2020云安全联盟大中华区大会近日在上海举办,包括下一代信息技术安全、网络空间安全技术创新与成果转化、5G时代物联网安全的挑战与策略等成为大会热门话题。
与会嘉宾表示,伴随着科学发展和技术迭代,协同办公、远程运维等新场景不断涌现,传统边界安全已经失效或作用有限。相伴而生的是,云逐渐成为安全的主战场,尤其在新基建和关键信息基础设施建设等领域,云安全将守护和保障数字经济高质量发展。
新安全架构推动数字化转型进入快车道
据了解,为了有效解决企业上云之后面临的安全问题,云安全联盟几年前发布软件定义边界(SDP)新一代网络安全技术架构。相比传统网络安全,SDP具备更安全、更灵活部署、更低成本等特点。
云安全联盟大中华区主席李雨航表示,云安全联盟将与政产学研各界积极全面开展数字合作,引进数字安全和信任的国际优秀实践,赋能新基建,保障数字经济的高质量发展。同时在会上宣布云安全联盟新版官网上线, 全球同步更新云安全联盟个人证书,包括云计算安全知识认证CCSK、注册云安全系统认证专家CCSSP和零信任专家认证CZTP等。此外还发布《2020中国零信任全景图》、《物联网安全关键技术白皮书》、《数字货币交易所Top 10安全风险》、《数字货币溯源技术白皮书》、《智能合约安全指南》、《数字钱包安全开发与应用实践》、《DApp安全指南》等多项研究成果。
“如今数字经济想要高速高质量发展,首先要解决安全问题。很多企业因为安全方面的顾虑或者因为缺乏敏捷灵活的安全手段,导致数字化转型进程举步维艰。安全技术就是生产力,只有拥抱更新的安全技术架构,才能让数字化转型进入快车道。”云安全联盟大中华区SDP工作组组长、云深互联创始人兼CEO陈本峰说,SDP的网络隐身技术可以大幅缩小攻击面,有效帮助企业安全上云。SDP基于零信任安全理念,实现控制面和数据面分离,可以让数据访问的权限控制到非常精细的程度,有效保障企业的数据安全。SDP基于云原生的架构,部署实施灵活,可以帮助企业应对数字化转型过程中快速的业务变化。
凭借在零信任领域的安全创新,云深互联在此次大会上获得“安全创新奖”。对此,陈本峰表示,作为探索实践SDP技术的厂商,很高兴看到越来越多的企业认识到SDP的技术优势并且开始采购部署,相信这将会为企业的数字化转型助一臂之力。云深互联将提供一站式安全云平台,帮助客户实现全局视角、全局安全。
“产业上云安全先行”正在成为企业共识
随着新基建与云基础设施建设的深入推进,云已经成为安全主战场,越来越多的企业意识到“产业上云,安全先行”。
腾讯安全副总经理杨育斌表示,后疫情时代,“云办公”成为常态,但给企业带来规模大、终端基数大、业务类型多、操作系统多样、职场分部多、办公位置多变、协作厂商多、互联网使用量大等诸多挑战。安全风险加速企业探索、实践零信任安全体系,腾讯安全从企业角度出发,结合零信任安全体系和云协同能力,打造出敏捷零信任安全解决方案,助力企业加速数字化转型。
据介绍,腾讯敏捷零信任安全解决方案聚焦企业云上各环节,聚合身份上云、流量上云、业务上云、数据上云和持续信任管理五大能力,可及时发现、有效防御云管端安全风险,与合作伙伴共同构建一个部署、运维、管理都更方便、更高效、更安全的跨产业数字服务网络。
杨育斌表示,以云计算为代表的下一代信息技术是全球数字经济的基础设施,只有从底层构筑敏捷高效的网络安全防火墙,才能保障新基建、数字转型、智能制造等企业业务场景的正常运营。技术的快速迭代,正在倒逼企业在安全方面不断创新、变革防护手段,腾讯安全将持续开放自身技术能力和安全解决方案,携手行业生态伙伴,探索更多零信任标杆产品,为数字经济安全稳健发展提供更多安全技术支撑。
用工程思维推进零信任架构落地
据介绍,数字化转型时代,数据中心也在向云化发展。云化数据中心具有数据价值集中、边界不断延伸、数据持续流动等特点。另一方面,高价值的数据必然充满诱惑,云化数据中心安全威胁和网络攻击的重点也相应发生变化。
对此,奇安信身份安全事业部总经理张泽洲认为,需要以资产为中心,从业务与安全两个视角重新审视安全架构。零信任正是解决上述问题的一种理念、方法和架构。
零信任理念认为网络默认不可信,不能仅仅基于访问者在内网还是外网来决定访问权限,而是要基于不信任、始终验证的原则,将安全措施从网络转移到具体的人员、设备和业务资产,在边界安全之上叠加基于身份的逻辑边界,其本质是基于身份的、细粒度的动态访问控制机制。
张泽洲表示,零信任作为一个安全架构落地,面临流程、技术、管理等多方面挑战。推动零信任架构的落地不能一蹴而就,需要以工程思维妥善规划、分步建设,最终达成基于身份的、细粒度的动态访问控制机制。
云安全保障需要专业化精细化研究
公安部第三研究所研究员、网络安全法律研究中心主任黄道丽表示,数据聚集与分散、服务跨国境、资源虚拟化等云计算潜在的安全风险对国家安全、社会稳定、数据安全和个人隐私等造成现实影响,这些问题已成为国际社会的普遍共识。
黄道丽表示,我国网络安全法律体系日臻完善,立法探索、执法实践与司法适用并行。需要专业化、精细化研究云安全保障的立法、执法和司法适用,清晰化云服务提供商、用户等主体在民事、行政乃至刑事责任中的安全边界,为云计算行业创新发展提供稳健的安全保障。
黄道丽认为,《中华人民共和国数据安全法(草案)》可成为未来云安全法律治理的基本框架,其主要思路在于:以数据分级分类作为监管基础,云计算作为数据处理的一类主体或业务类型进行规制;强调云服务提供商与计算能力相匹配的披露义务,适当降低其适用各类避风港原则,以符合比例原则;通过云计算调控个人信息、重要数据等不同类型的数据关系,为关键信息基础设施保护、网络安全审查等法律制度提供基础性支撑。(记者 张汉青)