2月28日���,在中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟指導(dǎo)下���,人民郵電報(bào)、中國(guó)信息安全���、騰訊安全聯(lián)合實(shí)驗(yàn)室���、騰訊研究院聯(lián)合推出了《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》���。報(bào)告圍繞“產(chǎn)業(yè)安全宏觀態(tài)勢(shì)”���、“產(chǎn)業(yè)安全實(shí)踐”���、“產(chǎn)業(yè)安全技術(shù)演進(jìn)”三大維度,面向年度行業(yè)趨勢(shì)進(jìn)行分析和研判���,為產(chǎn)業(yè)數(shù)字化發(fā)展提供參考和指引���。
報(bào)告指出,2022年將是產(chǎn)業(yè)安全深化發(fā)展至關(guān)重要的一年���。政策法規(guī)從“立”向“行”���,新技術(shù)、新應(yīng)用不斷興起���,新領(lǐng)域需求不斷涌現(xiàn)���,千億級(jí)別市場(chǎng)的安全產(chǎn)業(yè)正加速繪就新圖景,為高質(zhì)量發(fā)展夯實(shí)基礎(chǔ)���、筑牢屏障���。在這樣的背景下���,行業(yè)需要聚合最頂尖的思想,對(duì)未來(lái)進(jìn)行充分的研判���,為產(chǎn)業(yè)互聯(lián)網(wǎng)深化發(fā)展提供參考和借鑒���,助力安全行業(yè)更好面對(duì)挑戰(zhàn)。
CIO時(shí)代作為業(yè)內(nèi)專業(yè)的CIO智庫(kù)和研究組織���,深諳CIO群體對(duì)產(chǎn)業(yè)安全的關(guān)注焦點(diǎn)���,在技術(shù)日新月異的今天,安全問(wèn)題已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的攔路石���。在《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》報(bào)告發(fā)布之后���,我們發(fā)現(xiàn)這些趨勢(shì)與CIO的聚焦點(diǎn)不謀而合,同時(shí)為企業(yè)的安全發(fā)展提供了前瞻觀點(diǎn)和洞察預(yù)判���。
在這十大趨勢(shì)中���,除了政策法規(guī)和生態(tài)建設(shè)為廣大決策層所關(guān)注之外,在技術(shù)演進(jìn)方面最為CIO所關(guān)注的主要是零信任概念和數(shù)據(jù)安全���。這是因?yàn)?��,零信任架?gòu)可確保企業(yè)核心資產(chǎn)不受侵害,數(shù)據(jù)則驅(qū)動(dòng)著業(yè)務(wù)發(fā)展���,數(shù)據(jù)安全則業(yè)務(wù)安全���,零信任和數(shù)據(jù)安全猶如一架馬車的兩個(gè)轅,決定著企業(yè)的發(fā)展方向和前進(jìn)動(dòng)力���,是企業(yè)的生存之本���,強(qiáng)盛之根,全面護(hù)航企業(yè)的數(shù)字化轉(zhuǎn)型���。
讓我們先看一下報(bào)告中是如何論述這兩方面的���。
關(guān)于零信任���,報(bào)告認(rèn)為:2022年,零信任將帶動(dòng)產(chǎn)業(yè)安全發(fā)生顯著變化���。一是大批安全廠商將會(huì)密集推出零信任安全產(chǎn)品���,并在政企用戶中實(shí)現(xiàn)一定范圍的落地應(yīng)用;二是多維度身份屬性代理技術(shù)需要深入研究���。綜合用戶信息���、設(shè)備狀態(tài)、網(wǎng)絡(luò)地址���、業(yè)務(wù)上下文以及訪問(wèn)時(shí)間���、空間位置等各個(gè)維度的身份實(shí)體屬性作為實(shí)施授權(quán)的依據(jù),且申請(qǐng)授權(quán)時(shí)按需臨時(shí)產(chǎn)生���,定期失效���。