王茜/WANG Qian，陳晨/CHEN Chen，井俊豐/JING Junfeng，季家震/JI Jiazhen

（奇安信科技集團股份有限公司，中國 北京100032 ）

近年來，企業(yè)業(yè)務(wù)系統(tǒng)向云化遷移，信息數(shù)據(jù)日趨集中化。各種信息化系統(tǒng)趨于集中式建設(shè)和分布式服務(wù)。新型基礎(chǔ)設(shè)施如新型廣域網(wǎng)、移動互聯(lián)網(wǎng)、混合云、泛終端、大數(shù)據(jù)平臺的出現(xiàn)，也讓信息化系統(tǒng)的建設(shè)和運維模式發(fā)生變化。同時，網(wǎng)絡(luò)安全形勢日趨復(fù)雜，網(wǎng)絡(luò)攻擊手段更為多樣。數(shù)據(jù)泄露、勒索軟件、高級可持續(xù)威脅（APT）攻擊等安全事件頻發(fā)。相應(yīng)地，針對這些安全威脅的實戰(zhàn)化、體系化、常態(tài)化要求也變得越來越高。信息技術(shù)（IT）、網(wǎng)絡(luò)、安全需要統(tǒng)籌管理。同步規(guī)劃、同步建設(shè)、同步運營已成為企業(yè)數(shù)字化轉(zhuǎn)型的必然要求。

但是，中國的企業(yè)信息化網(wǎng)絡(luò)依然面臨著防護不全、投入不足、能力不夠、效率不高等問題。尤其是那些具有眾多分支機構(gòu)的大型企業(yè)，其分支機構(gòu)分布廣、防護范圍廣、防護點多，且各分支機構(gòu)的安全防護能力參差不齊，難以實現(xiàn)統(tǒng)一管理和安全防護。另外，全球疫情的蔓延使辦公環(huán)境從局域網(wǎng)延伸到居家辦公（SOHO）場景。各類自帶設(shè)備（BYOD）終端已成為企業(yè)辦公環(huán)境的接入邊界。漏洞、后門、僵尸木馬等針對終端設(shè)備的安全威脅日益嚴(yán)重。黑客更容易入侵各類智能設(shè)備，滲透企業(yè)網(wǎng)絡(luò)和重要的業(yè)務(wù)系統(tǒng)，竊取用戶數(shù)據(jù)或者企業(yè)經(jīng)營數(shù)據(jù)。這將給企業(yè)帶來直接和間接的經(jīng)濟損失。

基于Gartner 提出的安全訪問服務(wù)邊緣（SASE）架構(gòu)，我們設(shè)計了針對大型企業(yè)的一體化安全運營系統(tǒng)Q-SASE，通過“軟件定義安全”“軟件定義網(wǎng)絡(luò)”“零信任動態(tài)評估”等技術(shù)實現(xiàn)了整體解決方案，并通過在大型企業(yè)的落地實踐，對Q-SASE的一體化安全運營的可行性和有效性進行了驗證。本研究可作為行業(yè)推廣的經(jīng)驗參考。

1 基于SASE架構(gòu)的解決方案

1.1 SASE架構(gòu)的由來

2019年Gartner在《未來的安全在云端》中提出了SASE的概念。Gartner官方對SASE的定義如下：SASE通過將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的功能融合為統(tǒng)一服務(wù)的模式，為企業(yè)客戶提供一個新的網(wǎng)絡(luò)安全架構(gòu)，如圖1 所示。SASE 能夠使分支機構(gòu)人員和移動辦公用戶高效、安全地就近接入安全節(jié)點（部署在云端或者數(shù)據(jù)中心的PoP 點），以訪問互聯(lián)網(wǎng)應(yīng)用、公有云軟件即服務(wù)（SaaS）、公司內(nèi)部應(yīng)用等。

▲圖1 SASE技術(shù)概念圖

根據(jù)Gartner的定義，SASE是一種基于實體的身份、實時上下文、企業(yè)安全/合規(guī)策略，以及在整個會話中持續(xù)評估風(fēng)險/信任的服務(wù)。實體的身份可與人員、人員組（分支機構(gòu)）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計算場地相關(guān)聯(lián)。SASE架構(gòu)將使安全運營以一致和集成的方式提供一組豐富的安全網(wǎng)絡(luò)服務(wù)，從而支持企業(yè)數(shù)字化轉(zhuǎn)型和業(yè)務(wù)向云計算的遷移，并滿足員工移動辦公的需求。

