(jù)使用效率和用戶體驗(yàn)。圖32：專(zhuān)業(yè)的滲透測(cè)試方案信息采集目標(biāo)識(shí)別明確滲透測(cè)試范圍復(fù)測(cè)報(bào)告編寫(xiě)網(wǎng)絡(luò)層域名信息網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)用層應(yīng)用掃描代碼分析系統(tǒng)層端口掃描漏洞掃描研討滲透測(cè)試方案客戶組織信息收集客戶加固完成獲得滲透測(cè)試授權(quán)目標(biāo)系統(tǒng)架構(gòu)信息收集手工測(cè)試驗(yàn)證漏洞，獲取訪問(wèn)權(quán)手工驗(yàn)證漏洞是否加固識(shí)別現(xiàn)有安全防護(hù)機(jī)制提交漏洞驗(yàn)證結(jié)果編寫(xiě)滲透測(cè)試報(bào)告及加固建議信息采集目標(biāo)識(shí)別明確滲透測(cè)試范圍復(fù)測(cè)報(bào)告編寫(xiě)網(wǎng)絡(luò)層域名信息網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)用層應(yīng)用掃描代碼分析系統(tǒng)層端口掃描漏洞掃描研討滲透測(cè)試方案客戶組織信息收集客戶加固完成獲得滲透測(cè)試授權(quán)目標(biāo)系統(tǒng)架構(gòu)信息收集手工測(cè)試驗(yàn)證漏洞，獲取訪問(wèn)權(quán)手工驗(yàn)證漏洞是否加固識(shí)別現(xiàn)有安全防護(hù)機(jī)制提交漏洞驗(yàn)證結(jié)果編寫(xiě)滲透測(cè)試報(bào)告及加固建議敏感數(shù)據(jù)識(shí)別敏感賬戶識(shí)別敏感接口識(shí)別敏感應(yīng)用識(shí)別數(shù)據(jù)分布監(jiān)測(cè)數(shù)據(jù)泄露建模敏感數(shù)據(jù)識(shí)別敏感賬戶識(shí)別敏感接口識(shí)別敏感應(yīng)用識(shí)別數(shù)據(jù)分布監(jiān)測(cè)數(shù)據(jù)泄露建模事件溯源分析行為基線檢測(cè)風(fēng)險(xiǎn)識(shí)別可視化泄露風(fēng)險(xiǎn)監(jiān)測(cè)數(shù)據(jù)流動(dòng)監(jiān)測(cè)敏感數(shù)據(jù)流量解析數(shù)據(jù)流可視化行為軌跡分析敏感數(shù)據(jù)流量解析數(shù)據(jù)流可視化行為軌跡分析高級(jí)威脅檢測(cè)用戶風(fēng)險(xiǎn)行為分析高級(jí)威脅檢測(cè)用戶風(fēng)險(xiǎn)行為分析用戶意圖分析緩慢數(shù)據(jù)緩慢數(shù)據(jù)泄露檢測(cè)圖31:全面數(shù)據(jù)態(tài)勢(shì)梳理監(jiān)測(cè)數(shù)據(jù)安全日益成為人們關(guān)注的焦點(diǎn)。在整體政策要求和具體實(shí)踐當(dāng)中發(fā)現(xiàn)，企業(yè)數(shù)據(jù)安全建設(shè)要與數(shù)字化進(jìn)程同步規(guī)劃、同步建設(shè)，實(shí)現(xiàn)發(fā)展和安全之間的平衡。4.4安全服務(wù)方案數(shù)字化轉(zhuǎn)型賦予企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)的同時(shí)，也擴(kuò)大了企業(yè)的網(wǎng)絡(luò)攻擊面。一方面，企業(yè)面臨嚴(yán)峻的網(wǎng)絡(luò)攻擊威脅；另—方面，企業(yè)面臨安全人員短缺的現(xiàn)實(shí)。專(zhuān)業(yè)的第三方安全服務(wù)成為破解企業(yè)數(shù)字化轉(zhuǎn)型安全保障難題的鑰匙。企業(yè)借助專(zhuān)業(yè)安全服務(wù)，實(shí)現(xiàn)全方位的安全評(píng)估和持續(xù)的安全運(yùn)營(yíng)，不僅滿足日常安全監(jiān)管需要，更適合重點(diǎn)時(shí)期安全需求。滲透測(cè)試和紅隊(duì)演練服務(wù)，在評(píng)估企業(yè)面臨的漏洞風(fēng)險(xiǎn)、合規(guī)情況及安全運(yùn)營(yíng)能力方面起著關(guān)鍵作用。滲透測(cè)試服務(wù)由安全專(zhuān)家利用安全工具，并結(jié)合個(gè)人實(shí)戰(zhàn)經(jīng)驗(yàn)，使用各種攻擊技術(shù)對(duì)指定的目標(biāo)系統(tǒng)，進(jìn)行非破壞性的模擬黑客攻擊，發(fā)現(xiàn)信息系統(tǒng)隱藏的安全風(fēng)險(xiǎn)和漏洞。如圖32所示，專(zhuān)業(yè)的滲透測(cè)試方案包括5個(gè)階段。企業(yè)可根據(jù)自身需要，在不同階段進(jìn)行滲透測(cè)試，全方位掌握系統(tǒng)風(fēng)險(xiǎn)，滿足安全合規(guī)建設(shè)要求。例如，在安全規(guī)劃建設(shè)之前，新系統(tǒng)上線前，存在系統(tǒng)破壞風(fēng)險(xiǎn)時(shí)，或?yàn)榱蓑?yàn)證安全建設(shè)