《飞驰云联:2022信创环境下的数据安全落地解决方案白皮书(45页).pdf》由会员分享,可在线阅读,更多相关《飞驰云联:2022信创环境下的数据安全落地解决方案白皮书(45页).pdf(45页珍藏版)》请在三个皮匠报告上搜索。
1、信创环境下的信创环境下的数据安全落地解决方案白皮书数据安全落地解决方案白皮书国产自主可控国产自主可控保障数据安全保障数据安全Ftrans飞驰云联目录目录 /CONTENT/CONTENT前言前言 4 4第一章第一章 信创产业综述信创产业综述 5 5 什么是信创?5 信创背景 7 第二章第二章 数据安全行业综述数据安全行业综述 1515信创相关政策 8数据安全行业相关政策法规 15数据安全产业链 16第第三三章章 信创环境下的数据安全信创环境下的数据安全 25 25什么是信创下的数据安全 25转变:以数据为中心的审计和保护 26数据安全行业市场规模 17数据安全细分产品/服务市场分析 18数据安
2、全技术应用 20数据安全行业发展趋势 24信创环境下需要什么样的数据安全产品?27数据流转交换成为重要关注方向 28信创生态构成 9 信创市场规模 10信创产业发展态势 11 信创产业链布局 12文件交换的建设目标是什么?29文件交换的四大应用场景 30传统的文件交换方式及痛点 31现有文件交换基础设施是否满足业务需要?38附录:信创文件安全传输系统白皮书附录:信创文件安全传输系统白皮书 45 45第第四章四章 文件安全交换的场景及方式文件安全交换的场景及方式 2 29 9 第五章第五章 专业文件安全交换解决方案介绍专业文件安全交换解决方案介绍 3939 什么样的文件交换产品是企业需要的?39
3、 企业如何选择文件交换产品?40 专业的文件安全交换方案可以解决哪些问题?41Ftrans文件安全交换解决方案简介 42 信创环境下的数据安全落地解决方案白皮书前言前言信创,即信息技术应用创新产业,其是数据安全、网络安全的基础,也是新基建的重要组成部分。信创发展是一项国家战略,也是当今形势下国家经济发展的新动能,成为经济数字化转型、提升产业链发展的关键。资料来源:艾瑞咨询研究院发展信创产业的目标是实现信息技术领域的自主可控和信息安全,在基础硬件、基础软件、应用软件、信息安全等领域实现国产替代。本篇白皮书中,我们就探讨一下信创环境下,跟信息安全相关的问题和解决方案。信创环境下的数据安全落地解决方
4、案白皮书第一章第一章 信创产业综述信创产业综述5什么是信创?什么是信创?信息技术应用创新为打破国外巨头的垄断,解决核心技术关键环节“卡脖子”问题,在核心芯片、基础硬件、电脑、操作系统、中间件、数据服务器等领域实现国产替代。信创产业是一条庞大的产业链,主要涉及以下四大部分:IT IT 基础设置基础设置 CPU CPU 芯片、服务器、存储、交换机、路由器、各种云等芯片、服务器、存储、交换机、路由器、各种云等基础软件基础软件 操作系统、数据库、中间件、操作系统、数据库、中间件、BIOS BIOS 等等应用软件应用软件 OAOA、ERPERP、办公软件、政务应用、流版签软件等、办公软件、政务应用、流版
5、签软件等信息安全信息安全 边界安全产品、终端安全产品等边界安全产品、终端安全产品等过去很多年间,国内 IT 底层标准、架构、生态等大多数都由国外 IT 巨头制定的,由此存在诸多安全风险。因此,我们要逐步建立基于自己的 IT 底层架构和标准,形成自有开放生态,而这也是信创产业的核心。通俗来讲,就是在核心芯片、基础硬件、操作系统、中间件、数据服务器等领域实现国产替代。信创产业是数据安全、网络安全的基础,也是“新基建”的重要内容,将成为拉动经济发展的重要抓手之一。信创环境下的数据安全落地解决方案白皮书6我们国家提出的是“2+8”体系。“2”指党、政;“8”指关于国计民生的八大行业:金融、电力、电信、
6、石油、交通、教育、医疗、航空航天。从国内信创的发展步骤来看,也是按照这个思路在走:第一步,在党政等封闭市场进行应用,打磨产品和生态,培育骨干企业,这个市场预计有千亿市场空间;第二步,在产品好用和生态相对成熟之后,进入重点行业市场,如电信、轨交、电力等行业,市场较前期能放大4至5倍;第三步,将信创产品全面应用到消费市场,而这将是一个超过万亿的市场。来源:艾瑞咨询研究院信创环境下的数据安全落地解决方案白皮书7信创背景信创背景以美国为首的西方国家对中国的科技封锁由来已久。1949年11月,为了遏制以前苏联为首的社会主义国家,美国联合英、法、德、意等16个国家成立了巴黎统筹委员会(简称“巴统”),开始
7、对社会主义国家实行包括武器装备、尖端技术、战略产品在内的禁运和贸易限制。1952年,巴统专门成立了中国委员会,开始对中国实行禁运。1994年4月,巴统宣告解散。但美国旋即操纵西方33个国家于1996年7月签署了瓦森纳协议,针对以中国为首的发展中国家制定了军民两用商品和技术清单、军品清单,实行严格的产品禁运和贸易限制。如今,瓦森纳协议仍是西方对华高科技出口管制的主要“指导性文件”,例如对光刻机等集成电路先进制造设备的禁运,是造成中国大陆集成电路制造业落后于国际先进水平二三代的主要原因之一。2007年6月,美国公布了新的管制清单,规定激光器、航空发动机、先进导航系统、光学纤维、水下摄像机及推进器、