1.2 Q-SASE解決方案

基于SASE架構(gòu)和零信任理念，Q-SASE 解決方案采用“軟件定義廣域網(wǎng)絡(luò)（SD-WAN）+軟件定義安全+零信任動態(tài)信任”的技術(shù)路線，實現(xiàn)了針對大型企業(yè)的分支機構(gòu)和移動辦公場景下訪問互聯(lián)網(wǎng)、公有云、私有云內(nèi)部應(yīng)用的整體安全防護。其中，SD-WAN 技術(shù)對分支機構(gòu)的各類訪問流量進行組網(wǎng)編排和引流，軟件定義安全的云安全資源池對多種訪問流量進行安全防護，零信任技術(shù)對接入的用戶終端進行身份認證和動態(tài)訪問控制。因此，Q-SASE能夠?qū)崿F(xiàn)組網(wǎng)和安全功能相融合的整體解決方案。

Q-SASE解決方案包括一套安全運營管理服務(wù)平臺，以及為企業(yè)客戶建設(shè)的云安全資源池，通過在分支機構(gòu)部署SD-WAN安全網(wǎng)關(guān)，以及移動辦公終端安裝零信任客戶端，將訪問互聯(lián)網(wǎng)、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的流量引流到安全資源池進行安全防護和安全威脅檢測分析，并在威脅檢測分析的基礎(chǔ)上，提供“安全運行閉環(huán)管理并持續(xù)監(jiān)測響應(yīng)為核心”的安全運營，如圖2所示。

▲圖2 Q-SASE的系統(tǒng)組成

1）Q-SASE 的安全運營管理服務(wù)平臺。該平臺能夠?qū)φ麄€SASE架構(gòu)中的系統(tǒng)模塊進行持續(xù)運行監(jiān)測，以保障整個系統(tǒng)的持續(xù)穩(wěn)定運行。此外，該平臺還可對運營人員的權(quán)限和工單進行管理，實現(xiàn)對安全告警日志和安全事件的持續(xù)跟蹤與管理，并基于企業(yè)需求針對安全資源池和安全網(wǎng)關(guān)中的組網(wǎng)策略和安全策略進行持續(xù)優(yōu)化。

2）Q-SASE 的安全資源池。安全資源池采用虛擬化鏡像的方式來部署不同的安全組件。安全資源池的安全組件按需配置。安全組件的創(chuàng)建、初始化、激活等操作都由安全資源池來支撐系統(tǒng)自動完成。在不同分支機構(gòu)的SD-WAN 安全網(wǎng)關(guān)接入資源池前，安全資源池將支撐系統(tǒng)，使系統(tǒng)按照不同租戶角色申請來部署安裝相應(yīng)的安全組件。安全訪問服務(wù)的云安全資源池采用虛擬化方式部署，可基于接入的分支機構(gòu)數(shù)量和互聯(lián)網(wǎng)流量規(guī)模實現(xiàn)彈性擴容。根據(jù)不同企業(yè)的需求，安全資源池可部署豐富的安全組件，包括虛擬化防火墻安全組件、上網(wǎng)行為審計安全組件、零信任接入安全組件、虛擬化Web 應(yīng)用防護（WAF）安全組件、日志審計安全組件、態(tài)勢感知云探針安全組件等。

3）SD-WAN組網(wǎng)及引流。采用SD-WAN技術(shù)，安全網(wǎng)關(guān)與安全資源池之間可實現(xiàn)快速靈活組網(wǎng)，并支持將分支機構(gòu)訪問互聯(lián)網(wǎng)應(yīng)用和內(nèi)網(wǎng)應(yīng)用的流量引流到安全資源池以進行安全防護和安全運營。安全網(wǎng)關(guān)設(shè)備支持零配置開局部署，并支持自動注冊及從運營管理平臺獲取初始化網(wǎng)絡(luò)配置和安全策略配置，還可通過預(yù)配置向?qū)?、批量腳本導(dǎo)入、郵件零配置上線（ZTP）、無線網(wǎng)絡(luò)ZTP 等多種方式，實現(xiàn)分鐘級零配置上線。安全網(wǎng)關(guān)還支持靈活接入能力，可以支持專線接入、互聯(lián)網(wǎng)以及4G/5G移動網(wǎng)接入。

