面對數(shù)字化轉型浪潮，企業(yè)網絡安全風險日益凸顯。數(shù)據(jù)泄露、黑客勒索等事件頻發(fā)，合規(guī)要求加速推進。盡管企業(yè)紛紛部署了防病毒、身份認證、文件加密、入侵防護、流量監(jiān)控等多種安全系統(tǒng)，但分散且孤立的架構非但沒有有效抵御風險，反而加重了管理負擔，阻礙了安全協(xié)同，使得安全效果大打折扣。

具體表現(xiàn)在不僅存在業(yè)務暴露風險（如業(yè)務直接暴露互聯(lián)網或通過企微、VPN等代理發(fā)布沒有收斂暴露面等）和數(shù)據(jù)泄密風險（如網絡明文傳輸中間人劫持、明文存儲文件轉發(fā)泄密等），甚至可能因架構和外掛式技術實現(xiàn)影響業(yè)務效率和高可用性，進而影響用戶體驗。

各行各業(yè)不斷攀升的數(shù)據(jù)泄密和被勒索事件已說明，以漏洞和資產為防御核心的傳統(tǒng)防入侵安全方案已無法有效應對當前網絡安全形勢。

一、當前企業(yè)要如何做好業(yè)務安全規(guī)劃？

從業(yè)務安全規(guī)劃的方向來看，企業(yè)首先要做好業(yè)務底線風險管控，保障業(yè)務安全穩(wěn)定運行，同時要支撐和助力業(yè)務發(fā)展，確保投入回報率良好。企業(yè)不能追求絕對安全，而應著力解決業(yè)務安全的攻防不平衡、安全和效率矛盾這兩個核心問題。
針對攻防不平衡問題，企業(yè)首先要認清安全對抗的本質是權限控制與權限突破。如何通過容錯式權限設計避免業(yè)務漏洞被利用，是企業(yè)需要考慮的核心問題。企業(yè)應從傳統(tǒng)的漏洞監(jiān)測、修復的巨大工作量中解脫出來，通過收斂暴露面的思路，將業(yè)務系統(tǒng)的漏洞隱藏在專用安全網關之后。同時，通過構建護城河（如軟件安裝、白名單管理）等方式，避免被社工釣魚手段植入含惡意代碼的軟件，從而防止其“打洞”進入系統(tǒng)。

針對安全和效率矛盾問題，企業(yè)應采用原生安全的方式，即采用內建而非外掛的方式。內建通常通過集成方式，使安全能力與業(yè)務應用深度融合。其好處主要有以下幾點：
首先，內建安全能力即時就緒，無需安裝，只需簡單配置即可發(fā)揮作用。其次，內建的安全性更好，外掛需要部署代理來實現(xiàn)信息收集和管理控制，而這些代理（如VPN網關代理、企業(yè)微信代理等）通常因安全能力有限，容易成為被攻擊的目標。一旦代理被破壞，安全防護能力也會受損，而內建安全一般與業(yè)務充分融合，會采用單包敲門等方式隱藏代理和業(yè)務暴露面，使黑客難以利用業(yè)務的暴露面和代理存在的漏洞。再次，內建的安全防護能夠與業(yè)務深度融合，用戶體驗良好，特別是在弱網環(huán)境下，業(yè)務不會出現(xiàn)頻繁閃斷的情況。此外，原生安全采用主動而非被動的方式，基于業(yè)務自身的脆弱性提供針對性服務，能夠有效抵御已知和未知的安全風險。同時，原生安全采用整合而非孤立的方式，其獨立性更強，自成體系。

二、如何建設原生安全防護體系？

通過對大客戶需求的深入洞察與安全實踐積累，聯(lián)軟科技發(fā)現(xiàn)，原生安全涉及企業(yè)終端、網絡通信、業(yè)務應用、企業(yè)數(shù)據(jù)、用戶身份、個人隱私等全方位保護。 

