技術(shù)
導(dǎo)讀:CIO時(shí)代作為業(yè)內(nèi)專(zhuān)業(yè)的CIO智庫(kù)和研究組織,深諳CIO群體對(duì)產(chǎn)業(yè)安全的關(guān)注焦點(diǎn),在技術(shù)日新月異的今天,安全問(wèn)題已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的攔路石。在《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》報(bào)告發(fā)布之后,我們發(fā)現(xiàn)這些趨勢(shì)與CIO的聚焦點(diǎn)不謀而合,同時(shí)為企業(yè)的安全發(fā)展提供了前瞻觀點(diǎn)和洞察預(yù)判。
2月28日,在中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟指導(dǎo)下,人民郵電報(bào)、中國(guó)信息安全、騰訊安全聯(lián)合實(shí)驗(yàn)室、騰訊研究院聯(lián)合推出了《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》。報(bào)告圍繞“產(chǎn)業(yè)安全宏觀態(tài)勢(shì)”、“產(chǎn)業(yè)安全實(shí)踐”、“產(chǎn)業(yè)安全技術(shù)演進(jìn)”三大維度,面向年度行業(yè)趨勢(shì)進(jìn)行分析和研判,為產(chǎn)業(yè)數(shù)字化發(fā)展提供參考和指引。
報(bào)告指出,2022年將是產(chǎn)業(yè)安全深化發(fā)展至關(guān)重要的一年。政策法規(guī)從“立”向“行”,新技術(shù)、新應(yīng)用不斷興起,新領(lǐng)域需求不斷涌現(xiàn),千億級(jí)別市場(chǎng)的安全產(chǎn)業(yè)正加速繪就新圖景,為高質(zhì)量發(fā)展夯實(shí)基礎(chǔ)、筑牢屏障。在這樣的背景下,行業(yè)需要聚合最頂尖的思想,對(duì)未來(lái)進(jìn)行充分的研判,為產(chǎn)業(yè)互聯(lián)網(wǎng)深化發(fā)展提供參考和借鑒,助力安全行業(yè)更好面對(duì)挑戰(zhàn)。
CIO時(shí)代作為業(yè)內(nèi)專(zhuān)業(yè)的CIO智庫(kù)和研究組織,深諳CIO群體對(duì)產(chǎn)業(yè)安全的關(guān)注焦點(diǎn),在技術(shù)日新月異的今天,安全問(wèn)題已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的攔路石。在《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》報(bào)告發(fā)布之后,我們發(fā)現(xiàn)這些趨勢(shì)與CIO的聚焦點(diǎn)不謀而合,同時(shí)為企業(yè)的安全發(fā)展提供了前瞻觀點(diǎn)和洞察預(yù)判。
在這十大趨勢(shì)中,除了政策法規(guī)和生態(tài)建設(shè)為廣大決策層所關(guān)注之外,在技術(shù)演進(jìn)方面最為CIO所關(guān)注的主要是零信任概念和數(shù)據(jù)安全。這是因?yàn)?,零信任架?gòu)可確保企業(yè)核心資產(chǎn)不受侵害,數(shù)據(jù)則驅(qū)動(dòng)著業(yè)務(wù)發(fā)展,數(shù)據(jù)安全則業(yè)務(wù)安全,零信任和數(shù)據(jù)安全猶如一架馬車(chē)的兩個(gè)轅,決定著企業(yè)的發(fā)展方向和前進(jìn)動(dòng)力,是企業(yè)的生存之本,強(qiáng)盛之根,全面護(hù)航企業(yè)的數(shù)字化轉(zhuǎn)型。
讓我們先看一下報(bào)告中是如何論述這兩方面的。
