2021年10月11日至17日，以“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”為主題的2021國家網(wǎng)絡(luò)安全宣傳周在陜西西安國際會展中心盛大開幕。10月12日上午，由陜西省委網(wǎng)信辦、西安市委網(wǎng)信辦指導(dǎo)，國家工業(yè)信息安全發(fā)展研究中心主辦，華為等企業(yè)承辦的“零信任安全實踐”論壇成功舉辦，共同探討網(wǎng)絡(luò)安全行業(yè)落地實踐。國家工業(yè)信息安全發(fā)展研究中心總工程師李麗女士、華為安全產(chǎn)品領(lǐng)域總裁馬燁為論壇開場致辭，開啟了今天的精彩討論。

一、業(yè)務(wù)與政策雙輪驅(qū)動，

數(shù)字化轉(zhuǎn)型面臨巨大挑戰(zhàn)

社會數(shù)字化轉(zhuǎn)型不斷深入，遠(yuǎn)程辦公的用戶和市場規(guī)模呈現(xiàn)出爆發(fā)式增長，邊界變得更加模糊，使得安全威脅更加難以防范。《數(shù)據(jù)安全法》的頒布對企業(yè)數(shù)據(jù)安全保障和管理提出了更高的要求，數(shù)據(jù)的分級分類，數(shù)據(jù)在流動過程中的采集、傳輸、存儲、處理、交換、銷毀等數(shù)據(jù)全生命周期中都需要落實安全保障。這些業(yè)務(wù)與政策上的變化為企業(yè)帶來新的安全挑戰(zhàn)。

二、保護企業(yè)數(shù)據(jù)安全，

從零信任開始

企業(yè)發(fā)展邁入數(shù)字經(jīng)濟時代，數(shù)據(jù)是核心生產(chǎn)要素，是國家基礎(chǔ)性和戰(zhàn)略性資源。數(shù)據(jù)安全問題影響國家發(fā)展與安全，關(guān)系公眾利益，也與公民個人權(quán)益密切相關(guān)。零信任架構(gòu)的最根本的目的就是為了保護數(shù)據(jù)安全，通過數(shù)據(jù)防泄漏、數(shù)據(jù)庫審計、虛擬沙箱、隱藏水印、用戶和實體行為分析、云訪問安全代理等一系列技術(shù)來進行數(shù)據(jù)的保護、分類、隔離和控制，對靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)進行加密處理，最終實現(xiàn)數(shù)據(jù)的安全防護。

一是，零信任安全架構(gòu)需要對任何接入對象進行持續(xù)安全驗證，實現(xiàn)對用戶訪問數(shù)據(jù)權(quán)限的控制，這也符合了《數(shù)據(jù)安全法》對數(shù)據(jù)分類分級保護的規(guī)定。

二是，通過建立終端設(shè)備零信任、用戶零信任、流量零信任和應(yīng)用零信任機制，構(gòu)建端到端全流程信任鏈，可以滿足《數(shù)據(jù)安全法》對數(shù)據(jù)安全管理的要求。

三是，通過全網(wǎng)威脅態(tài)勢感知和網(wǎng)絡(luò)安全聯(lián)動對潛在的安全風(fēng)險進行溯源處置，可以滿足《數(shù)據(jù)安全法》對安全風(fēng)險可監(jiān)測和處置的要求。

三、零信任“熱”中的“冷”思考

零信任是當(dāng)下熱門的網(wǎng)絡(luò)安全技術(shù)理念。中國信息安全研究院副院長左曉棟在主旨發(fā)言中對零信任進行了深度解讀。零信任的產(chǎn)生有客觀必然性，它源于網(wǎng)絡(luò)安全風(fēng)險加大，傳統(tǒng)信任模型受到挑戰(zhàn)。以前的訪問主體和客體都相對簡單、明確，但物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的應(yīng)用使主客體變得日益多樣化，越來越難以保證數(shù)量繁多的主客體始終處在可信狀態(tài)。

為了應(yīng)對網(wǎng)絡(luò)安全形勢變化，零信任要求實施動態(tài)細(xì)粒度訪問控制，這是零信任的本質(zhì)特征。即，身份認(rèn)證不再依賴邊界防御，而是需要持續(xù)驗證身份，且服務(wù)、資源、環(huán)境等變化均是判斷身份是否可信的考量因素。零信任的實質(zhì)是對訪問控制的新要求，不是網(wǎng)絡(luò)安全的全部。

零信任作為一種理念和思路，不是對既有技術(shù)和體系結(jié)構(gòu)的顛覆。零信任的實現(xiàn)離不開網(wǎng)絡(luò)安全基本能原理。企業(yè)和廠商要在零信任“熱”中進行“冷”思考，重視實踐和實效，通過技術(shù)升級真正解決安全挑戰(zhàn)和問題。

