6月10日，由中国信通院主办的“可信安全·安全运营发展论坛”在京召开。会上，中国信通院云大所副所长栗蔚发布了2022年可信云安全的最新评估结果。作为奇安信打磨多年，兼顾云计算环境特性和客户安全运营管理需求的平台型产品，奇安信云安全运营中心(CSC)顺利通过本次“安全运营中心能力评估”，结合奇安信在云安全和安全运营两个领域的优势资源，为云安全运营“从无到有，从有到优”贡献自身价值。

　　实战安全运营：云安全合规建设的下一步

　　奇安信云安全运营中心自2021年8月首次对外发布以来，一直广受关注。

　　作为奇安信云安全的新生力量，云安全运营中心致力于云上资产“理得清”、云内风险“发现早”、云上安全“能运营”三大场景价值，可结合云安全管理平台(CSMP)、云安全托管运营服务(CMSS)为云平台运营方和租户提供统一的安全管理、专业的安全能力和安全托管。

　　会上，奇安信云安全管理事业部负责人孙立鹏以“实战化云安全运营体系建设”为题，分享了奇安信自身在云安全运营体系构建方面的经验与实践。

　　孙立鹏认为，当前国内云安全建设普遍处于合规驱动向实际运营这一过渡阶段。《网络安全法》、“等保2.0”等系列法律法规及标准，对云上必须具备的安全能力提出了不同等级的要求，“关保”条例则对如电子政务、能源、交通等特殊行业(云上)信息系统的安全运行，如处置网络安全事件、上报重大网络安全威胁等方面明确了关基运营者的责任和义务。随着“十四五”第二年，数字化转型以及业务系统上云的加速，无论是云平台侧还是租户侧，兼顾“实战”需求的云安全运营体系，都是满足强合规要求后云安全的下一步建设方向。

　　“今年RSAC大会的主题Transform(转型)不仅是西方世界的形容词，我认为和我们国家正在发生的事情也是有明显关联的。有三点比较明显，一是国家对推动数字经济发展这一重大机遇的重视，这是种经济模式的转变;二是对新冠疫情我们从‘清零’到‘动态清零’，策略和执行方式的转变;三是国家安全特别是网络安全角度，从之前相对粗犷、分散、基线的安全能力建设到如今相对细致、集中、看重实效的安全管理与运营流程和体系建设，网络安全工作思路和目标也在转变。”

　　云上安全运营和云外是类似的，但为了更好的适应和利用云技术给IT环境带来的改变，安全运营平台、人员能力、服务内容和流程，也都应顺应做出变化。奇安信云安全运营中心作为奇安信唯一的专业云上安全运营平台，能够实现云内全面的资产指纹梳理、含东西向全流量的持续威胁监测;结合云安全管理平台这一领先云安全资源池产品丰富的安全组件和协同联动能力，以及7*24小时、云地结合、标准化的云安全托管运营服务，云安全运营中心可在云内风险自检、云上威胁监测与响应处置、云安全能力多云统管等场景形成有效助力，成为客户真正的云安全“贴身管家”。

　　除安全运营中心外，本次“安全运营发展论坛”发布的2022年最新可信云安全评估成果还包括云工作负载保护平台(CWPP)，这也是此次中国信通院活动的另一个重点。

　　云工作负载保护：深入服务器内核的实战安全能力

　　中国信通院云大所开源和软件安全部副主任孔松在其《可信安全运营观察》议题中对“可信安全运营体系”做出了新的阐释。

　　孔松表示，基于原生安全、DevSecOps、零信任等安全理念，云大所将可信安全运营体系拆解为安全运营技术和安全运营管理两个维度;在安全运营技术部分，又包括资源内部保护、资源外部保护和安全管理三个领域。其中，安全运营中心在安全管理领域，云工作负载保护在资源内部保护领域。

