某省市安全威脅治理匯報(bào)人：時(shí)間：2021.3.2601智慧園區(qū)架構(gòu)目錄02安全威脅治理03建設(shè)要點(diǎn)總結(jié)04商機(jī)與案例智慧園區(qū)架構(gòu)PARTONE三元架構(gòu)管端云管網(wǎng)：傳輸網(wǎng)絡(luò)端：終端/外部訪問(wèn)端云：基礎(chǔ)設(shè)施（軟硬件/平臺(tái)）找方案&找標(biāo)準(zhǔn)找方案微信（掃第一個(gè)碼）每日分享各個(gè)領(lǐng)域高質(zhì)量專業(yè)的解決方案，內(nèi)容包括某省市、鄉(xiāng)村振興、智慧城管、智慧園區(qū)、智慧公安、智慧水務(wù)（水利）、智慧林草、社會(huì)綜合治理、智慧旅游、智慧工地、智慧環(huán)衛(wèi)、智慧醫(yī)院、智慧環(huán)保、智慧安監(jiān)等領(lǐng)域，結(jié)合數(shù)字孿生、人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等技術(shù)，分享行業(yè)售前方案、設(shè)計(jì)方案、技術(shù)方案和項(xiàng)目信息等。找標(biāo)準(zhǔn)微信（掃第二個(gè)碼）每日分享各個(gè)智慧領(lǐng)域國(guó)家和地方標(biāo)準(zhǔn)規(guī)范，國(guó)家和地方政策指導(dǎo)文件，讓各個(gè)智慧方案有據(jù)可依，內(nèi)容包括找方案中的各個(gè)行業(yè)的政策和規(guī)范，內(nèi)容在不斷的收集和完善中。找方案知識(shí)星球（掃第三個(gè)碼）會(huì)員可下載所有資料，并每日上新（注：所有資料均通過(guò)互聯(lián)網(wǎng)等公開(kāi)渠道獲取，個(gè)人學(xué)習(xí)使用，請(qǐng)勿用于商業(yè)用途）。找標(biāo)準(zhǔn)知識(shí)星球（掃第四個(gè)碼）會(huì)員可下載所有資料，并每日上新（注：所有資料均通過(guò)互聯(lián)網(wǎng)等公開(kāi)渠道獲取，個(gè)人學(xué)習(xí)使用，請(qǐng)勿用于商業(yè)用途）。找方案星球優(yōu)惠券（掃第五個(gè)碼）掃描69元價(jià)格優(yōu)惠加入，1W+方案任意下載，資源不斷的豐富完善中......找方案微信找方標(biāo)準(zhǔn)信業(yè)務(wù)分層網(wǎng)To

