超越安全边界,半导体行业全方位网络与数据保护

超越安全边界,半导体行业全方位网络与数据保护 演讲人：朱凯鹏腾讯云 2024.02.28 目录 content 1安全需求分析 2腾讯安全芯片行业方案理念3腾讯安全芯片行业方案 4成功案例及典型应用场景 自2018年“XX禁令”到2019年“制裁XX”，后续诸多厂商及科研机构被列入实体清单，全方位限制科研机构和部分中国企业的发展。 XX遭遇病毒攻击，导致台湾重要生产基地生产线停摆，英国半导体材料厂商摩根先进材料和美国芯片设备制造商MKSInstruments先后遭到勒索攻击 2023年7月份，上海警方接到XX公司的报案，称在离职员工中发现有人非法获取和使用了公司的重要芯片技术信息。 近些年，国家层面的政府部门发布了多项关于半导体行业、半导体材料行业的支持、引导政策，这些鼓励政策涉及减免企业税负、加大资金支持力度、建立产业研发技术体系。其中国务院于2020年7月颁发《新时期促进集成电路产业和软件产业高质量发展的若干政策》，鼓励国内企业掌握半导体各个环节的独立自主可控。据统计，目前中国芯片业的自给率现在只有36%，并且随着国外对于限制中国在芯片行业发展的阻力越来越大，会出现更多的处于内部或者外部的网络安全威胁，芯片行业网络安全升级迫在眉睫。 采购 单晶硅光刻机 氧化炉…… 特点 •数据存储特点：芯片设计开发编译过程需要存储海量小文件，传统存储性能低，影响工作效率 •安全防护特点：数据资料重要性高，勒索价值足， 存在大量定向攻击，安全防护压力大 •业务连续特点:芯片行业对系统可用性和可靠性要求高，相关业务系统的中断将导致极大的经济损失 •业务特点：新上系统多，对IT架构的稳定性和可靠性提 出更高要求 •数据特点：芯片行业的流程长、步骤多、技术密集大，各个环节都会产生大量数据，数据重要，需要有数据保障措施 •企业分布特点：芯片行业为人才密集型，芯片公司为适 应人才分布，采用多分支架构，带来分支统一管理难题 上游材料设备 中游核心产业链：设计、生产、封测 下游需求产业链 分销商 4S店 汽车厂商 消费者 终端厂商 运营商 通信厂商 客户 系统厂商 供应链协同TPL 运输管理系统TMS 计费管理系统BMS 流通环节 商业智能BI 客户关系管理CRM 仓储管理WMS 销售 物流 采购 MES/CIM系统 EDA软件 离子注入 IC测试 薄膜沉积 引线缝合 刻蚀 硅片测试 光刻 封装测试 生产 设计仿真 单晶硅氧化炉光刻机刻蚀机离子注入机特殊气体 规格制定 物理布局布线 HDL编码/ 原理图设计 物理版图验证 逻辑验证/时序分析/形式验证 (数字芯片) 寄生参数提取 后仿真 基础设施 数据安全 应用安全 业务连续性 环境构建复杂 信息安全难保障 业务创新受限 保障业务连续性 IT资源异构化，现有专有设备类型众多，业务上线慢，业务拓扑结构越来越复杂，业务连续性保障困难。 传统安全防护注重边界防护，轻视数据中心内及访问关系安全；勒索病毒、挖矿病毒等新型病毒层出不穷，对核心数据造成严重 威胁 业务系统存在大量信息孤岛无法共享：信息化标准不一，互通困难；业务停机带来的影响严重，需要保证业务连续性 维护工作量大，维护人员不足，缺乏集中维护能力，易出现人为或非人为的业务停滞。 复杂架构导致定位困 难，影响生产。 目录 content 1安全需求分析 2腾讯安全芯片行业方案理念3腾讯安全芯片行业方案 4成功案例及典型应用场景 数字化战略网络安全蓝图 国内参考体系 安全 治理 安全战略规划 安全标准合规审计安全考核及评价体系 安全预算及成本管理 安全运营 《网络安全法》 《个人信息保护法》 安全成熟度三级初阶 安全强化 《数据安全法》 安全成熟度三级高阶 持续运营 技术工具支撑 《网络等级保护》 I:风险识别P:安全防御D:安全检测R:安全响应R:安全恢复 国际参考体系 《GDPR》IEC/ISO27000 IEC62443 