祝青柳，現(xiàn)任CSA大中華區(qū)會員單位聯(lián)軟科技股份有限公司總裁，2004年成為聯(lián)軟科技創(chuàng)辦人，受思科網(wǎng)絡(luò)準(zhǔn)入控制NAC的概念影響，發(fā)明了網(wǎng)絡(luò)接入設(shè)備快速發(fā)現(xiàn)與定位的專利技術(shù)、并首創(chuàng)了旁路式/準(zhǔn)旁路式準(zhǔn)入控制技術(shù)，把網(wǎng)絡(luò)準(zhǔn)入控制概念與技術(shù)應(yīng)用在國內(nèi)進行了推廣與普及，如EoU已經(jīng)成為業(yè)界通用的技術(shù)名詞。

隨著新一代通信基礎(chǔ)設(shè)施的建設(shè)和發(fā)展，企業(yè)在終端、邊緣、網(wǎng)絡(luò)、云上通過共享開放通信、計算、存儲等多類資源與能力，內(nèi)生安全成為行業(yè)乃至社會輿論重點關(guān)注的熱點話題。解決融合網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)資源、可信管理等多方面的可信數(shù)字網(wǎng)絡(luò)架構(gòu)，將網(wǎng)絡(luò)安全能力賦予新的生命力，用于資源、數(shù)據(jù)等網(wǎng)絡(luò)資產(chǎn)識別與發(fā)現(xiàn)，兼?zhèn)鋽?shù)據(jù)資源可信、隱私保護等服務(wù)。聯(lián)軟科技祝青柳在2020云安全聯(lián)盟大中華區(qū)大會上與大家分享《可信數(shù)字網(wǎng)絡(luò)架構(gòu)》的主題演講，CSA大中華區(qū)就如何定義、構(gòu)建可信數(shù)字網(wǎng)絡(luò)架構(gòu)，對祝總進行了采訪，對此進一步展開討論。

01如何定義可信數(shù)字網(wǎng)絡(luò)架構(gòu)？

在過去十幾年的實踐中，聯(lián)軟科技率先探索出了一套幫助政企組織構(gòu)建內(nèi)生安全的可信數(shù)字網(wǎng)絡(luò)架構(gòu)。傳統(tǒng)網(wǎng)絡(luò)安全思維旨在通過多點配置安全產(chǎn)品解決安全困擾，隨著網(wǎng)絡(luò)技術(shù)和應(yīng)用的飛速發(fā)展，互聯(lián)網(wǎng)呈現(xiàn)出日益復(fù)雜、異構(gòu)等特點，傳統(tǒng)安全思維已很難系統(tǒng)性解決安全問題，企業(yè)針對性且多次購入產(chǎn)品使得安全投入極高甚至造成負(fù)擔(dān)。它不僅是系統(tǒng)采購，還包括人員培訓(xùn)、系統(tǒng)維護等成本，因此，一套體系化的可信數(shù)字網(wǎng)絡(luò)架構(gòu)成為時代發(fā)展的迫切需求。

另一方面，祝青柳認(rèn)為可信數(shù)字網(wǎng)絡(luò)架構(gòu)可實現(xiàn)安全投資的經(jīng)濟可持續(xù)，政企組織安全預(yù)算可控。一，實現(xiàn)安全產(chǎn)品之間可銜接，建立一套真正有效的網(wǎng)絡(luò)系統(tǒng)?，F(xiàn)在很多單位談及網(wǎng)絡(luò)安全容易將其絕對化考量，也就是將所有資源都用以安全，導(dǎo)致單次成本過高使組織機構(gòu)難以負(fù)荷。而經(jīng)濟上可持續(xù)是指：部署安全系統(tǒng)后不會致使業(yè)務(wù)系統(tǒng)無法運轉(zhuǎn)；二，安全系統(tǒng)實施后企業(yè)不會發(fā)生安全領(lǐng)域高投入低回報，真正實現(xiàn)采購產(chǎn)品與服務(wù)、系統(tǒng)運維等一系列成本可以控制。

現(xiàn)今，國際上各個國家之間就經(jīng)濟、技術(shù)之間博弈，為了實現(xiàn)良性的發(fā)展，戰(zhàn)略部署上必然向可持續(xù)推進。國家之間尚且如此，各企業(yè)的競爭和進步亦是同樣的，聯(lián)軟科技提出可信數(shù)字網(wǎng)絡(luò)架構(gòu)初衷是希望用一套方法幫助企業(yè)快速構(gòu)建安全系統(tǒng)，以解決重要、關(guān)鍵的安全問題，且經(jīng)濟、實用、可持續(xù)，給行業(yè)內(nèi)各類單位用較低成本、較少人力，針對性解決重點核心的問題。