有效降低基于單一維度實(shí)施訪問(wèn)授權(quán)的漏洞風(fēng)險(xiǎn)���;三是可變信任評(píng)估技術(shù)對(duì)網(wǎng)絡(luò)代理提供的多維度實(shí)時(shí)屬性信息,進(jìn)行實(shí)時(shí)信任評(píng)估和分析���,通過(guò)持續(xù)量化評(píng)估網(wǎng)絡(luò)活動(dòng)風(fēng)險(xiǎn)等級(jí),為訪問(wèn)授權(quán)提供判斷依據(jù)���。四是云計(jì)算業(yè)務(wù)將更需要零信任技術(shù)���。云計(jì)算的快速發(fā)展和普及應(yīng)用,包括應(yīng)用云化���,基礎(chǔ)架構(gòu)的異構(gòu)化和混合化���,業(yè)務(wù)的數(shù)字生態(tài)化以及接入網(wǎng)絡(luò)及設(shè)備的多元化等因素推動(dòng)了更多企業(yè)開(kāi)始通過(guò)部署零信任架構(gòu)來(lái)建立能夠適應(yīng)云時(shí)代的全新安全體系。另外���,2022年���,基于零信任思路的產(chǎn)品化探索���,整個(gè)行業(yè)會(huì)基于客戶的需求更重實(shí)效,以解決現(xiàn)實(shí)訴求為目標(biāo)獲取市場(chǎng)���。此外���,報(bào)告還號(hào)召整個(gè)行業(yè)共同反對(duì)零信任的泛化、濫化和概念化���。
而在數(shù)據(jù)安全方面���,報(bào)告指出:數(shù)據(jù)要素融合趨勢(shì)帶來(lái)跨領(lǐng)域、跨行業(yè)���、跨地域之間的數(shù)據(jù)流通���,在增進(jìn)數(shù)字經(jīng)濟(jì)規(guī)模的同時(shí),也放大了數(shù)據(jù)泄露的安全問(wèn)題?��,F(xiàn)在���,如何解決數(shù)據(jù)要素流通和數(shù)據(jù)隱私泄露之間的矛盾成為了解決數(shù)據(jù)要素市場(chǎng)化的關(guān)鍵���,而隱私計(jì)算則以其“數(shù)據(jù)可用不可見(jiàn)”的特性為這一問(wèn)題打開(kāi)了技術(shù)突破口。2022年���,隨著我國(guó)數(shù)據(jù)要素市場(chǎng)的加速建設(shè)���,以及技術(shù)科普和市場(chǎng)教育的日漸完善,越來(lái)越多的隱私計(jì)算試點(diǎn)項(xiàng)目將不斷落地���,隱私計(jì)算技術(shù)創(chuàng)新和標(biāo)準(zhǔn)規(guī)范將日趨成熟,市場(chǎng)規(guī)模將呈穩(wěn)步增長(zhǎng)態(tài)勢(shì)���。
為什么這兩項(xiàng)最為CIO們所關(guān)注���,這也是我們CIO時(shí)代近些年一直觀察和研究的課題。
數(shù)據(jù)的價(jià)值:從昔日的固定資產(chǎn)到現(xiàn)在的五大生產(chǎn)要素之一
2020年4月9日���,中共中央國(guó)務(wù)院首次公布關(guān)于要素市場(chǎng)化配置的文件——《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》���,指出土地、勞動(dòng)力���、資本���、技術(shù)���、數(shù)據(jù)五大生產(chǎn)要素的改革方向和相關(guān)體制機(jī)制的建設(shè)要求,這是中央首次將數(shù)據(jù)明確為五大生產(chǎn)要素之一���。
“得數(shù)據(jù)者得天下”���,數(shù)據(jù)之所以如此重要,是因?yàn)樵谶^(guò)去我們所認(rèn)知的網(wǎng)絡(luò)世界里���,數(shù)據(jù)只是網(wǎng)絡(luò)連接衍生出來(lái)的一種資產(chǎn)���,各級(jí)組織機(jī)構(gòu)只將其看作固定資產(chǎn)而加以保護(hù)。但隨著數(shù)字世界的到來(lái)���,人們對(duì)數(shù)據(jù)的威力有了新的認(rèn)識(shí)���,數(shù)據(jù)的重要性被提升到了前所未有的高速,它已不再是組織里固化的資產(chǎn)���,而是被當(dāng)作生產(chǎn)要素���,它需要被釋放���,需要流動(dòng)起來(lái)為組織創(chuàng)造價(jià)值。