面向數(shù)字化轉(zhuǎn)型，數(shù)據(jù)的分級分類管理是實施數(shù)據(jù)全生命周期安全保護的重要基礎(chǔ)。只有在科學(xué)、規(guī)范的分級分類管理基礎(chǔ)上，才能夠有效地保護數(shù)據(jù)的安全。華為零信任安全解決方案可以做到數(shù)據(jù)端到端全生命周期防護，保護數(shù)據(jù)安全。

華為零信任安全解決方案具備三大特點：1、持續(xù)驗證“準(zhǔn)”：持續(xù)監(jiān)測終端設(shè)備和用戶的安全風(fēng)險，可監(jiān)測的終端評估項超過50類，通過多維安全感知可以保障接入網(wǎng)絡(luò)的終端設(shè)備和用戶值得信任。2、動態(tài)授權(quán)“快”：根據(jù)授權(quán)主體、客體環(huán)境和行為風(fēng)險進行動態(tài)授權(quán)，實現(xiàn)應(yīng)用、功能、API、數(shù)據(jù)等維度的精細(xì)安全訪問控制。3、全局防御“穩(wěn)”：通過多方面評估，創(chuàng)建一條完整的信任鏈實現(xiàn)端到端加密訪問業(yè)務(wù)時延無感知。

華為零信任安全解決方案當(dāng)前覆蓋了政企行業(yè)用戶的典型應(yīng)用場景，如敏感業(yè)務(wù)訪問、數(shù)據(jù)交換和遠(yuǎn)程辦公場景等，適用于政府、部委、金融、交通等大型企業(yè)。以零信任安全方案在大數(shù)據(jù)中心應(yīng)用為例，華為零信任安全訪問在某省級政府單位的數(shù)據(jù)中心已持續(xù)穩(wěn)定運行超過一年，通過零信任安全接入，覆蓋應(yīng)用40多個，用戶終端超過1.5萬，每天攔截的未授權(quán)訪問達到300+，端到端訪問時延毫秒級，在既保證安全的同時又不影響客戶的使用體驗，有效保證了相關(guān)大型組織數(shù)據(jù)中心的安全。

全球安全漏洞和攻擊事件頻發(fā)，《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《個人信息保護法》等法律條例不斷推出，網(wǎng)絡(luò)安全的監(jiān)管力度持續(xù)加大。華為作為全球領(lǐng)先的ICT基礎(chǔ)設(shè)施和智能終端提供商，網(wǎng)絡(luò)安全是華為公司的最高綱領(lǐng)。在零信任實踐論壇中，華為中國首席網(wǎng)絡(luò)安全與用戶隱私保護官李加贊分享了華為端到端網(wǎng)絡(luò)安全治理與思考。講述了華為如何構(gòu)筑并全面實施端到端的全球網(wǎng)絡(luò)安全保障體系，在公司治理、流程、研發(fā)、驗證、供應(yīng)、交付、審計等各個領(lǐng)域踐行網(wǎng)絡(luò)安全與用戶隱私保護，在每一個ICT基礎(chǔ)設(shè)施產(chǎn)品和解決方案中，都融入信任、構(gòu)建高質(zhì)量，助力客戶打造網(wǎng)絡(luò)韌性。

吉大正元副總裁張寶欣分享了基于密碼的零信任體系，希望通過將密碼技術(shù)賦能零信任架構(gòu)，為零信任解決方案建立堅實的安全底座，為廣大用戶在提升網(wǎng)絡(luò)安全能力的同時，也為符合等保、密評的相關(guān)要求做好準(zhǔn)備。

零信任安全解決方案的實際交付并不是交鑰匙工程。除了有完善的方案和成熟的產(chǎn)品做支撐外，還需要對客戶的使用場景進行全面而細(xì)致的調(diào)研，結(jié)合用戶業(yè)務(wù)場景才能最大程度上兼顧安全性與易用性。吉大正元注重對零信任應(yīng)用場景與安全策略的積累，現(xiàn)已具備大量開箱即用的安全策略，包括：動態(tài)訪問控制策略、用戶實體行為分析策略、終端環(huán)境感知策略等。能夠在短時間內(nèi)根據(jù)不同行業(yè)用戶的需求，為客戶量身打造零信任安全基線。