02可信數(shù)字網(wǎng)絡(luò)架構(gòu)的特征和價值

可信數(shù)字網(wǎng)絡(luò)架構(gòu)是聯(lián)軟科技根據(jù)深耕網(wǎng)安行業(yè)多年實踐，結(jié)合行業(yè)最新安全技術(shù)提煉形成。據(jù)悉，早在2014年聯(lián)軟受邀同國內(nèi)某知名證券公司聯(lián)合開發(fā)一套面向移動應(yīng)用的系統(tǒng)。該公司擁有龐大的移動應(yīng)用網(wǎng)絡(luò)，按照傳統(tǒng)安全方法將每個應(yīng)用都發(fā)布到互聯(lián)網(wǎng)上，再依次完成等保測評、漏洞掃描與管理、應(yīng)用管理和數(shù)據(jù)安全等內(nèi)容，基礎(chǔ)性安全建設(shè)投入完成后投資成本相對較高。通過三年的探索研究和安全實踐，最終設(shè)計完成了一套幫助企業(yè)內(nèi)部移動應(yīng)用的發(fā)布管理、系統(tǒng)更新和數(shù)據(jù)安全治理，統(tǒng)一解決系統(tǒng)后端和通信安全的系統(tǒng)。以集中式、中間件的形式將以往在后期解決的安全問題提前至開發(fā)環(huán)節(jié)解決，以此方式將安全能力直接賦予應(yīng)用系統(tǒng)，開發(fā)應(yīng)用系統(tǒng)過程中也就實現(xiàn)了現(xiàn)在備受行業(yè)關(guān)注的“內(nèi)生安全”。整體采購成本也大幅度降低，并且提升了系統(tǒng)開發(fā)效率，有效解決數(shù)據(jù)防泄密、個人隱私保護等問題。

其架構(gòu)特征有三點：一，融合、統(tǒng)一的安全性能和運行效率；二，系統(tǒng)建設(shè)投資運維成本可控，可信數(shù)字網(wǎng)絡(luò)架構(gòu)能夠幫助用戶統(tǒng)一解決數(shù)據(jù)防泄密、系統(tǒng)防入侵和個人隱私保護；三，應(yīng)用系統(tǒng)的開發(fā)成本會下降，系統(tǒng)迭代、更新速度有效提高。

綜上，可信數(shù)字網(wǎng)絡(luò)架構(gòu)的主要價值在于：1） 針對不同的用戶，采用不同的接入方式，快速部署安全策略，保障訪問策略合規(guī)；2） 針對不同類型和不同重要級別的數(shù)據(jù)完整性、可用性和保密性防護需要，構(gòu)建統(tǒng)一安全防護機制，達(dá)成策略快速部署和有效落地；3） 針對不同類型的應(yīng)用系統(tǒng)安全防御問題，形成不同層次的邊界安全防御機制，有效構(gòu)建系統(tǒng)的第一道防線，確保系統(tǒng)能夠穩(wěn)定運行。

03構(gòu)建以可信為核心的數(shù)字網(wǎng)絡(luò)架構(gòu)

可信數(shù)字網(wǎng)絡(luò)架構(gòu)是面向封閉的數(shù)字化系統(tǒng)，即系統(tǒng)有明確的使用賬號、訪問設(shè)備。不論是通過內(nèi)部網(wǎng)絡(luò)產(chǎn)生的訪問需求，或是來自于互聯(lián)網(wǎng)、VPN的其他訪問渠道。目前，很多用戶沒有專屬的完整數(shù)字空間，可信數(shù)字網(wǎng)絡(luò)架構(gòu)需要先建立一個專屬組織的數(shù)字空間，獨立賦予企業(yè)管控權(quán)限，該空間完全屬于企業(yè)自主控制、動態(tài)授權(quán)。

從攻擊者視角自動化、標(biāo)準(zhǔn)化對企業(yè)進行檢測。大致分為四個步驟：一是建立獨立完整的數(shù)字空間；二是對已經(jīng)明確的賬號或設(shè)備進行動態(tài)授權(quán)，以此完成數(shù)據(jù)安全、個人隱私保護機制的縱深部署；三是自動化、標(biāo)準(zhǔn)化的檢測系統(tǒng)漏洞；四是從攻擊者的視角來測試?？尚艛?shù)字網(wǎng)絡(luò)架構(gòu)的核心是不需要依賴于漏洞發(fā)現(xiàn)和修復(fù)，因為漏洞的數(shù)量是無窮盡的，所以在可信數(shù)字網(wǎng)絡(luò)架構(gòu)中漏洞修復(fù)僅作為核心系統(tǒng)的補充?；诳尚艛?shù)字網(wǎng)絡(luò)架構(gòu)的設(shè)計使用國際相關(guān)標(biāo)準(zhǔn)落地，并結(jié)合細(xì)分領(lǐng)域安全產(chǎn)品同架構(gòu)進行協(xié)同與聯(lián)動，最終形成體系化的保護方案。

