周辛酉-基于融媒混合云业务架构下的安全能力体系建设-CCNS&ISBT2024

融媒混合云业务架构下的安全能力体系建设分享 周辛酉解决方案副总裁 融媒时代的安全能力成为重中之重 互联网资产是指以新华通讯社名义对公众提供服务的载体媒体行业云计算的关键作用 媒体融合的十年历程与变化 包括但不限于域名、IP、网站、移动APP、微信公众号、小程序、微博等Ø当前阶段媒体融合转型的核心动能之一就是对数字技术的应用与升级，技术赋能产品，技术服务创新，而以云计算、大数据、人工智能等前沿技术的赋能作用在媒体行业已非常普遍。 2012年-2014年8月，行业变革下的自主探索，从行业自主探索到融合奠基阶段2014年-2018年，国家战略规划下，媒体融合的全面推进阶段 Ø2014年8月，国家出台《关于推动传动媒体和新兴媒体融合发展的指导意见》，媒体融合发展上升为国家战略。Ø2016年2月，指出了媒体融合应当以建设新型主流媒体为目标，并将其内涵凝练为”融为一体、合二为一“提出”要尽快从相加阶段迈向相融阶段，着力打造一批新型主流媒体“Ø2018年8月，县级融媒体中心的概念首次在中央级会议提出，由此掀起了县级融媒体中心的建设热潮。 Ø中国语境下，媒体融合的实践路径陈新概念出专业媒体互联网化的趋势，专业媒体依托大数据、人工智能、云计算等智能技术对内容、渠道、平台、经营、管理五个层面进行数字化转型改造，信息智能技术已经融入信息传播环节， Ø省级媒体发挥区域性传播的带头作用，如浙江广电集团、浙江日报报业集团共同打造省级媒体融合云“天目蓝云”，全省媒体融合一张网；湖南广电以“新湖南云”为平台整合省级-县级垂直融合生态圈，近百家县级融媒体入住；湖北广电推出“湖北全景红色教育地图”，联动全省、市、县三级媒体，打造湖北网络视听当时学习教育红色新高地。 2019年至今，融合媒体纵深加速阶段，全媒体传播体系建设加强 Ø2019年10月，国家明确将媒体融合战略的目标描述为”建设以内容建设为根本、先进技术为支撑、创新管理为保障的全媒体传播体系“Ø2020年6月下发《关于加快推进媒体深度融合发展的指导意见》，引领媒体融合加速迈向纵深发展Ø2022年《”十四五“文化发展规划》和党的二十大报告进一步明确”全媒体传播体系建设“的发展方向 Ø这表明省级媒体在区域性传播与连接过程中已经将地方媒体的融合及相互之间的联动落到实处，四级媒体融合在基础设施层已经走向深水区。 复杂环境下安全趋势 全球勒索事件层出不穷 Ø近年来海内外多家知名企业遭受勒索病毒的攻击，影响恶劣；Ø近年来勒索软件向着双重勒索、定向攻击、大规模攻击的方向发展，主要方式为加密重要文件、泄露敏感数据；Ø勒索攻击已经发展成庞大的产业链，勒索组织提供“勒索即服务，为买家提供勒索病毒、内网权限、攻击工具，越来越多的勒索软件完成了RaaS化的“业务转型”。 关键基础设施安全成为重点 Ø关基保护的基本原则：以关键业务为核心的整体防控，以风险管理为导向的动态防护，以信息共享为基础的协同联防；Ø理解“在等级保护基础上进行重点保护”：网络安全等级保护制度是基础，国标GB/T 39204-2022中定义的六个能力就是重点方向；Ø核心能力目标：保护关键信息基础设施业务连续运行，及其重要数据不受破坏。 安全大检查常态化 Ø整体性导向：整体周期变长，实战化趋势明显，希望参演单位通过自身常态化安全运营能力取代高强度的集中值守。Ø防守方导向：即在面临恶意势力的长线攻击上，完全攻不进内网的可能性不大。关注应对APT或长周期攻防的能力，弱化强调防守“零”失分。Ø攻击方导向：给攻击队留有更多的时间施展长线策略（进一步模拟真实APT），对于顶尖攻击队而言将会有更多的发挥空间。