C

個(gè)人訪客To

B

企業(yè)用戶ToG

政府與監(jiān)管部門應(yīng)用層數(shù)據(jù)存儲(chǔ)數(shù)據(jù)加工與治理指標(biāo)敏感特定數(shù)據(jù)服務(wù)類數(shù)據(jù)基線元數(shù)據(jù)社區(qū)平臺(tái)地理信息系統(tǒng)分析決策系統(tǒng)綜合監(jiān)控系統(tǒng)問(wèn)題上報(bào)系統(tǒng)展示層應(yīng)急處置系統(tǒng)加工存儲(chǔ)支撐展示交通平臺(tái)政企平臺(tái)環(huán)保平臺(tái)公眾服務(wù)入口綜合管理門戶政企通報(bào)入口公眾訪問(wèn)決策處置網(wǎng)絡(luò)層4G/5G無(wú)線WIFI互聯(lián)網(wǎng)企業(yè)通報(bào)專網(wǎng)基礎(chǔ)支撐層基礎(chǔ)設(shè)施公眾訪問(wèn)企業(yè)通報(bào)決策處置公眾訪問(wèn)企業(yè)通報(bào)分布式中心云環(huán)境云數(shù)用政企數(shù)據(jù)環(huán)境數(shù)據(jù)交通數(shù)據(jù)硬件設(shè)備社區(qū)數(shù)據(jù)軟件/系統(tǒng)云邊緣計(jì)算GPUAI芯片分布式計(jì)算中心算上傳車載雷達(dá)訪端的種類端外部接入終端（如攝像頭）終端（PC，門禁）外部訪問(wèn)終端（如手機(jī)端）算的種類算手機(jī)終端（支付寶人臉識(shí)別）外部接入終端（環(huán)保攝像頭）外部PC端（如ETC站）邊緣計(jì)算服務(wù)器（中興MEC）車載芯片智慧電桿（工控迷你板卡）邊緣計(jì)算IDC網(wǎng)的種類網(wǎng)3G/4G/5G衛(wèi)星鏈路互聯(lián)網(wǎng)專線WiFi藍(lán)牙ZigBee云的內(nèi)涵云服務(wù)器操作系統(tǒng)虛擬化軟件虛擬機(jī)節(jié)點(diǎn)數(shù)據(jù)庫(kù)中間件存儲(chǔ)數(shù)的類型數(shù)生產(chǎn)數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)生產(chǎn)工藝、流程監(jiān)管要求數(shù)據(jù)地方/國(guó)家經(jīng)濟(jì)指標(biāo)隱私數(shù)據(jù)其他數(shù)據(jù)用的范圍用PC端應(yīng)用手機(jī)端應(yīng)用頁(yè)面端應(yīng)用來(lái)者何人訪監(jiān)管側(cè)用戶公眾用戶關(guān)聯(lián)方安全威脅治理PARTTWO找方案&找標(biāo)準(zhǔn)找方案微信（掃第一個(gè)碼）每日分享各個(gè)領(lǐng)域高質(zhì)量專業(yè)的解決方案，內(nèi)容包括某省市、鄉(xiāng)村振興、智慧城管、智慧園區(qū)、智慧公安、智慧水務(wù)（水利）、智慧林草、社會(huì)綜合治理、智慧旅游、智慧工地、智慧環(huán)衛(wèi)、智慧醫(yī)院、智慧環(huán)保、智慧安監(jiān)等領(lǐng)域，結(jié)合數(shù)字孿生、人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等技術(shù)，分享行業(yè)售前方案、設(shè)計(jì)方案、技術(shù)方案和項(xiàng)目信息等。找標(biāo)準(zhǔn)微信（掃第二個(gè)碼）每日分享各個(gè)智慧領(lǐng)域國(guó)家和地方標(biāo)準(zhǔn)規(guī)范，國(guó)家和地方政策指導(dǎo)文件，讓各個(gè)智慧方案有據(jù)可依，內(nèi)容包括找方案中的各個(gè)行業(yè)的政策和規(guī)范，內(nèi)容在不斷的收集和完善中。找方案知識(shí)星球（掃第三個(gè)碼）會(huì)員可下載所有資料，并每日上新（注：所有資料均通過(guò)互聯(lián)網(wǎng)等公開(kāi)渠道獲取，個(gè)人學(xué)習(xí)使用，請(qǐng)勿用于商業(yè)用途）。找標(biāo)準(zhǔn)知識(shí)星球（掃第四個(gè)碼）會(huì)員可下載所有資料，并每日上新（注：所有資料均通過(guò)互聯(lián)網(wǎng)等公開(kāi)渠道獲取，個(gè)人學(xué)習(xí)使用，請(qǐng)勿用于商業(yè)用途）。找方案星球優(yōu)惠券（掃第五個(gè)碼）掃描69元價(jià)格優(yōu)惠加入，1W+方案任意下載，資源不斷的豐富完善中......找方案微信找方標(biāo)準(zhǔn)信七大方向威脅治理端算網(wǎng)云數(shù)用訪端安全威脅治理端算網(wǎng)云數(shù)用訪端的威脅場(chǎng)景端安全外部接入端資產(chǎn)接入混亂漏洞脆弱性惡意訪問(wèn)終端資產(chǎn)接入混亂漏洞脆弱性惡意訪問(wèn)惡意代碼行為失控外部訪問(wèn)端見(jiàn)訪問(wèn)安全端安全治理——資產(chǎn)識(shí)別資產(chǎn)識(shí)別手工登錄自動(dòng)掃描口令安全強(qiáng)密碼弱口令檢測(cè)定期變更端安全治理——弱口令治理接入準(zhǔn)入指紋識(shí)別PKI-CA終端探針(PC/服務(wù)器)KM管理員CA管理員RA管理員最終用戶或設(shè)備KM