正因?yàn)槿绱?��,?shù)據(jù)成了人們眼中的香餑餑���,數(shù)據(jù)泄露事件因此屢見(jiàn)不鮮,成為組織數(shù)字化轉(zhuǎn)型進(jìn)程中的頑疾���。根據(jù)Canalys的統(tǒng)計(jì),2020年數(shù)據(jù)泄露事件呈現(xiàn)爆發(fā)式增長(zhǎng)���,一年內(nèi)的泄露記錄超過(guò)過(guò)去十五年的總和���。
從保護(hù)數(shù)據(jù)的層面,我國(guó)在頂層建設(shè)方面一直在不斷提速和加碼���。2020年“十四五”規(guī)劃綱要提出將數(shù)據(jù)視作數(shù)字化轉(zhuǎn)型核心驅(qū)動(dòng)力���,同時(shí)合規(guī)監(jiān)管也日趨嚴(yán)格���,陸續(xù)發(fā)布了《中華人民共和國(guó)民法典》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律,構(gòu)建了數(shù)據(jù)安全法律體系���。
在技術(shù)方面���,隱私計(jì)算以其“數(shù)據(jù)可用不可見(jiàn)”的特性打開(kāi)了這一問(wèn)題的技術(shù)突破口。新技術(shù)的發(fā)展為統(tǒng)籌釋放數(shù)據(jù)價(jià)值和保證數(shù)據(jù)安全提供技術(shù)實(shí)現(xiàn)可能性���,有效促進(jìn)數(shù)據(jù)價(jià)值的共享流通和協(xié)同應(yīng)用���。隨著數(shù)據(jù)融合趨勢(shì)日盛,安全合規(guī)保護(hù)要求日嚴(yán)���,隱私計(jì)算技術(shù)受到市場(chǎng)的廣泛青睞���,開(kāi)始蓬勃發(fā)展,隨著世界各地相繼出臺(tái)數(shù)據(jù)保護(hù)法律法規(guī)���,隱私計(jì)算技術(shù)的專利申請(qǐng)數(shù)量也呈現(xiàn)爆發(fā)式增長(zhǎng)���。
今天���,數(shù)字化轉(zhuǎn)型的深度發(fā)展,數(shù)據(jù)已經(jīng)成為企業(yè)的命脈���,不僅為企業(yè)的日常生產(chǎn)銷售提供支撐���,同時(shí)助力提升決策能力,深入洞察客戶���,CIO群體對(duì)數(shù)據(jù)資產(chǎn)管理的重視程度日益提高���。但隨著互聯(lián)網(wǎng)技術(shù)的爆發(fā),數(shù)據(jù)安全的問(wèn)題卻又日益頻發(fā)���。在實(shí)現(xiàn)數(shù)據(jù)安全方面,CIO們更需要一種顛覆性思維和深入實(shí)踐來(lái)指導(dǎo)企業(yè)的數(shù)字化轉(zhuǎn)型落地���。
零信任:產(chǎn)業(yè)安全建設(shè)理念的根本性轉(zhuǎn)變
“零信任”最早雛形源于2004年成立的耶利哥論壇(Jericho Forum )���,2010年“零信任”概念由市場(chǎng)研究機(jī)構(gòu)Forrester正式提出���。2018年開(kāi)始,我國(guó)中央部委���、國(guó)家機(jī)關(guān)和中大型企業(yè)也開(kāi)始探索和實(shí)踐零信任安全架構(gòu)���。2019年9月,工信部公開(kāi)征求對(duì)《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)》的意見(jiàn)���,除了提出對(duì)市場(chǎng)規(guī)模和產(chǎn)業(yè)安全企業(yè)的要求���,《意見(jiàn)》還將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。
