网络 第6页

文/ Veritas公司大中华区总裁 滕文

勒索攻击的案例正在全球范围内激增。即便企业加强了前端安全,潜伏在远程办公和复杂的多云环境中的黑客们还是花样百出,可谓道高一尺魔高一丈。

如今,像网络钓鱼这样的传统攻击手法和更复杂的针对物联网设备、云服务和数据,以及基础设施漏洞的新的网络攻击方式正此起彼伏。

防御勒索攻击关键词:“零信任”

黑客为迫使企业支付赎金,会试图阻止数据和业务的恢复,他们会选择利用集群重置、外部时钟和BIOS固件等潜在后门,以绕开生产系统。这使得恶意软件有可能穿透网络边界,渗透到备份数据中,并在被触发之前在受保护的环境中潜伏更长时间,从而污染备份。这意味着,如果企业不加强定期检查,其最后一份干净完整的数据可能会超过保护期限,而无法应对潜在的数据丢失风险,这将令企业置身于巨大的风险之中。

身处威胁、脆弱性和风险的漩涡中,零信任已经成为企业高层和首席信息安全官的重要关注点。

零信任描述了设计和实施IT系统的一种“永不信任,始终验证”的方法。它并不只是一个独立的产品或一蹴而就的方案,而是一种需要应用于各种数据访问时的操作和思维方式。

不幸的是,当下的大多数企业都没能将零信任策略应用在其生产环境中,从而导致他们的保护数据有了被横向攻击的可能。

保护与检测

零信任策略所提供的全方位保护并不仅限于网络边界,而是覆盖了整个网络。它通过强大的身份识别及访问管理控制和安全硬件以阻止未经授权的访问,并对用户、设备、基础设施和数据进行持续的检测及验证。

为了提供更全面的保护,检测不仅应该存在于备份监控环节,还应存在于整个生产基础设施环节,以及主业务数据访问层面中。在此过程中,部署人工智能可以用来检测细微的入侵迹象,立即标记威胁,并识别勒索软件并禁用可能被入侵的账户,将影响降至最小。

零信任策略的核心在于网络安全边界的细分和“最低权限原则”的运用,让用户只在需要了解的基础上访问。以此方式创建不同的用户授权的独立数据池,可以最大程度的减少恶意软件攻击的传播和影响。

提高业务韧性的五种最佳措施

鉴于零信任并不是一个单一的产品或解决方案,那么企业应该如何使用它呢?企业又该如何将零信任融入到其勒索软件防护生态系统中呢?

在此为企业提出如下建议,相信这五种措施能够帮助企业提升韧性:

1.对备份系统的可控权限访问

只有特权用户才有备份访问权限,并且要限制远程访问。不同级别的保护数据需要对应不同的访问权限,并且做到气隙隔离。

2.采用防篡改、防删除存储

防篡改和防删除存储的一次写入、多次读取(WORM)的能力可以确保数据在固定时间内完全无法被更改、加密和删除,或根本就不会被勒索病毒感染。企业可以将不可变更数据储存到光学技术存储设备、专用备份设备、企业磁盘阵列或云端上。

3.引入身份管理和访问管理(IAM)

通过多重验证(MFA)和基于角色的权限控制(RBAC),管理员能决定哪些用户和设备可以访问特定的数据,以及可执行的操作。这样一来就防止了黑客仅凭单一认证就可以控制系统。

4.加密传输中的数据及静态数据

加密传输中的数据及静态数据确保了即使黑客和勒索软件获得了访问权限,数据也不会被泄露或利用。也就是说,就算不法分子能传输和复制企业数据,他们也无法用其获得经济利益或毁坏企业的声誉。

5.启用安全分析

企业可以通过由人工智能驱动的异常检测和自动恶意软件扫描,来监测及报告系统活动,以减少威胁和漏洞的出现。一个完备的系统应能敏锐地察觉到数据访问模式的偏差和异常,由此分辨出可能被恶意软件操控的账户,同时分析备份属性的变化,以识别潜在入侵。

其实,企业很难做到百分之百避免勒索攻击,但是,只要采取了以上的措施,并将 “永不信任,始终验证”铭记于心,就能在最大程度上保护企业的数据和业务,让不法分子无法从中获益。

关于Veritas

Veritas Technologies是多云数据管理领域的领导者。超过八万家企业级客户, 包括95%的全球财富100强企业,均依靠Veritas确保其数据的保护、可恢复性和合规性。Veritas在规模化的可靠性方面享有盛誉,可为企业提供抵御勒索软件等网络攻击威胁所需的弹性。Veritas通过统一的平台,支持超过800种数据源,100多种操作系统,1400多种存储设备以及60多类云平台。在云级技术的支持下,Veritas现正在实践其数据自治战略,在提供更大价值的同时,降低运营成本。

作者：John Roese, 戴尔科技集团全球首席技术官

2022年12月7日发表于美国《MIT Tech Review / 麻省理工科技评论》

从IT安全到量子技术，从人工智能、边缘计算再到云计算，我们的数字世界正在以前所未有的速度演进和扩张。面对如此多的技术潮流和观点，我们可能很难理清头绪，更不用说面对纷繁的技术细节，我们往往不知从何处着手。每一位和我沟通的CIO都表达了类似的观点，很显然他们感受到了技术演进带来的压力。因此，今年我不再像往常那样进行技术预测，而是概述四种新兴技术，以及今天的CIO们可以在哪些方面采取行动。暂且把这四点概述视为对您的新年建议吧。