ServerCA

ServerRA

Server/目錄服務(wù)器HSMKM數(shù)據(jù)庫(kù)CA數(shù)據(jù)庫(kù)RA數(shù)據(jù)庫(kù)OCSP

ServerRootCAHSMHSM端安全治理——接入準(zhǔn)入漏洞檢測(cè)手段漏洞掃描滲透測(cè)試代碼審計(jì)（黑盒、白盒、灰盒等）檢測(cè)報(bào)告評(píng)估修復(fù)手段1：本地修復(fù)，未雨綢繆手段2：前置防御利用安全設(shè)備的漏洞利用規(guī)則庫(kù)進(jìn)行自動(dòng)化防御端安全治理——漏洞管理訪問(wèn)控制是網(wǎng)絡(luò)安全的基線。通過(guò)五元組、角色授權(quán)等手段，對(duì)訪問(wèn)進(jìn)行允止。右圖是一個(gè)簡(jiǎn)單的訪問(wèn)控制示意圖此外，還需要對(duì)流量中的已知和未知的惡意流量進(jìn)行檢測(cè)與阻斷。入侵檢測(cè)與防護(hù)已知威脅監(jiān)測(cè)（基于特征庫(kù)）未知威脅監(jiān)測(cè)（基于沙箱的APT檢測(cè)）入侵防護(hù)邊界防病毒端安全治理——訪問(wèn)控制、入侵防御檢測(cè)端安全治理——惡意代碼檢測(cè)惡意代碼防護(hù)防毒墻終端防病毒沙箱蜜罐端安全治理——行為管控審計(jì)內(nèi)網(wǎng)隨意上網(wǎng)下載堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)防泄密系統(tǒng)身份認(rèn)證（4A）高風(fēng)險(xiǎn)運(yùn)維準(zhǔn)入訪問(wèn)控制終端管控私接設(shè)備訪問(wèn)控制與權(quán)限最小化、電子簽章DLP防泄密數(shù)據(jù)隔離權(quán)限擴(kuò)散終端行為審計(jì)/日志審計(jì)其他安全防護(hù)與檢測(cè)手段（如IPS/FW/DLP）惡意操作上網(wǎng)行為管理算的安全威脅治理威脅治理端算網(wǎng)云數(shù)用訪邊緣計(jì)算類型邊緣計(jì)算類型終端邊緣計(jì)算芯片邊緣計(jì)算主機(jī)邊緣計(jì)算IDC邊緣計(jì)算“終端型邊緣計(jì)算”安全治理案例：環(huán)保監(jiān)控?cái)z像頭，以RBG色彩基線為基準(zhǔn)，判斷排污終端邊緣計(jì)算安全資產(chǎn)識(shí)別終端準(zhǔn)入增強(qiáng)口令漏洞管理訪問(wèn)控制案例：無(wú)人駕駛場(chǎng)景的車載計(jì)算芯片芯片邊緣計(jì)算安全算法安全代碼安全交互安全“計(jì)算芯片型邊緣計(jì)算”安全治理“主機(jī)型邊緣計(jì)算”安全治理ETC收費(fèi)站終端防病毒操作賬號(hào)多因素認(rèn)證軟件白名單日志留存與上傳審計(jì)“IDC型邊緣計(jì)算”安全治理省監(jiān)控中心區(qū)域分中心邊緣計(jì)算節(jié)點(diǎn)運(yùn)營(yíng)商運(yùn)營(yíng)商運(yùn)營(yíng)商基站基站監(jiān)控點(diǎn)位監(jiān)控點(diǎn)位監(jiān)控點(diǎn)位監(jiān)控點(diǎn)位監(jiān)控點(diǎn)位監(jiān)控點(diǎn)位政府IDC或運(yùn)營(yíng)商IDC邊緣計(jì)算節(jié)點(diǎn)IDC傳統(tǒng)安全拓?fù)渚W(wǎng)絡(luò)層SSLVPN網(wǎng)關(guān)

數(shù)據(jù)集群（基礎(chǔ)支撐層）管理區(qū)FW邊界FWFW/IPS某著名企業(yè)堡壘機(jī)Web服務(wù)器防篡改發(fā)布服務(wù)器Web防火墻防病毒終端安全準(zhǔn)入系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)感知層感知探針接入終端接入終端IPS/AV防火墻漏洞掃描系統(tǒng)安全管理平臺(tái)SOC安全管理區(qū)核心交換上網(wǎng)行為管理某著名企業(yè)某著名企業(yè)鏈路負(fù)載專線應(yīng)用負(fù)載應(yīng)用負(fù)載數(shù)據(jù)隔離交換區(qū)域隔離交換區(qū)網(wǎng)閘生產(chǎn)網(wǎng)入侵檢測(cè)4A系統(tǒng)云安全資源池DLP網(wǎng)關(guān)邊界訪問(wèn)控制云流量清洗與監(jiān)控應(yīng)用準(zhǔn)入網(wǎng)關(guān)數(shù)據(jù)庫(kù)脫敏漏洞管理安全審管理與計(jì)

