面對數(shù)字化轉(zhuǎn)型浪潮，企業(yè)網(wǎng)絡(luò)安全風(fēng)險日益凸顯。數(shù)據(jù)泄露、黑客勒索等事件頻發(fā)，合規(guī)要求加速推進(jìn)。盡管企業(yè)紛紛部署了防病毒、身份認(rèn)證、文件加密、入侵防護(hù)、流量監(jiān)控等多種安全系統(tǒng)，但分散且孤立的架構(gòu)非但沒有有效抵御風(fēng)險，反而加重了管理負(fù)擔(dān)，阻礙了安全協(xié)同，使得安全效果大打折扣。

具體表現(xiàn)在不僅存在業(yè)務(wù)暴露風(fēng)險（如業(yè)務(wù)直接暴露互聯(lián)網(wǎng)或通過企微、VPN等代理發(fā)布沒有收斂暴露面等）和數(shù)據(jù)泄密風(fēng)險（如網(wǎng)絡(luò)明文傳輸中間人劫持、明文存儲文件轉(zhuǎn)發(fā)泄密等），甚至可能因架構(gòu)和外掛式技術(shù)實現(xiàn)影響業(yè)務(wù)效率和高可用性，進(jìn)而影響用戶體驗。

各行各業(yè)不斷攀升的數(shù)據(jù)泄密和被勒索事件已說明，以漏洞和資產(chǎn)為防御核心的傳統(tǒng)防入侵安全方案已無法有效應(yīng)對當(dāng)前網(wǎng)絡(luò)安全形勢。

一、當(dāng)前企業(yè)要如何做好業(yè)務(wù)安全規(guī)劃？

從業(yè)務(wù)安全規(guī)劃的方向來看，企業(yè)首先要做好業(yè)務(wù)底線風(fēng)險管控，保障業(yè)務(wù)安全穩(wěn)定運(yùn)行，同時要支撐和助力業(yè)務(wù)發(fā)展，確保投入回報率良好。企業(yè)不能追求絕對安全，而應(yīng)著力解決業(yè)務(wù)安全的攻防不平衡、安全和效率矛盾這兩個核心問題。
針對攻防不平衡問題，企業(yè)首先要認(rèn)清安全對抗的本質(zhì)是權(quán)限控制與權(quán)限突破。如何通過容錯式權(quán)限設(shè)計避免業(yè)務(wù)漏洞被利用，是企業(yè)需要考慮的核心問題。企業(yè)應(yīng)從傳統(tǒng)的漏洞監(jiān)測、修復(fù)的巨大工作量中解脫出來，通過收斂暴露面的思路，將業(yè)務(wù)系統(tǒng)的漏洞隱藏在專用安全網(wǎng)關(guān)之后。同時，通過構(gòu)建護(hù)城河（如軟件安裝、白名單管理）等方式，避免被社工釣魚手段植入含惡意代碼的軟件，從而防止其“打洞”進(jìn)入系統(tǒng)。

針對安全和效率矛盾問題，企業(yè)應(yīng)采用原生安全的方式，即采用內(nèi)建而非外掛的方式。內(nèi)建通常通過集成方式，使安全能力與業(yè)務(wù)應(yīng)用深度融合。其好處主要有以下幾點：
首先，內(nèi)建安全能力即時就緒，無需安裝，只需簡單配置即可發(fā)揮作用。其次，內(nèi)建的安全性更好，外掛需要部署代理來實現(xiàn)信息收集和管理控制，而這些代理（如VPN網(wǎng)關(guān)代理、企業(yè)微信代理等）通常因安全能力有限，容易成為被攻擊的目標(biāo)。一旦代理被破壞，安全防護(hù)能力也會受損，而內(nèi)建安全一般與業(yè)務(wù)充分融合，會采用單包敲門等方式隱藏代理和業(yè)務(wù)暴露面，使黑客難以利用業(yè)務(wù)的暴露面和代理存在的漏洞。再次，內(nèi)建的安全防護(hù)能夠與業(yè)務(wù)深度融合，用戶體驗良好，特別是在弱網(wǎng)環(huán)境下，業(yè)務(wù)不會出現(xiàn)頻繁閃斷的情況。此外，原生安全采用主動而非被動的方式，基于業(yè)務(wù)自身的脆弱性提供針對性服務(wù)，能夠有效抵御已知和未知的安全風(fēng)險。同時，原生安全采用整合而非孤立的方式，其獨立性更強(qiáng)，自成體系。