作者：John Roese, 戴尔科技集团全球首席技术官

2022年12月7日发表于美国《MIT Tech Review / 麻省理工科技评论》

1. 在不了解长期成本的情况下，我不会使用云。最近我一直听CIO们说，他们最初急于利用的云计算现在已经出现了预算过高的问题，因为他们没有从战略上考虑如何在不同的云供应商之间分配IT能力，更没有考虑如何让不同的IT能力进行协同。我的建议是，既要明确在云中运行工作负载或将数据放入特定云中的技术可行性，又要充分确定使用该特定云的短期和长期成本。如果您能够深入了解成本的构成，您就可以更好地将工作负载定位到正确的“长期家园”。同时，您还将了解如何评估新的云选项，以发现有哪些潜在的方式可以降低成本。

2. 我将定义我的零信任控制平面。我们将会看到越来越多的行业需要零信任框架，如美国政府提出的安全框架，这些框架在关键的基础架构行业中产生了全球性的连锁反应。那么，您从哪里开始着手呢？您需要有一个权威的身份管理、策略管理和威胁管理框架，来正确地实施零信任战略。如果您没有一个对多云环境有明确定义且权威的控制平面，您如何为整个企业实施一致的身份、策略或威胁管理？多云中的安全，比其它任何环境都更需要一致和通用的管理。IT孤岛是实施真正零信任安全的“敌人”。

3. a) 我将构建早期技能以利用量子计算的优势。量子计算正在成为现实，如果您的企业中没有人了解这项技术如何运作，以及会给业务带来什么样的影响，您将会错过这一技术浪潮。您需要针对量子计算规划团队、工具和任务，并开始进行技术实验。就在上个月，我们发布了面向企业内部的Dell Quantum Computing Solution（戴尔量子计算解决方案），使各行各业的组织机构能够开始利用量子技术对计算进行加速，这对它们来说是一种开创性的解决方案。投资量子模拟，使您的数据科学和人工智能团队能够学习量子计算的新语言和能力，对即将到来的2023年至关重要。

b) 我将确定首先在哪里部署量子安全加密技术。量子计算极具颠覆性，它改变了现代IT的许多元素。随着量子计算的兴起，我们需要更好地理解后量子密码学，即为传统计算机开发的能够防止量子计算机发起攻击的密码系统。全球范围内的“黑客”都在积极尝试捕获和归档加密数据流，其假设是，当他们拥有足够强大的量子计算机时，他们将能够解密并查看这些数据。您想减轻相关的风险吗？我建议从了解您最大的风险开始……以及了解您能够采取应对措施的时间窗口。要做到这一点，首先需要对您的加密资产进行编目，然后在该目录中确定哪些加密数据最容易暴露在公共网络中，并可能被“黑客”捕获。一旦知道这一点，这就是您需要实施后量子加密技术的第一个地方。2022年，NIST选择了第一批可行的后量子算法。2023年，相关工具将开始陆续出现。知道在哪里首先使用它们是您今天要采取的关键步骤。随着时间的推移，它们需要被应用到各个环节。但在2023年，我们开始采取行动并保护面向公众的数据免受这种真正的威胁至关重要。

4. 我要决定我的多云边缘架构需要成为什么：1）云扩展，2）云优先。2023年，更多的数据和处理需要在现实世界中进行。从处理工厂中的实时数据到为机器人控制系统提供驱动力，边缘正在多云世界中迅速扩展。今年，您需要对边缘架构的长期发展做出选择。选项一是将边缘作为云的延伸。这种模式在今天很常见，对每一种云，您都有一个对应的边缘（例如GPCP-Anthos，Azure-ARC，AWS-EKS）。如果您只有一种或几种云，这种方式很有效。选项二是将边缘作为所有云的共享平台。这种边缘优先的架构是一种新模式，但通过像Project Frontier这样的努力，我们看到了一条建立稳定的共享边缘平台的路径，它可以被任何软件定义的边缘（ARC、Anthos、EKS、物联网应用、数据管理工具等）使用。尽管多云边缘平台刚刚出现，但现在就决定您未来的边缘，对长期的发展非常关键。您是想为每一个云服务扩展边缘环境？还是想让这些云服务作为软件在一个共同的平台上交付？

希望这四点 “新年建议” 能让我们所有人为多云的未来做好准备。2023年即将到来，创新从未像当下这般如火如荼，这要求我们抓紧时间做出前瞻性的决策，以驾驭向我们奔涌而来的技术浪潮。

新闻摘要:

· 97%的企业高管高度重视网络安全弹性；50%的受访者表示他们的公司最近遭遇安全事件

· 实现安全弹性的三大成功因素中，高管支持和营造“安全文化”氛围是其中两个重要因素

· 采用零信任、安全访问服务边缘以及扩展的检测和响应技术显著提高了安全弹性

2022年12月7日，北京——今日，思科发布的最新版年度《安全成果研究报告》(第三卷)显示，随着网络安全形势的快速演变，中国企业正在寻找防御方法，网络安全弹性成为中国企业最关注的事项。

这份名为《安全成果研究(第三卷)：打造安全弹性》的报告提出了成功提高企业安全弹性的七大要素，聚焦在有助于企业打造安全弹性的文化、环境和解决方案方面。这项研究调查了全球26个市场，包括4,700多名受访者。