8、先进复合材料以及高科技通信器材等20个大类的高科技产品不得向中国出口。特朗普上台以后,美国更是变本加厉地打压中国的高新技术发展:继续实施严格的对华技术出口管制政策,进一步扩大对华军事用途出口许可证商品范围针对人工智能、机器学习等14个领域出台新兴技术出口管制清单;建立出口管制实体企业名单,先后将200余家中国高科技企业列入其中;多次发动“301调查”,重点是通信设备、集成电路、新能源汽车等高技术领域的知识产权保护和技术转让;严格审查中国企业对美技术并购,如在半导体和信息通信领域封杀9个并购项目。信创环境下的数据安全落地解决方案白皮书8信创相关政策信创相关政策国家级信创产业相关政策时间时间部门部
9、门政策名称政策名称相关内容相关内容2020 年 9 月发改委科技部工信部财政部关于扩大战略性新兴产业投资培育壮大新增长点增长级的指导意见加大 5G 建设投资,加快 5G 商用发展步伐,加快基础材料、关键芯片、高端元器件、新型显示器件、关键软件等核心技术攻关,大力推动重点工程和重大项目建设,积极扩大合理有效投资2020 年 8 月国务院关于新时期促进集成电路产业和软件产业高质量发展若干政策的通知为进一步优化集成电路产业和软件产业发展环境,深化产业国际合作,提升产业创新能力和发展质量,制定出台财税、投融资、研究开发、进出口、人才、知识产权、市场应用、国际合作等八个方面政策措施。进一步创新体制机制,
10、鼓励集成电路产业和软件产业发展,大力培育集成电路领域和软件领域企业。加强集成电路和软件专业建设,加快推进集成电路一级学科设置,支持产教融合发展2020 年 4 月公安部、国家安全部、财政部等网络安全审查办法关键信息基础设施运营者采购网络产品服务,影响或可能影响国家安全的,应当按照办法进行网络安全审查2020 年 3 月科技部关于推进国家技术创新中心建设的总体方案(暂行)到 2025 年,布局建设若干国家技术创新中心,突破制约我国产业安全的关键技术瓶颈2020 年 1 月国务院国家政务信息化项目建设管理办法政务信息化项目在报批阶段,需要对产品的安全可靠情况进行说明信创环境下的数据安全落地解决方案
11、白皮书9信创生态构成信创生态构成来源:艾瑞咨询研究院不同于以往的国产化替代,信创更强调生态构建,从IT基础设施到应用软件,再到IT安全。与单纯的国产化替代相比,信创更偏重打造整体的国产产品技术生态体系,通过生态上下游产品的兼容适配和创新,形成国产化信息技术的全链安全可控。信创环境下的数据安全落地解决方案白皮书10信创市场规模信创市场规模8148.49649.811495.813758.816689.420961.924420.627961.632127.937011.32018-2027年中国信创产业规模及预测单位:亿元来源:艾媒数据中心数据显示,2021年中国数字经济规模已达47.6万亿元,
12、占GDP比重为43.5%。得益于中国数字经济的迅猛发展,2021年中国信创产业规模达13758.8亿元,2027年有望达到37011.3亿元,中国信创市场释放出前所未有的活力。信创环境下的数据安全落地解决方案白皮书11信创产业发展态势信创产业发展态势信创建设并非一日之功,信创建设前期以政策激励为主要驱动力,为国产IT厂商提供发展的沃土。在全社会各方因素的共同努力下,我国信息技术产业呈现出百花齐放、融合应用、技术创新、人才 涌动的特点,市场释放出前所未有的活力。在政策驱动的市场机会下,上下游全产业链厂商携手,共同推动中国基础软硬件的崛起,重构基于我国自主IT标准的产业生态。后期将进一步面向市场,
13、走向国际,实现新一轮的创新和发展。来源:艾瑞咨询研究院信创产业未来将是关键领域的全面安全,实现软硬件的全部替换。以目前的信创产业为契机,全面实现以操作系统、芯片、数据库、应用软件等为核心的国产自主安全平台,随着云计算、物联网、AI、大数据等应用,持续促进底层能力的提升,上层业务不断拓展,产业边际不断拓宽。信创环境下的数据安全落地解决方案白皮书12信创产业链布局信创产业链布局基础硬件基础硬件-芯片芯片芯片对计算能力的提升起到了决定性作用,是支撑IT系统运作的“发动机”。中国芯片产业在EDA设计工具和制造流片环节较为薄弱,存在产业链上下游产值失配的情况。全球视角下,集成电路的竞争最终将表现为产业链
14、之间综合实力的竞争,中国芯片产业的发展需要全链路协同,以突破一批核心技术,完善产业链各环节的配套能力。基础硬件基础硬件-存储存储存储在计算机产业中具备基础地位,随着大数据产业的爆发,数字经济对大容量和高性能存储的需求也在不断提高。高性能存储器主要以半导体为存储介质,和计算类芯片一样长期为国际巨头把控,对于半导体存储介质的国产化替代是信创在存储领域的主要突破方向。来源:艾瑞咨询研究院存储IC上下游产业链关系信创环境下的数据安全落地解决方案白皮书13基础硬件基础硬件-整机整机整机是最早实现关键领域国产化替代的环节之一。整机厂商常扮演集成商角色,将国产软硬件产品集成在PC整机或服务器上,借由自身的品