零信任要解決的是傳統(tǒng)安全邊界消失的問(wèn)題���。一般認(rèn)為���,傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)默認(rèn)內(nèi)網(wǎng)是安全的,產(chǎn)業(yè)安全重點(diǎn)在邊界防御���,因此在邊界部署大量安全產(chǎn)品如防火墻���、DDoS, WAF, IDS/ IPS���、網(wǎng)閘等設(shè)備對(duì)網(wǎng)絡(luò)邊界進(jìn)行防護(hù),而對(duì)企業(yè)內(nèi)產(chǎn)業(yè)安全則重視度不夠���。隨著業(yè)務(wù)需求和技術(shù)的演進(jìn)���,內(nèi)部員工、業(yè)務(wù)合作伙伴甚至供應(yīng)商都有訪問(wèn)企業(yè)數(shù)據(jù)的需求���,在這種情況下���,傳統(tǒng)的安全邊界不復(fù)存在,外網(wǎng)和內(nèi)網(wǎng)不再?zèng)芪挤置?��,行業(yè)迫切需要一種顛覆性的思維和方法來(lái)重新定義產(chǎn)業(yè)安全���,“零信任安全”應(yīng)運(yùn)而生。
“零信任安全”引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化���,其本質(zhì)訴求是以身份為中心進(jìn)行訪問(wèn)控制���,以身份來(lái)定義企業(yè)的安全邊界,用一句話來(lái)概括���,零信任安全���,強(qiáng)調(diào)的是“永不信任和永遠(yuǎn)驗(yàn)證”。
特別是當(dāng)前���,各行各業(yè)都在加速推進(jìn)數(shù)字化轉(zhuǎn)型進(jìn)程���,尤其是在后疫情時(shí)代,隨著云計(jì)算���、大數(shù)據(jù)���、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)���、5G等技術(shù)廣泛應(yīng)用到企業(yè)信息化建設(shè)和業(yè)務(wù)發(fā)展中���,遠(yuǎn)程辦公���、業(yè)務(wù)協(xié)同、分支互聯(lián)等業(yè)務(wù)需求快速發(fā)展���,企業(yè)原有的網(wǎng)絡(luò)邊界逐漸模糊���,由此帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅普遍存在,在這種情況下���,基于“永不信任���,永遠(yuǎn)驗(yàn)證”原則的零信任架構(gòu)成為解決問(wèn)題的核心手段。
對(duì)于任何一位決心推動(dòng)數(shù)字化轉(zhuǎn)型的CIO來(lái)說(shuō)���,零信任架構(gòu)是無(wú)法忽視和規(guī)避的產(chǎn)業(yè)趨勢(shì)���。也正因?yàn)榱阈湃胃拍钤诎踩I(lǐng)域的顛覆性作用,我們才會(huì)在報(bào)告中看到2021年零信任市場(chǎng)大額投融資市場(chǎng)大事件不斷���,這在另外一個(gè)層面也反映了零信任概念的深入人心和光明前景���。同時(shí)���,CIO們已經(jīng)逐漸從對(duì)“零信任”理念的深度理解,逐漸開(kāi)始在企業(yè)內(nèi)部實(shí)踐落地���,這也印證了報(bào)告中關(guān)于“零信任”趨勢(shì)的觀點(diǎn),逐步落地實(shí)踐���、應(yīng)用場(chǎng)景的創(chuàng)新���、架構(gòu)的變遷,CIO們?cè)凇傲阈湃巍敝飞显阶咴綀?jiān)定���。
以上是CIO時(shí)代對(duì)報(bào)告中有關(guān)數(shù)據(jù)安全和零信任地理解和解讀���。令人安慰和可喜的是,我們看到了在去年9月份���,在中國(guó)信息協(xié)會(huì)主辦的2021第三屆中國(guó)電子政務(wù)安全大會(huì)上���,騰訊安全一家就摘得了“2021中國(guó)數(shù)據(jù)安全領(lǐng)導(dǎo)力企業(yè)”、“2021中國(guó)數(shù)據(jù)安全優(yōu)秀解決方案”���、“2021中國(guó)數(shù)據(jù)安全優(yōu)秀樣板工程”三項(xiàng)大獎(jiǎng)���,相信未來(lái)的產(chǎn)業(yè)安全之路���,騰訊安全能繼續(xù)為業(yè)界帶來(lái)更多的創(chuàng)新和驚喜,陪伴CIO人群成長(zhǎng)���,助力CIO引領(lǐng)的企業(yè)數(shù)字化轉(zhuǎn)型���。