安全弹性已成为企业当务之急。50%的受访企业都表示，他们在过去两年曾经历过影响业务的安全事件，主要包括网络或系统中断(51%)、网络或数据泄露(46%)、勒索攻击事件(32%)和意外泄露(28%)。

这些网络安全事件对受影响的公司及其合作伙伴都造成了严重伤害。主要影响包括：IT和通信中断、内部运营受到影响、产生响应和恢复成本，以及持续的品牌形象受损。

鉴于安全风险如此之高，97%的受访高管表示，安全弹性是他们最关注的事项。研究成果也进一步表明，安全主管及其团队在安全弹性方面的主要目标是预防安全事件，继续提高安全能力，以及减少由安全事件造成的财务损失。

思科安全事业部首席信息安全官Helen Patton表示：“技术正在以前所未有的规模和速度促使企业转型。创造新机遇的同时也带来了挑战，尤其是在安全方面。提高企业安全弹性，正是为了有效地应对这些挑战，让企业能够预测、识别和抵御网络安全威胁，并在遭遇安全事件后迅速恢复。这正是构建企业安全弹性的重要意义之所在。毕竟，安全是一项风险业务。企业无法随时随地保证公司处于安全防护之下。安全弹性使其能够将安全资源集中在为企业带来最大价值的业务上，并确保业务运营得到安全保护。”

成功实现安全弹性的七大因素

本次报告制定了一种评估方法，对受访企业的安全弹性进行评分，并基于数据确定了七大成功因素。全球范围内，有90%的受访企业或多或少具备这七个因素，相比之下，只有10%的企业因为不具备这些因素导致安全弹性评分较低。

此次研究强调了一个事实，即安全需要企业的共同努力，因为领导层、企业文化和资源对弹性有深远影响：

· 全球范围内，高管对安全支持力度较低的企业评分比高管大力支持的企业评分低39%。

· 拥有深厚安全文化的企业平均得分比没有安全文化的企业高46%。

· 内部拥有专门的团队和资源支持响应安全事件的企业安全弹性相对提高了15%。

此外，当从本地环境过渡到完全基于云的环境时，企业需要注意降低复杂性：

· 技术基础设施大多是本地或主要基于云的企业的安全弹性得分最高，而且几乎相同。

· 然而，对处于正在从本地部署过渡到混合云环境的初始阶段的企业来说，得分下降了8.5%到14%之间，具体取决于管理混合云环境的难易程度。

最后，采用先进成熟的安全解决方案并持续改进对安全弹性的结果有重要影响:

· 全球范围内，采用成熟零信任模型的企业，其安全弹性得分比未采用零信任的企业高出30%。

· 相较于没有检测和响应解决方案的企业，先进的扩展检测和响应能力让企业的安全弹性提高了45%，效果显著。

· 将网络和安全整合为成熟的、云交付的安全访问服务边缘，使安全弹性得分提高了27%。

思科全球执行副总裁，安全与协作事业部总经理Jeetu Patel表示：“《安全成果研究报告》对网络安全措施中哪些有效、哪些无效进行了研究。通过为企业安全团队提供更安全的成果，最终目标是消除市场中关于网络安全的争议。今年，我们专注于那些能够帮助企业将安全弹性提高到业内最佳水平的关键因素。”

关于思科

思科(NASDAQ:CSCO)是致力于赋能互联网的全球科技领导厂商。思科通过重新定义应用程序、保护企业安全、促进基础架构转型、帮助客户赋能团队实现全球化及包容性的未来，从而激发无限创新可能。您可以在cisco.com.cn获取更多信息，并关注我们的微信公众号“思科联天下”。

思科和思科徽标是思科或其附属机构在美国和其他国家地区的商标或注册商标。您可以查看Cisco商标列表www.cisco.com/go/trademarks，其中提及的第三方商标是其各自所有者的财产。使用“伙伴”一词并不能直接表示思科与任何其他公司之间存在合作关系。

“算力是集信息计算力、数据存储力、网络运载力于一体的新型生产力，随着数字经济发展而不断变化，与之对应，我们的算力基础设施也要具备‘可进化’的能力。”新华三集团副总裁、计算存储产品线总裁徐润安说道。

11月29日，在“进化·智能·算赋新生”新华三智慧计算新品发布会上，新华三集团为与会者分享智慧算力的发展趋势，并带来新华三“内生智能·成就智慧计算”战略全新解读：以数算双核驱动的可进化架构，赋能从数据产生到算力释放的全过程，通过云、网、边、端的海量数据赋能核心算法，让算力可以为智能服务。

数字经济进入高速发展期，企业智慧计算需求升级

当前，中国数字经济迅猛发展，牵引算力需求，尤其是全国一体化大数据中心体系、“东数西算”工程、“双碳”战略等大动作，加快了算力基础设施建设进程。截至2022年6月底，我国在用数据中心机架总规模超过590万标准机架，服务器规模约2000万台，算力总规模超过150 EFlops，近5年平均增速超过30%，算力规模排名全球第二。

在徐润安看来，算力供应已经走过“从无到有”、“从少到多”阶段，企业算力需求正在从“有得用”向“用得好”进化。这是因为数字技术向社会各个角落进一步渗透，百行百业进行业务数字化、智能化转型，智慧城市、智慧生活、智能制造等新业态开始大规模落地，对算力应用提出新的挑战。