應(yīng)用集群（應(yīng)用于展示層）邊界防護(hù)通信安全與網(wǎng)絡(luò)邊界防護(hù)邊界防護(hù)計(jì)算環(huán)境安全計(jì)算環(huán)境安全計(jì)算環(huán)境安全終端安全網(wǎng)的范圍威脅治理端算網(wǎng)云數(shù)用訪網(wǎng)的威脅場(chǎng)景網(wǎng)安全傳輸威脅流量劫持與監(jiān)聽(tīng)信息泄密加密算法安全可用性威脅僵尸網(wǎng)絡(luò)反射攻擊已知與未知威脅協(xié)議安全（略）傳輸安全傳輸安全加密可信的加密算法切片隔離可用性與安全基線可用性安全抗DDoS威脅情報(bào)DNSSec供應(yīng)鏈安全紐約舊金山芝加哥休斯頓西雅圖波士頓費(fèi)城圣何塞華盛頓懷俄明州迪比克大周期審計(jì)社工欺騙信息收集橫向擺渡基于攻擊鏈條以及歷史長(zhǎng)周期的統(tǒng)計(jì)關(guān)聯(lián)分析搜集核心資產(chǎn)惡意代碼植入數(shù)據(jù)回傳丹麥哥本哈根銀行2015年審計(jì)5年的日志，發(fā)現(xiàn)一起持續(xù)5年的慢滲透攻擊小周期基線判定反復(fù)出現(xiàn)超出基線的行為：需要審計(jì)是否為APT攻擊特征庫(kù)檢測(cè)靜態(tài)檢測(cè)AV檢測(cè)PE搜索YARA規(guī)則根據(jù)規(guī)則檢測(cè)已知病毒文件靈活定義檢測(cè)規(guī)則，應(yīng)對(duì)突發(fā)情況搜索文件里嵌入的可以執(zhí)行文件優(yōu)點(diǎn)快速發(fā)現(xiàn)文件包含的惡意攻擊缺點(diǎn)無(wú)法深度解析，無(wú)法判斷影響關(guān)鍵技術(shù)AV檢測(cè)、YARA規(guī)則匹配、PE搜索沙箱與蜜罐/蜜網(wǎng)將文件在虛擬環(huán)境中執(zhí)行，通過(guò)記錄文件的運(yùn)行過(guò)程，可發(fā)現(xiàn)漏洞利用情況、反向鏈接、隱蔽信道、潛伏病毒等。檢測(cè)原理優(yōu)點(diǎn)：可以深度檢測(cè)。缺點(diǎn)：沙箱檢測(cè)速度慢。特點(diǎn)威脅情報(bào)比對(duì)通過(guò)集成外部威脅情報(bào)，將已知的APT組織特征（如IP、攻擊工具、僵尸網(wǎng)絡(luò)、國(guó)家地域）等作為特征庫(kù)方式集成，提升檢測(cè)效率與準(zhǔn)確性聯(lián)動(dòng)協(xié)同防御互聯(lián)網(wǎng)惡意流量防火墻未阻攔IDS/APT檢測(cè)設(shè)備感知反向推送策略自動(dòng)阻斷可以將旁路檢測(cè)設(shè)備與串行防護(hù)設(shè)備進(jìn)行智能協(xié)同防御。當(dāng)檢測(cè)設(shè)備檢測(cè)到攻擊行為，但是防護(hù)設(shè)備未阻斷，那么檢測(cè)設(shè)備會(huì)反向推送策略給邊界網(wǎng)關(guān)自動(dòng)阻斷，從而能夠在第一時(shí)間對(duì)攻擊行為做出響應(yīng)。將需要大量人員分析流量與日志的沉重工作中解脫出來(lái)，只需要對(duì)智能聯(lián)動(dòng)防御后的網(wǎng)關(guān)處策略，人工排查是否有白名單應(yīng)用或IP的誤攔截，進(jìn)行放行或督促整改即可。5G流量安全檢測(cè)GTP流量可視化和安全防護(hù)對(duì)所有GTP隧道內(nèi)的接入流量進(jìn)行全面安全檢測(cè)，防止來(lái)自接入側(cè)的攻擊IoT流量可視化和安全防護(hù)識(shí)別和控制IoT設(shè)備流量保護(hù)某著名企業(yè)網(wǎng)絡(luò)免受IoT設(shè)備引發(fā)的網(wǎng)絡(luò)安全攻擊。Gi/SGi流量可視化和安全防護(hù)對(duì)互聯(lián)網(wǎng)側(cè)流量實(shí)現(xiàn)全面的四七層安全防護(hù)。保護(hù)4G/5G基礎(chǔ)架構(gòu)免受來(lái)自Internet的攻擊。漫游流量流量可視化和安全防護(hù)對(duì)漫游流量實(shí)現(xiàn)全面的四七層安全防護(hù)。