数据安全 数据防泄密分级分类数据脱敏数据加密数据备份 传统安全 应用安全 开发安全应用安全测试软件成分分析API风险监测 主机安全 终端检测 风险评估技术咨询渗透测试攻防演练 等保三级DSMM二级 安全成熟度二级 基础建设 安全托管 TISAX 与响应终端安全管理防病毒零信任容器安全 网络安全 云安全 专业服务支撑 WAFDDOS 运营技术平台 威胁建模 安全湖 风险监测 威胁情报 资产监测 漏洞管理 安全运营流程 日常运营流程 安全重保流程 上线安检流程 应急响应流程 NISTSP-800 边界安全入侵防御应用交付网络准入 物理安全 （含虚拟安全） 云主机安全云数据安全 1.EDA安全上云方案 针对芯片行业核心数据上云，提供端到端的完整安全解决方案，保障数据资产的保存和流转，构建安 全办公空间，降低。 2.敏感数据防泄密方案 帮助企业构建立体防护能力，采集网端安全数据深度检测威胁事件，借助行为分析与大数据分析快速处置闭环。 3.勒索病毒防控方案 芯片制造业制造内网端口与数据共享，在勒索病毒定向投放中，难以集中处置，极容易影响生产，影响产能 4.安全服务与风险评估方案 对于芯片行业生产网、办公网可能存在的风险，进行全面风评与渗透，全面掌握可能出现的安全问题，提前处理与规避 5.安全开发方案 实现安全左移，对于开发流程、开发语言语义进行分析与处置，实现安全开发。 6.安全运营解决方案 实现安全设备、网络设备与中间件等关键设备日志全收集，统一分析处置并通过情报降低误报，最终形成可以闭环处理安全运营体系。 目录 content 1安全需求分析 2腾讯安全芯片行业方案理念3腾讯安全芯片行业方案 4成功案例及典型应用场景 办公区 芯片设计云平台 总部 分部 UserPC IOA零信任 防火墙 CVD1 准入软件 CVD2 ……… VNC Login 设计服务器（集群） Server1Server2 ……….. 快照管理 镜像管理 数据加密 备份数据层 分部IOA零信任 加密安全数据传输通道 管理区 堡垒机BH 管理数据访问 CAS归档存储 COS对象存储 LDAP 存储区 块存储 NAS存储 加密安全数据传输通道 日志审计 网络安全 IOA零信任接入 防火墙自定义安全策略 接入安全 云桌面保障数据不落地 UD用户统一管理LDAP 数据安全 存储落盘加密 云上自动快照备份 运维安全 安全运维审计 日志审计周期性报告 价值收益 业务优先：让安全更好地服务企业生产力释放 敏捷运维：解放过时边界隔离体系的低ROI投入 风险隔离：从容应对日益变化的监管与安全态势 •随时随地办公：可信的用户可以随时随地使用任意一台安全 •集约化运维：通过零信任接管大量冗余的边界安全设备的职 •更好地隔离“资产”与“风险”：日益变化的监管要求与日 的设备访问数字化系统，让数字化服务与协作不再受物理空 能，并逐步实现替换，减少不必要的边界安全建设与维护投 益严峻的安全态势给了安全运营与建设团队巨大的压力。而 间的束缚 入 基于零信任构建的访问控制体系，可以在满足业务访问需求 •安全地实现内外网同权：安全的用户无论何时何地都可以访 •更贴近业务的边界管理：基于用户业务需要与访问主体安全 的基础上，实现更精细的隔离控制，收敛攻击面与风险面， 问其业务需要的业务资源 状态，实现极简、高效和智能化访问过程管理，大大提升安 为安全运营团队面对威胁时换取更多的“时间”与“空间” •始终一致的办公体验：屏蔽碎片化的办公安全建设与网络基 全有效性的同时，大大降低所要为之付出的投入 •给予安全团队一个更易于应用的安全抓手：有机地将“威胁 础设施需要用户被迫面对的不一致体验，用户在任何位置都 •统一的策略平面：通过一套科学和高效的体系，统一纳管此 防御”与“业务接入”结合在一起，，同补齐安全运营在 只需要通过一个软件即可安全地开启办公体验 前出于成本考虑忽视的场景 “数据”和“手段”上最后一块版图 •VPN架构对外仍暴露端口 传统VPN对外暴露端口，配合扫描工具，攻击方可快速利用VPN0day漏洞（eg.20/21年xx服vpn0day漏洞） •业务暴露面扩大易受攻击 远程办公兴起，企业边界瓦解，业务从内网访问转向无边界访问，外部攻击加剧（DDoS、漏洞利用） 需求场景 复杂网络场景：多种协议敲门包支持高并发场景：SPA处理效率高 全系统端口隐藏：控制平面隐身 技术特点 建立TLS连接携带合法携带SPA包的可信终端SPA包，连接建立成功！ 