祝青柳,現(xiàn)任CSA大中華區(qū)會(huì)員單位聯(lián)軟科技股份有限公司總裁,2004年成為聯(lián)軟科技創(chuàng)辦人,受思科網(wǎng)絡(luò)準(zhǔn)入控制NAC的概念影響,發(fā)明了網(wǎng)絡(luò)接入設(shè)備快速發(fā)現(xiàn)與定位的專(zhuān)利技術(shù)、并首創(chuàng)了旁路式/準(zhǔn)旁路式準(zhǔn)入控制技術(shù),把網(wǎng)絡(luò)準(zhǔn)入控制概念與技術(shù)應(yīng)用在國(guó)內(nèi)進(jìn)行了推廣與普及,如EoU已經(jīng)成為業(yè)界通用的技術(shù)名詞。
隨著新一代通信基礎(chǔ)設(shè)施的建設(shè)和發(fā)展,企業(yè)在終端、邊緣、網(wǎng)絡(luò)、云上通過(guò)共享開(kāi)放通信、計(jì)算、存儲(chǔ)等多類(lèi)資源與能力,內(nèi)生安全成為行業(yè)乃至社會(huì)輿論重點(diǎn)關(guān)注的熱點(diǎn)話題。解決融合網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)資源、可信管理等多方面的可信數(shù)字網(wǎng)絡(luò)架構(gòu),將網(wǎng)絡(luò)安全能力賦予新的生命力,用于資源、數(shù)據(jù)等網(wǎng)絡(luò)資產(chǎn)識(shí)別與發(fā)現(xiàn),兼?zhèn)鋽?shù)據(jù)資源可信、隱私保護(hù)等服務(wù)。聯(lián)軟科技祝青柳在2020云安全聯(lián)盟大中華區(qū)大會(huì)上與大家分享《可信數(shù)字網(wǎng)絡(luò)架構(gòu)》的主題演講,CSA大中華區(qū)就如何定義、構(gòu)建可信數(shù)字網(wǎng)絡(luò)架構(gòu),對(duì)祝總進(jìn)行了采訪,對(duì)此進(jìn)一步展開(kāi)討論。
在過(guò)去十幾年的實(shí)踐中,聯(lián)軟科技率先探索出了一套幫助政企組織構(gòu)建內(nèi)生安全的可信數(shù)字網(wǎng)絡(luò)架構(gòu)。傳統(tǒng)網(wǎng)絡(luò)安全思維旨在通過(guò)多點(diǎn)配置安全產(chǎn)品解決安全困擾,隨著網(wǎng)絡(luò)技術(shù)和應(yīng)用的飛速發(fā)展,互聯(lián)網(wǎng)呈現(xiàn)出日益復(fù)雜、異構(gòu)等特點(diǎn),傳統(tǒng)安全思維已很難系統(tǒng)性解決安全問(wèn)題,企業(yè)針對(duì)性且多次購(gòu)入產(chǎn)品使得安全投入極高甚至造成負(fù)擔(dān)。它不僅是系統(tǒng)采購(gòu),還包括人員培訓(xùn)、系統(tǒng)維護(hù)等成本,因此,一套體系化的可信數(shù)字網(wǎng)絡(luò)架構(gòu)成為時(shí)代發(fā)展的迫切需求。
另一方面,祝青柳認(rèn)為可信數(shù)字網(wǎng)絡(luò)架構(gòu)可實(shí)現(xiàn)安全投資的經(jīng)濟(jì)可持續(xù),政企組織安全預(yù)算可控。一,實(shí)現(xiàn)安全產(chǎn)品之間可銜接,建立一套真正有效的網(wǎng)絡(luò)系統(tǒng)?,F(xiàn)在很多單位談及網(wǎng)絡(luò)安全容易將其絕對(duì)化考量,也就是將所有資源都用以安全,導(dǎo)致單次成本過(guò)高使組織機(jī)構(gòu)難以負(fù)荷。而經(jīng)濟(jì)上可持續(xù)是指:部署安全系統(tǒng)后不會(huì)致使業(yè)務(wù)系統(tǒng)無(wú)法運(yùn)轉(zhuǎn);二,安全系統(tǒng)實(shí)施后企業(yè)不會(huì)發(fā)生安全領(lǐng)域高投入低回報(bào),真正實(shí)現(xiàn)采購(gòu)產(chǎn)品與服務(wù)、系統(tǒng)運(yùn)維等一系列成本可以控制。
