面對(duì)數(shù)字化轉(zhuǎn)型浪潮，企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日益凸顯。數(shù)據(jù)泄露、黑客勒索等事件頻發(fā)，合規(guī)要求加速推進(jìn)。盡管企業(yè)紛紛部署了防病毒、身份認(rèn)證、文件加密、入侵防護(hù)、流量監(jiān)控等多種安全系統(tǒng)，但分散且孤立的架構(gòu)非但沒(méi)有有效抵御風(fēng)險(xiǎn)，反而加重了管理負(fù)擔(dān)，阻礙了安全協(xié)同，使得安全效果大打折扣。

具體表現(xiàn)在不僅存在業(yè)務(wù)暴露風(fēng)險(xiǎn)（如業(yè)務(wù)直接暴露互聯(lián)網(wǎng)或通過(guò)企微、VPN等代理發(fā)布沒(méi)有收斂暴露面等）和數(shù)據(jù)泄密風(fēng)險(xiǎn)（如網(wǎng)絡(luò)明文傳輸中間人劫持、明文存儲(chǔ)文件轉(zhuǎn)發(fā)泄密等），甚至可能因架構(gòu)和外掛式技術(shù)實(shí)現(xiàn)影響業(yè)務(wù)效率和高可用性，進(jìn)而影響用戶(hù)體驗(yàn)。

各行各業(yè)不斷攀升的數(shù)據(jù)泄密和被勒索事件已說(shuō)明，以漏洞和資產(chǎn)為防御核心的傳統(tǒng)防入侵安全方案已無(wú)法有效應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)。

一、當(dāng)前企業(yè)要如何做好業(yè)務(wù)安全規(guī)劃？

從業(yè)務(wù)安全規(guī)劃的方向來(lái)看，企業(yè)首先要做好業(yè)務(wù)底線風(fēng)險(xiǎn)管控，保障業(yè)務(wù)安全穩(wěn)定運(yùn)行，同時(shí)要支撐和助力業(yè)務(wù)發(fā)展，確保投入回報(bào)率良好。企業(yè)不能追求絕對(duì)安全，而應(yīng)著力解決業(yè)務(wù)安全的攻防不平衡、安全和效率矛盾這兩個(gè)核心問(wèn)題。
針對(duì)攻防不平衡問(wèn)題，企業(yè)首先要認(rèn)清安全對(duì)抗的本質(zhì)是權(quán)限控制與權(quán)限突破。如何通過(guò)容錯(cuò)式權(quán)限設(shè)計(jì)避免業(yè)務(wù)漏洞被利用，是企業(yè)需要考慮的核心問(wèn)題。企業(yè)應(yīng)從傳統(tǒng)的漏洞監(jiān)測(cè)、修復(fù)的巨大工作量中解脫出來(lái)，通過(guò)收斂暴露面的思路，將業(yè)務(wù)系統(tǒng)的漏洞隱藏在專(zhuān)用安全網(wǎng)關(guān)之后。同時(shí)，通過(guò)構(gòu)建護(hù)城河（如軟件安裝、白名單管理）等方式，避免被社工釣魚(yú)手段植入含惡意代碼的軟件，從而防止其“打洞”進(jìn)入系統(tǒng)。