4）零信任客戶端接入。基于零信任客戶端對可信訪問控制臺和可信應(yīng)用代理的訪問，從身份風(fēng)險、終端風(fēng)險、網(wǎng)絡(luò)風(fēng)險、權(quán)限和數(shù)據(jù)風(fēng)險5個維度，全面構(gòu)建從終端到應(yīng)用訪問的端到端安全防護信任評估能力。便捷的運維管理能力和動態(tài)訪問控制機制，可確保在業(yè)務(wù)訪問的各個階段都能擁有較好的零信任防護效果。零信任可信客戶端對接入終端的用戶進行身份認證，支持賬號的統(tǒng)一管理與單點登錄，擁有權(quán)限管理與多因子認證等安全能力；支持對終端的應(yīng)用環(huán)境進行實時監(jiān)測，即只有通過終端環(huán)境信任評估的才能接入政企客戶內(nèi)部網(wǎng)絡(luò)，例如是否安裝殺毒軟件、是否升級到最新版本和最新病毒庫；基于終端的身份管理，可以依托企業(yè)的4A（包括認證、賬號、授權(quán)、審計）、身份識別與訪問管理（IAM）、Windows 服務(wù)器的活動目錄（AD）、輕量目錄訪問協(xié)議（LDAP）、公鑰基礎(chǔ)設(shè)施（PKI）等基礎(chǔ)設(shè)施，也可以基于企業(yè)自建的身份認證中心和應(yīng)用訪問會話，對所有訪問請求建立動態(tài)訪問控制策略。

2 Q-SASE的關(guān)鍵技術(shù)實現(xiàn)

基于SASE 的創(chuàng)新型架構(gòu)和內(nèi)生安全框架，Q-SASE 方案采用“軟件定義網(wǎng)絡(luò)”“軟件定義安全”和“零信任動態(tài)評估”3種技術(shù)，不僅實現(xiàn)了SD-WAN技術(shù)的靈活組網(wǎng)和引流，還實現(xiàn)了云安全資源池的按需交付和分布式部署，以及零信任的身份管理和信任評估動態(tài)控制，并基于實時威脅檢測實現(xiàn)了安全風(fēng)險分析與協(xié)同處置。

2.1 軟件定義網(wǎng)絡(luò)技術(shù)方案

Q-SASE采用SD-WAN的技術(shù)路線，而SD-WAN是基于軟件定義網(wǎng)絡(luò)（SDN）的技術(shù)體系發(fā)展而來的。Q-SASE 實現(xiàn)了SDN管控平臺與安全網(wǎng)關(guān)的協(xié)同工作機制。

SDN采用與傳統(tǒng)網(wǎng)絡(luò)截然不同的控制架構(gòu)，將網(wǎng)絡(luò)控制平面和轉(zhuǎn)發(fā)平面分離，采用集中控制替代原有分布式控制，并通過開放和可編程接口實現(xiàn)軟件定義。SDN技術(shù)架構(gòu)如圖3所示。

▲圖3 軟件定義網(wǎng)絡(luò)技術(shù)方案

從網(wǎng)絡(luò)架構(gòu)層次上看，SDN典型的網(wǎng)絡(luò)架構(gòu)包括轉(zhuǎn)發(fā)層（基礎(chǔ)設(shè)施層）、控制層和應(yīng)用層。該新技術(shù)會對組網(wǎng)技術(shù)產(chǎn)生以下積極的影響：

1）降低設(shè)備復(fù)雜度。轉(zhuǎn)發(fā)和控制的分離，使得網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)平面的能力要求趨于簡化和統(tǒng)一，硬件組件趨于通用化而且便于不同廠商設(shè)備的互通。這些都有利于降低設(shè)備的復(fù)雜度和硬件成本。

2）提高網(wǎng)絡(luò)利用率。集中的控制平面可以實現(xiàn)海量網(wǎng)絡(luò)設(shè)備的集中管理，使得網(wǎng)絡(luò)運維人員能夠基于完整的網(wǎng)絡(luò)全局視圖實施網(wǎng)絡(luò)規(guī)劃，優(yōu)化網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)利用率，降低運維成本。

3）加速網(wǎng)絡(luò)創(chuàng)新。一方面，SDN 通過控制平面可以便捷地為網(wǎng)絡(luò)設(shè)備制定各種策略，提升網(wǎng)絡(luò)靈活性；另一方面，SDN提供開放的北向接口，允許上層應(yīng)用直接訪問所需的網(wǎng)絡(luò)資源和服務(wù)，使得網(wǎng)絡(luò)可以差異化地滿足上層應(yīng)用需求，提供更靈活的網(wǎng)絡(luò)服務(wù)，加速網(wǎng)絡(luò)創(chuàng)新。

