最全面的安全解决方案的架构设计-域名代备案-备案企服

最全面的安全解决方案的架构设计

备案注销 | 2023-09-16

最全面的安全解决方案的架构设计

导语：

随着各项安全法规的陆续实施，安全体系建设对于企业来说显得尤为重要。本文将从终端层、网络层、云平台、数据、身份、特殊场景等安全角度来设计整体安全系统架构。

安全环境大背景：

木马网络攻击勒索病毒log4j企业数据泄露企业海外上市数据安全违规……

近年来，安全事件频发，攻击手段不断创新，各种安全法规不断出台。安全已成为企业IT建设不可或缺且极其重要的组成部分；安全事件的发生可能会给企业资产、业务发展、品牌形象等带来不同程度的损失，因为对于安全部分的建设，必须进行全面、综合的考虑和规划。只有构建更加完善的安全防护体系，才能将攻击挡在墙外。

整体方案架构设计：

综合考虑现有的安全场景和法律法规的相关要求，从多个维度统筹考虑安全防护方案。整体分为6个模块：三个横向，三个纵向，部分模块在安全设计上可能会重叠。

终端安全：终端安全走在安全防护的最前线。其特点是数量多、分布分散、与公共网络接触大、个人行为可控性差。整体终端安全建设从终端设备保护、终端行为控制、零信任体系、移动终端安全、云桌面的桌面托管解决方案等角度进行。

网络安全：网络安全涉及业务的公网入口，攻击的第一入口。网络安全防护主要从以下几个角度考虑：链路安全、传输层加密、DDos防护、云防火墙、Web防火墙、混合云网络边界安全防护。

云平台安全：如果网络层被攻破，云平台将面临直接威胁，云平台层的安全防护将作为最后一道防线。云平台的安全主要从以下几个维度构建：主机安全、容器安全、平台审计、运维安全。

垂直维度安全性：

身份安全：实现整个平台的认证和管理，通过身份安全链接接入人员和管理人员。身份安全主要包括以下几个维度：多重认证、身份管理、身份验证

数据安全：《数字安全法》《个人防护法》的颁布实施进一步强化了数据安全的重要性。数据安全应从以下几个方面考虑：敏感数据识别、数据脱敏、数据加密、数据分级分类、数据资产标签等。

场景安全：除了一般平台和技术安全考虑外，还有其他特殊场景需要额外的安全考虑，例如外卖、电商场景中的个人信息保护，可以考虑使用号码保护方案；根据要求，应用程序需要通过隐私合规测试才能上架。不符合隐私合规要求的应用将面临下架、通知、整改等风险。此外，小程序已经成为企业前端的主流选择。小程序的安全建设同样不容忽视

以下是对各部分安全建设的一定拓展

终端安全

终端设备防护

病毒查杀、主动防御拦截、专业漏洞修复、异常登录检测、访问习惯、关系异常检测、系统加固文件、数据管理/水印外设控制、终端应用安全终端行为管控

数据防泄露、高危行为识别、员工违规操作可追溯 零信任

无流量默认“可信”基于用户身份和行为的动态授权移动端安全：

设备注册、设备策略设置、随时获取设备信息、设备运行监控、设备远程控制、安全工作空间 云桌面

本地操作、操作和云端数据均保存在云端，无法本地下载网络安全：

传输加密

https/ssl证书私有协议加密混合云网络安全

VPN专线SDWAN DDos防护

流动清洗 云防火墙

基于区域的ACLIPS 保护平台安全

主机安全

资产管理入侵检测漏洞安全基线安全运营防御 容器安全

镜像安全镜像仓库安全集群安全API 安全运行环境安全 权限及审计

用户权限设置平台操作日志运维安全

身份管理权限管理访问管理运维日志追溯审计身份安全

多因子认证

动态令牌密码MFA 软令牌SMS 令牌移动应用程序令牌身份管理

内部员工数据源外部员工数据源组织架构分层权限管理账务审计 身份验证

人脸验证、微信实名认证、银行卡二元、三元、四元验证运营商三元数据安全

敏感数据识别

出生日期姓名身份证号码银行卡号码电话号码.数据脱敏

静态脱敏动态脱敏 数据分类分级

一级——业务订单关系等二级——消费者信息等三级——自然人身份证明等四级——实体身份证明等数据资产标签

资产发现自动化数据标签风险监控细粒度授权

结构化数据授权非结构化数据授权字段（行、列）授权文件（查看、发送、修改）授权数据策略管控

办公、运维等多场景数据访问差异化管控数据安全审计数据加密

敏感数据加密透明加解密信封加密防盗链视频加密 内容安全

网页防篡改文件水印文档预览防爬虫数据容灾备份

数据备份文件备份同城双活异地容灾两地三中心场景安全

号码保护

隐藏号码中间号码拨打 隐私合规检测

行为合规检测权限合规检测第三方SDK合规检测 小程序安全

促销安全会员安全码交易安全由于方案涉及内容过多，未做完全展开，只分模块拆分核心点

附录：