派拉软件高级售前工程师徐安哲

派拉软件深耕零信任和数字化领域，已成功为金融、制造、医药、教育、零售等各大行业的1400余家企业和机构提供一体化零信任安全专业服务。以下大会实录为派拉软件高级售前工程师徐安哲先生在“2022年长三角数字化转型大会”上带来的《企业数字化转型新基建：数据互联互通，访问可管可控》主题演讲。

-大会实录-

徐安哲：各位参会的嘉宾，大家上午好！

我今天分享的主题是企业数字化转型新基建：数据互联互通，访问可管可控，在企业各业务协同过程中数据的互联互通必不可少，并且在互联互通过程中，数据的安全可信访问也至关重要。

首先我们来看一下制造业发展的历程，近十几年一直有一个趋势就是制造业因为人力成本的上升，慢慢往东南亚，像印度、泰国、越南、缅甸这样一些国家迁移。那怎么样保障中国作为世界工厂的竞争力，数字化就是其中一项必不可少的历程。通过数字化提升各业务领域效率，从而来保障更强的竞争力。很多企业在信息化过程当中会建立非常多的应用系统，比如说协同办公，人事管理，在生产过程中也会建立MES等等，这些大量的信息系统很多时候都处于数据孤立的状态，没有得到协同。慢慢的我们要走向数字化，从产品到生产整个数据链路打通，跟供应链上下游数据打通，让数据慢慢发挥出它的价值，再往下就是智能化，通过数据来赋能生产，指导经营，帮助决策。

在这个进程当中，也会遇到非常多的挑战，我们会发现数字化转型中，我们需要管理数据的维度是在不断扩张的。随着企业HR系统的建设，来管理企业内部的员工，随着供应链系统的建设，来管理供应商，供应商可能又会跟流程系统产生联系，会经历审批，审批之后完成供应商入库。随着需要管理的人的维度扩张了，应用的不断建设，数据的不断增多，我们就要去关注如何安全的让内部或者外部人员去访问相关权限范围内的系统。系统间哪些数据是可以被调用的，数据怎么对外开放，开放的过程当中是不是需要做一些加密、脱敏或者鉴权，随之就会给我们带来数据的互联问题，以及在互联过程当中的数据安全访问的问题。

数据作为企业数字化转型最核心的抓手，首先要让数据流动起来。企业当中的数据如同人体当中的血液，血液如果不流通了，人肯定会出问题。那数据不流通了，企业的数字化也会遇到阻碍，数据一旦流通起来就可以创造很多新的模式，比如创新的商业模式、优化业务流程、制定新的商业决策、以及增长市场竞争力。

以创新商业模式为例来看一下，现在比较流行的C2M模式（用户直连制造），有些典型的厂家，像新能源整车厂，比如特斯拉，他们是不用经销商的模式，所有门店都是直营的，通过自己直连用户，这个过程会涉及到非常多的应用系统。以一个场景为例，比如一个用户到店里买车，要选车的颜色内饰，轮毂，选定之后呢，店员就会在系统里面下单，那下单时就先要查询库存里是不是有符合用户个性化选择的这辆车，如果有的话，就可以通过物流系统把车送出去，在通过交付系统派对应客服进行交付。那如果查到库存里面缺少这样的车，那就要去查ERP系统，看有没有这些的物料能够生产出用户个性化要求的车，如果可以的话，在通过MES系统的计划、执行、生产模块，最终生产出来给到物流，再到交付到顾客。那在这个过程当中如果数据完全是打通的，我们就可以算出车大概什么时候造好，用户就能知道大概什么时候能提车，无论是对企业还是顾客都有一个提前预判的能力。

比如再复杂一点，发现物料也不够，这个时候需要跟上下游供应链企业里的系统打通，看物料什么时候到货，到货之后什么时候进行排产和交付。整个过程会和大量内外部系统进行集成，大量的数据集成造就了企业数字化的变革，让企业知道哪些配置是受用户欢迎了需要多配点零部件，需要多准备几家供应商，也让用户在APP上可以实时知道自己订的车生产到哪个环节了，有一个期待和预期。

再比如像其他数字孪生，用户画像这些新型应用场景。也同样需要大量应用间数据的打通。

所以随着大量的数据互联，传统的连接模式就难以支撑了，这就是我们为什么需要数字化新基建。首先给大家介绍的是数据互联互通基础，可以通过两个层面进行打造，一方面要构建可信数据的交换能力。我们在企业内部建设应用系统的时候会发现异构系统的交互协议都不尽相同。需要通过一个连接器，把异构系统当中的数据连接上，并且在新的系统接入上来的时候，需要去制定统一的数据接口规范，帮助企业在未来在消除应用孤岛，数据互联互通上有据可循，形成可持续发展。

除了连接器之外，我们还需要对数据互联健康性的一个监控，来帮助我们更快的响应问题，和更精准的定位问题。很多时候企业的数据采用直连方式的时候，问题往往是滞后发现的，比如我们遇到过一个客户，在产品设计系统传递到生产执行系统的时候有一个数据没有传过去，发生问题之后直接造成了停产，仅仅停产2个小时就产生了千万级的损失。在我们通过帮助他们建设可信数据交换能力后，就完全避免了这个问题，出现连通性问题直接会通知运维，出现业务问题后，直接通知相关业务部门，把他们数据互联的基础做扎实了。