關(guān)于零信任,報(bào)告認(rèn)為:2022年,零信任將帶動(dòng)產(chǎn)業(yè)安全發(fā)生顯著變化。一是大批安全廠商將會(huì)密集推出零信任安全產(chǎn)品,并在政企用戶(hù)中實(shí)現(xiàn)一定范圍的落地應(yīng)用;二是多維度身份屬性代理技術(shù)需要深入研究。綜合用戶(hù)信息、設(shè)備狀態(tài)、網(wǎng)絡(luò)地址、業(yè)務(wù)上下文以及訪問(wèn)時(shí)間、空間位置等各個(gè)維度的身份實(shí)體屬性作為實(shí)施授權(quán)的依據(jù),且申請(qǐng)授權(quán)時(shí)按需臨時(shí)產(chǎn)生,定期失效。有效降低基于單一維度實(shí)施訪問(wèn)授權(quán)的漏洞風(fēng)險(xiǎn);三是可變信任評(píng)估技術(shù)對(duì)網(wǎng)絡(luò)代理提供的多維度實(shí)時(shí)屬性信息,進(jìn)行實(shí)時(shí)信任評(píng)估和分析,通過(guò)持續(xù)量化評(píng)估網(wǎng)絡(luò)活動(dòng)風(fēng)險(xiǎn)等級(jí),為訪問(wèn)授權(quán)提供判斷依據(jù)。四是云計(jì)算業(yè)務(wù)將更需要零信任技術(shù)。云計(jì)算的快速發(fā)展和普及應(yīng)用,包括應(yīng)用云化,基礎(chǔ)架構(gòu)的異構(gòu)化和混合化,業(yè)務(wù)的數(shù)字生態(tài)化以及接入網(wǎng)絡(luò)及設(shè)備的多元化等因素推動(dòng)了更多企業(yè)開(kāi)始通過(guò)部署零信任架構(gòu)來(lái)建立能夠適應(yīng)云時(shí)代的全新安全體系。另外,2022年,基于零信任思路的產(chǎn)品化探索,整個(gè)行業(yè)會(huì)基于客戶(hù)的需求更重實(shí)效,以解決現(xiàn)實(shí)訴求為目標(biāo)獲取市場(chǎng)。此外,報(bào)告還號(hào)召整個(gè)行業(yè)共同反對(duì)零信任的泛化、濫化和概念化。
而在數(shù)據(jù)安全方面,報(bào)告指出:數(shù)據(jù)要素融合趨勢(shì)帶來(lái)跨領(lǐng)域、跨行業(yè)、跨地域之間的數(shù)據(jù)流通,在增進(jìn)數(shù)字經(jīng)濟(jì)規(guī)模的同時(shí),也放大了數(shù)據(jù)泄露的安全問(wèn)題?,F(xiàn)在,如何解決數(shù)據(jù)要素流通和數(shù)據(jù)隱私泄露之間的矛盾成為了解決數(shù)據(jù)要素市場(chǎng)化的關(guān)鍵,而隱私計(jì)算則以其“數(shù)據(jù)可用不可見(jiàn)”的特性為這一問(wèn)題打開(kāi)了技術(shù)突破口。2022年,隨著我國(guó)數(shù)據(jù)要素市場(chǎng)的加速建設(shè),以及技術(shù)科普和市場(chǎng)教育的日漸完善,越來(lái)越多的隱私計(jì)算試點(diǎn)項(xiàng)目將不斷落地,隱私計(jì)算技術(shù)創(chuàng)新和標(biāo)準(zhǔn)規(guī)范將日趨成熟,市場(chǎng)規(guī)模將呈穩(wěn)步增長(zhǎng)態(tài)勢(shì)。
為什么這兩項(xiàng)最為CIO們所關(guān)注,這也是我們CIO時(shí)代近些年一直觀察和研究的課題。
數(shù)據(jù)的價(jià)值:從昔日的固定資產(chǎn)到現(xiàn)在的五大生產(chǎn)要素之一
2020年4月9日,中共中央國(guó)務(wù)院首次公布關(guān)于要素市場(chǎng)化配置的文件——《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》,指出土地、勞動(dòng)力、資本、技術(shù)、數(shù)據(jù)五大生產(chǎn)要素的改革方向和相關(guān)體制機(jī)制的建設(shè)要求,這是中央首次將數(shù)據(jù)明確為五大生產(chǎn)要素之一。
