网络攻防学习笔记 Day120

传统云安全建设问题与误区：

● 过于关注云平台安全而缺乏对云数据中心整体安全的考虑

● 缺乏从整体安全视角构建的数据中心级安全能力

● 忽视与云运营业务的聚合，云安全与云业务建设割裂

● 缺乏云内外安全态势的联动

面向云的数据中心安全防护，是指立足于混合云模式，适用于 IaaS、PaaS、SaaS 云服务类型，结合虚拟化、弹性扩展等云计算技术的特点，采用全面覆盖、深度融合的方式规划设计数据中心级的安全能力，并利用系统工程的方式开展安全建设，从而构建云数据中心的安全防护体系。

在云边界建设共享的、资源可编排的网络安全栈，针对进出各应用系统区、专有云区、DMZ 区、系统安全服务等流量提供访问控制、WAF 防护、内网 VPN、应用安全代理、API 安全代理、负载均衡、零信任访问控制等安全服务，实现对云服务交付层的边界网络访问控制及应用安全防护。

传统的数据安全存在的问题：

● 数据的流动性使安全防护困难

● 传统的方案面临海量数据的巨大挑战

● 数据种类繁多，传统方案难以开展数据分类分级

● 单一安全产品难以满足复杂应用场景下的数据安全要求

● 缺乏数据的识别与管控，难以开展有效的数据安全管理

● 访问控制力度不足，缺乏精细化数据访问控制能力

数据安全治理包含数据资产梳理、数据分类分级以及权限策略梳理。在数据安全治理过程中，可以通过数据静态梳理技术、动态梳理技术、数据状况的可视化呈现技术，根据数据资产的数据价值和特征等对核心数据资产进行梳理，再按照数据来源、数据属性、数据重要性、内容敏感级别，对数据资产进行分类分级，根据数据的不同类别与不同级别，对数据的访问权限进行梳理。

面向实战化的全局态势感知体系是网络安全防护体系的“中枢”，能够全天候、全方位感知网络安全态势，增强网络安全防御能力和威慑能力。为了保障业务安全有序运转，应该依托态势感知平台实现数据处理、安全分析、自动化响应、安全运行、指挥控制、态势呈现等多层次的安全能力，形成安全数据的汇聚中心、安全风险的持续监测和处置中心、安全体系有效性的验证中心、安全威胁的分析和发现中心、安全运营指挥中心。

在数字化转型的挑战下，实战化态势感知的建设应坚持以下思路：

● 覆盖所有信息资产的全面实时安全监测和分析；

● 持续检验整体纵深安全防御机制的有效性；

● 动态分析安全威胁并及时处置相关安全风险；

● 有效支持安全运行工作；

● 开放共享，协同联动，与网内各类安全子系统集成，形成一体化运营支撑平台。