举例来说，在整个计算流程中，算力调度、算力负载、数据迁移、数据同步都会带来大量损耗，算力效率问题不解决，企业继续堆砌服务器，会造成额外的支出；再比如，各类数字应用尤其是对实时计算要求较高的应用，需要硬件与软件高度协同，让算力输出始终保持在“最佳区间”，才能实现业务的稳定性与可靠性。

对此，徐润安认为，现阶段智慧算力要与产业需求同频共振，往多元泛在、智能敏捷、绿色低碳、持续进化方向发展，才能更好支撑5G、大数据、人工智能、云计算等新一代信息通信技术的创新，为各行各业生产效力提升、商业模式创新、服务能力优化提供有力支撑。

战略与技术双重进化，新华三打造算力“最优解”

对企业而言，具体需要什么样的智慧计算基础设施？作为数字化解决方案领导者，新华三集团很早就在长期深耕实践、服务客户的过程中有所洞察：计算基础设施不能仅限于算力生产，还要提供算力服务，帮助企业以最简易甚至自动化的方式，实现算力效率与效益的最大化，支撑业务落地与创新。

2020年，新华三集团发布智慧计算战略“内生智能·成就智慧计算”，提出智慧计算不仅要提供强劲、高效的算力为人工智能等新兴应用提供支持，更要立足于智能的平台，实现算力的管理与调度，让企业能够更高效、敏捷、稳定地使用算力。

两年后，随着数字经济蓬勃发展，人工智能等技术得到进一步普及，数字应用与场景结合更加深入，带来算力需求的高度差异化。举例来说，自动驾驶与智能制造都大面积应用了人工智能技术，但两者计算模式、计算负载、数据吞吐、数据类型并不相同，对算力要求也不一致。同时，企业IT基础设施更趋于一体化和原生化，将算力生产应用流程嵌入整个业务环节，以更好支撑智慧应用高效运作。

企业算力需求在变化，新华三集团“内生智能”的IT战略也随之演进，徐润安表示，智慧IT需要从底层硬件、中层平台到上层应用提供全栈智慧计算能力，打通感应负载、分析算力、生产算力、高效聚合、智能调度、全面释放等环节，结合企业自身智慧业务特征，找到算力的“最优解”，并持续升级进化，才能跟上数字经济高速发展的需求。

这背后是新华三集团在智慧计算领域清晰的“软硬结合”进化路径：在硬件层面通过模块化设计，充分结合用户算力场景来优化计算单元，同时打通异构计算之间传输限制，为未来多元异构算力发展铺平道路；在软件层面通过内置AI算法进行算力调度与设备管理，同时不断对算法进行训练调优，助推IT基础设施升级进化，与企业应用场景和业务发展保持高度贴合。

目前，新华三集团已形成智慧计算体系“一体·两中枢”，覆盖所有计算场景体系的同时，提供智能化的管理与调度能力，既能充分实现底层基础设施高效协同，又能敏捷响应百行百业智慧应用，让每一分算力“用到刀刃上”。

“自‘内生智能’战略发布以来，新华三集团服务器与存储产品一直位居国内市场前二。”徐润安认为，新华三能够在计算市场稳步向前，正是切中了数字化转型大潮对于智慧计算的深度需求，“打造更适用于数字时代的计算产品，要具有前瞻战略性，在技术产品革新上‘想在客户之前’，还需要聚合生态力量，联合产业合作伙伴共研共建。”

“高效、绿色、智能，是未来智慧计算产品的标配。”徐润安强调，“新华三集团智慧计算将始终‘保持进化’，构建未来就绪的可进化算力，发挥技术领先与产品全栈优势，助推计算产业进入智能时代，服务我们的客户和合作伙伴，成就数字时代下的智慧创新。”

上文介绍了戴尔大谈零信任架构的原因，也提到了现代安全的三大要素，分别为：信任的基础、简化的零信任采纳和网络恢复计划。事实上，戴尔作为全球大型IT基础设施提供商，能提供多种网络安全能力来构建现代安全，帮企业提高业务弹性。

　　比如，数据保护能力、检测和响应能力、自动化能力、业务连续性方案、网络恢复方案以及安全专家服务团队，这些都能帮企业提高业务弹性。

　　可以说，戴尔在安全方面颇有积累，不仅如此，戴尔做安全的优势也很明显。

　　戴尔做安全的优势

　　戴尔是全球范围内最大的IT供应商之一，而且是少数拥有从核心到边缘、到云的多种基础架构的供应商，这种依靠丰富的产品类型和超强的市场覆盖造就的影响力非常难得。

　　所以，能以此来为企业提供端到端的整体安全性，就是戴尔做安全最大的优势。

　　戴尔基于这种优势提出了整体安全愿景，覆盖基础架构、云、应用到设备四个层次。

　　基础架构层面。戴尔提供可信赖的基础架构，并且可以跨终端、跨服务器、跨存储、跨网络等多种安全控制点来执行安全策略。对用户而言，戴尔遍布全球的企业用户可以享受到一致性为安全管理带来的种种便利。

　　在多云架构层面。企业需要的是统一的云安全策略，安全需要企业内部职能领域之间分担责任，过程通常有些复杂。戴尔及其合作伙伴提供的平台，可为网络功能和威胁管理提供统一的策略，从而有助于统一多云环境中的安全管理。

　　在应用开发层面。戴尔和合作伙伴合作提供了一种一致的操作层，企业用户可以在这里开发、托管和管理应用程序。通过戴尔与VMware的合作，企业用户可以通过单点登录在统一的数字工作空间中发布一系列应用。