04新安全 新發(fā)展

探究可信數(shù)字網(wǎng)絡(luò)架構(gòu)和零信任SDP之間的區(qū)別與聯(lián)系，后者主要用以解決遠(yuǎn)程訪問的安全保護，保護企業(yè)核心數(shù)據(jù)資產(chǎn)。2004年聯(lián)軟科技推出了軟件定義訪問（SDA），即根據(jù)已知賬號、設(shè)備硬件信息、用戶位置等信息推導(dǎo)出企業(yè)內(nèi)部應(yīng)用情況，SDA更多聚焦于非互聯(lián)網(wǎng)連接，而SDP則更關(guān)注外部訪問行為的信任與安全，可信數(shù)字網(wǎng)絡(luò)架構(gòu)在二者的基礎(chǔ)上有效管理整合網(wǎng)絡(luò)安全資源，實現(xiàn)內(nèi)部網(wǎng)絡(luò)保護、防止機密數(shù)據(jù)外泄。為確保網(wǎng)絡(luò)安全可信，還需從多個角度解決問題，如基礎(chǔ)設(shè)施、準(zhǔn)入機制、通信與傳輸規(guī)則、網(wǎng)絡(luò)可控性等。

結(jié)合內(nèi)外網(wǎng)絡(luò)訪問行為和多年實踐經(jīng)驗，可信數(shù)字網(wǎng)絡(luò)架構(gòu)主要分為五部分安全組件：訪問控制系統(tǒng)、數(shù)據(jù)交換系統(tǒng)、數(shù)據(jù)防泄密、安全對抗系統(tǒng)和安全中心。聯(lián)軟還在為不斷的完善其架構(gòu)內(nèi)容不懈努力著，另一方面會推進安全與業(yè)務(wù)融合的產(chǎn)品研發(fā)和落地實踐。結(jié)合現(xiàn)有安全技術(shù)發(fā)展趨勢，縱觀國內(nèi)外安全產(chǎn)品和技術(shù)，實則差距不大。

總體來看，業(yè)務(wù)與安全勢必會融合，單一安全產(chǎn)品的市場發(fā)展機遇會相應(yīng)縮減。該架構(gòu)目前很受金融行業(yè)的歡迎，因為金融行業(yè)的業(yè)務(wù)高度依賴于IT系統(tǒng)，一旦出現(xiàn)網(wǎng)絡(luò)安全問題對其業(yè)務(wù)、數(shù)據(jù)資產(chǎn)影響都較為嚴(yán)重，從業(yè)務(wù)層面分析來看，金融行業(yè)亟需解決天然的對于數(shù)據(jù)保密、入侵攻擊等的困擾問題?？尚艛?shù)字網(wǎng)絡(luò)架構(gòu)對于近幾年轉(zhuǎn)型成功的制造業(yè)，尤其是致力于高端設(shè)備的芯片行業(yè)的發(fā)展來講都十分重要。

我們相信未來社會、行業(yè)也會朝著內(nèi)生安全的趨勢前進，安全市場也會逐漸打磨形成一套完整性、可實用性較高的網(wǎng)絡(luò)架構(gòu)，幫助企業(yè)在經(jīng)濟上可持續(xù)、安全投資可控、安全性更為實際有效的方向演進。

05結(jié)論與思考

構(gòu)建符合內(nèi)生安全需要的可信數(shù)字網(wǎng)絡(luò)架構(gòu)，聯(lián)軟科技基于目前網(wǎng)絡(luò)安全行業(yè)內(nèi)多年研究與探索，從體系結(jié)構(gòu)的角度設(shè)計和實現(xiàn)了具有內(nèi)生安全防護的網(wǎng)絡(luò)架構(gòu)，以五大安全組件為核心聚合可信資源、安全服務(wù)、數(shù)據(jù)資產(chǎn)實現(xiàn)自動化調(diào)度，解決了網(wǎng)絡(luò)使用者或所有者間由于不信任導(dǎo)致的安全預(yù)算問題。未來，聯(lián)軟也將進一步完善可信數(shù)字網(wǎng)絡(luò)架構(gòu)的系統(tǒng)、設(shè)備的設(shè)計方案，結(jié)合實踐與應(yīng)用推動網(wǎng)安行業(yè)的新發(fā)展。