15、牌、资质、相对成熟的供应链能力 参与党政军、央企等招投标,推动信创产品的行业应用。整机厂商向下对接客户需求,向上(芯片/存储环节)反馈改进意见,是推动信创产业链生态融合的关键环节。基础软件基础软件-数据库数据库国产数据库经历了多年的沉淀,已具备初步的竞争力。从技术水平来看,整体已达“好 用”阶段,部分领域位于国际领先水平;从市场表现来看,2020年国产厂商的市场份额(按营收)已达47.4%,未来仍将进一步扩张。未来数据库厂商将携手上下游,继续进行技术创新和产品研发,着力攻关兼容性问题,为信创建设增砖加瓦。基础软件基础软件-操作系统操作系统操作系统是最基础、最底层的计算机软件,当前以麒麟、统信为
16、核心的国产操作系统体系已经初步建立,党政军等关键领域的国产操作系统基本完成,金融、交通等行业开始试点推广。未来随着基础硬件性能提升、国产软件生态逐步构建,国产操作系统将成为推动信创产品市场化的重要力量。信创环境下的数据安全落地解决方案白皮书14云服务云服务-信创云信创云考虑到云服务所涉及的IT产品和架构的综合性及其在各行业数字化转型过程中的基础地 位,信创云事实上成为了国产化的IT基础软硬件解决方案。其发展需要信创产业链综合水平的全面提升,是信创生态建设完成度的重要体现。信息安全信息安全随着网络信息安全技术的发展,信息安全产业与网络安全产业概念高度融合。信息安全产品与服务贯穿整个信创产业链,并
17、且是目前国产化程度最高、较早实现由强政策驱动向业务驱动的环节。未来,安全厂商将持续受益于等保2.0政策、将研发资源向信创倾斜,主动完成信创上下游厂商适配工作,打造我国信息安全底座。应用软件应用软件应用软件是信创产业中相对成熟度较高的节点,已率先在金融行业进行试点探索,同时,生态缺失是应用软件现阶段亟需解决的首要问题。作为贴近客户的使用端,应用软件将发挥其重要的牵引作用,拉动产业整体发展。来源:工信部,中国网络空间安全协会,Gartner2017-2021年全球信息安全产品及服务支出(单位:亿美元)信创环境下的数据安全落地解决方案白皮书15第二章第二章 数据安全行业综述数据安全行业综述数据安全行
18、业相关政策法规数据安全行业相关政策法规发布时间发布时间政策名称政策名称主要内容主要内容2015年中华人民共和国国家安全法正式将数据安全纳入国家安全的范畴2016年国务院关于印发政务信息资源共享管理暂行办法的通知共享平台管理单位要加强共享平台安全防护,切实保障政务信息资源共享交换时的数据安全2016年国家网络空间安全战略提出实施国家大数据战略,建立大数据安全管理制度,支持大数据信息技术创新和应用要求2017年中共中央办公厅 国务院办公厅印发关于促进移动互联网健康有序发展的意见增强网络安全防御能力,落实网络安全责任制,制定完善关键信息基础设施安全、大数据安全等网络安全标准,明确保护对象、保护层级、
19、保护措施2019年App违法违规收集使用个人信息行为认定方法界定了手机 App 违法违规收集使用个人信息行为的六大类方法,并提出界定标准2019年信息安全技术网络安全等级保护基本要求规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。该标准适用于指导分等级的非涉密对象的安全建设和监督管理2021年中华人民共和国数据安全法确立了数据安全管理各项基本制度;明确了数据安全保护义务及落实数据安全保护责任2021年中华人民共和国个人信息保护法明确了个人信息处理规则、个人在个人信息处理活动中的权利、义务、履行个人信息保护职责的部门等2022年网络安全审查办法要求掌握超过 100
20、 万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查来源:网络公开资料信创环境下的数据安全落地解决方案白皮书16从我国数据安全技术应用角度,我们可以将数据安全产业链分为上游、中游和下游。上游市场主体为软硬件供应商,如芯片、操作系统、数据库等;中游市场主体为数据安全产品及服务提供商,如数据库安全、数据防泄漏,安全服务类别的数据安全咨询与评估服务等;下游市场主体为应用领域用户,包括最终用户、集成商和场景服务供应商。数据安全产业链数据安全产业链上游基础IT设备基础元器件 基础软件中游数据安全基础防护数据安全应用防护数据安全管控防护 数据安全全生命周期服务下游 最终用户 集成商
21、场景服务供应商这些企业共同组成了数据安全产业发展的经济效益、生态效益和社会效益环境。研究数据安全产业链,能够协助甲方用户从需求、价格、性能等方面综合规划,更好地开展后续数据安全建设工作,也能够让厂商更好定位自身的产品发展策略。信创环境下的数据安全落地解决方案白皮书17随着国家在网络安全政策上的支持加大、用户需求扩大、企业产品的逐步成熟和不断创新,网络安全市场保持快速增长,网络信息安全产品服务体系也日益完善。数据显示,中国网络信息安全市场规模由2017年的409.6亿元增至2020年的740.7亿元,年均复合增长率为21.9%。数据安全行业数据安全行业市场规模市场规模409.6495.2608.
