近日,北京網(wǎng)絡(luò)安全大會在京舉辦,其中,“內(nèi)生安全”成為一熱議詞匯。“內(nèi)生安全是一個(gè)理念性框架,一方面它是在向前看,向前發(fā)展的趨勢,未來從企業(yè)級的網(wǎng)絡(luò)安全防護(hù)體系的建設(shè),產(chǎn)品技術(shù)相關(guān)的研發(fā)和布局就會向內(nèi)生方向的發(fā)展。另一方面,它也是階段性的總結(jié)。”奇安信集團(tuán)副總裁左英男在接受記者采訪時(shí)表示。
據(jù)介紹,在2018年奇安信提出了安全從0開始,呼吁要在信息化系統(tǒng)從0到1的建設(shè)過程中就開始考慮安全。通過一年的實(shí)踐發(fā)現(xiàn),安全能力必須在內(nèi)部的業(yè)務(wù)系統(tǒng)上構(gòu)建,才能真正解決客戶的業(yè)務(wù)安全問題。所以今年奇安信提出內(nèi)生安全。
左英男
內(nèi)生安全為何如此重要?左英男表示,目前企業(yè)整個(gè)信息化業(yè)務(wù)系統(tǒng)建設(shè)的節(jié)奏變得非常快。新的信息化系統(tǒng)的建設(shè)有一個(gè)很重要的特征,就是云計(jì)算、大數(shù)據(jù)平臺、微服務(wù)架構(gòu),成為非常核心的普遍性的新一代信息化信息系統(tǒng)業(yè)務(wù)架構(gòu),這種架構(gòu)本身和過去系統(tǒng)不一樣。過去提到安全,就是建一張網(wǎng),采用一些服務(wù)器,過五年之后再回來做網(wǎng)絡(luò)安全還是可以的,因?yàn)樗鼈冎g的耦合度很低,在網(wǎng)絡(luò)里面防火墻,信息檢測部署上就好了。但是如今,業(yè)務(wù)系統(tǒng)大變,對于云計(jì)算、大數(shù)據(jù)、微服務(wù)架構(gòu)這些新的IT技術(shù)的基礎(chǔ)架構(gòu),其信息化系統(tǒng)和安全系統(tǒng)耦合度非常高,在基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)耦合度也非常高,開發(fā)和運(yùn)維和管理耦合度也非常高,所以很難外掛式搭建安全體系,因此需要把安全的體系設(shè)計(jì)和客戶的信息化業(yè)務(wù)系統(tǒng)的架構(gòu)設(shè)計(jì)緊密的融合起來,才能夠真正的把安全能力嵌入到系統(tǒng)里面去提升它的安全防護(hù)能力,這就是內(nèi)生。
事實(shí)上,從去年提出“安全從零開始”概念開始,相應(yīng)的零信任架構(gòu)理念也隨之而來。據(jù)悉,基于零信任架構(gòu)理念的解決方案本身就是一種內(nèi)生安全的落地呈現(xiàn)的形式之一,因?yàn)榱阈湃渭軜?gòu)理念核心是解決訪問控制能力、權(quán)限的管控能力問題,再加上業(yè)務(wù)系統(tǒng)和信息化系統(tǒng)緊密結(jié)合起來,形成耦合關(guān)系,其就是一種內(nèi)生的動力,也是產(chǎn)品技術(shù)落地的一種表現(xiàn)。目前,奇安信基于零信任架構(gòu)理念的解決方案相關(guān)產(chǎn)品已經(jīng)落地應(yīng)用,后續(xù)還有新品推出。
值得一提的是,當(dāng)前隨著互聯(lián)網(wǎng)從消費(fèi)互聯(lián)網(wǎng)走向產(chǎn)業(yè)互聯(lián)網(wǎng),工業(yè)互聯(lián)網(wǎng)安全關(guān)注度越來越高。對于工業(yè)互聯(lián)網(wǎng)安全,除了工業(yè)主機(jī)安全外,工業(yè)數(shù)據(jù)的安全防護(hù)也至關(guān)重要。 而對于工業(yè)數(shù)據(jù)的安全保護(hù), “零信任架構(gòu)”理念同樣不可或缺。
據(jù)介紹,隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,很多大型工業(yè)企業(yè)都在積極擁抱互聯(lián)網(wǎng)新技術(shù),建了私有化的工業(yè)云平臺、工業(yè)大數(shù)據(jù)平臺,應(yīng)用和數(shù)據(jù)不斷在集中。同時(shí),過去工業(yè)企業(yè)的封閉網(wǎng)絡(luò)環(huán)境使得很多安全問題用傳統(tǒng)的基于網(wǎng)絡(luò)邊界的安全架構(gòu)、安全思路就可以解決,但隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,移動辦公、遠(yuǎn)程檢修、供應(yīng)鏈平臺的交互需求,都讓網(wǎng)絡(luò)的外延和邊界不斷擴(kuò)大和模糊,工業(yè)互聯(lián)網(wǎng)帶來的開放、共享、流動的新IT技術(shù)環(huán)境讓數(shù)據(jù)安全日益成為挑戰(zhàn),在某種程度上阻礙了很多工業(yè)企業(yè)去積極發(fā)展工業(yè)互聯(lián)網(wǎng)的意愿。
左英男認(rèn)為,在這種新的網(wǎng)絡(luò)環(huán)境下,解決工業(yè)大數(shù)據(jù)安全的問題,首要是解決訪問控制問題。在當(dāng)前這種邊界日趨模糊的情況下,需要用“零信任架構(gòu)”理念來重構(gòu)工業(yè)企業(yè)網(wǎng)絡(luò)安全。
“零信任架構(gòu)”有四個(gè)重要的特性:以身份為中心,業(yè)務(wù)安全訪問,持續(xù)信任評估,動態(tài)風(fēng)險(xiǎn)度量,它默認(rèn)不相信內(nèi)外網(wǎng)里任何用戶、人、設(shè)備對應(yīng)用和數(shù)據(jù)的訪問和調(diào)用,而是利用基于風(fēng)險(xiǎn)持續(xù)度量的動態(tài)認(rèn)證、訪問授權(quán)、密鑰重新構(gòu)建信任基礎(chǔ)。
左英男表示,“零信任架構(gòu)”可以解決80%的工業(yè)大數(shù)據(jù)安全問題,剩下的20%,要靠“工業(yè)大數(shù)據(jù)風(fēng)險(xiǎn)可視化管理系統(tǒng)”來解決。它可以對重要敏感數(shù)據(jù)進(jìn)行分類、分級,打上標(biāo)簽,將這些重要數(shù)據(jù)在不同系統(tǒng)、不同訪問主體之間的流動做測繪、建模、規(guī)則分析,從而及時(shí)發(fā)現(xiàn)數(shù)據(jù)可能會出現(xiàn)泄露、被竊取、被破壞的跡象。