現(xiàn)今,國(guó)際上各個(gè)國(guó)家之間就經(jīng)濟(jì)、技術(shù)之間博弈,為了實(shí)現(xiàn)良性的發(fā)展,戰(zhàn)略部署上必然向可持續(xù)推進(jìn)。國(guó)家之間尚且如此,各企業(yè)的競(jìng)爭(zhēng)和進(jìn)步亦是同樣的,聯(lián)軟科技提出可信數(shù)字網(wǎng)絡(luò)架構(gòu)初衷是希望用一套方法幫助企業(yè)快速構(gòu)建安全系統(tǒng),以解決重要、關(guān)鍵的安全問(wèn)題,且經(jīng)濟(jì)、實(shí)用、可持續(xù),給行業(yè)內(nèi)各類(lèi)單位用較低成本、較少人力,針對(duì)性解決重點(diǎn)核心的問(wèn)題。
可信數(shù)字網(wǎng)絡(luò)架構(gòu)是聯(lián)軟科技根據(jù)深耕網(wǎng)安行業(yè)多年實(shí)踐,結(jié)合行業(yè)最新安全技術(shù)提煉形成。據(jù)悉,早在2014年聯(lián)軟受邀同國(guó)內(nèi)某知名證券公司聯(lián)合開(kāi)發(fā)一套面向移動(dòng)應(yīng)用的系統(tǒng)。該公司擁有龐大的移動(dòng)應(yīng)用網(wǎng)絡(luò),按照傳統(tǒng)安全方法將每個(gè)應(yīng)用都發(fā)布到互聯(lián)網(wǎng)上,再依次完成等保測(cè)評(píng)、漏洞掃描與管理、應(yīng)用管理和數(shù)據(jù)安全等內(nèi)容,基礎(chǔ)性安全建設(shè)投入完成后投資成本相對(duì)較高。通過(guò)三年的探索研究和安全實(shí)踐,最終設(shè)計(jì)完成了一套幫助企業(yè)內(nèi)部移動(dòng)應(yīng)用的發(fā)布管理、系統(tǒng)更新和數(shù)據(jù)安全治理,統(tǒng)一解決系統(tǒng)后端和通信安全的系統(tǒng)。以集中式、中間件的形式將以往在后期解決的安全問(wèn)題提前至開(kāi)發(fā)環(huán)節(jié)解決,以此方式將安全能力直接賦予應(yīng)用系統(tǒng),開(kāi)發(fā)應(yīng)用系統(tǒng)過(guò)程中也就實(shí)現(xiàn)了現(xiàn)在備受行業(yè)關(guān)注的“內(nèi)生安全”。整體采購(gòu)成本也大幅度降低,并且提升了系統(tǒng)開(kāi)發(fā)效率,有效解決數(shù)據(jù)防泄密、個(gè)人隱私保護(hù)等問(wèn)題。
其架構(gòu)特征有三點(diǎn):一,融合、統(tǒng)一的安全性能和運(yùn)行效率;二,系統(tǒng)建設(shè)投資運(yùn)維成本可控,可信數(shù)字網(wǎng)絡(luò)架構(gòu)能夠幫助用戶(hù)統(tǒng)一解決數(shù)據(jù)防泄密、系統(tǒng)防入侵和個(gè)人隱私保護(hù);三,應(yīng)用系統(tǒng)的開(kāi)發(fā)成本會(huì)下降,系統(tǒng)迭代、更新速度有效提高。