網(wǎng)絡(luò)切片慢速/高延遲（攝像頭）中速/中等延遲快速/低延遲（無(wú)人駕駛）分片隔離分片隔離云的安全威脅治理端算網(wǎng)云數(shù)用訪云環(huán)境下的威脅場(chǎng)景云安全主機(jī)端點(diǎn)威脅提權(quán)泄密惡意代碼漏洞網(wǎng)絡(luò)流量難檢測(cè)流量難感知入侵防御（見(jiàn)前文）訪問(wèn)安全（見(jiàn)后文）應(yīng)用安全（見(jiàn)后文）數(shù)據(jù)安全（見(jiàn)后文）云流量牽引與清洗CoreSWInternetCoreSWAccessSWAccessSWAccessSW……租戶1VPCSECSW云安全服務(wù)區(qū)云安全服務(wù)平臺(tái)控制臺(tái)租戶1vNGFWvWAFvIDSvVPN租戶2vNGFWvWAFvIDS主機(jī)防護(hù)租戶NvNGFWvWAF主機(jī)防護(hù)……安全域1安全域2VMVM有代理主機(jī)安全防護(hù)系統(tǒng)提供端點(diǎn)防護(hù)+微隔離VMVM租戶2VPC安全域1安全域2VMVM有代理主機(jī)安全防護(hù)系統(tǒng)提供端點(diǎn)防護(hù)+微隔離VMVM租戶NVPC安全域1安全域2VMVM有代理主機(jī)安全防護(hù)系統(tǒng)提供端點(diǎn)防護(hù)+微隔離VMVM……1.云環(huán)境中，虛擬機(jī)中流量有可能在宿主機(jī)中流轉(zhuǎn)，無(wú)法被外部安全設(shè)備檢測(cè)，因此，SDN編排，流量牽引與清洗回源2.租戶VPC內(nèi)，除了端點(diǎn)檢測(cè)以外，還需要進(jìn)行租戶隔離，防止主機(jī)失陷后造成的數(shù)據(jù)泄密、權(quán)限擴(kuò)散等問(wèn)題3、虛擬機(jī)鏡像模板編排與分發(fā)4、IDC安全參考上文邊緣計(jì)算IDC場(chǎng)景云安全服務(wù)平臺(tái)——安全資源池?cái)?shù)的安全威脅治理端算網(wǎng)云數(shù)用訪數(shù)據(jù)面臨的威脅數(shù)據(jù)安全威脅外部入侵違規(guī)第三方竊密數(shù)據(jù)創(chuàng)建場(chǎng)景的安全數(shù)據(jù)存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)使用數(shù)據(jù)降級(jí)數(shù)據(jù)銷毀數(shù)據(jù)生成在數(shù)據(jù)生成時(shí)就應(yīng)當(dāng)對(duì)數(shù)據(jù)定義和定級(jí)，并結(jié)合行業(yè)標(biāo)準(zhǔn)、法律法規(guī)等作為參照，定義敏感或涉密數(shù)據(jù)的依據(jù)敏感數(shù)據(jù)：政府不能或不能提早披露的數(shù)據(jù)。個(gè)人隱私數(shù)據(jù)等。數(shù)據(jù)存儲(chǔ)期場(chǎng)景下安全數(shù)據(jù)存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)使用數(shù)據(jù)降級(jí)數(shù)據(jù)銷毀數(shù)據(jù)生成在數(shù)據(jù)存儲(chǔ)時(shí)需關(guān)注數(shù)據(jù)的性、完整性和可用性數(shù)據(jù)存儲(chǔ)性：文件加密、磁盤加密（秘鑰需妥善保管）或脫敏存儲(chǔ)數(shù)據(jù)存儲(chǔ)完整性：校驗(yàn)、備份數(shù)據(jù)存儲(chǔ)可用性：備份驗(yàn)證數(shù)據(jù)傳輸場(chǎng)景下的安全在數(shù)據(jù)傳輸時(shí)需關(guān)注數(shù)據(jù)的性、防泄密監(jiān)測(cè)、交換擺渡以及事后審計(jì)加密傳輸（IPsecVPN/SSLVPN）交換隔離（數(shù)據(jù)因需隔離，或按需交換）防泄密監(jiān)測(cè)：網(wǎng)絡(luò)/郵件/發(fā)帖等形式的防泄密監(jiān)測(cè)數(shù)據(jù)傳輸操作的記錄與審計(jì)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)使用數(shù)