針對(duì)安全和效率矛盾問(wèn)題，企業(yè)應(yīng)采用原生安全的方式，即采用內(nèi)建而非外掛的方式。內(nèi)建通常通過(guò)集成方式，使安全能力與業(yè)務(wù)應(yīng)用深度融合。其好處主要有以下幾點(diǎn)：
首先，內(nèi)建安全能力即時(shí)就緒，無(wú)需安裝，只需簡(jiǎn)單配置即可發(fā)揮作用。其次，內(nèi)建的安全性更好，外掛需要部署代理來(lái)實(shí)現(xiàn)信息收集和管理控制，而這些代理（如VPN網(wǎng)關(guān)代理、企業(yè)微信代理等）通常因安全能力有限，容易成為被攻擊的目標(biāo)。一旦代理被破壞，安全防護(hù)能力也會(huì)受損，而內(nèi)建安全一般與業(yè)務(wù)充分融合，會(huì)采用單包敲門(mén)等方式隱藏代理和業(yè)務(wù)暴露面，使黑客難以利用業(yè)務(wù)的暴露面和代理存在的漏洞。再次，內(nèi)建的安全防護(hù)能夠與業(yè)務(wù)深度融合，用戶(hù)體驗(yàn)良好，特別是在弱網(wǎng)環(huán)境下，業(yè)務(wù)不會(huì)出現(xiàn)頻繁閃斷的情況。此外，原生安全采用主動(dòng)而非被動(dòng)的方式，基于業(yè)務(wù)自身的脆弱性提供針對(duì)性服務(wù)，能夠有效抵御已知和未知的安全風(fēng)險(xiǎn)。同時(shí)，原生安全采用整合而非孤立的方式，其獨(dú)立性更強(qiáng)，自成體系。

二、如何建設(shè)原生安全防護(hù)體系？

通過(guò)對(duì)大客戶(hù)需求的深入洞察與安全實(shí)踐積累，聯(lián)軟科技發(fā)現(xiàn)，原生安全涉及企業(yè)終端、網(wǎng)絡(luò)通信、業(yè)務(wù)應(yīng)用、企業(yè)數(shù)據(jù)、用戶(hù)身份、個(gè)人隱私等全方位保護(hù)。 

▲聯(lián)軟科技原生安全體系整體架構(gòu)

如上圖所示，通過(guò)聯(lián)軟科技端、管、云一整套落地實(shí)踐安全架構(gòu)，可有效解決企業(yè)防入侵、防泄密、員工隱私保護(hù)等問(wèn)題，達(dá)到提升安全、提升效果、降低成本的建設(shè)效果。整體方案包含端、管、云三位一體安全保護(hù)，具體如下：
端：客戶(hù)端，基于多種安全沙箱技術(shù)，通過(guò)原生安全的方式，在個(gè)人終端中隔離出安全工作空間，作為數(shù)據(jù)在終端層面的安全邊界，實(shí)現(xiàn)企業(yè)數(shù)據(jù)保護(hù)、員工隱私安全保護(hù)與個(gè)人異常行為管控。同時(shí)利用客戶(hù)端本地可信代理、加密等技術(shù)實(shí)現(xiàn)終端通訊安全以及授權(quán)策略執(zhí)行點(diǎn)前移，更加先進(jìn)、全面地保障端側(cè)整體安全；
管：綜合網(wǎng)關(guān)，集成多種網(wǎng)關(guān)能力于一體，包括：應(yīng)用安全網(wǎng)關(guān)、API 安全網(wǎng)關(guān)、Web安全網(wǎng)關(guān)、入侵檢測(cè)與防御、身份安全網(wǎng)關(guān)。基于單包敲門(mén)的零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）能力，實(shí)現(xiàn)核心業(yè)務(wù)和網(wǎng)關(guān)的隱身，對(duì)訪問(wèn)主體的身份和行為進(jìn)行持續(xù)性安全評(píng)估和動(dòng)態(tài)授權(quán)，并實(shí)現(xiàn)安全加密傳輸、流控與審計(jì)；
云：服務(wù)端，覆蓋應(yīng)用管理、設(shè)備管理、數(shù)據(jù)管理、身份管理以及安全事件編排等能力，實(shí)現(xiàn)策略統(tǒng)一配置、統(tǒng)一下發(fā)、統(tǒng)一分析、實(shí)時(shí)監(jiān)控和可視化展現(xiàn)。