“得數(shù)據(jù)者得天下”,數(shù)據(jù)之所以如此重要,是因?yàn)樵谶^(guò)去我們所認(rèn)知的網(wǎng)絡(luò)世界里,數(shù)據(jù)只是網(wǎng)絡(luò)連接衍生出來(lái)的一種資產(chǎn),各級(jí)組織機(jī)構(gòu)只將其看作固定資產(chǎn)而加以保護(hù)。但隨著數(shù)字世界的到來(lái),人們對(duì)數(shù)據(jù)的威力有了新的認(rèn)識(shí),數(shù)據(jù)的重要性被提升到了前所未有的高速,它已不再是組織里固化的資產(chǎn),而是被當(dāng)作生產(chǎn)要素,它需要被釋放,需要流動(dòng)起來(lái)為組織創(chuàng)造價(jià)值。
正因?yàn)槿绱?,?shù)據(jù)成了人們眼中的香餑餑,數(shù)據(jù)泄露事件因此屢見(jiàn)不鮮,成為組織數(shù)字化轉(zhuǎn)型進(jìn)程中的頑疾。根據(jù)Canalys的統(tǒng)計(jì),2020年數(shù)據(jù)泄露事件呈現(xiàn)爆發(fā)式增長(zhǎng),一年內(nèi)的泄露記錄超過(guò)過(guò)去十五年的總和。
從保護(hù)數(shù)據(jù)的層面,我國(guó)在頂層建設(shè)方面一直在不斷提速和加碼。2020年“十四五”規(guī)劃綱要提出將數(shù)據(jù)視作數(shù)字化轉(zhuǎn)型核心驅(qū)動(dòng)力,同時(shí)合規(guī)監(jiān)管也日趨嚴(yán)格,陸續(xù)發(fā)布了《中華人民共和國(guó)民法典》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律,構(gòu)建了數(shù)據(jù)安全法律體系。
在技術(shù)方面,隱私計(jì)算以其“數(shù)據(jù)可用不可見(jiàn)”的特性打開(kāi)了這一問(wèn)題的技術(shù)突破口。新技術(shù)的發(fā)展為統(tǒng)籌釋放數(shù)據(jù)價(jià)值和保證數(shù)據(jù)安全提供技術(shù)實(shí)現(xiàn)可能性,有效促進(jìn)數(shù)據(jù)價(jià)值的共享流通和協(xié)同應(yīng)用。隨著數(shù)據(jù)融合趨勢(shì)日盛,安全合規(guī)保護(hù)要求日嚴(yán),隱私計(jì)算技術(shù)受到市場(chǎng)的廣泛青睞,開(kāi)始蓬勃發(fā)展,隨著世界各地相繼出臺(tái)數(shù)據(jù)保護(hù)法律法規(guī),隱私計(jì)算技術(shù)的專(zhuān)利申請(qǐng)數(shù)量也呈現(xiàn)爆發(fā)式增長(zhǎng)。
今天,數(shù)字化轉(zhuǎn)型的深度發(fā)展,數(shù)據(jù)已經(jīng)成為企業(yè)的命脈,不僅為企業(yè)的日常生產(chǎn)銷(xiāo)售提供支撐,同時(shí)助力提升決策能力,深入洞察客戶(hù),CIO群體對(duì)數(shù)據(jù)資產(chǎn)管理的重視程度日益提高。但隨著互聯(lián)網(wǎng)技術(shù)的爆發(fā),數(shù)據(jù)安全的問(wèn)題卻又日益頻發(fā)。在實(shí)現(xiàn)數(shù)據(jù)安全方面,CIO們更需要一種顛覆性思維和深入實(shí)踐來(lái)指導(dǎo)企業(yè)的數(shù)字化轉(zhuǎn)型落地。
零信任:產(chǎn)業(yè)安全建設(shè)理念的根本性轉(zhuǎn)變
“零信任”最早雛形源于2004年成立的耶利哥論壇(Jericho Forum ),2010年“零信任”概念由市場(chǎng)研究機(jī)構(gòu)Forrester正式提出。2018年開(kāi)始,我國(guó)中央部委、國(guó)家機(jī)關(guān)和中大型企業(yè)也開(kāi)始探索和實(shí)踐零信任安全架構(gòu)。2019年9月,工信部公開(kāi)征求對(duì)《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)》的意見(jiàn),除了提出對(duì)市場(chǎng)規(guī)模和產(chǎn)業(yè)安全企業(yè)的要求,《意見(jiàn)》還將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。