據(jù)降級(jí)數(shù)據(jù)銷毀數(shù)據(jù)生成數(shù)據(jù)使用場(chǎng)景的安全在數(shù)據(jù)使用時(shí)需關(guān)注數(shù)據(jù)的權(quán)限授予與訪問(wèn)控制、隱私合規(guī)、拷貝限制、審計(jì)數(shù)據(jù)訪問(wèn)控制（基于IP與基于角色的讀寫(xiě)訪問(wèn)）隱私合規(guī)（采集最小隱私、知情權(quán)、遺忘權(quán)）拷貝限制：禁止某著名企業(yè)設(shè)備拷貝、刻錄、水印禁止引用：防盜鏈、反爬蟲(chóng)數(shù)據(jù)屏蔽：如在GIS系統(tǒng)中屏蔽敏感區(qū)域數(shù)據(jù)使用記錄需保存并審計(jì)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)使用數(shù)據(jù)降級(jí)數(shù)據(jù)銷毀數(shù)據(jù)生成數(shù)據(jù)降級(jí)與銷毀場(chǎng)景在數(shù)據(jù)銷毀時(shí)，應(yīng)當(dāng)根據(jù)原先存儲(chǔ)數(shù)據(jù)的密級(jí)采取不同的銷毀措施非密數(shù)據(jù)磁盤銷毀：格式化普密級(jí)數(shù)據(jù)磁盤銷毀：加密后刪除秘鑰，多次低格級(jí)數(shù)據(jù)磁盤銷毀：消磁后物理/化學(xué)損毀數(shù)據(jù)存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)使用數(shù)據(jù)降級(jí)數(shù)據(jù)銷毀數(shù)據(jù)生成數(shù)據(jù)安全全景圖數(shù)據(jù)安全治理云平臺(tái)關(guān)系型數(shù)據(jù)庫(kù)大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全防護(hù)網(wǎng)關(guān)DLP身份認(rèn)證管理數(shù)據(jù)防泄漏數(shù)據(jù)風(fēng)險(xiǎn)態(tài)勢(shì)應(yīng)用搜索數(shù)據(jù)服務(wù)數(shù)據(jù)交換比對(duì)分析特權(quán)賬號(hào)管理數(shù)據(jù)安全治理平臺(tái)隱私保護(hù)——匿名化與遮蔽隱私數(shù)據(jù)定義定級(jí)生成敏感數(shù)據(jù)字典集中管理、集中確認(rèn)隱私數(shù)據(jù)字典管理字段名數(shù)據(jù)類型示例User.PhoneNumberNumber1380000000User.NameVarchar(20)User.IDVarchar(20)110000000000000001AA01.CardNumberChar6225-0000-0000-000AA02.AddressText某省市海淀區(qū)西北旺21號(hào)匿名化脫敏（數(shù)據(jù)不可逆）字段名數(shù)據(jù)類型示例User.PhoneNumberNumber1560000000User.NameVarchar(20)例子User.IDVarchar(20)220000000000000001AA01.CardNumberChar6226-0001-0001-001AA02.AddressText某省市朝陽(yáng)區(qū)大屯路東15號(hào)原數(shù)據(jù)姓名身份證手機(jī)號(hào)家庭住址張**110103********38271701233****某省市東城區(qū)****何**120103********23451331234****某省市紅橋區(qū)******夏**201110********53421862837****某省市某省市**********周*120102********98431562312****某省市和平區(qū)**********遮蔽脫敏（權(quán)限足夠可看全貌）用的安全威脅治理端算網(wǎng)云數(shù)用訪應(yīng)用安全的威脅應(yīng)用安全威脅可用性性完整性開(kāi)發(fā)安全的規(guī)劃技術(shù)Technology過(guò)程Process