22、1740.7916.21137.02017-2022中国网络信息安全市场规模预测趋势图单位:亿元来源:中商情报网信创环境下的数据安全落地解决方案白皮书18我们以2022年安全牛发布的中国网络安全行业全景图(第九版)为例,可以大致看出安全行业的细分领域。数据安全细分产品数据安全细分产品/服务市场分析服务市场分析通信传输安全、流量监测与分析、入侵监测与防护、上网行为管理、网络访问控制、网络隔离与交换系统、网络准入控制、抗DDOS、SASE、SD-WAN主机安全、终端安全管理、威胁检测与响应、漏洞检测与管理、恶意代码防护、数字办公安全、可信计算、保密检查IDaaS、权限管理、数字证书、特权账号管理、
23、身份认证、堡垒机、IAM(4A)身 份 与 访 问 安 全计 算 环 境 安 全网 络 与 通 信 安 全信创环境下的数据安全落地解决方案白皮书19数据库安全、数据备份与恢复、数据防泄漏、数据脱敏、文档安全、大数据保护、数据安全管控平台、数据分类分级、数据安全合规检测、隐私计算应用交付/负载均衡、web应用防护、网页防篡改、web应用扫描与监控审计、API安全、邮件安全、内容安全、支付安全、欺诈检测与识别、勒索软件防护、应用软件安全开发流程安全管控、DevSecOps、静态安全测试、动态安全测试、交互安全测试、软件成分分析软 件 供 应 链 安 全业 务 与 应 用 安 全数 据 安 全云基础
24、设施安全、云原生安全、云应用安全安全云服务车联网安全、视频监控安全、其他物联网安全移动终端管理、移动应用安全、移动业务安全、5G应用安全移 动 安 全物 联 网 安 全云 计 算 安 全工控安全检测与防护、工控安全管理、工控安全服务APT高级威胁防护、零信任、区块链安全、威胁情报、商用密码应用、入侵和攻击模拟、网络靶场、欺骗式防御态势感知(监管类)、态势感知(运营类)、日志审计与管理、安全相应自动化、IT风险管理与审计、资产扫描与发现、网络空间资产绘制、安全合规安 全 管 理 与 运 营安 全 支 撑 技 术工 控 安 全安全集成、安全咨询与规划、安全运维与托管服务、涉网犯罪取证、网络安全保险
25、、渗透测试、攻防演练、安全测评与认证、安全行业峰会、应急响应与重保服务、安全意识与培训物理环境安全物 理 环 境 安 全网 络 安 全 服 务信创环境下的数据安全落地解决方案白皮书20数据安全技术应用数据安全技术应用加密类技术加密类技术加密类技术是较为传统的数据防护技术,其主要理念是将数据的二进制存储转换为密文,能够简单有效地解决数据的存储安全问题。加密类技术在数据安全防护领域中的应用可以细分为:文件级加密技术、磁盘级加密技术、硬件级加密技术和网络级加密技术。文件级别的加密技术通过可以对主机终端、服务器、存储介质等不同区域内特定格式文档进行加密并授予使用权限,甚至可以实现自动发现自动加密的功能
26、,并且支持文档的透明加解密,使用者可以直接打开、编辑、保存文档。这类产品的特点是可以对文档进行细粒度的管理,但是其技术特点过分依赖文件的格式或者使用文件的程序软件,兼容性上往往需要投入大量的工作,具体使用过程中只能选择特定的文件格式。同时由于加密文件在内部的频繁使用,加密解密过程需要占用计算机资源过多。根据MarketsandMarkets日前发布的市场报告,加密软件市场规模预计将从2016年的30.5亿美元增长到2021年的89.4亿美元,复合年增长率将达到24%。信创环境下的数据安全落地解决方案白皮书21过滤类技术过滤类技术在内网出口,即网关处安装内容过滤设备,可以分析HTTP、POP3、
27、FTP、即时通讯等常见的网络协议,并且对协议的内容进行分析及过滤,比较先进的设备可以识别上百种文件格式,安全管理人员通过设置过滤规则和关键字过滤出关的内容,防止敏感数据的泄密。和过滤类技术相关联的,还有检索类技术,通常是基于国外专家定义的DLP产品“能够通过深度内容分析对动态数据、静态数据和使用中的数据进行鉴定、检测和保护的产品”。产品支持建立关键字库,在通过代理、web监控、Mail监控等在各个环节扫描、过滤关键字,用以达到加强防范、及时发现、合理处理的目的。建议:l 如果只是根据一定的条件筛选出部分数据,不关注结果的排序,就用过滤;l 如果对搜索结果有排序的要求,要将最匹配的文档排在最前面
28、,就用检索。信创环境下的数据安全落地解决方案白皮书22传输类技术传输类技术和密码存储一样,如果客户端的发出来Request通过明文传输是相当危险的,数据包一旦被中途截取到,通过常用的抓包软件,Charles或者Fiddler都能直接解析拿到客户端的请求数据,例如用户名密码之类。所以我们需要数据加密,包括走HTTPS协议。加密的方式主要是对称加密方式和非对称加密方式,不管用哪种方式,为了防止中间人攻击,还需要采用身份证认证方式,目前主流方式就是数字签名的方式,建议是用数字证书+RSA加密的办法来保障数据传输的安全性。存储类技术存储类技术在数据安全治理体系中针对这种情况,建议建立数据加密机制,将重
29、要数据在数据库中进行加密方式存储,无论受到外部攻击导致“拖库”,还是内部人员恶意携带数据文件,在未得到授权的情况下 都无法对数据内容进行提取或破解。数据库加密技术作为数据库安全的最后一道铁闸,其自身的安全性和容灾机制应该具有充分的保障,能够具备与数据库的数据集成存储、RAC支持、双机热备、应急模式、多进程冗余、透明故障切换、数据错误忽略、备份恢复等技术,提供与数据库相当的高可用支持和异常故障处理能力。信创环境下的数据安全落地解决方案白皮书23控制类技术控制类技术控制类技术主要是通过权限的设置,对计算机输入输出进行集中控制和管理,并定期进行检查和事后审计,实现对关键数据的传输进行控制,防止未经授