　　在设备管理层面。戴尔利用跨多种设备集成的能力，为数字工作场所提供安全能力。随着企业的物联网设备越来越多，高效的安全管理也显得越来越重要，企业可以使用戴尔的端点安全技术进行保护和管理，并且不需要考虑设备的品牌。

　　戴尔解决安全问题，推动现代安全转型

　　戴尔指出了如今安全领域存在的三大问题，也是业内普遍关注的问题。

　　首先，如今的安全程序基本都是在应用开发完成后加入进来的，通常在应用程序和流程设计完成之后才考虑安全部分，然后，努力让安全适合现有的操作。

　　同时，如今的安全过于零碎和分散，由于安全通常是由一个个开发团队来定义的，每个开发团队关注的重点都不尽相同，因此，从整体视角来看，就是一幅各自为政的局面，不利于整体。

　　第三，如今的安全策略缺乏与业务的关联。由于安全通常只考虑安全本身，并没有考虑业务本身的需求。这就会出现，因为要处理安全问题而影响业务的局面，可能会对关键的运营职能产生影响，甚至中断业务。

　　与业内的呼声一致，戴尔认为，安全必须做出转变，向现代安全转变。

　　首先，安全性必须是内在的。这里所强调的是，安全能力应该在应用程序开发、固件开发和设备系统开发之初就融入进去，要和被保护的架构天生就融在一起，也就是常说的“安全左移”。

　　同时，信息安全团队要和其他开发团队进行统一，包括与DevOps、基础架构/云团队等进行统一，如何统一呢？比如，可以共享通用的工具和一致的策略，也就是常说的“DevSecOps”。

　　最后，对于安全策略和业务关联的问题。应该根据业务来做安全规划，既要与IT团队集成，还必须与业务战略集成，从而让应用程序和基础架构更好地关联，从而减少对业务的影响。

　　戴尔认为，现代安全必须是内置的、统一的、情景关联的。换句话说，安全策略和技术必须与体系结构、应用负载以及业务目标相统一。

　　戴尔的安全实践：以NIST网络安全框架来保护数据和系统

　　现代安全所涉及的转变非常之大，那么，在具体的实施层面，要从何下手呢？

　　戴尔的做法是遵循安全业内普遍遵循的NIST网络安全框架，NIST框架有五个关键支柱：

　　识别，以确保用户了解业务中的所有资产、风险和组件；

　　保护，确保用户保护业务中的人员、供应链、产品和所有资产；

　　检测，专注于持续监控事件和异常；

　　响应，确保用户有适当的流程和计划来处理检测到的任何事情；

　　恢复，确保用户在发生重大问题时可以恢复；

　　对应的五个关键支柱里，戴尔在端点、网络、多云、服务器/HCI、存储和数据保护五大类产品方案中都埋布了安全控制点。

　　如图所见，戴尔的安全设计非常全面，内容也比较多。

　　为了直观地呈现戴尔在安全做的工作，我找到了这份《Dell EMC PowerEdge服务器的网络弹性安全》白皮书，看一看企业用户都熟悉的PowerEdge服务器是怎么做的。

　　白皮书中介绍的是14代和15代PowerEdge内置的安全功能，这些功能主要由戴尔远程访问控制器（iDRAC9）来实现。按照NIST框架来组织的话，这些功能主要分成了保护、检测和恢复三部分：

　　保护：“保护”功能是NIST网络安全框架的关键组成部分，也是白皮书最长的章节。“保护”功能强调在生命周期的各个方面保护服务器，包括BIOS、固件、数据和物理硬件。

　　检测：检测强调能够对服务器系统内的配置、健康状态和更改事件的完整可见性。检测恶意网络攻击和未经批准的更改，主动引起 IT 管理员的关注，尽快发现问题。

　　恢复：“恢复”要强调的是要快速。快速将BIOS、固件和操作系统恢复到已知良好的状态；安全地停用服务器或重新调整服务器的用途。

　　PowerEdge历来重视安全。比如，在保护阶段，系统引导过程中使用了加密的信任根认证BIOS和固件，这使得任何对硬件的非授权改动（哪怕换个没有戴尔数字签名的风扇）都会导致系统无法正常开机使用。全是为了防止有人对硬件做手脚。

　　戴尔在硬件层构建了网络弹性架构，除了PowerEdge服务器，PowerMax高端存储的安全设计也遵循了NIST安全框架。

　　《Dell PowerMax网络安全》白皮书介绍了高端存储PowerMax中用于网络检测、保护和恢复的各种功能，虽然没有严格按照NIST的分类进行分类，但是还是列举了一些主要的功能点。

　　比如，新发布的PowerMax 2500/8500阵列使用一个不可变的、基于芯片的硬件信任根（HWRoT）以加密方式确认 BIOS 和 BMC 固件的完整性。这部分明显属于NIST框架里“保护”的部分。

　　CloudIQ使用安全的戴尔科技集团网络，并托管在安全的戴尔IT云中，从客户的数据中心和边缘位置的戴尔存储和服务器上，收集、存储和评估安全配置信息。支持包括PowerEdge服务器和存储多个产品。它能为PowerMax做监控和故障排除，能为用户的不当配置做一些纠正建议，也可以用机器学习和预测分析来识别异常。

　　文档中提到CloudIQ有两种异常检测，一种是检测延迟异常，能分析工作负载对延迟的影响，另一种与安全相关，叫“数据缩减异常检测”，如果检测到异常，则可能是有可疑活动或出现了潜在的勒索软件威胁。