三、原生安全關(guān)鍵技術(shù)要點(diǎn)？

安全工作空間

基于多種沙箱技術(shù)并通過(guò)原生安全的方式，在用戶(hù)的終端設(shè)備上創(chuàng)建與個(gè)人環(huán)境完全隔離的安全工作空間，實(shí)現(xiàn)企業(yè)應(yīng)用的安全訪問(wèn)和數(shù)據(jù)加密，有效構(gòu)筑網(wǎng)絡(luò)安全的第一道防線。安全工作空間采取了一系列創(chuàng)新的數(shù)據(jù)安全措施，如落地加密、安全閱讀和編輯、混合型水印技術(shù)、剪貼板訪問(wèn)控制以及嚴(yán)格的外發(fā)限制和安全審計(jì)，全面保障企業(yè)關(guān)鍵應(yīng)用和數(shù)據(jù)的安全性，防止任何形式的數(shù)據(jù)泄露風(fēng)險(xiǎn)，同時(shí)提供微虛擬機(jī)技術(shù)解決信創(chuàng)終端數(shù)據(jù)安全隔離的問(wèn)題。

零信任綜合安全網(wǎng)關(guān)

?All in One ：為滿(mǎn)足C/S、APP、H5、業(yè)務(wù)對(duì)業(yè)務(wù)等不同場(chǎng)景暴露面的需要，零信任綜合安全網(wǎng)關(guān)綜合集成各種網(wǎng)關(guān)能力，僅需部署一套網(wǎng)關(guān)，即可擴(kuò)展多種網(wǎng)關(guān)能力，包括：應(yīng)用安全網(wǎng)關(guān)、API 安全網(wǎng)關(guān)、Web 安全網(wǎng)關(guān)、入侵攻擊檢測(cè)防護(hù)、IAM 身份網(wǎng)關(guān)等。
?應(yīng)用安全網(wǎng)關(guān)：采用雙向可信代理架構(gòu)，通過(guò)改進(jìn)的應(yīng)用層安全隧道（APN）技術(shù)，在網(wǎng)絡(luò)切換、弱網(wǎng)環(huán)境下訪問(wèn)業(yè)務(wù)應(yīng)用，可以實(shí)現(xiàn)跟互聯(lián)網(wǎng)應(yīng)用（如：微信）一樣的無(wú)等待效果，解決傳統(tǒng)傳輸方案重連耗時(shí)長(zhǎng)、穩(wěn)定性差等用戶(hù)體驗(yàn)性問(wèn)題。

?API 安全網(wǎng)關(guān)：作為后端服務(wù)接口的聚合點(diǎn)，統(tǒng)一管理所有API，提供安全驗(yàn)證、路由轉(zhuǎn)發(fā)、流量控制等功能。API 安全網(wǎng)關(guān)剝離業(yè)務(wù)無(wú)關(guān)的邏輯，讓業(yè)務(wù)團(tuán)隊(duì)專(zhuān)注于核心邏輯，提高迭代效率，促進(jìn)跨部門(mén)和系統(tǒng)的業(yè)務(wù)交互與流程整合，助力企業(yè)構(gòu)建高效、標(biāo)準(zhǔn)化的業(yè)務(wù)管理體系。
?Web 安全網(wǎng)關(guān)：輕量級(jí) Web 業(yè)務(wù)安全防護(hù)方案，基于 ZTNA 架構(gòu)實(shí)現(xiàn) Web 應(yīng)用隱身，確保遠(yuǎn)程訪問(wèn)、移動(dòng)辦公及數(shù)據(jù)傳輸?shù)陌踩瑹o(wú)需復(fù)雜配置和調(diào)試即可迅速集成到現(xiàn)有網(wǎng)絡(luò)架構(gòu)中。
?入侵攻擊檢測(cè)防護(hù)：為業(yè)務(wù)提供一站式全面安全防護(hù)，檢測(cè)防護(hù) SQL 注入、XSS、惡意漏洞掃描、密碼暴力破解、CC 攻擊、DDOS攻擊等。提供機(jī)器學(xué)習(xí)、自動(dòng)對(duì)抗規(guī)則，有效識(shí)別惡意流量，保障業(yè)務(wù)安全和數(shù)據(jù)安全。
?IAM 身份網(wǎng)關(guān)：實(shí)現(xiàn)員工賬號(hào)全生命周期身份管理、統(tǒng)一認(rèn)證與單點(diǎn)登錄、多因素認(rèn)證、動(dòng)態(tài)權(quán)限管理、員工賬號(hào)全生命周期身份管理、全網(wǎng)零信任。

