深信服信息安全专家李全友：供应链网络安全体系建设

编者按

“十三五”时期是我国贸易发展的重要战略机遇期，物流产业发展迅速，智慧供应链已经成为推动流通大国向流通强国过程中的重要行动。6月2日，由上海市国有资产监督管理委员会、上海市邮政管理局、上海市商务委员会指导，上海市国有资产信息中心、上海市计算机用户协会联合主办，上海市快递行业协会、浦东电子商务行业协会协办，畅享网承办的“2017年物流行业高峰论坛”在上海正式开启。论坛以“开放创新 共建智慧供应链”为主题，参会专家和CIO共同交流新形势下物流行业的创新发展，探讨智慧供应链的应用及实践。

会上深信服信息安全专家李全友作了主题为“供应链网络安全体系建设——‘融合安全、立体保护’信息安全框架”的演讲。很多企业每年在安全方面的投入不少，为何安全事件仍然频发？对此深信服专家给我们进行了详细解答。此外，深信服基于新的安全建设理念，提供一套更容易落地的安全框架，让IT更简单，更安全，更有价值！

以下为演讲实录，畅享网整理。

我是深信服科技股份有限公司的李全友，今天，关于智慧供应链、人工智能、大的技术趋势发展等方面都有所收获，我们在不断发展新技术的同时不能忽略的一个很关键的维度，那就是“安全”。

目前安全治理和管控效果如何？

下面举几个例子：

2013年，Target被黑客从供应商渠道入侵，造成1.1亿用户信息泄露，包括4000万信用卡信息，各项损失高达10亿美元。2014年，Target CEO Gregg Steinhafel因黑客入侵事件引咎辞职，并任命新的CISO。

2011年，黑客通过钓鱼邮件的方式入侵了著名安全公司RSA内网，盗取了4000万份双因素认证SecureID私钥，直接经济损失6600万美元。

2016年，黑客入侵多家银行的资金转账系统SWIFT，通过网络直接盗取孟加拉央行8100万美元，厄瓜多尔银行1200万美元，乌克兰银行1000万美元，越南先锋银行130万美元。

自2017年5月12日起，“WannaCry”勒索病毒突然大面积爆发，影响遍及全球100多个国家，超10万台机器。英国医疗系统、俄罗斯电信公司甚至是国内的中石油公司都已成为受害者，多家知名高校、能源企业、政府机构也受到波及。

很多企业每年在安全方面的投入不少，但是安全事件仍然频发，为什么会出现这种情况呢？为什么一个永恒之蓝导致整个IT界这么大的波动呢？深信服做了以下反思和思考。

1、事前的风险预知，事后的及时发现及止损能力差

现在大部分的企业的安全投入70%都放在防御上，以事中防御为主，投入大量设备。像习大大说的，网络有隐蔽性，谁进来不知道，是敌是友不知道，去了哪里，做了什么不知道。事前缺乏风险预知能力，事后缺乏及时发现及止损能力。

2、业务驱动的整体安全防护能力差

信息安全建设本质上是保证业务安全，而信息安全往往取决于业务保护的最薄弱环节。黑客往往会利用业务安全的薄弱环节作为突破口或跳板。

3、安全设备的推叠安全架构复杂、难落地

现在安全设备的堆叠非常复杂，而且厂商之间的互动联络关系是非常弱的，需要投入大量的安全人员。对于一个企业来说的话，需要培养多少安全人员去面对这些复杂的安全架构？在最终落地的时候会出现一些矛盾。

解决思路：构建更容易落地的安全框架

深信服基于新的安全建设理念，提供一套更容易落地的安全框架。面对诸多的矛盾点不容易落地，最终目的达成可落地有效的框架。框架有三个点，事中、事前、事后形成融合安全管理的维度。第二个是立体保护，立体保护从空间维度上实现端到端的，纵向的深入安全的保护解决方案。另外从部署的角度来讲，面对一个厂商的新技术，我希望把融合安全、立体保护通过简单有效的方案落地下去。

1、融合安全： “事前、事中、事后”风险闭环管理

在风险闭环管理的完整性方面，全面涵盖“事前、事中、事后”，事前预知风险，事中积极防御，事后及时发现及止损。基于产品功能、技术的融合，更好地识别安全风险，通过产品联动更高效解决问题。

2、立体保护：业务驱动安全的整体保护能力

立体保护，就是业务驱动链条。第一个业务接入环节，是非常重要的接入点，还有单位里面的人员PC、手机也是一个接入点。业务接入环境要加强环境安全的投入成本，来增加黑客的攻击成本。边界上，就是业务的边界环境的安全，大部分的用户都做得非常OK。到最核心的业务承载，最终的核心业务平台，这一块的安全可能是要根据现在国家要求的本机保护。再一个就是非常重要的，需要有一个全局把控的机制，从云端去巡视、检视整个IT架构的安全现状，处在什么样的安全阶段。

3、简单有效：安全建设更简单，更容易落地

深信服专注实用安全，所提供的的产品和方案，聚焦客户真正的核心、痛点问题，并能有效解决。秉承安全架构简化的原则，一台设备可以解决的，不用多台设备解决。例如，下一代防火墙产品基于融合安全理念，一台就可以解决边界的安全问题。基于简单易用的理念进行产品开发，符合用户的使用习惯。界面友好，操作简单。

深信服作为安全厂商，随着云计算、大数据、智慧物流等技术不断发展的趋势下，始终致力于为用户提供安全的信息框架，构建安全的网络生态环境。

以上就是我的分享，谢谢大家！

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友