　　如今勒索软件非常猖獗，见诸报道的就有很多新闻，比如，2022年，英伟达、征信巨头TransUnion、印度航空公司SpiceJet、哥斯达黎加政府、美国出版业巨头Macmillan等都有一些报道。所以，PowerMax新增的安全功能还是非常有针对性的。

　　戴尔提出加强现代安全

　　从勒索软件事件来看，尽管许多组织有较强的安全防御能力，但安全防线还是被屡屡突破并被勒索，可见安全形势的严峻，这也是包括戴尔在内的许多业内大厂关注现代安全，遵循NIST框架提升现代安全的根本原因。

　　加强现代安全分为三个方面，首先就是用零信任架构、NIST框架的做好对数据和系统的防护，企业可以利用整个IT生态系统中的整体存在的硬件和流程中的内在功能，实现安全方法的现代化。

　　没有万无一失的防护，当防护手段被突破，必须要考虑如何进行恢复，这是NIST框架的最后一个环节，也是提升现代安全的第二个方面——提升网络弹性，最后，加强安全的第三个方面是降低安全的复杂性。

　　到底如何提升网络弹性和降低安全复杂性，且听下回分解。

提起零信任，原本很难跟戴尔联系到一起，然而，现在戴尔也开始大谈零信任了，这是为什么呢？

首先，零信任是什么？

零信任，英文原文是“Zero Trust”，字面意思就是相互间没有信任。让人想起网络热梗：“人跟人之间没有信任了吗？”，“你能伤害的都是信任你的人！”

这里并不是劝人躺平，做一位“孤家寡人”。恰恰相反，正是因为没了信任，所以才特别需要建立信任，通过不断验证权限来建立信任。通过不断验证来提升安全就是零信任的核心思想。

NIST官网对零信任有一番比较细致的介绍（看不太明白，也没关系）：

“零信任（Zero trust，ZT）是一组不断发展的网络安全范例的术语，这些范例将防御从静态的、基于网络的边界转移到关注用户、资产和资源。零信任架构使用零信任原则来规划工业和企业基础设施和工作流。”

“零信任是对企业网络趋势的回应，趋势包括远程用户、自带设备（BYOD）以及不在企业拥有网络边界内的基于云的资产。零信任侧重于保护资源（资产、服务、工作流、网络帐户等），而不是网络段，因为网络位置不再被视为资源安全态势的主要组成部分。”

为什么现在需要零信任呢？

零信任的概念最早可追溯到上世纪90年代，现在为什么谈零信任呢？说到底，这是IT架构体系变迁所致。

在以前，企业在自家机房购置服务器、存储和网络等硬件，以此支撑企业信息系统。如果说，这一时期的机房是一栋自建的独栋别墅，那么，安全方案就是别墅的围墙。

安全问题如影随形，而“围墙”不仅做不到密不透风，而且还经常需要修修补补，漏洞经常有，一旦碰到了安全漏洞，就需要对应一套解决方案，在墙上打个补丁。

这套由自己搭建，自己打理的别墅见证了企业的成长壮大，围墙上的补丁也见证了历史变迁，而现在，环境发生了变化——云计算时代来了，企业的多云架构来了。

在多云时代背景下，企业自己的独栋别墅虽然很重要，但经常需要租用/订阅外部资源，此时的安全边界发生了变化，自建的围墙已经不能覆盖所有资产了。

于是，就需要零信任架构用新的原则重新解决安全的问题。

零信任解决安全问题的原则有三个

首先，所有设备和用户都得是已知的，都得面部清晰有名有姓，还要有明确的权限范围。就好比，你走进一家公司，保安允许你进入，但并不代表你被信任了。如果你要打开财务部的门，你得证明你有权限，否则，从保卫科门里出来的人就来找你了。

第二，传统做法是阻拦有害的行为，而零信任是只能做被允许的事。人只允许做已知的、好的事情，设备只能运行可以运行的应用，而未经允许的、未知的操作都做不了。如此一来，风险管理变得很简单了。

第三，经认证的人和设备在做的事情会被记录和监控，如果有反常活动，比如，研发的人经常访问财务人员该访问的内容，这种行为就会被记录和上报。这样就更容易发现问题，威胁管理也变得简单了。

从观感来看，零信任有过于”不近人情“的严苛。

从落地层面看，零信任带来的变化太大，感觉会很麻烦，像一团乱麻。

零信任的构成需要三层架构紧密协作

其实，零信任架构有相对清晰的三层架构：业务控制层、通用控制平面和基础架构三层。而且，实施的顺序是从最上层的业务控制层开始、到通用控制平面，最后才是基础架构层。

三层的职责各不相同：

业务控制层管理着业务层的安全，比如，研发人员能够访问实验室，非研发人员不能访问实验室，这是业务层要管的。又比如，数据只能本地化，核心数据不得出境，也是业务要管的。

落到实现层面，由于业务控制层需要梳理业务逻辑，所以，会需要德勤、埃森哲和凯捷这样的咨询公司来参与。

通用控制平面负责用技术执行业务控制的内容，本身是一系列的技术实现。它会帮系统搞清楚它是谁，定义它可以做什么，记录并识别它做了什么，这三个问题。

具体的实现层面，需要微软的Active Directory、Rapid7、戴尔的SecureWorks和SentinelOne等软件方案来实现。

零信任环境的第三层是基础架构，它应该由控制平面来控制。但由于硬件层缺少合适的协议，没有正确的策略模型，所以，控制平面很难对基础架构进行控制。

从具体的实现来讲，如果基础架构面向控制平面进行设计，就可以执行来自业务控制层面和通用控制层面上定义的安全策略，而上层也可以通过来自基础架构的遥测数据获知更多细节。