態(tài)勢(shì)感知&風(fēng)險(xiǎn)管控

?平臺(tái)安全運(yùn)營(yíng)態(tài)勢(shì)：通過(guò)態(tài)勢(shì)感知大屏及安全報(bào)表中心實(shí)現(xiàn)設(shè)備、用戶(hù)、應(yīng)用等平臺(tái)運(yùn)營(yíng)數(shù)據(jù)的全局可視，保障安全態(tài)勢(shì)的實(shí)時(shí)監(jiān)測(cè)及安全建設(shè)成果的直觀可視化呈現(xiàn)。
?業(yè)務(wù)請(qǐng)求交易分析：追蹤應(yīng)用交易調(diào)用鏈，進(jìn)行多維智能分析，包括性能、問(wèn)題、影響用戶(hù)范圍等，打破數(shù)據(jù)孤島，有效降低平均修復(fù)時(shí)間、提升運(yùn)維效率、改善用戶(hù)體驗(yàn)，助力企業(yè)實(shí)現(xiàn)基于大數(shù)據(jù)技術(shù)精細(xì)智能化運(yùn)營(yíng)能力。
?安全事件編排：提供安全事件策略，可對(duì)用戶(hù)訪問(wèn)的環(huán)境、行為等源數(shù)據(jù)配置安全事件和處理預(yù)案并進(jìn)行編排，做到風(fēng)險(xiǎn)預(yù)警、實(shí)時(shí)處置，實(shí)現(xiàn)事前智能風(fēng)險(xiǎn)防范。
?可視化身份大屏：低代碼方式自定義可視化身份大屏，直觀展示應(yīng)用訪問(wèn)態(tài)勢(shì)、用戶(hù)態(tài)勢(shì)、認(rèn)證態(tài)勢(shì)、安全態(tài)勢(shì)，針對(duì)可能存在風(fēng)險(xiǎn)的用戶(hù)行為進(jìn)行持續(xù)監(jiān)控與可視化顯示，如：連續(xù)多次登錄失敗、短時(shí)間頻繁登錄、異地登錄、非工作時(shí)間登錄等。

強(qiáng)大的兼容性與可靠性

?框架適配：系統(tǒng)已與各類(lèi)業(yè)務(wù)應(yīng)用開(kāi)發(fā)框架適配，擁有大量的實(shí)踐積累經(jīng)驗(yàn)和技術(shù)創(chuàng)新能力。
?適應(yīng)各種網(wǎng)絡(luò)部署：具備兩地三中心、多地多中心的高可用部署能力，并在眾多大型客戶(hù)中成功落地，平臺(tái)具備靈活的橫向擴(kuò)展能力，保障數(shù)字化業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)傳輸可用、高效、穩(wěn)定。
?業(yè)務(wù)連續(xù)性保障：集群化高可用部署，并具備強(qiáng)大的應(yīng)急逃生機(jī)制，面對(duì)突發(fā)的安全事件能及時(shí)啟動(dòng)應(yīng)急預(yù)案，第一時(shí)間恢復(fù)平臺(tái)的正常運(yùn)行，更好地保障業(yè)務(wù)連續(xù)性。

四、通過(guò)原生安全建設(shè)帶來(lái)哪些業(yè)務(wù)價(jià)值？

提升業(yè)務(wù)安全能力

降本增效：作為數(shù)字化安全中間件、原子化安全能力中臺(tái)，簡(jiǎn)化企業(yè)的安全開(kāi)發(fā)及業(yè)務(wù)管理流程，提升應(yīng)用的安全性、降低安全建設(shè)和維護(hù)成本降低生產(chǎn)成本，提高企業(yè)的整體安全運(yùn)營(yíng)效率。

風(fēng)險(xiǎn)可視：企業(yè)能夠更清晰地識(shí)別和管理潛在風(fēng)險(xiǎn)，確保業(yè)務(wù)運(yùn)行的穩(wěn)定性和安全性。