聯(lián)軟科技聯(lián)合創(chuàng)始人張建耀表示，端點安全是零信任實踐的關(guān)鍵一環(huán)。聯(lián)軟可提供終端安全一體化的能力，通過終端安全管理模塊，保障終端可管；通過網(wǎng)絡(luò)準(zhǔn)入控制，保障身份可信；通過終端EDR，保障入侵可防；通過終端DLP，保證數(shù)據(jù)可控。從體檢、到入網(wǎng)、到檢查響應(yīng)，最終圍繞著數(shù)據(jù)的保護，構(gòu)成了零信任端點動態(tài)智能防護的重要部分。聯(lián)軟科技借助于網(wǎng)絡(luò)準(zhǔn)入控制、終端安全和終端數(shù)據(jù)安全等能力，從傳統(tǒng)的內(nèi)網(wǎng)安全到內(nèi)網(wǎng)零信任可以很平滑的遷移，目前已經(jīng)在金融、政府、高端制造業(yè)等領(lǐng)域有豐富的實踐。

竹云首席運營官戴立偉在論壇中分享了以現(xiàn)代IAM體系構(gòu)筑零信任安全實踐場景主題演講。IAM作為零信任的核心組件，可提供端到端的安全和可信支撐，構(gòu)建以身份為核心、應(yīng)用權(quán)限為對象、動態(tài)訪問控制為手段的統(tǒng)一身份訪問與權(quán)限管理系統(tǒng)。

竹云零信任安全訪問整體解決方案已在眾多大型企業(yè)應(yīng)用，通過全面的權(quán)限管理體系，實現(xiàn)底層網(wǎng)絡(luò)安全和上層應(yīng)用安全的關(guān)聯(lián)和融合。竹云零信任訪問平臺在某大型集團企業(yè)已接入1000余個應(yīng)用，覆蓋本地、移動端、云端等多類型應(yīng)用。通過風(fēng)險引擎模塊實現(xiàn)日均300萬次風(fēng)險檢測，并實時將風(fēng)險事件轉(zhuǎn)發(fā)到態(tài)勢感知，通過實時可視化監(jiān)測，實現(xiàn)事前預(yù)警、事中訪問控制和事后追溯的全流程閉環(huán)管控。

四、零信任在國內(nèi)網(wǎng)絡(luò)安全的實踐

在圓桌討論環(huán)節(jié)，北京賽博英杰科技有限公司董事長譚曉生邀請與會嘉賓共同討論了零信任在國內(nèi)各行業(yè)的優(yōu)秀實踐。

竹云首席運營官戴立偉首先分享了一個汽車制造企業(yè)分階段建立IAM體系的案例。IAM有不同的建設(shè)方法和方式，通過分階段持續(xù)性建立，對員工、伙伴等內(nèi)部人員進行身份管理和風(fēng)險動態(tài)控制，實現(xiàn)了權(quán)限統(tǒng)一管理和動態(tài)權(quán)限聯(lián)動，有效解決了權(quán)限冒用風(fēng)險和安全事件回溯的難題。

9月1日《數(shù)據(jù)安全法》開始實施以后，如何通過零信任解決數(shù)據(jù)安全問題，聯(lián)軟科技聯(lián)合創(chuàng)始人張建耀認(rèn)為，零信任核心的理念在于持續(xù)驗證及最小化的授權(quán)，這與數(shù)據(jù)安全法是吻合的。同時也應(yīng)該認(rèn)識到數(shù)據(jù)安全是非常大的話題，需要根據(jù)場景和保護對象，進行技術(shù)選擇，平衡安全和效率。

吉大正元副總裁張寶欣認(rèn)為，在零信任實踐中，密碼技術(shù)提供安全信任的基礎(chǔ)。零信任關(guān)注身份管理，通過身份管理為設(shè)備、應(yīng)用、API訪問和人員頒發(fā)數(shù)字證書，解決信道安全問題。通過國密證書的政策，發(fā)放加密證書和簽名證書，實現(xiàn)雙向國密通道認(rèn)證，同時通過高性能硬件，還可以實現(xiàn)每秒數(shù)十萬次的簽名驗簽，確保效率。

最后，華為安全產(chǎn)品領(lǐng)域副總裁王任棟介紹了華為的零信任優(yōu)秀實踐，以華為HiSec Insight安全態(tài)勢感知系統(tǒng)及HiSecEngine系列安全網(wǎng)關(guān)為核心的安全方案，包括智慧城市移動辦公、政務(wù)園區(qū)SDP代理接入、政務(wù)重要應(yīng)用訪問、金融遠(yuǎn)程辦公等場景。同時，華為零信任安全解決方案中包含了生態(tài)合作廠商，通過市場調(diào)研，選擇產(chǎn)品領(lǐng)先、研發(fā)能力扎實、以客戶為中心的優(yōu)質(zhì)企業(yè)，并且在客戶方案實施過程中，通過生態(tài)聯(lián)合驗證實驗室機制保障產(chǎn)品組合的實施質(zhì)量。

原文標(biāo)題：網(wǎng)安周零信任實踐論壇 | 零信任“熱”中的“冷”思考

文章出處：【微信公眾號：華為數(shù)據(jù)通信】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。
責(zé)任編輯:pj