另外一个方面，数据交互越来越多之后，不仅仅是简单的文本数据了，可能在每一道生产工序的时候会收集上来一些图片，也需要对图片进行瑕疵分析，从而来改善生产良率。这个时候数据量会成指数增长，传统的数据库和平台就难以支撑了，我们就需要通过大数据平台对一些非结构化数据，流式数据进行统一管理和分析，比如通过对视频的大数据分析，发现潜在的安全风险，对销量的分析，发现潜在的供应链瓶颈等等，这样就可以帮助我们进行更有依据的经营分析和决策支撑。

数据一旦流通起来，接下来我们就更要数据安全的问题。我们结合以身份为中心的零信任安全的理念总结下来，数据一般会从三个维度泄露，所以我们要保护好数据安全，就要从这三个维度去构建安全屏障。

第一个维度是用户通过业务系统访问数据，比如通过财务系统看到一些财务的数据，通过BI可以看到一些经营的数据，通过CRM可以看到营销的数据。

第二个维度是数据传输过程中，外部应用通过接口来获取我们的数据，比如我们对供应商开放的接口，对客户开放的接口，甚至一些国资单位数据上 时的接口。

第三个维度是通过数据库直接访问数据，比如运维人员直接访问后台的数据库，从表里直接看数据。

所以面对这三个维度的数据安全风险的时候，我们就要在基建底座上再构筑一道纵深的以身份为中心的零信任信息安全防护体系。

接下来我们来看数据安全使如何加固的，首先是数据传输的安全，在可信数据交互的能力上，我们需要构筑起一道API防护的大门。大门的守卫来把控数据进出的安全，比如谁来调用这个接口，我们要进行身份的鉴权，调用什么数据，我们要看看是否敏感，要不要进行加密或脱敏。另外针对一些恶意的DDoS攻击或者爬虫，我们也要有限流熔断或者防护措施。

第二，是应用系统访问访问层面的安全加固。大量的数据通过企业门户或者应用系统对用户进行开放之后，每个应用系统可能都会有访问的入口，这些入口该如何管理，怎么保障登录的用户就是可信的用户？我之前在访问一些企业官方 站的时候看到，有的官方 站下面就挂着他们协同办公的链接，点进去发现只要一个简单的账 密码就可以登陆了，这个时候其实黑客通过一些撞库或者暴力非常容易就破解了，比如遗留的一些测试账 ，密码很简单，权限又非常大，破解之后几乎能在系统里畅游，这样对系统来说风险非常大。所以，这个时候我们就需要对所有系统的访问认证中进行加固，可以把企业应用访问收口到一处，并且在这一处加多种方式访问的组合，除了账 密码，再加上短信的验证码，来保证身份安全，在安全的同时，也可以引入企业微信、钉钉、飞书等扫码来保障访问的便捷，从而做到即安全又极致的体验。

那入口做完之后，我们有很多的应用系统，这时候就要考虑，哪些用户可以访问哪些应用系统，需要做一个权限的管理。在考虑到便捷性，需要做做应用系统单点访问，免去用户重复多次的输入账 密码。那这里又会遇到新的安全场景，比如财务系统可能关联着付款，或者这个某个用户的流程系统关联着重大的审批事项，如果电脑开着没有锁屏，就有内鬼作案的风险，所以认证方面需要灵活的添加二次认证策略的能力，来全方位的认证安全。

做完认证安全之后呢，在访问这一侧，我们还需要风险感知的能力，比如一个用户因为钓鱼邮件，账 泄露了。黑客在异地登录这个账 ，如果没有类似异地登录风险感知的话，账 就被轻松登录，但是结合风险感知后的认证升级，需要再进行一次短信验证才能登录，就会对黑客形成很大的挑战，这块，其实我们的客户在一些攻防演练的时候很有用，即使账 泄露了，攻方也能难真正实现登录。

最后就是运维侧的安全了，我们的运维人员可以通过数据库直接访问底层的数据。这个时候怎么样限定他的权限，限定他可以访问的范围呢，那就需要通过数据基础管理工具，比如通过特权账 管理来限定这个运维人员可以管理的数据库范围，亦或是通过更专业的数据库管理工具，来限定运维人员可以管理哪个表、可以执行哪个语句，并且结合流程审批，严格管理数据库的运维。从而来保障运维侧的数据安全。

那这就是今天分享的数字化新基建的底座蓝图全貌，它可以帮助企业更好的做到数据的互联互通，以及在互联互通过程当中形成纵深安全防护，也是我们企业数字化发展的扎实基础，保障新的数据不断接入，新的应用不断接入，以及接入过程中的安全可信，为我们企业的数字化发展保驾护航。

派拉软件成立于2008年，致力于为企业和机构提供端到端的一体化零信任安全产品和服务，覆盖身份安全、应用安全和数据安全，在上海、北京、广州、武汉、成都、长春、深圳、济南、厦门、合肥、杭州等地设有研发中心和服务机构。

作为国内一体化零信任安全的领导者，派拉软件拥有目前国内最完整的零信任产品体系，从以身份为中心的动态访问控制，逐步延伸到联动终端管理、SDP、微分段、动态授权、API 关、用户行为分析、数据访问安全等为一体的端到端零信任安全解决方案，助力企业应对更加复杂、多变的内外部安全威胁，为企业强化端到端的安全防护能力，已成功为金融、制造、医药、教育、零售、政府、地产、科研院所等各大行业的1400余家企业和机构提供了极致体验的“一体化零信任安全”专业服务。