戴尔在零信任中的角色是什么，为什么要谈零信任？

零信任架构体系包含以上三个层面，而且还需要很好的集成，但由于没有标准、没有明确的职责划分、没有零信任基础架构API等等，目前企业要承担绝大部分集成的负担，导致零信任实现起来非常困难。

戴尔可以简化零信任的部署。戴尔可以提供包括存储、网络、服务器、终端设备在内的各种基础架构，并与控制平面更好地整合，用完整的三个层面来构建零信任架构体系。推动零信任架构的更快落地。

所以，这里解释文章一开始的问题，为什么戴尔要大谈零信任？

戴尔作为全球范围内的大型IT基础架构提供商，在全球范围内提供了大约三分之一的存储，大约五分之一的服务器，以及数不清的终端设备。

戴尔有产业号召力和生态标准化方面的影响力。在零信任的问题上，戴尔正在推动整个业界实现零信任的集成，让零信任更简单地被采纳，减轻企业集成的负担。

零信任与现代安全三大要素

以上，谈到了零信任的概念、作用和构成，能提升多云架构时代下的企业安全水平。零信任安全架构对安全体系带来了较大变化，也为企业打造现代安全奠定了基础。

现代安全有三大要素，而戴尔能支撑企业构建现代安全：

首先，戴尔作为基础设施提供商，可以提供信任的基础。

戴尔作为国际大厂，不仅有较高的品牌信誉。而且，戴尔能提供安全的交付过程，用户能清楚地知道所使用的戴尔的产品，在哪里设计和生产，从用户下订单到收获部署期间有没有被动过手脚，以确保安全。

零信任是戴尔基础架构不可或缺的一部分，贯穿全生命周期。戴尔从产品设计和开发开始，就考虑零信任，在制造和交付环节，在部署和运维以及停用阶段，都实现了零信任的保障措施。制造和交付环节涉及的安全问题值得重视，业内出现了一些在交付环节零部件被动手脚，从而引发安全事件的先例。

第二，戴尔作为基础设施提供商，可以简化零信任的采用。

零信任架构集成的负担太沉重，戴尔通过专为零信任架构而设计基础架构，实现跟控制平面的集成，与身份管理、策略管理、威胁管理的集成。这意味着，戴尔的用户更容易跟现有的安全解决方案集成在一起，简化了零信任的采纳。

最后，戴尔作为基础设施提供商，还可以提供网络恢复计划。

说到底，零信任是用来防御安全威胁的，尽管可以提升网络防御能力，但是，世界上没有绝对的安全，万一防御措施失效，后续就只能硬着陆了吗？戴尔的实践证明，用户需要一个网络恢复计划，使业务快速恢复。

戴尔提供的这三方面能力正是现代企业安全的三大要素。如何加强现代化安全呢？且听下文分解。

2022年11月10日，乌镇——11月9日至11日，2022年世界互联网大会乌镇峰会在浙江举行。思科大中华区副总裁巢巍忠、思科大中华区首席架构师蒋星受邀出席“数字经济论坛”、“数字基础设施论坛”和“网络安全技术发展和国际合作论坛”。

在数字经济论坛上，思科大中华区副总裁巢巍忠围绕数字经济的“共享合作”、“可持续发展”和“数字化人才培育”三个方面分享了思科的洞察及全球化运营经验。巢巍忠表示:“发展数字经济，让企业与世界共享机遇与红利，开展数字合作的基础是互联互通、安全、智能的网络。今天，在我国发展数字经济、进行产业数字化转型升级的过程中，我们更多要共享的是机遇、技术和经验，以推动更多数字化的合作。思科进入中国市场近三十年，见证和参与了中国数字经济的起步和发展。未来，我们愿意继续贡献力量，助力中国数字经济的共享合作，可持续发展，和人才培育。”

伴随数字经济的蓬勃发展，数字化技术应用正进入深水区。数字基础设施的互联互通、共建共享对网络架构提出了新要求。数字基础设施论坛上，思科大中华区首席架构师蒋星表示:“疫情的持续已经彻底改变了企业的业务模式。当前客户正面临四大方面的数字化需求:重构应用、赋能混合办公、升级数字基础设施、保护他们的企业。思科的优势正在于此，通过联接、安全和自动化三大策略，我们帮助企业实现数字基础设施的互联互通，从而加速他们的数字化转型。另外，互联互通、共建共享涉及到不同国家、不同组织，保持网络技术标准的开放性与国际接轨是互联互通成功的关键。思科愿意与中国企业以及互联互通相关国家、地区合作方一起，借助全球顶级的技术资源和平台，为建设更开放与包容的网络贡献力量。”