零信任要解決的是傳統(tǒng)安全邊界消失的問(wèn)題。一般認(rèn)為,傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)默認(rèn)內(nèi)網(wǎng)是安全的,產(chǎn)業(yè)安全重點(diǎn)在邊界防御,因此在邊界部署大量安全產(chǎn)品如防火墻、DDoS, WAF, IDS/ IPS、網(wǎng)閘等設(shè)備對(duì)網(wǎng)絡(luò)邊界進(jìn)行防護(hù),而對(duì)企業(yè)內(nèi)產(chǎn)業(yè)安全則重視度不夠。隨著業(yè)務(wù)需求和技術(shù)的演進(jìn),內(nèi)部員工、業(yè)務(wù)合作伙伴甚至供應(yīng)商都有訪問(wèn)企業(yè)數(shù)據(jù)的需求,在這種情況下,傳統(tǒng)的安全邊界不復(fù)存在,外網(wǎng)和內(nèi)網(wǎng)不再?zèng)芪挤置?,行業(yè)迫切需要一種顛覆性的思維和方法來(lái)重新定義產(chǎn)業(yè)安全,“零信任安全”應(yīng)運(yùn)而生。
“零信任安全”引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化,其本質(zhì)訴求是以身份為中心進(jìn)行訪問(wèn)控制,以身份來(lái)定義企業(yè)的安全邊界,用一句話來(lái)概括,零信任安全,強(qiáng)調(diào)的是“永不信任和永遠(yuǎn)驗(yàn)證”。
特別是當(dāng)前,各行各業(yè)都在加速推進(jìn)數(shù)字化轉(zhuǎn)型進(jìn)程,尤其是在后疫情時(shí)代,隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等技術(shù)廣泛應(yīng)用到企業(yè)信息化建設(shè)和業(yè)務(wù)發(fā)展中,遠(yuǎn)程辦公、業(yè)務(wù)協(xié)同、分支互聯(lián)等業(yè)務(wù)需求快速發(fā)展,企業(yè)原有的網(wǎng)絡(luò)邊界逐漸模糊,由此帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅普遍存在,在這種情況下,基于“永不信任,永遠(yuǎn)驗(yàn)證”原則的零信任架構(gòu)成為解決問(wèn)題的核心手段。
對(duì)于任何一位決心推動(dòng)數(shù)字化轉(zhuǎn)型的CIO來(lái)說(shuō),零信任架構(gòu)是無(wú)法忽視和規(guī)避的產(chǎn)業(yè)趨勢(shì)。也正因?yàn)榱阈湃胃拍钤诎踩I(lǐng)域的顛覆性作用,我們才會(huì)在報(bào)告中看到2021年零信任市場(chǎng)大額投融資市場(chǎng)大事件不斷,這在另外一個(gè)層面也反映了零信任概念的深入人心和光明前景。同時(shí),CIO們已經(jīng)逐漸從對(duì)“零信任”理念的深度理解,逐漸開(kāi)始在企業(yè)內(nèi)部實(shí)踐落地,這也印證了報(bào)告中關(guān)于“零信任”趨勢(shì)的觀點(diǎn),逐步落地實(shí)踐、應(yīng)用場(chǎng)景的創(chuàng)新、架構(gòu)的變遷,CIO們?cè)凇傲阈湃巍敝飞显阶咴綀?jiān)定。
以上是CIO時(shí)代對(duì)報(bào)告中有關(guān)數(shù)據(jù)安全和零信任地理解和解讀。令人安慰和可喜的是,我們看到了在去年9月份,在中國(guó)信息協(xié)會(huì)主辦的2021第三屆中國(guó)電子政務(wù)安全大會(huì)上,騰訊安全一家就摘得了“2021中國(guó)數(shù)據(jù)安全領(lǐng)導(dǎo)力企業(yè)”、“2021中國(guó)數(shù)據(jù)安全優(yōu)秀解決方案”、“2021中國(guó)數(shù)據(jù)安全優(yōu)秀樣板工程”三項(xiàng)大獎(jiǎng),相信未來(lái)的產(chǎn)業(yè)安全之路,騰訊安全能繼續(xù)為業(yè)界帶來(lái)更多的創(chuàng)新和驚喜,陪伴CIO人群成長(zhǎng),助力CIO引領(lǐng)的企業(yè)數(shù)字化轉(zhuǎn)型。