人員People開(kāi)發(fā)、測(cè)試、安全及安全人員的能力/意識(shí)培訓(xùn)建立安全開(kāi)發(fā)保障過(guò)程體系、安全開(kāi)發(fā)規(guī)范與標(biāo)準(zhǔn)架構(gòu)設(shè)計(jì)、安全開(kāi)發(fā)編碼、安全測(cè)試以及安全部署運(yùn)維知識(shí)庫(kù)Knowledge安全編碼規(guī)范代碼安全指南問(wèn)題知識(shí)庫(kù)安全開(kāi)發(fā)過(guò)程規(guī)范安全審核檢查表知識(shí)庫(kù)操作實(shí)踐Practice人員培訓(xùn)架構(gòu)安全設(shè)計(jì)需求安全分析代碼檢查分析代碼風(fēng)險(xiǎn)評(píng)估白/黑盒測(cè)試事件響應(yīng)處理威脅建模集成安全分析工具Tools代碼檢查工具漏洞掃描工具黑盒測(cè)試工具網(wǎng)站應(yīng)用安全加密校驗(yàn)流量清洗安全管理應(yīng)用層防護(hù)架構(gòu)整改防篡改應(yīng)用安全防護(hù)手段漏洞管理可用性監(jiān)控安全監(jiān)控安全評(píng)估事件響應(yīng)大流量DDoS防護(hù)防SQL注入防惡意爬蟲(chóng)防跨站攻擊……代碼混淆與校驗(yàn)防篡改與快速恢復(fù)前中后端拆分微服務(wù)架構(gòu)安全加密安全校驗(yàn)雙因素驗(yàn)證防重放APP安全APP安全代碼安全云環(huán)境安全隱私保護(hù)合規(guī)訪的范圍威脅治理端算網(wǎng)云數(shù)用訪訪問(wèn)場(chǎng)景威脅訪問(wèn)場(chǎng)景下的安全威脅身份驗(yàn)證問(wèn)題終端識(shí)別問(wèn)題數(shù)據(jù)竊密弱口令（見(jiàn)前文）惡意爬蟲(chóng)身份鑒別認(rèn)證與賦權(quán)帳號(hào)管理認(rèn)證管理授權(quán)管理審計(jì)管理RA管理內(nèi)嵌（證書(shū)注冊(cè)）CA中心（證書(shū)認(rèn)證、密鑰管理）管控平臺(tái)可結(jié)合短信網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備主機(jī)SSO單點(diǎn)登錄應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)權(quán)限1權(quán)限2權(quán)限3權(quán)限N敏感信息遮蔽+下載限制身份標(biāo)識(shí)與權(quán)限鑒別，作為訪問(wèn)控制的基礎(chǔ)，是解決主動(dòng)攻擊威脅的重要防御措施之一。通過(guò)SSO單點(diǎn)登錄功能：可以實(shí)現(xiàn)身份可知，身份可信，權(quán)限可控，賬號(hào)可管！并且針對(duì)敏感信息，可以做到遮蔽化屏蔽（例如身份證號(hào)用※代替），應(yīng)用URL訪問(wèn)限制等。并且可以全程訪問(wèn)審計(jì)，甚至錄屏歸檔。此外，可以結(jié)合短信、令牌環(huán)等方式進(jìn)行雙因素認(rèn)證，并且限制認(rèn)證事件時(shí)間窗，防止重放攻擊。終端識(shí)別與合規(guī)訪問(wèn)控制在遠(yuǎn)程訪問(wèn)場(chǎng)景下，不僅要識(shí)別用戶，如有可能，還需對(duì)用戶接入的設(shè)備進(jìn)行標(biāo)識(shí)，對(duì)接入的終端設(shè)備進(jìn)行管理與準(zhǔn)入。最終實(shí)現(xiàn)對(duì)終端的資產(chǎn)識(shí)別與登錄、防病毒、補(bǔ)丁分發(fā)、軟件/進(jìn)程黑白名單、某著名企業(yè)防拷貝、終端防泄密網(wǎng)絡(luò)準(zhǔn)入認(rèn)證正常訪問(wèn)異常拒絕安全合規(guī)終端認(rèn)證服務(wù)器無(wú)弱口令DLP審計(jì)無(wú)非法軟件資產(chǎn)登錄安裝殺毒軟件補(bǔ)丁更新終端安全保護(hù)傘，在哪辦公都一樣！訪問(wèn)加密傳輸SSLVPN的場(chǎng)景，可以用于個(gè)人遠(yuǎn)程接入。保障了個(gè)人與企業(yè)網(wǎng)絡(luò)間隧道的加密傳輸，防止被竊密監(jiān)聽(tīng)。此外，更安全的做法是加強(qiáng)的多因子認(rèn)證（賬戶+U盾、賬戶+短信驗(yàn)證碼）。企業(yè)應(yīng)用Internet開(kāi)放的端口列表HTTPS（443）企業(yè)內(nèi)網(wǎng)遠(yuǎn)程用戶端企業(yè)加密機(jī)網(wǎng)關(guān)SSL認(rèn)證加密點(diǎn)加密點(diǎn)通信點(diǎn)通信點(diǎn)明文明文密文SSLVPN的組網(wǎng)，只需在企業(yè)端有專用加密機(jī)設(shè)備，而用戶端只需軟件形式的客戶端。適用于PC和手機(jī)某著名企業(yè)端。惡意爬蟲(chóng)、CC、掃描阻斷腳本識(shí)別模擬器識(shí)別模型識(shí)別惡意IP識(shí)別惡意行為識(shí)別軟件特征庫(kù)識(shí)別過(guò)濾丟棄鎖死放行自定義應(yīng)用服務(wù)器集群建設(shè)要點(diǎn)總結(jié)PARTTHREE合規(guī)第一合規(guī)等保政務(wù)網(wǎng)安全金融標(biāo)準(zhǔn)隱私保護(hù)數(shù)據(jù)治理識(shí)別各個(gè)場(chǎng)景風(fēng)險(xiǎn)安全策略（戰(zhàn)略）組織信息安全（戰(zhàn)略）人力資源安全（貫穿全程）