　　云工作负载保护作为云安全运营实战化的另一关键能力，可为云上业务提供有效的运行时防护。

　　据孙立鹏介绍，奇安信在云工作负载保护能力构建上分为流量、系统、应用三个层面。

　　流量层面，通过IPS引擎实现对异常流量的有效检测，采用虚拟补丁技术缓解补丁未及时修复带来的风险;操作系统层通过内核探针有效遏制漏洞利用后的下一步行为，并对系统关键文件的相关权限、二进制文件执行(白名单)进行有效控制;应用层面，特别是Web应用是云工作负载保护的重点，基于IN-APP WAF和RASP技术的双重防护，以奇安信服务器安全管理系统(椒图)和统一服务器安全管理系统(虚拟化安全)为代表的服务器安全产品，可有效防御常规Web攻击、0day漏洞利用(反序列化、远程代码执行等)，以及通过Powershell挖矿、内存码植入等新型攻击，实现“不放过一个高危威胁”的精准拦截。

　　结合奇安信安服联合打造的服务器威胁分析服务，云工作负载可以在高强度攻防对抗场景中得到更及时、有效的安全保障，让云安全运营为云上业务发展保驾护航。

　　此外，在2022年冬奥重保中，通过椒图实现了冬奥云上+云下服务器的跨区域统一安全管理，涵盖赛事管理、运维管理、冬奥场馆等数十个冬奥业务系统，成功实现了冬奥服务器安全“零事故”的目标，作为网络安全的最后一道防线，为北京2022年冬奥会和冬残奥会的服务器安全保障工作交出了令人满意的答卷。

　　SASE：基于云技术实现的安全运营

　　“安全运营发展论坛”举办的同期，同样由中国信通院主办，聚焦SASE关键技术、行业应用与产业发展的“SASE技术与应用主题沙龙”也如期举行。奇安信SASE产品部负责人王茜进行了题为《大型央企的SASE探索与应用实践》的分享。

　　奇安信不仅是典型的网络安全起家的安全厂商，更是目前国内市场少有能兼顾SD-WAN积累的SASE服务提供商。作为2021年8月才正式发布的解决方案级服务化新品，奇安信安全访问服务(Q-SASE)能够基于分布式云安全资源池构建的安全POP点，以统一的安全架构、统一的访问策略管理和安全防护效果，为拥有多分支机构的大型政企客户提供网络与安全融合的统一服务。

　　正如中国信通院云大所云计算部主任马飞在致辞时所言，SASE因其技术和场景特性，已经成为众多企业在数字化转型过程中网络和安全架构发展的重要方向。更轻量且丰富的服务化安全能力，更具性价比的安全运营实效，更高契合度的针对性安全场景，让SASE成为了众多客户数字转型过程中的不二安全选择。

　　奇安信Q-SASE在中国电子的一体化安全运营实践是一个十分生动、具体的佐证案例。

　　王茜在会上介绍，“数字CEC”是中国电子数字化转型战略的重要工作，其网络安全总体框架需要基于PKS底座形成一体化的安全运营中心，输出平战双模的安全服务能力，防护三朵云及其上业务应用的安全。奇安信联同中国系统、中国移动一道成立的Q-SASE专项工作组，历时1年，陆续完成了SD-WAN骨干网、SASE服务化POP的建设，以及全部直属二级企业的接入。

　　此外，在挖矿整治专项中，基于Q-SASE 7*24小时的常态化安全监测，发现并定位了多个违规挖矿主机，为中国电子在集团层面清理整治的全面性提供了有力保障;在重大活动的网络安全保障中，因为SASE等措施的部署实施，中国电子投入的总人数减少了70%，提质增效效果显著。此外，在2021年年末中国电子总部南迁的活动中，SASE不到2天便完成了从北京到深圳新总部安全办公的快速切换，也因此受到了集团相关领导的关注和肯定。

　　作为唯一在特大型央企实现完整SASE架构落地的突出实践，该案例还成功入选了中国信通院的“2021年度SASE优秀案例”，并在混合云大会上进行了相关分享，为整个行业推动SASE架构的商业实践添砖加瓦。

　　转载请注明出处。