鼓励更多防守方自建蓝军作为攻击队参与，提升自建蓝军实战能力将成为趋势。 攻击从单点到多面，来自供应链&影子资产的威胁和供应链漏洞与日俱增缺乏互联网和攻击者视角，安全技术与管理手段跟不上勒索病毒的进化脚步 01攻击方式演进 变化 从「关注事中的防御」到「关注事前的预防」从「专项的演练活动」到「常态化能力保障」 02行业政策变化 从单一的线下机房到多元化架构、混合云架构从以硬件资产为主到基础设施的复杂异构模式 03多云成为标配 多云时代的网络边界不确定性持续增加 破边界：突破进入办公网、业务生产网（三条战术路线） 摸数据：跨网横向渗透，窃取高价值数据、控制核心系统 运营者需要建立常态化安全巡检计划：持续攻击路径分析 摸清资产家底、充分识别暴露面、快速挖掘暴露面上存在的真实业务风险，并推动缓解修复三方供应商 实施步骤与关键动作CTEM（Continuous Threat Exposure Management） 02 04 05 发现风险 验证风险 动员修复 界定范围 了解自己 ‣得到组织认可，邀请业务负责人参与‣说服业务利益相关者进行补救修复‣向组织其他团队提供充分的背景信息‣缓解修复过程带来的跨团队协作摩擦‣持续地优化改进 ‣以最终结果为导向，评估最大潜在影响‣识别风险是否能够攻击成功，验证是否可以利用‣安全控制与缓解能力验证‣验证对业务的影响‣确认修复优先级，是否存在可用的控制措施和缓解选项 ‣明确定义风险偏好‣梳理组织机构、分子公司关系‣梳理业务关系‣资产生命周期管理‣资产与业务优先级确认‣穷举风险清单与优先级 ‣安全资产库‣安全知识库‣威胁情报库 ‣获取全面可见性‣持续外部暴露面识别‣持续攻击路径分析，发现关键攻击路径‣持续有效的安全测试‣降低误报‣降低噪音‣覆盖更多的风险类型 典型案例：某大型省级通信运营商项目UserCase 管理短板 某省级运营商 缺少关联资产的发现能力。目前资产发现主要通过对自用地址段的全量扫描来发现未知资产，对于不在自用段、但承担维护职责的关联资产，缺少发现能力。如前端客户经理、运维开发人员、供应商等开放的对外测试或业务系统，因不在自用资产清单，导致缺少防护和检测能力，容易成为被突破点。 ⊗暴露面覆盖不足。安全管理仅覆盖了域名、IP和端口，对于目前外部攻击者重点关注的接口服务、SSL证书、托管代码、网盘资料等信息，尚无法掌握，已经多次导致如接口未授权调用、维护资料泄漏、内部文档泄漏、代码硬编码密钥泄漏等问题。 ⊗运营效率低，缺少运营技术手段，以往采用人工方式检查，效率较低，单个泄漏网站检查需10人天，且难以保证检测及时性，容易出现检查遗漏。 自研部分少，三方服务多，管理难业务部门不懂安全，不按安全流程操作5G新技术发展应用，从传统互联网侧网站应用转向微服务、API等多种新形态仅23年一年，暴露面相关事件13起 解决方案 建设收益 资产管理能力补充：基于省内已有地址段、单位、备案等信息，提取已知资产特征如SSL证书、业务系统、资产指纹等，同时爬取各类外部资料库如子域名库、地址位置库、空间雷达等，形成本单位影子资产清单。 建设1套互联网暴露面检测系统，采用虚拟化方式部署，作为分子能力纳入中台调度。 系统采用“管理平台+检测节点”方式部署，管理平台支持数据处理、任务调度、结果呈现等功能。 敏感信息泄露设别能力常态化监控：匹配本单位相关的代码、文件内容、图像、指纹等特征，判断公开内容中是否包含敏感信息，实现敏感信息泄露预警。 考虑到系统主要用于扫描和安全检测，对带宽、并发要求高，采用一体化硬件部署方式。 数据同步中台：通过安全中台获取现有单位、业务系统名称、备案域名、地址段等数据，经处理后生成敏感信息、敏感源等，同步至中台供其他服务调用。