SD-WAN 是將SDN 技術(shù)應(yīng)用到廣域網(wǎng)場景中的一種實踐方案。這種方案用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)，旨在幫助企業(yè)降低廣域網(wǎng)的開支，提高網(wǎng)絡(luò)連接靈活性。SD-WAN 作為SDN 技術(shù)體系中的一種可落地的門類，為企業(yè)帶來了低成本、高可用帶寬的組網(wǎng)方式。

2.2 軟件定義安全技術(shù)方案

“軟件定義”作為一種理念，可以從網(wǎng)絡(luò)領(lǐng)域沿用到安全領(lǐng)域。云安全資源池作為Q-SASE解決方案實現(xiàn)的重要載體，其背后的技術(shù)支撐正是軟件定義安全（SDS）。云安全資源池也是軟件定義安全技術(shù)的核心應(yīng)用方向之一。

云安全資源池技術(shù)方案的目標(biāo)在于“隨需而變”，而這正符合軟件定義安全敏捷、高效、開放的特點。云安全資源池需要運行在云計算環(huán)境中，不僅要解決傳統(tǒng)安全能力落地的問題，還要能夠充分發(fā)揮云計算基礎(chǔ)設(shè)施的功能與優(yōu)勢，實現(xiàn)快速交付、分布式部署、多云（含信創(chuàng)）環(huán)境支持、服務(wù)鏈編排等。

在軟件定義安全的技術(shù)實現(xiàn)中，安全管理控制是重中之重。這是因為安全管理控制承擔(dān)了所有安全能力的服務(wù)抽象、服務(wù)編排及調(diào)度、策略管理、策略交付等安全核心功能。此外，安全管理控制還需要實現(xiàn)與云平臺的深度集成，基于應(yīng)用程序編程接口（API）獲取云上租戶資產(chǎn)的關(guān)鍵信息，以便安全管理員部署和管理所需的安全資源。

Q-SASE中的云安全資源池，技術(shù)方案架構(gòu)如圖4所示。

▲圖4 軟件定義安全技術(shù)方案

此外，云安全資源池南向?qū)Π踩芰ν耆_放，可通過定義安全組件的統(tǒng)一接入規(guī)范來支持各類安全能力，包括第三方安全能力的接入；北向通過開放API支持平臺的能力和用戶的業(yè)務(wù)系統(tǒng)深度融合；西向通過定義標(biāo)準(zhǔn)的服務(wù)鏈編排接口支持各種引流設(shè)備，包括傳統(tǒng)的交換機引流和SDN 控制器引流；東向則通過定義標(biāo)準(zhǔn)的云平臺對接技術(shù)規(guī)范來統(tǒng)一支持各種私有云、公有云等云平臺的對接，實現(xiàn)云平臺租戶、資產(chǎn)、用戶的同步和管理。

2.3 零信任身份管理及信任評估技術(shù)方案

零信任技術(shù)方案關(guān)注業(yè)務(wù)保護面的構(gòu)建，通過業(yè)務(wù)保護面實現(xiàn)對資源的保護。在零信任方案中，應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以作為業(yè)務(wù)資源。該方案通過構(gòu)建保護面實現(xiàn)對暴露面的收縮，要求所有業(yè)務(wù)默認隱藏，并根據(jù)授權(quán)結(jié)果進行最低程度的開放。所有的業(yè)務(wù)訪問請求都應(yīng)該進行全流量加密和強制授權(quán)。業(yè)務(wù)安全訪問相關(guān)機制需要盡可能工作在應(yīng)用協(xié)議層。

基于身份而非網(wǎng)絡(luò)位置來構(gòu)建訪問控制體系，首先需要為接入網(wǎng)絡(luò)的人和設(shè)備賦予數(shù)字身份，將身份化的人、設(shè)備和應(yīng)用進行運行時組合構(gòu)建訪問主體，并為訪問主體設(shè)定其所需的最小權(quán)限，以進行全面數(shù)字化管理。其中，訪問主體由用戶、設(shè)備和應(yīng)用組合而成。系統(tǒng)會在身份管理的基礎(chǔ)上進行持續(xù)信任評估，并通過信任評估模型和算法，實現(xiàn)基于身份的信任評估能力，同時需要對訪問的上下文環(huán)境進行風(fēng)險判定，對訪問請求進行異常行為識別，并對信任評估結(jié)果進行調(diào)整。在身份信任的基礎(chǔ)上，系統(tǒng)還需要評估主體信任。主體信任是對身份信任在當(dāng)前訪問上下文中的動態(tài)調(diào)整，和認證強度、風(fēng)險狀態(tài)和環(huán)境因素等相關(guān)。身份信任相對穩(wěn)定，而主體信任和網(wǎng)絡(luò)代理一樣，具有短時性特征，是一種動態(tài)信任。