30、权的数据外泄。在具体实现上主要采用软件控制、端口控制等手段对计算机的各种端口和应用实施严格控制和强审计。这其中还包含涉密访问控制,就是在对象涉密后为防止涉密所做的一切处理。在防泄密软件系统中,它主要对涉密应用程序的行为以及涉密数据的流向控制。涉密访问控制中包括互动加密技术。隔离类技术隔离类技术主要采用数据安全隔离技术,通过存储、网络以及应用等多重隔离技术,在终端中隔离出数据安全区,并以此为基础在内部网络上按需隔离出一个或多个数据安全区域,用于保护源代码等敏感数据。在安全区域内敏感数据存储、流转、使用全周期安全且不受任何限制,但当数据离开安全区域时则必须通过审核。信创环境下的数据安全落地解决方案
31、白皮书24中国信息通信研究院此前在发布的2021数据安全行业调研报告中提出,与网络安全服务相比,数据安全服务刚刚起步,业务模式不成熟,积累比较少,市场整体来说处于开拓阶段,需要逐步培育,但数据安全服务的市场总体向好。工业和信息化部日前发布“十四五”大数据产业发展规划,提出到2025年,我国大数据产业测算规模突破3万亿元,而数据安全产业在其中的占比相当可观。数据这一新的资源,只有在交换流动交换流动中才能释放出更大的价值,这已经成为各行业的基本共识。而如何对重要数据进行有效保护,就成为整个共享交换场景共享交换场景中的关键。近日,IDC发布了IDC TechScape:中国数据安全发展路线图,202
32、2,报告认为,由于数据具备了的广泛性、分散性、多样性、复杂性等特性,对于政企用户来说,数据安全体系建设变得困难重重。政企用户在建设数据安全时,数据资产发现与梳理、数据分类分级、权限管控、数据合规、数据分析、数据流转数据流转等成为了众多用户共同面临的难题。数据安全市场将在国家政策和市场需求的共同驱动下快速发展,中国数据安全技术及市场发展趋势将主要呈现出数据安全合规变成刚需,“点-线-面”的技术融合趋势将逐渐增强,数据安全产品与服务融合、数据安全与网络安全融合的趋势也将愈加明显,这种“大融合”也意味着数据安全市场的未来将在产业协作与技术融合双重推动下加速前行。数据安全行业发展趋势数据安全行业发展趋
33、势信创环境下的数据安全落地解决方案白皮书25第三章第三章 信创环境下的数据安全信创环境下的数据安全什么是信创下的数据安全什么是信创下的数据安全信创下的数据安全一般包括:信创硬件环境的适配(如:CPU等)信创操作系统的支持、信创数据库支持、信创数据库安全漏洞挖掘,围绕这些方面,进行软硬件兼容性开发,确保自己的产品可以在信创环境下进行使用和存储。当前,在复杂多变的国际形势及疫情的交织叠加下,以信息技术为关键要素的创新发展战略逐渐成为拉动经济发展的重要抓手之一,信创产业作为数据安全、数字安全的重要基础,是数字新基建的重要组成部分,也是推动我国经济数字化转型、提升产业链发展的关键。来源:艾瑞咨询研究院
34、信创-信息安全产业链概览信创环境下的数据安全落地解决方案白皮书26以数据为中心的审计和保护(Data-Centric Audit and Protection),这是Gartner提出的观点,大意是安全和风险管理领导者必须使用以数据为中心的审计和保护产品,以应对对关键数据的威胁和合规性问题。这些产品可以监控并响应恶意或不恰当的用户访问行为,数据广泛存储在本地或云井(cloud silos)中。转变:以数据为中心的审计和保护转变:以数据为中心的审计和保护跨越多个数据孤岛的数据生成和使用是指数级增长,这使得当前的数据安全方法已经过时,架构和产品选择方法需要改变。数据并不仅仅存储在各个孤岛,同时由数
35、字业务流程和应用访问通过访问内部(on-premises)或公有云中的结构化和非结构化孤岛而不断调整。大多数组织中的各个数据孤岛(data silo)由单独的团队负责,而缺少数据安全产品、策略,管理或执行层面的协调。以数据为中心的审计和保护(DCAP)供应商正在迅速地通过收购来增加功能,特别是为了响应更多的数据泄露和快速变化的合规大环境,只有少数供应商已经在内部和云端实现了广泛的覆盖。信创环境下的数据安全落地解决方案白皮书27信创环境下需要什么样的数据安全产品?信创环境下需要什么样的数据安全产品?我国信息安全产业也曾由于产品性能无法满足客户需求,导致面临供需不平衡。时至今日,我国主流安全厂商已
36、整合发布经多年迭代升级、能够满足行业客户80%需求的安全产品及服务,供应链成熟完善,预计3-5年内会完成全行业主流场景的国产化替代。从整个信创产业链来看,以政策为主要驱动力的信息安全投入水平仍落后于国际水平,行业标准并未形成。那么在信创这个大浪潮下,什么样的安全产品能够满足用户需求呢?产业链的全面自主创新是实现我国数据安全的先决条件 安全产业对标准具备高依赖性,只有满足多方标准的安全产品才能够适用于各行各业 等保2.0政策虽然大大提升网络安全体系标准化,但实际落地性差,安全标准孵化需多方合作,发挥全产业协同效应 当前信息安全产品基本可以满足客户需求,但高端需求仍无法满足,安全产品的二次封装可能