网络助力企业创造了无限可能的同时，其安全性也在随着共建共享的网络互联而变得愈发复杂。网络安全技术发展和国际合作论坛上，巢巍忠分享了企业网络安全发展现状，以及在当前环境下，企业运营的多重挑战与应对之道。巢巍忠表示:“在‘云优先’和‘以应用为中心’的当今世界，企业运营面临着将用户与多个云平台上的应用和数据相连的复杂性、不同位置和网络上的安全策略不一致、难以验证用户和设备的身份、缺乏对安全基础设施的端到端可见性等多重挑战，‘零信任’和SASE成为企业建立强大安全屏障的关键。近40年的发展历程中，思科始终把网络和安全看作一个整体，不断在新的领域实现新的技术突破。我们希望凭借在网络安全领域积累的丰厚市场经验和成千上万的全球成功案例，帮助企业应对日益复杂的网络威胁，加速数字化转型，为网络安全发展保驾护航。”

深耕中国市场近30年，思科见证并深入参与中国互联网的发展，通过建立本地研发中心，培养本地数字化人才，与本土合作伙伴合作，打造本地数字化生态系统，思科的发展战略和业务重点始终与中国的国家战略紧密相联。作为网络基础架构、网络安全和智能技术的全球市场和技术领导者，思科希望能凭借自身的科技创新和前沿技术帮助企业提升数字化能力，助力中国数字经济的可持续发展。

关于思科

思科(NASDAQ:CSCO)是致力于赋能互联网的全球科技领导厂商。思科通过重新定义应用程序、保护企业安全、促进基础架构转型、帮助客户赋能团队实现全球化及包容性的未来，从而激发无限创新可能。您可以在cisco.com.cn获取更多信息，并关注我们的微信公众号“思科联天下”。

思科和思科徽标是思科或其附属机构在美国和其他国家地区的商标或注册商标。您可以查看Cisco商标列表www.cisco.com/go/trademarks，其中提及的第三方商标是其各自所有者的财产。使用“伙伴”一词并不能直接表示思科与任何其他公司之间存在合作关系。

IT供应商或者服务商实行信用管理的目的是规避信用风险，实现销售最大化。任何企业都在考虑将企业的产品销售出去，扩大市场份额，实现企业价值最大化。

但是，解决这一问题，要看很多因素（产品、市场、技术服务、价格、资金等），但最重要的是客户的意愿，客户的购买力，不是所有的客户都愿意并有能力支付现款，这就要求企业不得不考虑自己公司的赊销政策，怎样在提高竞争力的同时，又大大降低交易的风险，需要企业给出解决方案。

通俗解释信用管理，我们可以概括为“三机制一部门”原则。“三机制”是，要建立企业内部系统完善的信用管理三个机制，包括前期管理的企业资信调查和评估机制、中期管理的债权保障机制和后期管理的应收账款管理和回收机制。

同时，从企业组织结构上讲，是要在企业内部设立信用管理的部门或专业信用管理人员，有专门的机构和人员来管理客户信用。

在疫情特殊时期，无论是面向行业数字化转型的云服务商，亦或是面向区域的IT分销伙伴，其实都会遇到诸如客户回款、预算紧缩以及资金紧张的问题。

由此，信用管理的重要性也随之凸显，维端网在与区域以及行业IT生态伙伴交流中，也明显感觉到他们对于信用管理重要性的日趋关注。

在多数IT生态伙伴看来，信用管理要达到的目的有两个，一是最大限度地扩大销售，达到销售最优化，一是最大限度地控制风险，将坏账和逾期账款控制在企业可接受的范围内，在矛盾中求得一种平衡。企业信用政策大体分为：保守型、温和型和开放型。企业应该采用哪种政策取决于很多因素。包括：宏观经济状况、产品利润率、产品更新周期、企业风险和发展战略等。

由于信用活动从产品销售就开始涉足，所以，公司需要提倡一个全程的信用管理模式，它的的核心就是：在产品销售事前、事中、事后都有明确的做法，全程与业务实现互动，与业务活动各环节相匹配。

事前：与客户接触至正式签定合同进行交易阶段。
事中：从交易形成应收帐款到进入逾期帐龄阶段。
事后：催收高龄应收和对应收进行专项处理及后来的核呆工作。

1、 事前信用管理：客户风险管理（客户资信调查、客户档案管理）
A、 客户的信息应加工成档案，为公司的决策与渠道拓展工作提供依据。
B、 在与客户交易前，都必须评估客户的资信情况，（客户的档案、财务状况、合作历史、目前情况）信控人员必须掌握客户信息，不能只听业务一面之词（应为业务都是想做单子的），要求信控人员要走出去了解客户情况！
C、 每一笔生意都要以合同形式予以规范，以寻求法律保护。
D、 授予信用额度、帐期。

2、 事中信用管理：信用政策的制订和执行
A、 审批合同、评审订单。（重点是签单的依据、规则）
B、 应收帐款分类管理（海量产品与增值产品、大额度与长帐期、客户资金周转问题、产品质量问题所引起的收款问题各有不同解决方法。）
C、 回款工作的落实（怎样推动分公司完成回款计划）

3、事后信用管理：应收账款管理和逾期账款追收
A、 款项追收，分超期天数不同，形成不同的措施。
B、 相关法律手续在前期就要准备好，以备如需要诉讼解决，所需要的文件，行动要快，先采取诉讼保全自己！

对于IT合作伙伴而言，最头疼还有应收账款是一笔糊涂账：自己到底有多少应收款？哪些是今年的？哪些是去年的？哪个客户一个累计欠款多少？完全说不清。一年到头，赚得钱全成了应收帐款！

下期IT生态实战课，我们来分析学习客户信息管理和信用分析，该如何及时收集、更新客户信息，建立评估客户信用等级的指标体系，并根据所收集的信息评价其信用等级。