▲聯(lián)軟科技原生安全體系整體架構

如上圖所示，通過聯(lián)軟科技端、管、云一整套落地實踐安全架構，可有效解決企業(yè)防入侵、防泄密、員工隱私保護等問題，達到提升安全、提升效果、降低成本的建設效果。整體方案包含端、管、云三位一體安全保護，具體如下：
端：客戶端，基于多種安全沙箱技術，通過原生安全的方式，在個人終端中隔離出安全工作空間，作為數(shù)據(jù)在終端層面的安全邊界，實現(xiàn)企業(yè)數(shù)據(jù)保護、員工隱私安全保護與個人異常行為管控。同時利用客戶端本地可信代理、加密等技術實現(xiàn)終端通訊安全以及授權策略執(zhí)行點前移，更加先進、全面地保障端側整體安全；
管：綜合網關，集成多種網關能力于一體，包括：應用安全網關、API 安全網關、Web安全網關、入侵檢測與防御、身份安全網關?；趩伟瞄T的零信任網絡訪問（ZTNA）能力，實現(xiàn)核心業(yè)務和網關的隱身，對訪問主體的身份和行為進行持續(xù)性安全評估和動態(tài)授權，并實現(xiàn)安全加密傳輸、流控與審計；
云：服務端，覆蓋應用管理、設備管理、數(shù)據(jù)管理、身份管理以及安全事件編排等能力，實現(xiàn)策略統(tǒng)一配置、統(tǒng)一下發(fā)、統(tǒng)一分析、實時監(jiān)控和可視化展現(xiàn)。

三、原生安全關鍵技術要點？

安全工作空間

基于多種沙箱技術并通過原生安全的方式，在用戶的終端設備上創(chuàng)建與個人環(huán)境完全隔離的安全工作空間，實現(xiàn)企業(yè)應用的安全訪問和數(shù)據(jù)加密，有效構筑網絡安全的第一道防線。安全工作空間采取了一系列創(chuàng)新的數(shù)據(jù)安全措施，如落地加密、安全閱讀和編輯、混合型水印技術、剪貼板訪問控制以及嚴格的外發(fā)限制和安全審計，全面保障企業(yè)關鍵應用和數(shù)據(jù)的安全性，防止任何形式的數(shù)據(jù)泄露風險，同時提供微虛擬機技術解決信創(chuàng)終端數(shù)據(jù)安全隔離的問題。

零信任綜合安全網關

?All in One ：為滿足C/S、APP、H5、業(yè)務對業(yè)務等不同場景暴露面的需要，零信任綜合安全網關綜合集成各種網關能力，僅需部署一套網關，即可擴展多種網關能力，包括：應用安全網關、API 安全網關、Web 安全網關、入侵攻擊檢測防護、IAM 身份網關等。
?應用安全網關：采用雙向可信代理架構，通過改進的應用層安全隧道（APN）技術，在網絡切換、弱網環(huán)境下訪問業(yè)務應用，可以實現(xiàn)跟互聯(lián)網應用（如：微信）一樣的無等待效果，解決傳統(tǒng)傳輸方案重連耗時長、穩(wěn)定性差等用戶體驗性問題。

?API 安全網關：作為后端服務接口的聚合點，統(tǒng)一管理所有API，提供安全驗證、路由轉發(fā)、流量控制等功能。API 安全網關剝離業(yè)務無關的邏輯，讓業(yè)務團隊專注于核心邏輯，提高迭代效率，促進跨部門和系統(tǒng)的業(yè)務交互與流程整合，助力企業(yè)構建高效、標準化的業(yè)務管理體系。
?Web 安全網關：輕量級 Web 業(yè)務安全防護方案，基于 ZTNA 架構實現(xiàn) Web 應用隱身，確保遠程訪問、移動辦公及數(shù)據(jù)傳輸?shù)陌踩?，無需復雜配置和調試即可迅速集成到現(xiàn)有網絡架構中。
?入侵攻擊檢測防護：為業(yè)務提供一站式全面安全防護，檢測防護 SQL 注入、XSS、惡意漏洞掃描、密碼暴力破解、CC 攻擊、DDOS攻擊等。提供機器學習、自動對抗規(guī)則，有效識別惡意流量，保障業(yè)務安全和數(shù)據(jù)安全。
?IAM 身份網關：實現(xiàn)員工賬號全生命周期身份管理、統(tǒng)一認證與單點登錄、多因素認證、動態(tài)權限管理、員工賬號全生命周期身份管理、全網零信任。

態(tài)勢感知&風險管控

?平臺安全運營態(tài)勢：通過態(tài)勢感知大屏及安全報表中心實現(xiàn)設備、用戶、應用等平臺運營數(shù)據(jù)的全局可視，保障安全態(tài)勢的實時監(jiān)測及安全建設成果的直觀可視化呈現(xiàn)。
?業(yè)務請求交易分析：追蹤應用交易調用鏈，進行多維智能分析，包括性能、問題、影響用戶范圍等，打破數(shù)據(jù)孤島，有效降低平均修復時間、提升運維效率、改善用戶體驗，助力企業(yè)實現(xiàn)基于大數(shù)據(jù)技術精細智能化運營能力。
?安全事件編排：提供安全事件策略，可對用戶訪問的環(huán)境、行為等源數(shù)據(jù)配置安全事件和處理預案并進行編排，做到風險預警、實時處置，實現(xiàn)事前智能風險防范。
?可視化身份大屏：低代碼方式自定義可視化身份大屏，直觀展示應用訪問態(tài)勢、用戶態(tài)勢、認證態(tài)勢、安全態(tài)勢，針對可能存在風險的用戶行為進行持續(xù)監(jiān)控與可視化顯示，如：連續(xù)多次登錄失敗、短時間頻繁登錄、異地登錄、非工作時間登錄等。