37、造成计算机整体的性能损失,安全技术仍需创新发展信创环境下的数据安全落地解决方案白皮书28数据流转交换成为重要关注方向数据流转交换成为重要关注方向数据流动有多种视角,在传统安全的体系里,往往用数据生命周期阶段如采集、存储、传输、使用来描述数据流动,在数据安全法里定义了一个新的概念叫“数据处理活动”,提出“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”。与任何宝贵的资源一样,生产只是整个方程式的一部分。物流,即在正确的时间把资源运送到正确的位置,同样重要。毕竟,汽油只有在你把它交给开车的人时,才有价值。就数据而言,大部分行业在物流方面仍然发展滞后。举个例子,很多企业仍在使用过时的
38、文件传输软件(比如FTP),在不同地点之间传输大量数据这在数字世界里就相当于使用马车来运送跨国包裹。因此,打造一个适应数据流转的管控体系,兼顾业务可用性与数据流动风险可控性之间的平衡,就成为数字化背景下数据安全的关键任务。需要形成安全的数据流转闭环体系。信创环境下的数据安全落地解决方案白皮书文件交换的建设目标是什么?文件交换的建设目标是什么?29应对文件数据交换的挑战,你的组织需要:可靠性可靠性:文件传输的可靠性,成为业务成功的关键要素 可见性可见性:文件交换无处不在,随时发生,却不为人知 合规性合规性:如何满足组织和监管对数据交换的合规性要求?时效性时效性:文件传输效率直接影响业务时效性和服
39、务承诺 安全性安全性:文件流通过程的安全性是否得到了有效保障?扩展性扩展性:如何迅速为业务系统和流程扩展文件交换能力?第四章第四章 文件安全交换如何实现?文件安全交换如何实现?更大的数据体量更多业务需要文件交换更多的用户量更多的存储位置文件交换越来越重要却也越来越复杂、艰巨信创环境下的数据安全落地解决方案白皮书文件交换的文件交换的四四大应用场景大应用场景30应用场景应用场景1 1:跨网文件安全交换:跨网文件安全交换企业内部不同网络之间,需要进行数据的安全导入导出应用场景应用场景2 2:内外部文件安全交换:内外部文件安全交换企业内部与外部供应商、合作伙伴之间,发送和收缴文件数据应用场景应用场景3
40、 3:文件自动化同步:文件自动化同步内部不同网络区域之间、不同数据节点之间,以及总部和远程分支机构之间,文件数据同步应用场景应用场景4 4:替代和增强替代和增强FTPFTP增强替代传统FTP的国产化文传输系统,提升文件传输的性能、可靠性及安全性信创环境下的数据安全落地解决方案白皮书传统的文件交换方式及痛点传统的文件交换方式及痛点31社交软件社交软件国内的社交软件,类似于QQ、微信等,以及包括蓝牙、一些手机客户端工具等等,主要是手机端之间,或者手机端与网页版之间传输文件,毕竟现在的网络以及电子设备越来越发达,这类社交软件使用起来比较方便快捷,只要有网络,随时随地可以好友或同事之间互传个文件,几百
41、兆的文件串起来速度也能接受。痛点痛点一般社交软件的传输文件大小限制在2G以下,超过1G的文件,传输速度会变得非常缓慢,更适合1G以下的文件传输,由于QQ/微信本身的私密性,这种传输方法并不适用于大范围的传输,更不适合企业间的业务传输,更适合个人使用。信创环境下的数据安全落地解决方案白皮书32电子邮件电子邮件最常见的文件传输方式是通过电子邮件附件。电子邮件很普遍,用户也很容易理解,但电子邮件的发明是为了取代“蜗牛邮件”信件,而不是取代大规模、可管控、安全的文件传输。电子邮件虽然很方便,但是也有很多问题,比如地址无效、传递失败、文件大小受限、容易出错,而且也不容易跟踪或自动化。痛点痛点电子邮件大家
42、非常熟悉,优点方便快捷不必多说,缺点是附件大小比较有限制。例如,当前主要的电子邮件提供商如Gmail,QQ Mail和网易邮件等将其限制设置为50 MB,超大附件发送则限制在2G,且无法保证2G的文件传输成功。如果通过电子邮件发送大文件,例如.ISO,虚拟机,高清视频,程序安装程序或放置在zip文件中的大量文档,这些文件每个可以达到数百MB或几GB,你必须将它们分成许多小部分。整个文件传输过程将非常繁琐且耗时。此外,该方法极易受到人为错误的影响。而且即使你使用一些方式发送了大文件,接收方邮件文件大小限制可能比此小得多,对方要如何完整下载呢?信创环境下的数据安全落地解决方案白皮书33HTTPHT
43、TP协议协议超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。HTTP是很常见的协议,是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。支持客户/服务器模式,可以传输任意类型的数据对象。无连接的形式限制每次连接只处理一个请求,服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。痛点痛点 明文传输,数据完全肉眼可见,能够方便地研究分析,但也容易被窃听 不安全,无法验证通信双方的信息,也不能判断报文是否被篡改 性能不算差,但是不完全适用现在的互联网,还有很大的提升
44、空间 这种传输方式过于专业,普通员工是难以采用这种方式来传输文件的信创环境下的数据安全落地解决方案白皮书34介质传输介质传输你可以使用拇指驱动器(也就是USB驱动器、闪存驱动器、跳转驱动器等)物理传输数据。物理传输端口比较适合用于临时传输,但它有一个缺点:容易携带病毒,在这种情况下,企业不但操作麻烦,浪费人力、效率低下,业务需求往往无法得到及时响应,而且无法保证人工操作本身的正确性和安全性,无法监管到究竟拷贝了哪些内容,拷贝的内容最终是谁使用了,没有任何记录可查询,一旦出现数据泄露的情况,是难以追责的。痛点痛点不管是U盘还是硬盘之类的介质拷贝,都需要专人手动操作,并且得一直守着,小文件倒比较快