代理访问 建立TLS连接未携带合SPA单包授权安全机制SPA单包授权安全机制未携带SPA包的终端法spa包，连接建立失败！实现『服务隐身』实现『服务隐身』 不对外暴露服务端口，扫描器无法扫描到，有效杜绝外部攻击 领先 ｜ 【全端口隐藏】支持总控及网关全端口隐藏，实现对外完全隐身 独家 ｜ 【增强型SPA】支持UDP/TCPSYN/ICMP三种敲门方式，适配复杂网络场景 独家 ｜ 【按需启用模式】支持对单/多个网关独立开启隐身阻断及审计模式，可对网关启用独立策略 稳定 ｜ 【多端支持】支持Windows/MacOS/Android/iOS多系统 测评对象 控制点 方案应对 物理和环境安全 物理和环境安 全 腾讯云或者客户机房自行满足 应用和数据安全 身份鉴别 系统开发商 访问控制 系统开发商 安全审计 系统开发商 软件容错 系统开发商 资源控制 系统开发商 数据完整性 系统开发商、KMS、数盾、SSL证书、WAF防篡改 数据保密性 系统开发商、KMS、数盾、SSL证书 数据备份恢复 CDB异地容灾实例、异地备份 剩余信息保护 系统开发商 个人信息保护 系统开发商 测评对象 控制点 方案应对 网络和通信安全 网络架构 VPC、安全组、LB 通信传输 SSL证书、VPN 边界防护 VPC、NAT网关、安全组 访问控制 安全组、防火墙、VPN 入侵防范 DDOS、WAF 恶意代码防范 WAF 安全审计 态势感知、日志审计系统 集中管控 云监控、控制台、态势感知 设备和计算安全 身份鉴别 云平台CAM、VPN、堡垒机 访问控制 云平台CAM、主机安全、安全组 安全审计 堡垒机、数据库审计 入侵防范 云镜主机安全 恶意代码防范 云镜主机安全 资源控制 云监控、控制台 零信任 主机安全 云WAF 数据库审计 数据加密 DDOS 云堡垒机 WEB漏 扫 泄密 主动泄密主动 1.将企业内部文档私自拷贝外带泄密 2.越权访问非授权数据泄密 3.伙同他人实现机密文档跨安全域转移泄密 4.通过IM、邮件外发、共享等方式将敏感数据外发泄密 5.私自携带笔记本设备接入内部网络非法下载数据泄密 被动泄密 第三方泄密 被动泄密 1.移动笔记本、USB存储设备遗失或失窃导致数据泄密 2.邮件或网络误操作、误发送引起的泄密 3.保密意识淡薄对敏感数据保管不当引起的泄密，如随意共享等 4.感染病毒、木马后引发的敏感数据泄密 5.移动笔记本、USB存储设备和硬盘等维修、废弃时引发的泄密 第三方泄密 数据泄密行为 传统数据防泄密手段侧重对已知内容已知泄密途径的防护，但数字化加剧了企业的泄密途径，如何管控及追溯？ 1.合作伙伴、外协人员接入内部网络非法获取机密文档泄密 2.发送给客户、合作伙伴及其他关系密切人员的机密文档保管不当或恶意扩散引起的泄密 使用安全大数据和智能化分析技术，对用户、实体等关键对象的行为进行细粒度、长时间尺度的持续分析、建模，提升企业安全运营中威胁发现能力，为安全分析所需的用户实体优先级和上下文 UseCases 企业员工和资产信息员工人员信息、CMDB资产信息等 办公环境 VPN、上网代理日志、系统安全审计日志、终端安全检测事件等 生产环境 堡垒机日志、VPN日志、主机安全日志、数据库审计、NTA/IDPS安全检测事件等 Analytics Data 高级威胁检测 威胁发现 •绕过内容检测机制的攻击 •监测账