強大的兼容性與可靠性

?框架適配：系統(tǒng)已與各類業(yè)務應用開發(fā)框架適配，擁有大量的實踐積累經驗和技術創(chuàng)新能力。
?適應各種網絡部署：具備兩地三中心、多地多中心的高可用部署能力，并在眾多大型客戶中成功落地，平臺具備靈活的橫向擴展能力，保障數(shù)字化業(yè)務系統(tǒng)網絡傳輸可用、高效、穩(wěn)定。
?業(yè)務連續(xù)性保障：集群化高可用部署，并具備強大的應急逃生機制，面對突發(fā)的安全事件能及時啟動應急預案，第一時間恢復平臺的正常運行，更好地保障業(yè)務連續(xù)性。

四、通過原生安全建設帶來哪些業(yè)務價值？

提升業(yè)務安全能力

降本增效：作為數(shù)字化安全中間件、原子化安全能力中臺，簡化企業(yè)的安全開發(fā)及業(yè)務管理流程，提升應用的安全性、降低安全建設和維護成本降低生產成本，提高企業(yè)的整體安全運營效率。

風險可視：企業(yè)能夠更清晰地識別和管理潛在風險，確保業(yè)務運行的穩(wěn)定性和安全性。

風險可控：內置安全事件編排引擎，管理員可自主編排安全風險處置流程，包括觸發(fā)條件、執(zhí)行動作等，發(fā)生安全風險后系統(tǒng)能夠自動進行安全決策。

用戶體驗優(yōu)化：解決傳統(tǒng) VPN 隧道弱網環(huán)境不穩(wěn)定以及容易被黑客利用等問題，增強了員工使用體驗和業(yè)務原生安全。

顯著提升投入產出比（ROI）

節(jié)約 IT 運維成本：通過減少對正版軟件的依賴、簡化設備及應用的管理流程，有效降低IT運維成本。

節(jié)約開發(fā)與安全成本：通過整合應用開發(fā)、推廣、維護和更新全流程，同時使得應用系統(tǒng)滿足安全測試和等級保護測評，大幅度降低應用開發(fā)和安全改造成本。

減少硬件和網絡資源成本：通過減少對專用平板設備配發(fā)以及對 VPDN 線路的依賴，降低企業(yè)在硬件和網絡資源上的資金投入。

數(shù)字化業(yè)務賦能

拓展業(yè)務市場：提供強大的原生安全防護能力、合規(guī)性支持和安全擴展能力，能夠助力企業(yè)業(yè)務持續(xù)對外拓展，迅速響應市場變化，與合作伙伴建立更加緊密的聯(lián)系，抓住業(yè)務增長的新機遇。

提升企業(yè)競爭力：深度賦能企業(yè)業(yè)務，以數(shù)據(jù)為驅動力，幫助企業(yè)洞察市場趨勢，實現(xiàn)防入侵、防泄密、保護員工及用戶個人隱私，在激烈的市場競爭中保持領先地位。

五、原生安全最佳實踐及落地案例？

原生安全方案目前已成功在金融、運營商、制造等行業(yè)落地，下面以某銀行為例：原生安全方案目前已成功在某銀行總行落地，項目規(guī)模覆蓋 30+國內分行、50+海外分行、10000+營業(yè)網點、30萬+個人設備、15萬+配發(fā)設備以及 3萬+智慧屏，已累計近200個應用集成數(shù)字化安全基座能力，包括移動柜臺、智能柜臺、移動展業(yè)等業(yè)務，承載了某銀行大量的對內對外業(yè)務。數(shù)字化安全基座平臺保障級別高達A4級，年可用性要求達到 99.9%，僅次于行內金融交易業(yè)務。該方案為某銀行開發(fā)人員提供標準安全開發(fā)框架和技術規(guī)范，平均每個應用節(jié)省 20% 的安全研發(fā)成本，節(jié)省上千萬的安全研發(fā)與管理成本。

主要業(yè)務場景：