基于主體的信任等級進行動態(tài)訪問控制是零信任技術(shù)方案的本質(zhì)所在。動態(tài)訪問控制采用基于角色授權(quán)（RBAC）和基于屬性授權(quán)（ABAC）的組合授權(quán)模式。這樣便于系統(tǒng)實施靈活的動態(tài)訪問控制?；诎踩€疊加信任等級可實現(xiàn)分級的業(yè)務(wù)訪問。同時，當(dāng)訪問上下文和環(huán)境存在風(fēng)險時，系統(tǒng)需要對訪問權(quán)限進行實時干預(yù)，并評估是否需要對訪問主體的信任進行降級。

2.4 安全威脅分析及協(xié)同處置技術(shù)方案

在日常的安全運營工作中，真正的威脅往往會被淹沒在大量的未確認安全事件中，如低危的防火墻、IDS和WAF告警等。然而，這些告警的分析確認和處置往往會成為令人頭疼的問題。傳統(tǒng)的安全檢測能力主要依托特征庫匹配的檢測機制。雖然這樣能夠有效地檢測并攔截普通的低級威脅，但也會產(chǎn)生大量的冗余和誤報告警。如果不對安全策略和檢測機制進行優(yōu)化，安全運營人員就無法在發(fā)生威脅的第一時間判斷出哪些威脅會造成嚴(yán)重影響，哪些威脅需要優(yōu)先處置。

基于大數(shù)據(jù)架構(gòu)設(shè)計的流式關(guān)聯(lián)分析引擎，能夠?qū)崟r關(guān)聯(lián)多維度數(shù)據(jù)，結(jié)合云端的威脅情報樣本，可以針對使用不同日志數(shù)據(jù)（如入侵防御日志、上網(wǎng)行為日志等）檢測內(nèi)部主機連接攻擊者遠程命令和控制服務(wù)器，進而發(fā)現(xiàn)失陷主機的安全威脅，防止由失陷帶來的數(shù)據(jù)泄密、系統(tǒng)破壞等關(guān)鍵風(fēng)險?；谠瓢踩Y源池的本地威脅情報，配合云端威脅情報分析平臺進行進一步的分析，了解安全威脅的背景信息，以及攻擊者的相關(guān)網(wǎng)絡(luò)資源和歷史攻擊行為，并進行深入追蹤，通過多數(shù)據(jù)關(guān)聯(lián)分析和威脅溯源，實時提供攻擊者上下文信息，提升威脅分析、溯源和協(xié)同處置的效率。

3 Q-SASE的應(yīng)用實踐

基于中國電子信息產(chǎn)業(yè)集團有限公司（簡稱中國電子）的一體化安全運營需求，結(jié)合企業(yè)數(shù)字化轉(zhuǎn)型的業(yè)務(wù)發(fā)展目標(biāo)，我們構(gòu)建了包括Q-SASE運營管理服務(wù)平臺，云安全資源池的安全防護組件、零信任組件，以及SD-WAN 安全網(wǎng)關(guān)和零信任客戶端在內(nèi)的Q-SASE一體化安全運營系統(tǒng)，為中國電子26 家二級企業(yè)的240 家分支機構(gòu)和超過12 萬員工的公有云、行業(yè)云終端訪問業(yè)務(wù)，提供覆蓋云網(wǎng)端的安全防護和安全運營能力。

在中國電子的3 類企業(yè)信息系統(tǒng)訪問場景中，Q-SASE重點實現(xiàn)以下系統(tǒng)建設(shè)和安全防護：

1）采用新型SD-WAN技術(shù)，建設(shè)覆蓋全部二三級企業(yè)的廣域網(wǎng)，并將各分支機構(gòu)的互聯(lián)網(wǎng)訪問流量進行匯聚，統(tǒng)一實現(xiàn)互聯(lián)網(wǎng)出口集中管理和安全防護；

2）根據(jù)數(shù)字中國電子自身業(yè)務(wù)發(fā)展和未來業(yè)務(wù)系統(tǒng)集中上云的規(guī)劃，在北京、武漢、深圳等云數(shù)據(jù)中心部署分布式的安全資源池，具備針對統(tǒng)一互聯(lián)網(wǎng)出口流量和內(nèi)部業(yè)務(wù)系統(tǒng)訪問流量的安全防護能力和零信任安全訪問能力，對集團總部、所屬二三級企業(yè)以及新建云數(shù)據(jù)中心之間的網(wǎng)絡(luò)通信安全、公有云和行業(yè)云業(yè)務(wù)系統(tǒng)安全、辦公訪問安全進行有效保障；