資產(chǎn)管理（戰(zhàn)術(shù)）

訪問(wèn)控制（戰(zhàn)術(shù)）

密碼學(xué)（戰(zhàn)術(shù)）物理與環(huán)境安全（戰(zhàn)術(shù)）操作安全（戰(zhàn)術(shù)）通信安全（戰(zhàn)術(shù)）信息系統(tǒng)開(kāi)發(fā)、獲取和維護(hù)（戰(zhàn)術(shù)）

供應(yīng)關(guān)系（戰(zhàn)術(shù)）信息安全事件管理（戰(zhàn)術(shù)）信息安全萬(wàn)面的業(yè)務(wù)連續(xù)性管理（戰(zhàn)術(shù)）IPDRR模型依舊適用

來(lái)自NIST的計(jì)算機(jī)安全指導(dǎo)政策框架（IPDRR模型）。該框架模型包括風(fēng)險(xiǎn)識(shí)（Identify）、安全防（Protect）、安全檢（Detect）、安全響（Response）和安全（Recovery）五大能力。該模型覆蓋率"事前、事中、事后"的全過(guò)程。該模型又稱之為自適應(yīng)安全模型。風(fēng)險(xiǎn)識(shí)別安全防御安全響應(yīng)安全恢復(fù)災(zāi)難恢復(fù)應(yīng)急預(yù)案恢復(fù)計(jì)劃事件響應(yīng)安全監(jiān)控?cái)?shù)據(jù)分析安全檢查安全監(jiān)測(cè)人員安全訪問(wèn)控制縱深防護(hù)安全運(yùn)維安全治理架構(gòu)規(guī)劃資產(chǎn)管理風(fēng)險(xiǎn)管理重要數(shù)據(jù)訪問(wèn)結(jié)合零信任以身份為中心動(dòng)態(tài)訪問(wèn)控制持續(xù)風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)安全訪問(wèn)識(shí)別用戶識(shí)別終端準(zhǔn)入機(jī)制用戶畫(huà)像行為分析異常聯(lián)動(dòng)外部威脅檢測(cè)防御部威脅檢測(cè)防御審計(jì)與持續(xù)監(jiān)控告警聯(lián)動(dòng)協(xié)同防御防護(hù)業(yè)務(wù)安全保護(hù)數(shù)據(jù)安全保障主機(jī)安全對(duì)敏感/隱私數(shù)據(jù)進(jìn)行縱深保護(hù)與全面監(jiān)管嵌入四大生命周期管理生命周期管理賬戶生命周期管理數(shù)據(jù)生命周期管理漏洞生命周期管理事件生命周期管理漏洞檢測(cè)漏洞報(bào)告漏洞評(píng)估漏洞修復(fù)事件產(chǎn)生事件研判事件處理事件關(guān)閉帳號(hào)開(kāi)通賬號(hào)變更賬號(hào)賦權(quán)賬號(hào)注銷對(duì)新技術(shù)場(chǎng)景持有謹(jǐn)慎態(tài)度采用虹膜/視網(wǎng)膜識(shí)別視網(wǎng)膜脫落/失明聲紋識(shí)別、光攻擊人臉識(shí)別與對(duì)抗攻擊生物特征屬于個(gè)人隱私，尤其需要注意隱私保護(hù)問(wèn)題！！！商機(jī)與案例PARTFOUR商機(jī)——智慧政務(wù)數(shù)據(jù)多跑路，群眾少跑路！——一某著名企業(yè)辦電子政務(wù)信息化改造商機(jī)——新基建新基建、《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善某省市場(chǎng)化配置體制機(jī)制的意見(jiàn)》大數(shù)據(jù)局IDC數(shù)據(jù)中心科研平臺(tái)智慧城鎮(zhèn)商機(jī)——智慧交通新能源汽車、無(wú)人駕駛、無(wú)人公交線路、智能軌道交通、智能調(diào)度車聯(lián)網(wǎng)充電樁出行平臺(tái)信息化鐵路軌道交通智慧公交出行APP高速門架智慧物流雪亮工程商機(jī)——智慧農(nóng)業(yè)土地流轉(zhuǎn)、人口老齡化、城鎮(zhèn)化智慧農(nóng)業(yè)敏感數(shù)據(jù)保護(hù)智慧養(yǎng)殖商機(jī)——智慧校園、校企合作教育部：積極推進(jìn)教育信息化建設(shè)。網(wǎng)絡(luò)安全成為一級(jí)學(xué)科智慧校園校企合作認(rèn)證培訓(xùn)商機(jī)——智慧社區(qū)商機(jī)——綠水青山智慧環(huán)保、排污檢測(cè)、應(yīng)急管理終端準(zhǔn)入工控安全應(yīng)急管理平臺(tái)可用性保障商機(jī)——民生醫(yī)療、金融、能源互聯(lián)網(wǎng)醫(yī)院智慧金融智慧能源案例——雄安新區(qū)車路協(xié)同集中管理與展示平臺(tái)物聯(lián)網(wǎng)安全管理平臺(tái)交通管理平臺(tái)車聯(lián)網(wǎng)地圖服務(wù)車