綜上,可信數(shù)字網(wǎng)絡(luò)架構(gòu)的主要價(jià)值在于:1) 針對(duì)不同的用戶(hù),采用不同的接入方式,快速部署安全策略,保障訪問(wèn)策略合規(guī);2) 針對(duì)不同類(lèi)型和不同重要級(jí)別的數(shù)據(jù)完整性、可用性和保密性防護(hù)需要,構(gòu)建統(tǒng)一安全防護(hù)機(jī)制,達(dá)成策略快速部署和有效落地;3) 針對(duì)不同類(lèi)型的應(yīng)用系統(tǒng)安全防御問(wèn)題,形成不同層次的邊界安全防御機(jī)制,有效構(gòu)建系統(tǒng)的第一道防線,確保系統(tǒng)能夠穩(wěn)定運(yùn)行。
可信數(shù)字網(wǎng)絡(luò)架構(gòu)是面向封閉的數(shù)字化系統(tǒng),即系統(tǒng)有明確的使用賬號(hào)、訪問(wèn)設(shè)備。不論是通過(guò)內(nèi)部網(wǎng)絡(luò)產(chǎn)生的訪問(wèn)需求,或是來(lái)自于互聯(lián)網(wǎng)、VPN的其他訪問(wèn)渠道。目前,很多用戶(hù)沒(méi)有專(zhuān)屬的完整數(shù)字空間,可信數(shù)字網(wǎng)絡(luò)架構(gòu)需要先建立一個(gè)專(zhuān)屬組織的數(shù)字空間,獨(dú)立賦予企業(yè)管控權(quán)限,該空間完全屬于企業(yè)自主控制、動(dòng)態(tài)授權(quán)。
從攻擊者視角自動(dòng)化、標(biāo)準(zhǔn)化對(duì)企業(yè)進(jìn)行檢測(cè)。大致分為四個(gè)步驟:一是建立獨(dú)立完整的數(shù)字空間;二是對(duì)已經(jīng)明確的賬號(hào)或設(shè)備進(jìn)行動(dòng)態(tài)授權(quán),以此完成數(shù)據(jù)安全、個(gè)人隱私保護(hù)機(jī)制的縱深部署;三是自動(dòng)化、標(biāo)準(zhǔn)化的檢測(cè)系統(tǒng)漏洞;四是從攻擊者的視角來(lái)測(cè)試??尚艛?shù)字網(wǎng)絡(luò)架構(gòu)的核心是不需要依賴(lài)于漏洞發(fā)現(xiàn)和修復(fù),因?yàn)槁┒吹臄?shù)量是無(wú)窮盡的,所以在可信數(shù)字網(wǎng)絡(luò)架構(gòu)中漏洞修復(fù)僅作為核心系統(tǒng)的補(bǔ)充?;诳尚艛?shù)字網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)使用國(guó)際相關(guān)標(biāo)準(zhǔn)落地,并結(jié)合細(xì)分領(lǐng)域安全產(chǎn)品同架構(gòu)進(jìn)行協(xié)同與聯(lián)動(dòng),最終形成體系化的保護(hù)方案。
探究可信數(shù)字網(wǎng)絡(luò)架構(gòu)和零信任SDP之間的區(qū)別與聯(lián)系,后者主要用以解決遠(yuǎn)程訪問(wèn)的安全保護(hù),保護(hù)企業(yè)核心數(shù)據(jù)資產(chǎn)。2004年聯(lián)軟科技推出了軟件定義訪問(wèn)(SDA),即根據(jù)已知賬號(hào)、設(shè)備硬件信息、用戶(hù)位置等信息推導(dǎo)出企業(yè)內(nèi)部應(yīng)用情況,SDA更多聚焦于非互聯(lián)網(wǎng)連接,而SDP則更關(guān)注外部訪問(wèn)行為的信任與安全,可信數(shù)字網(wǎng)絡(luò)架構(gòu)在二者的基礎(chǔ)上有效管理整合網(wǎng)絡(luò)安全資源,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)保護(hù)、防止機(jī)密數(shù)據(jù)外泄。為確保網(wǎng)絡(luò)安全可信,還需從多個(gè)角度解決問(wèn)題,如基礎(chǔ)設(shè)施、準(zhǔn)入機(jī)制、通信與傳輸規(guī)則、網(wǎng)絡(luò)可控性等。