風(fēng)險(xiǎn)可控：內(nèi)置安全事件編排引擎，管理員可自主編排安全風(fēng)險(xiǎn)處置流程，包括觸發(fā)條件、執(zhí)行動(dòng)作等，發(fā)生安全風(fēng)險(xiǎn)后系統(tǒng)能夠自動(dòng)進(jìn)行安全決策。

用戶(hù)體驗(yàn)優(yōu)化：解決傳統(tǒng) VPN 隧道弱網(wǎng)環(huán)境不穩(wěn)定以及容易被黑客利用等問(wèn)題，增強(qiáng)了員工使用體驗(yàn)和業(yè)務(wù)原生安全。

顯著提升投入產(chǎn)出比（ROI）

節(jié)約 IT 運(yùn)維成本：通過(guò)減少對(duì)正版軟件的依賴(lài)、簡(jiǎn)化設(shè)備及應(yīng)用的管理流程，有效降低IT運(yùn)維成本。

節(jié)約開(kāi)發(fā)與安全成本：通過(guò)整合應(yīng)用開(kāi)發(fā)、推廣、維護(hù)和更新全流程，同時(shí)使得應(yīng)用系統(tǒng)滿(mǎn)足安全測(cè)試和等級(jí)保護(hù)測(cè)評(píng)，大幅度降低應(yīng)用開(kāi)發(fā)和安全改造成本。

減少硬件和網(wǎng)絡(luò)資源成本：通過(guò)減少對(duì)專(zhuān)用平板設(shè)備配發(fā)以及對(duì) VPDN 線路的依賴(lài)，降低企業(yè)在硬件和網(wǎng)絡(luò)資源上的資金投入。

數(shù)字化業(yè)務(wù)賦能

拓展業(yè)務(wù)市場(chǎng)：提供強(qiáng)大的原生安全防護(hù)能力、合規(guī)性支持和安全擴(kuò)展能力，能夠助力企業(yè)業(yè)務(wù)持續(xù)對(duì)外拓展，迅速響應(yīng)市場(chǎng)變化，與合作伙伴建立更加緊密的聯(lián)系，抓住業(yè)務(wù)增長(zhǎng)的新機(jī)遇。

提升企業(yè)競(jìng)爭(zhēng)力：深度賦能企業(yè)業(yè)務(wù)，以數(shù)據(jù)為驅(qū)動(dòng)力，幫助企業(yè)洞察市場(chǎng)趨勢(shì)，實(shí)現(xiàn)防入侵、防泄密、保護(hù)員工及用戶(hù)個(gè)人隱私，在激烈的市場(chǎng)競(jìng)爭(zhēng)中保持領(lǐng)先地位。

五、原生安全最佳實(shí)踐及落地案例？

原生安全方案目前已成功在金融、運(yùn)營(yíng)商、制造等行業(yè)落地，下面以某銀行為例：原生安全方案目前已成功在某銀行總行落地，項(xiàng)目規(guī)模覆蓋 30+國(guó)內(nèi)分行、50+海外分行、10000+營(yíng)業(yè)網(wǎng)點(diǎn)、30萬(wàn)+個(gè)人設(shè)備、15萬(wàn)+配發(fā)設(shè)備以及 3萬(wàn)+智慧屏，已累計(jì)近200個(gè)應(yīng)用集成數(shù)字化安全基座能力，包括移動(dòng)柜臺(tái)、智能柜臺(tái)、移動(dòng)展業(yè)等業(yè)務(wù)，承載了某銀行大量的對(duì)內(nèi)對(duì)外業(yè)務(wù)。數(shù)字化安全基座平臺(tái)保障級(jí)別高達(dá)A4級(jí)，年可用性要求達(dá)到 99.9%，僅次于行內(nèi)金融交易業(yè)務(wù)。該方案為某銀行開(kāi)發(fā)人員提供標(biāo)準(zhǔn)安全開(kāi)發(fā)框架和技術(shù)規(guī)范，平均每個(gè)應(yīng)用節(jié)省 20% 的安全研發(fā)成本，節(jié)省上千萬(wàn)的安全研發(fā)與管理成本。

主要業(yè)務(wù)場(chǎng)景：