3）依托云安全資源池的安全防護組件和零信任組件的能力，以及態(tài)勢感知的威脅發(fā)現(xiàn)能力，通過專業(yè)的安全運行團隊進行持續(xù)巡檢監(jiān)測、故障發(fā)現(xiàn)、處置保障、策略優(yōu)化等安全運行閉環(huán)，周期性安全評估安全防護系統(tǒng)平臺自身的安全性，提升網(wǎng)絡(luò)安全攻防演練期間的統(tǒng)一安全防護效果；

4）結(jié)合數(shù)字中國電子的實際組織架構(gòu)現(xiàn)狀，建立全集團統(tǒng)一安全運營服務(wù)中心，將原有純建設(shè)的防護交付模式，演進為以安全服務(wù)保安全效果的服務(wù)交付模式，從“集團業(yè)務(wù)全應(yīng)用場景”的角度出發(fā)，全面考慮“集團網(wǎng)絡(luò)安全職能落地”“各單位網(wǎng)絡(luò)安全職責(zé)落地”所需的工作內(nèi)容，貼合設(shè)計、服務(wù)保障。

中國電子是以網(wǎng)絡(luò)安全和信息化為主業(yè)的國有信息技術(shù)（IT）企業(yè)，也是兼具計算機中央處理器（CPU）和操作系統(tǒng)關(guān)鍵核心技術(shù)的中國企業(yè)。Q-SASE提供的安全防護和安全運營不僅能夠覆蓋公共通信和信息服務(wù)業(yè)，計算機、通信和其他電子設(shè)備制造業(yè)，還覆蓋專用設(shè)備制造業(yè)、商務(wù)服務(wù)業(yè)、批發(fā)業(yè)等多個國民經(jīng)濟行業(yè)。在基于Q-SASE方案進行一體化安全運營過程中，系統(tǒng)累計發(fā)布42 期安全周報，下發(fā)110份安全事件通告，累計處理74.3萬條告警（其中有危急告警8.4 萬條、高危告警22.7 萬條）。前10 位的攻擊類型和所占比例分別為：SQL 注入占23.11%，信息泄露占11.82%，代碼執(zhí)行占9.50%，命令執(zhí)行占4.67%，弱口令占4.04%，暴力猜解占4.03%，跨站腳本攻擊占2.59%，網(wǎng)絡(luò)掃描占2.39%，配置不當(dāng)/錯誤占2.29%，非授權(quán)訪問占1.34%。Q-SASE通過及時分析監(jiān)測發(fā)現(xiàn)威脅及安全事件，同步開展響應(yīng)和處置工作，并通過策略編排及時阻斷病毒文件、間諜軟件橫向傳播等風(fēng)險，形成預(yù)警及處置報告。Q-SASE方案在中國電子集團總部南遷、重大活動網(wǎng)絡(luò)安全保障、挖礦行為自查自糾、國家級實戰(zhàn)攻防演練等活動中，均取得明顯成效。

4 總結(jié)和展望

Q-SASE的整體解決方案，將原有分散在各分支機構(gòu)的網(wǎng)絡(luò)安全設(shè)備集中到云安全資源池，以進行統(tǒng)一建設(shè)，實現(xiàn)分支機構(gòu)的互聯(lián)網(wǎng)和內(nèi)網(wǎng)訪問流量的收口和統(tǒng)一的安全防護與安全運營。Q-SASE 的應(yīng)用實踐表明，Q-SASE 方案可以系統(tǒng)性、工程化地實現(xiàn)安全防護和安全運營能力的集中部署、集中運行和統(tǒng)一運營，使大型企業(yè)的分支機構(gòu)快速具備網(wǎng)絡(luò)安全能力，在疫情常態(tài)化后的困境中，讓靈活、安全的辦公和安全上云的訪問成為可能，為企業(yè)數(shù)字化轉(zhuǎn)型保駕護航。當(dāng)然，目前的Q-SASE整體方案還處于初級階段，仍需要通過不斷的研究及技術(shù)實現(xiàn)，將現(xiàn)有的安全能力以及未來可能增加的安全能力通過編排集成到一起，并且實現(xiàn)安全能力編排化、安全流程自動化、安全運行智能化的升級演進。