結(jié)合內(nèi)外網(wǎng)絡(luò)訪問(wèn)行為和多年實(shí)踐經(jīng)驗(yàn),可信數(shù)字網(wǎng)絡(luò)架構(gòu)主要分為五部分安全組件:訪問(wèn)控制系統(tǒng)、數(shù)據(jù)交換系統(tǒng)、數(shù)據(jù)防泄密、安全對(duì)抗系統(tǒng)和安全中心。聯(lián)軟還在為不斷的完善其架構(gòu)內(nèi)容不懈努力著,另一方面會(huì)推進(jìn)安全與業(yè)務(wù)融合的產(chǎn)品研發(fā)和落地實(shí)踐。結(jié)合現(xiàn)有安全技術(shù)發(fā)展趨勢(shì),縱觀國(guó)內(nèi)外安全產(chǎn)品和技術(shù),實(shí)則差距不大。
總體來(lái)看,業(yè)務(wù)與安全勢(shì)必會(huì)融合,單一安全產(chǎn)品的市場(chǎng)發(fā)展機(jī)遇會(huì)相應(yīng)縮減。該架構(gòu)目前很受金融行業(yè)的歡迎,因?yàn)榻鹑谛袠I(yè)的業(yè)務(wù)高度依賴(lài)于IT系統(tǒng),一旦出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題對(duì)其業(yè)務(wù)、數(shù)據(jù)資產(chǎn)影響都較為嚴(yán)重,從業(yè)務(wù)層面分析來(lái)看,金融行業(yè)亟需解決天然的對(duì)于數(shù)據(jù)保密、入侵攻擊等的困擾問(wèn)題??尚艛?shù)字網(wǎng)絡(luò)架構(gòu)對(duì)于近幾年轉(zhuǎn)型成功的制造業(yè),尤其是致力于高端設(shè)備的芯片行業(yè)的發(fā)展來(lái)講都十分重要。
我們相信未來(lái)社會(huì)、行業(yè)也會(huì)朝著內(nèi)生安全的趨勢(shì)前進(jìn),安全市場(chǎng)也會(huì)逐漸打磨形成一套完整性、可實(shí)用性較高的網(wǎng)絡(luò)架構(gòu),幫助企業(yè)在經(jīng)濟(jì)上可持續(xù)、安全投資可控、安全性更為實(shí)際有效的方向演進(jìn)。
構(gòu)建符合內(nèi)生安全需要的可信數(shù)字網(wǎng)絡(luò)架構(gòu),聯(lián)軟科技基于目前網(wǎng)絡(luò)安全行業(yè)內(nèi)多年研究與探索,從體系結(jié)構(gòu)的角度設(shè)計(jì)和實(shí)現(xiàn)了具有內(nèi)生安全防護(hù)的網(wǎng)絡(luò)架構(gòu),以五大安全組件為核心聚合可信資源、安全服務(wù)、數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)自動(dòng)化調(diào)度,解決了網(wǎng)絡(luò)使用者或所有者間由于不信任導(dǎo)致的安全預(yù)算問(wèn)題。未來(lái),聯(lián)軟也將進(jìn)一步完善可信數(shù)字網(wǎng)絡(luò)架構(gòu)的系統(tǒng)、設(shè)備的設(shè)計(jì)方案,結(jié)合實(shí)踐與應(yīng)用推動(dòng)網(wǎng)安行業(yè)的新發(fā)展。