12月16日下午,由国家信息中心《信息安全研究》杂志社主办的2021网络安全创新发展高峰论坛-零信任分论坛在北京圆满举办,会议由中国科学院大学密码学院院长荆继武主持,多位来自部委、央企、大型企事业单位、网络安全企业的专家学者出席并发表主题演讲。
公安部第一研究所副所长、中国计算机学会计算机安全专委会主任于锐在为论坛致辞时表示,当前,数字经济已经成为引领全球经济社会变革,推动我国经济高质量发展的重要引擎。同时,网络边界越来越模糊,安全形势越来越严峻,对关键信息基础设施的攻击导致重要数据的破坏与泄露事件不断发生,对我国信息技术创新、供应链及关基设施的安全防护提出了更高要求。传统单一、零散、静态的网络安全措施和保障体系已经难以适应数字化转型下的人、机、物的多元融合和数据实时流通的发展趋势,构建以身份为基石的、动态控制的零信任体系成为解决新时代网络安全问题的新理念与新架构,这也是中国计算机学会计算机安全专委会推动国内开展相关学术研究和技术交流以及本次论坛举办的意义所在。
奇安信集团总裁、中国计算机学会计算机安全专委会常委吴云坤为论坛致辞并发表主题演讲,他提出基于零信任架构,结合零信任与数据实体防护,构建数据安全技术防御体系。在数字化场景下,安全保护对象从云网端和运行环境扩展到数据核心资产,驱使保护方式需要从静态保护转向动态保护,从零散安全建设升级到体系化安全建设。对此他提出“一中心两体系”的内生安全框架落地方法,态势感知与运营管控中心通过建立认知能力,看到、揪出并阻断威胁,确保安全能力行之有效;安全防护体系把资源化的安全能力以服务的形式嵌入到数字化系统的各个层级,进行有效防护,并与“中心”协同;零信任体系作为动态授信体系在用户的整个网络活动过程中不断检查凭证,将零信任架构与数据安全防护体系相结合,做到主体身份可信、行为操作合规、计算环境与数据实体有效防护。
中国信息安全研究院副院长左晓栋针对眼下的零信任热潮作出了冷静观察与思考。他指出,零信任的产生有客观必然性,源于网络安全风险加大,传统信任模型受到挑战。零信任的实质是对访问控制的新要求,不是网络安全的全部。发展零信任,应当认清零信任的本质:这是一种理念和思路,不是某种固定的技术,也不是对既有技术和体系结构的颠覆。当前,对零信任的宣传和应用存在一些不严谨的做法,零信任的出现满足了资本始终寻找网络安全领域亮点、爆发点的包装需求,目前一定程度上是资本在推着零信任走,而不是需求在主导零信任发展。为了迎合资本炒作,一些人过分夸大了零信任的作用,将其作为解决网络安全问题的灵丹妙药,脱离了其作为访问控制策略的技术实质,甚至将其上升到一种颠覆性网络安全技术,人为制造了零信任与现有网络安全技术措施的对立。零信任“永不信任、持续验证”的典型口号容易使人误以为“信任”不再需要,事实上,“信任”是社会运转和系统运行的基础,零信任也恰恰是为了建立信任,误导性宣传也使得零信任受到很多抵触。
北京芯盾时代科技有限公司创始人&CTO孙悦以多个企业自身服务客户的案例讲述了零信任「体系化」落地实践方法论。其总结目前零信落地存在落地场景难选取、安全体系难改造、实施效果难评估、体系建设难持续四大挑战,并针对性提出“诊-规-点-线-环”落地实践方法论,针对用户的安全能力、安全痛点进行深度调研,结合安全能力成熟度模型全面塑造用户画像,以此进行合理的安全规划,基于ROI、微创性、可见性、系统性、延续性等多维度原则选取第落地点。同时,安全建设是长线过程,让可信实体身份识别、全域风险感知、资源安全访问、动态自适应访问控制等等安全运营能力并行,充分发挥零信任价值,后续进行持续性的评估和优化,不断提升零信任体系的能力。
北京数字认证股份有限公司董事长詹榜华发表了“零信任与密码”的主题演讲。“信任是是数字交互的基础和前提,而零信任安全是以建立网络信任和管理网络信任为基础,多种安全保障措施协同构建网络安全保障体系的理念或思路。”詹榜华表示,实现零信任安全的关键能力体现为“五大支柱、三个层面”,五大支柱是指身份、设备、网络、应用、数据,每个支柱的能力均从三个层面展开,即感知与分析、自动化响应与动态调整、策略管理。他以支柱之一“身份”为例,密码技术是解决网络身份问题的核心技术和最佳实践,通过数字证书、OTP令牌、FIDO认证等方式实现身份鉴别;而到了“设备信任”这一支柱中,设备的信任要素包含硬件配置的可信和软件配置的可信,而代码签名则是解决设备的软件配置可信问题的关键技术。
上海派拉软件股份有限公司创始人&软件营销副总裁郭辉在演讲中介绍了数字化技术架构的演进过程,他指出数字身份是数字化的新边界。在“移动+云”的时代背景下,为企业构建起一个虚拟边界,利用基于身份访问控制,通过完备的最小权限机制,为业务服务提供隐身和加密通道保护,使攻击者因看不到目标而无法对企业的资源发动攻击,从而保护数据安全。
国家信息技术安全研究中心总师郭晓雷介绍了我国数据安全保护相关要求及访问控制应用情况,他指出需要建立包含物理设备、信息系统、数据等在内的资源清单并加强标识化管理,对资源实施细粒度访问控制,开展持续的面向信任的监测和分析。
2021网络安全创新发展高峰论坛-零信任分论坛通过政策解读、技术发展和趋势探讨、解决方案落地应用分析等不同视角和不同维度的交流分享,帮助企业用户厘清了零信任的本质与内涵,了解到零信任架构在各种场景中的应用难点及解决路径,共同推动了零信任在数字经济建设道路上的进一步发展。