二、如何建設(shè)原生安全防護(hù)體系？

通過對大客戶需求的深入洞察與安全實踐積累，聯(lián)軟科技發(fā)現(xiàn)，原生安全涉及企業(yè)終端、網(wǎng)絡(luò)通信、業(yè)務(wù)應(yīng)用、企業(yè)數(shù)據(jù)、用戶身份、個人隱私等全方位保護(hù)。 

▲聯(lián)軟科技原生安全體系整體架構(gòu)

如上圖所示，通過聯(lián)軟科技端、管、云一整套落地實踐安全架構(gòu)，可有效解決企業(yè)防入侵、防泄密、員工隱私保護(hù)等問題，達(dá)到提升安全、提升效果、降低成本的建設(shè)效果。整體方案包含端、管、云三位一體安全保護(hù)，具體如下：
端：客戶端，基于多種安全沙箱技術(shù)，通過原生安全的方式，在個人終端中隔離出安全工作空間，作為數(shù)據(jù)在終端層面的安全邊界，實現(xiàn)企業(yè)數(shù)據(jù)保護(hù)、員工隱私安全保護(hù)與個人異常行為管控。同時利用客戶端本地可信代理、加密等技術(shù)實現(xiàn)終端通訊安全以及授權(quán)策略執(zhí)行點前移，更加先進(jìn)、全面地保障端側(cè)整體安全；
管：綜合網(wǎng)關(guān)，集成多種網(wǎng)關(guān)能力于一體，包括：應(yīng)用安全網(wǎng)關(guān)、API 安全網(wǎng)關(guān)、Web安全網(wǎng)關(guān)、入侵檢測與防御、身份安全網(wǎng)關(guān)。基于單包敲門的零信任網(wǎng)絡(luò)訪問（ZTNA）能力，實現(xiàn)核心業(yè)務(wù)和網(wǎng)關(guān)的隱身，對訪問主體的身份和行為進(jìn)行持續(xù)性安全評估和動態(tài)授權(quán)，并實現(xiàn)安全加密傳輸、流控與審計；
云：服務(wù)端，覆蓋應(yīng)用管理、設(shè)備管理、數(shù)據(jù)管理、身份管理以及安全事件編排等能力，實現(xiàn)策略統(tǒng)一配置、統(tǒng)一下發(fā)、統(tǒng)一分析、實時監(jiān)控和可視化展現(xiàn)。

三、原生安全關(guān)鍵技術(shù)要點？

安全工作空間

基于多種沙箱技術(shù)并通過原生安全的方式，在用戶的終端設(shè)備上創(chuàng)建與個人環(huán)境完全隔離的安全工作空間，實現(xiàn)企業(yè)應(yīng)用的安全訪問和數(shù)據(jù)加密，有效構(gòu)筑網(wǎng)絡(luò)安全的第一道防線。安全工作空間采取了一系列創(chuàng)新的數(shù)據(jù)安全措施，如落地加密、安全閱讀和編輯、混合型水印技術(shù)、剪貼板訪問控制以及嚴(yán)格的外發(fā)限制和安全審計，全面保障企業(yè)關(guān)鍵應(yīng)用和數(shù)據(jù)的安全性，防止任何形式的數(shù)據(jù)泄露風(fēng)險，同時提供微虛擬機(jī)技術(shù)解決信創(chuàng)終端數(shù)據(jù)安全隔離的問題。

零信任綜合安全網(wǎng)關(guān)

?All in One ：為滿足C/S、APP、H5、業(yè)務(wù)對業(yè)務(wù)等不同場景暴露面的需要，零信任綜合安全網(wǎng)關(guān)綜合集成各種網(wǎng)關(guān)能力，僅需部署一套網(wǎng)關(guān)，即可擴(kuò)展多種網(wǎng)關(guān)能力，包括：應(yīng)用安全網(wǎng)關(guān)、API 安全網(wǎng)關(guān)、Web 安全網(wǎng)關(guān)、入侵攻擊檢測防護(hù)、IAM 身份網(wǎng)關(guān)等。
?應(yīng)用安全網(wǎng)關(guān)：采用雙向可信代理架構(gòu)，通過改進(jìn)的應(yīng)用層安全隧道（APN）技術(shù)，在網(wǎng)絡(luò)切換、弱網(wǎng)環(huán)境下訪問業(yè)務(wù)應(yīng)用，可以實現(xiàn)跟互聯(lián)網(wǎng)應(yīng)用（如：微信）一樣的無等待效果，解決傳統(tǒng)傳輸方案重連耗時長、穩(wěn)定性差等用戶體驗性問題。