45、,一旦是GB级别的文件,读写速度就会比较慢了。未加密的U盘丢失会引起隐私泄露,并且自己也会因重要数据的丢失而非常困扰。还有一个很重要的缺陷,就是U盘是很容易中毒的,虽然不至于导致电脑瘫痪、威胁网络安全,但是很容易导致文件损坏,就又得重新拷贝一遍。信创环境下的数据安全落地解决方案白皮书35文件同步和共享文件同步和共享通过企业文件同步和共享(EFSS),用户可以将文件保存到云端或本地,然后在台式机和移动设备上访问这些文件。将所有关键文件放在服务器上共享,这种方式与通过使用强加密、完整的日志记录、自动化工作流和文件处理任务来管理文件,是完全不同的。任何自动将文件同步到不安全的移动设备的系统都是不安全
46、的。有很多组织之间都流行使用百度网盘、Dropbox、OneDrive、Google Drive以及其他文件同步和共享解决方案来共享文件。如果你的业务涉及到一些受监管的敏感信息,比如信用卡、医疗保健、财务或其他个人数据等,那你就得考虑一下,是否真的适合使用公共云服务了。痛点痛点首先速度在很大程度上是受网络影响的,也有一些是受到是否是会员身份的影响,但是一般来说速度都很慢,共有云盘存在隐私性问题,临时存一下数据没有太大问题,但如果体量较大,或者涉及到隐私及商业机密文件的话,共有云盘是不够安全的。私有云盘有技术门槛,需要有一定技术基础的人员来实施操作,并且成本较高。信创环境下的数据安全落地解决方案
47、白皮书36FTPFTP有些企业可能会架设一个FTP服务器,FTP是一种标准的网络协议,可以用于在互联网上传递文件。但是在文件摆渡中,还是存在着一些问题。比如没有任何安全策略,存在泄密的风险;可靠性较差,经常可能出现传输错误、中断,甚至文件丢失的现象;没有日志记录功能,出现问题难以追溯;要有专人值守,耗费大量人力成本。关于FTP的问题,在后文中会详细阐述。痛点痛点安全漏洞安全漏洞 FTP客户端ID和密码以明文传输。FTP可被用于DOS攻击或成为网络漏洞。FTP Client非常普遍且免费,为黑客提供了便利。FTP传输易于被截获和窃取,即使是SFTP也难以应对当今的网络威胁。信创环境下的数据安全落
48、地解决方案白皮书37对业务造成损害对业务造成损害 FTP FTP的平均失败率为的平均失败率为6%6%脆弱的可靠性,让您随时处于救火模式。先到先得,缺乏优先级控制机制和策略。传输性能差,有时您发送的数据永远不会到达目的地。无法即时通知和处理传输异常,直到业务失败,问题才被发现,甚至是从客户那里获知的。难以运维难以运维 账号发放和回收,临时的权限调整。被迫管理越来越多的服务器节点。自定义脚本和集成,只会带来更多故障点,最终浪费宝贵的开发资源。负担不起的“免费”国产化替代需要国产化替代需要 大部分FTP不能响应国产化自主可控需求。国防、政府、金融、工程等多领域已全面国产化替代。信创环境下的数据安全落
49、地解决方案白皮书38现有文件交换基础设施是否满足业务需要?现有文件交换基础设施是否满足业务需要??您的组织,是否存在定期或即时的文件传输的业务流程?您的业务,是否经常依赖于超过1GB 的特大文件的传输?您的业务,是否依赖于成百上千的合作伙伴或客户之间的数据传输?您的组织,是否需要不同业务系统能够有效地交换数据,以实现无缝的业务流程?您,是否面临跟踪和监控数据传输的公司或监管要求?您,是否想知道您的企业数据传输是否安全且正常工作?以上任何问题,如果您的回答是“yes”,都表明您需要迅速采取行动。信创环境下的数据安全落地解决方案白皮书什么样的文件交换产品是企业需要的?什么样的文件交换产品是企业需要
50、的?39保障安全性保障安全性比如通过数据加密在传送过程中保证用户 ID、密码以及数据的安全。校验和功能可助企业确保数据能按原样传输,而不被损坏或篡改。在接收者收到文件后,不可抵赖性功能可利用数字签名通知发送者,从而最大程度地降低冲突或诉讼风险。确保可靠性确保可靠性要确保确保成功传送。如果文件传输中断,可以在特定时间段内或成功传送前,尝试以设定的间隔恢复传输,期间无需人工操作。可视化管控可视化管控可以明确看到文件源自哪里、发送者是谁、发送到哪里、接收者是谁和接收时间等,提供集中的可视性和监控。支持信创环境支持信创环境在国产化信创这个大环境下,需要能够100%拥有自主知识产权,全面支持信创环境。成
51、本控制成本控制不管是普通人员使用还是IT人员的维护,都需要简化并增效,能够适应企业未来的网络以及基础设施架构,可重复且经济高效的方式满足各类文件传输需求。第五章第五章 专业文件安全交换解决方案介绍专业文件安全交换解决方案介绍信创环境下的数据安全落地解决方案白皮书企业如何选择文件交换产品?企业如何选择文件交换产品?40选择文件传输交换产品时,不仅需要考虑产品的功能、性能,还需要考虑到未来的扩展需求。安全保障安全保障:传输安全的重要是任何企业都无法忽视,没有安全管控的传输,等于默认风险存在。传输可靠性:传输可靠性:传输过程中的出错、断传,不仅会影响传输效率,安全性也无法保证。支持文件多重校验机制、