?API 安全網(wǎng)關(guān)：作為后端服務(wù)接口的聚合點，統(tǒng)一管理所有API，提供安全驗證、路由轉(zhuǎn)發(fā)、流量控制等功能。API 安全網(wǎng)關(guān)剝離業(yè)務(wù)無關(guān)的邏輯，讓業(yè)務(wù)團(tuán)隊專注于核心邏輯，提高迭代效率，促進(jìn)跨部門和系統(tǒng)的業(yè)務(wù)交互與流程整合，助力企業(yè)構(gòu)建高效、標(biāo)準(zhǔn)化的業(yè)務(wù)管理體系。
?Web 安全網(wǎng)關(guān)：輕量級 Web 業(yè)務(wù)安全防護(hù)方案，基于 ZTNA 架構(gòu)實現(xiàn) Web 應(yīng)用隱身，確保遠(yuǎn)程訪問、移動辦公及數(shù)據(jù)傳輸?shù)陌踩瑹o需復(fù)雜配置和調(diào)試即可迅速集成到現(xiàn)有網(wǎng)絡(luò)架構(gòu)中。
?入侵攻擊檢測防護(hù)：為業(yè)務(wù)提供一站式全面安全防護(hù)，檢測防護(hù) SQL 注入、XSS、惡意漏洞掃描、密碼暴力破解、CC 攻擊、DDOS攻擊等。提供機(jī)器學(xué)習(xí)、自動對抗規(guī)則，有效識別惡意流量，保障業(yè)務(wù)安全和數(shù)據(jù)安全。
?IAM 身份網(wǎng)關(guān)：實現(xiàn)員工賬號全生命周期身份管理、統(tǒng)一認(rèn)證與單點登錄、多因素認(rèn)證、動態(tài)權(quán)限管理、員工賬號全生命周期身份管理、全網(wǎng)零信任。

態(tài)勢感知&風(fēng)險管控

?平臺安全運(yùn)營態(tài)勢：通過態(tài)勢感知大屏及安全報表中心實現(xiàn)設(shè)備、用戶、應(yīng)用等平臺運(yùn)營數(shù)據(jù)的全局可視，保障安全態(tài)勢的實時監(jiān)測及安全建設(shè)成果的直觀可視化呈現(xiàn)。
?業(yè)務(wù)請求交易分析：追蹤應(yīng)用交易調(diào)用鏈，進(jìn)行多維智能分析，包括性能、問題、影響用戶范圍等，打破數(shù)據(jù)孤島，有效降低平均修復(fù)時間、提升運(yùn)維效率、改善用戶體驗，助力企業(yè)實現(xiàn)基于大數(shù)據(jù)技術(shù)精細(xì)智能化運(yùn)營能力。
?安全事件編排：提供安全事件策略，可對用戶訪問的環(huán)境、行為等源數(shù)據(jù)配置安全事件和處理預(yù)案并進(jìn)行編排，做到風(fēng)險預(yù)警、實時處置，實現(xiàn)事前智能風(fēng)險防范。
?可視化身份大屏：低代碼方式自定義可視化身份大屏，直觀展示應(yīng)用訪問態(tài)勢、用戶態(tài)勢、認(rèn)證態(tài)勢、安全態(tài)勢，針對可能存在風(fēng)險的用戶行為進(jìn)行持續(xù)監(jiān)控與可視化顯示，如：連續(xù)多次登錄失敗、短時間頻繁登錄、異地登錄、非工作時間登錄等。

強(qiáng)大的兼容性與可靠性

?框架適配：系統(tǒng)已與各類業(yè)務(wù)應(yīng)用開發(fā)框架適配，擁有大量的實踐積累經(jīng)驗和技術(shù)創(chuàng)新能力。
?適應(yīng)各種網(wǎng)絡(luò)部署：具備兩地三中心、多地多中心的高可用部署能力，并在眾多大型客戶中成功落地，平臺具備靈活的橫向擴(kuò)展能力，保障數(shù)字化業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)傳輸可用、高效、穩(wěn)定。
?業(yè)務(wù)連續(xù)性保障：集群化高可用部署，并具備強(qiáng)大的應(yīng)急逃生機(jī)制，面對突發(fā)的安全事件能及時啟動應(yīng)急預(yù)案，第一時間恢復(fù)平臺的正常運(yùn)行，更好地保障業(yè)務(wù)連續(xù)性。

四、通過原生安全建設(shè)帶來哪些業(yè)務(wù)價值？

提升業(yè)務(wù)安全能力

降本增效：作為數(shù)字化安全中間件、原子化安全能力中臺，簡化企業(yè)的安全開發(fā)及業(yè)務(wù)管理流程，提升應(yīng)用的安全性、降低安全建設(shè)和維護(hù)成本降低生產(chǎn)成本，提高企業(yè)的整體安全運(yùn)營效率。

風(fēng)險可視：企業(yè)能夠更清晰地識別和管理潛在風(fēng)險，確保業(yè)務(wù)運(yùn)行的穩(wěn)定性和安全性。

風(fēng)險可控：內(nèi)置安全事件編排引擎，管理員可自主編排安全風(fēng)險處置流程，包括觸發(fā)條件、執(zhí)行動作等，發(fā)生安全風(fēng)險后系統(tǒng)能夠自動進(jìn)行安全決策。

用戶體驗優(yōu)化：解決傳統(tǒng) VPN 隧道弱網(wǎng)環(huán)境不穩(wěn)定以及容易被黑客利用等問題，增強(qiáng)了員工使用體驗和業(yè)務(wù)原生安全。

顯著提升投入產(chǎn)出比（ROI）

節(jié)約 IT 運(yùn)維成本：通過減少對正版軟件的依賴、簡化設(shè)備及應(yīng)用的管理流程，有效降低IT運(yùn)維成本。

節(jié)約開發(fā)與安全成本：通過整合應(yīng)用開發(fā)、推廣、維護(hù)和更新全流程，同時使得應(yīng)用系統(tǒng)滿足安全測試和等級保護(hù)測評，大幅度降低應(yīng)用開發(fā)和安全改造成本。

減少硬件和網(wǎng)絡(luò)資源成本：通過減少對專用平板設(shè)備配發(fā)以及對 VPDN 線路的依賴，降低企業(yè)在硬件和網(wǎng)絡(luò)資源上的資金投入。

數(shù)字化業(yè)務(wù)賦能

拓展業(yè)務(wù)市場：提供強(qiáng)大的原生安全防護(hù)能力、合規(guī)性支持和安全擴(kuò)展能力，能夠助力企業(yè)業(yè)務(wù)持續(xù)對外拓展，迅速響應(yīng)市場變化，與合作伙伴建立更加緊密的聯(lián)系，抓住業(yè)務(wù)增長的新機(jī)遇。

提升企業(yè)競爭力：深度賦能企業(yè)業(yè)務(wù)，以數(shù)據(jù)為驅(qū)動力，幫助企業(yè)洞察市場趨勢，實現(xiàn)防入侵、防泄密、保護(hù)員工及用戶個人隱私，在激烈的市場競爭中保持領(lǐng)先地位。

五、原生安全最佳實踐及落地案例？

原生安全方案目前已成功在金融、運(yùn)營商、制造等行業(yè)落地，下面以某銀行為例：原生安全方案目前已成功在某銀行總行落地，項目規(guī)模覆蓋 30+國內(nèi)分行、50+海外分行、10000+營業(yè)網(wǎng)點、30萬+個人設(shè)備、15萬+配發(fā)設(shè)備以及 3萬+智慧屏，已累計近200個應(yīng)用集成數(shù)字化安全基座能力，包括移動柜臺、智能柜臺、移動展業(yè)等業(yè)務(wù)，承載了某銀行大量的對內(nèi)對外業(yè)務(wù)。數(shù)字化安全基座平臺保障級別高達(dá)A4級，年可用性要求達(dá)到 99.9%，僅次于行內(nèi)金融交易業(yè)務(wù)。該方案為某銀行開發(fā)人員提供標(biāo)準(zhǔn)安全開發(fā)框架和技術(shù)規(guī)范，平均每個應(yīng)用節(jié)省 20% 的安全研發(fā)成本，節(jié)省上千萬的安全研發(fā)與管理成本。

主要業(yè)務(wù)場景：