52、自动重传等功能的传输软件,可以保证整个传输过程中数据的可靠和完整,是选择传输方案的重要标准。产品功能产品功能:企业在选择文件传输软件的时候,需仔细评估自身需求对匹配适合的软件尤为重要。尤其是功能层面,不仅仅要实现传输,传输前、中、后的一些其他功能也是必须的。兼容性:兼容性:软件的兼容性是衡量软件好坏的一个重要指标,尤其是在多样的系统环境和硬件环境中,确保一款文件传输软件与企业现有应用系统良好适用&无缝集成同样很关键。部署方式:部署方式:部署方式简单点,节省的是大量的时间、人力、运维成本。扩展性强:扩展性强:可扩展性是指系统具有适应业务需求变化的能力,当系统新增业务功能或现有业务功能改变时(业务
53、流程变化、税种的变化、规则的改变、代码改变、界面的改变等),不可避免将带来系统的改变,好的系统应在系统构架上考虑能以尽量少的代价适应这种变化,应尽可能的保证业务变化造成的影响局部化。信创环境下的数据安全落地解决方案白皮书41专业的文件安全交换方案可以解决哪些问题?专业的文件安全交换方案可以解决哪些问题?连接Connect可靠Reliable将组织的存储设施、服务端、终端、用户和业务系统,有机连接起来,形成切实有效的文件数据交换通路。通过技术手段,为文件传输提供充分的可靠性,以完整、准确、高效地完成文件交换任务,作为最低限度的服务承诺。受管Managed安全Security集中提供文件交换的可见
54、性和审计、运维能力,确保文件的流通过程,满足组织和监管的合规要求。在文件交换过程中,为数据安全和IT架构安全提供技术保障,对用户的文件交换行为提供必要的许可和控制。专业的文件交换解决方案,需要实现在企业内部之间、与外部合作伙伴之间、内部应用系统之间等,实现安全可控的文件交换,满足企业日益增长的业务需求,实现业务高效运转,从而加强安全性、合规性、便利性。信创环境下的数据安全落地解决方案白皮书42FtransFtrans文件安全交换解决方案简介文件安全交换解决方案简介Ftrans全场景文件安全交换解决方案,100%自主可控,具有完整知识产权,可完整支持信创国产化环境。可解决组织内部用户之间、与外部
55、合作伙伴之间、总分支机构之间、不同存储节点位置之间等,各种不同业务场景的传输需求。通过多种安全保护手段,防止数据泄露,实现事前可控制、事中可审查、事后可追溯的文件交换全生命周期管控。方案核心价值:稳定可靠稳定可靠 保障关键业务的连续性性能卓越性能卓越 提升业务时效性和用户满意度安全合规安全合规 保护数字资产,消除法规和监管风险集中管控集中管控 降低系统管理和运维的复杂度易于集成易于集成 迅速扩展业务系统的文件传输能力全场景的企业级文件交换解决方案,全场景的企业级文件交换解决方案,让组织的文件交换能力,满足新形势下的业务需要。让组织的文件交换能力,满足新形势下的业务需要。用 户 好 用用 户 好
56、 用ITIT易管易管领 导 放 心领 导 放 心信创环境下的数据安全落地解决方案白皮书43FtransFtrans文件安全交换解决方案文件安全交换解决方案部署架构部署架构 集中管控和调度文件传输 支持各种存储设施 文件传输自动化 高可靠文件传输 独有的高性能文件传输技术 大规模文件传输支持 平滑替代和增强FTP 面向用户的文件管理和共享协作 传输安全性 日志审计 文件传输集成 跨平台和国产化支持功能特点:功能特点:传输服务器文件传输管控平台Ftrans Web.Console传输服务器传输服务器文件安全交换应用平台Ftrans Web.Front终端桌面/终端用户终端桌面/终端用户终端桌面/终
57、端用户命令行工具通用浏览器FTP工具任务调度和监控节点内用户文件交换基于任务的自动同步跨节点用户文件交换文件安全交换应用平台Ftrans Web.Front文件安全交换应用平台Ftrans Web.Front节点内用户文件交换节点内用户文件交换基于任务的自动同步跨节点用户文件交换信创环境下的数据安全落地解决方案白皮书44FtransFtrans文件安全交换解决方案文件安全交换解决方案产品体系构成产品体系构成高性能传输引擎文件传输管控平台Web集中管控平台,用于管理多个文件传输服务节点,创建和管理自动化的文件传输任务。服务端文件传输组件,位于骨干传输服务节点,提供高可靠、高性能的文件传输能力,可
58、面向终端服务。文件安全交换应用平台高性能传输探针受控的文件传输组件,位于边缘传输节点,能够与传输引擎之间进行高可靠、高性能的文件传输。面向终端用户的Web文件管理和交换平台,可在不同用户、网域和组织之间,实现安全可控的文件交换。FSCP命令行传输工具浏览器高速传输插件轻量化的客户端软件,配合通用浏览器,独立执行文件上传和下载任务,以提高终端用户文件传输的效率和可靠性。适用于Windows和Linux环境的命令行工具,可连接文件传输引擎节点,实现本地文件的上传下载。信创环境下的数据安全落地解决方案白皮书附录:附录:信创文件安全传输系统白皮书下载信创文件安全传输系统白皮书下载45Ftrans SFT 信创文件安全传输系统,基于多年企业级文件传输解决方案实践经验,为需要实现国产化、信创化的各行业领域,提供可平滑增强替代传统FTP的国产化文件安全传输系统。Ftrans SFT全面适配信创生态环境,可大幅提升文件传输的性能、可靠性及安全性,已为众多领域头部客户提供自主可控、安全稳定的文件传输服务支撑。l 全面适配信创生态l 信创环境下完美替代FTP系统l 自主可控,安全合规l 传输能力全面提升