社會(huì )數字化轉型不斷深入，遠程辦公的用戶(hù)和市場(chǎng)規模呈現出爆發(fā)式增長(cháng)，邊界變得更加模糊，使得安全威脅更加難以防范。《數據安全法》的頒布對企業(yè)數據安全保障和管理提出了更高的要求，數據的分級分類(lèi)，數據在流動(dòng)過(guò)程中的采集、傳輸、存儲、處理、交換、銷(xiāo)毀等數據全生命周期中都需要落實(shí)安全保障。這些業(yè)務(wù)與政策上的變化為企業(yè)帶來(lái)新的安全挑戰。
　　二、保護企業(yè)數據安全，從零信任開(kāi)始

　　企業(yè)發(fā)展邁入數字經(jīng)濟時(shí)代，數據是核心生產(chǎn)要素，是國家基礎性和戰略性資源。數據安全問(wèn)題影響國家發(fā)展與安全，關(guān)系公眾利益，也與公民個(gè)人權益密切相關(guān)。零信任架構的最根本的目的就是為了保護數據安全，通過(guò)數據防泄漏、數據庫審計、虛擬沙箱、隱藏水印、用戶(hù)和實(shí)體行為分析、云訪(fǎng)問(wèn)安全代理等一系列技術(shù)來(lái)進(jìn)行數據的保護、分類(lèi)、隔離和控制，對靜態(tài)數據和傳輸中的數據進(jìn)行加密處理，最終實(shí)現數據的安全防護。

　　一是，零信任安全架構需要對任何接入對象進(jìn)行持續安全驗證，實(shí)現對用戶(hù)訪(fǎng)問(wèn)數據權限的控制，這也符合了《數據安全法》對數據分類(lèi)分級保護的規定。

　　二是，通過(guò)建立終端設備零信任、用戶(hù)零信任、流量零信任和應用零信任機制，構建端到端全流程信任鏈，可以滿(mǎn)足《數據安全法》對數據安全管理的要求。

　　三是，通過(guò)全網(wǎng)威脅態(tài)勢感知和網(wǎng)絡(luò )安全聯(lián)動(dòng)對潛在的安全風(fēng)險進(jìn)行溯源處置，可以滿(mǎn)足《數據安全法》對安全風(fēng)險可監測和處置的要求。

　　零信任是當下熱門(mén)的網(wǎng)絡(luò )安全技術(shù)理念。中國信息安全研究院副院長(cháng)左曉棟在主旨發(fā)言中對零信任進(jìn)行了深度解讀。零信任的產(chǎn)生有客觀(guān)必然性，它源于網(wǎng)絡(luò )安全風(fēng)險加大，傳統信任模型受到挑戰。以前的訪(fǎng)問(wèn)主體和客體都相對簡(jiǎn)單、明確，但物聯(lián)網(wǎng)和大數據技術(shù)的應用使主客體變得日益多樣化，越來(lái)越難以保證數量繁多的主客體始終處在可信狀態(tài)。

　　為了應對網(wǎng)絡(luò )安全形勢變化，零信任要求實(shí)施動(dòng)態(tài)細粒度訪(fǎng)問(wèn)控制，這是零信任的本質(zhì)特征。即，身份認證不再依賴(lài)邊界防御，而是需要持續驗證身份，且服務(wù)、資源、環(huán)境等變化均是判斷身份是否可信的考量因素。零信任的實(shí)質(zhì)是對訪(fǎng)問(wèn)控制的新要求，不是網(wǎng)絡(luò )安全的全部。

　　零信任作為一種理念和思路，不是對既有技術(shù)和體系結構的顛覆。零信任的實(shí)現離不開(kāi)網(wǎng)絡(luò )安全基本能原理。企業(yè)和廠(chǎng)商要在零信任“熱”中進(jìn)行“冷”思考，重視實(shí)踐和實(shí)效，通過(guò)技術(shù)升級真正解決安全挑戰和問(wèn)題。

　

　　面向數字化轉型，數據的分級分類(lèi)管理是實(shí)施數據全生命周期安全保護的重要基礎。只有在科學(xué)、規范的分級分類(lèi)管理基礎上，才能夠有效地保護數據的安全。華為零信任安全解決方案可以做到數據端到端全生命周期防護，保護數據安全。

　　華為零信任安全解決方案具備三大特點(diǎn)：1、持續驗證“準”：持續監測終端設備和用戶(hù)的安全風(fēng)險，可監測的終端評估項超過(guò)50類(lèi)，通過(guò)多維安全感知可以保障接入網(wǎng)絡(luò )的終端設備和用戶(hù)值得信任。2、動(dòng)態(tài)授權“快”：根據授權主體、客體環(huán)境和行為風(fēng)險進(jìn)行動(dòng)態(tài)授權，實(shí)現應用、功能、API、數據等維度的精細安全訪(fǎng)問(wèn)控制。3、全局防御“穩”：通過(guò)多方面評估，創(chuàng )建一條完整的信任鏈實(shí)現端到端加密訪(fǎng)問(wèn)業(yè)務(wù)時(shí)延無(wú)感知。

　　華為零信任安全解決方案當前覆蓋了政企行業(yè)用戶(hù)的典型應用場(chǎng)景，如敏感業(yè)務(wù)訪(fǎng)問(wèn)、數據交換和遠程辦公場(chǎng)景等，適用于政府、部委、金融、交通等大型企業(yè)。以零信任安全方案在大數據中心應用為例，華為零信任安全訪(fǎng)問(wèn)在某省級政府單位的數據中心已持續穩定運行超過(guò)一年，通過(guò)零信任安全接入，覆蓋應用40多個(gè)，用戶(hù)終端超過(guò)1.5萬(wàn)，每天攔截的未授權訪(fǎng)問(wèn)達到300+，端到端訪(fǎng)問(wèn)時(shí)延毫秒級，在既保證安全的同時(shí)又不影響客戶(hù)的使用體驗，有效保證了相關(guān)大型組織數據中心的安全。

　

　　全球安全漏洞和攻擊事件頻發(fā)，《數據安全法》、《關(guān)鍵信息基礎設施安全保護條例》、《個(gè)人信息保護法》等法律條例不斷推出，網(wǎng)絡(luò )安全的監管力度持續加大。華為作為全球領(lǐng)先的ICT基礎設施和智能終端提供商，網(wǎng)絡(luò )安全是華為公司的最高綱領(lǐng)。在零信任實(shí)踐論壇中，華為中國首席網(wǎng)絡(luò )安全與用戶(hù)隱私保護官李加贊分享了華為端到端網(wǎng)絡(luò )安全治理與思考。講述了華為如何構筑并全面實(shí)施端到端的全球網(wǎng)絡(luò )安全保障體系，在公司治理、流程、研發(fā)、驗證、供應、交付、審計等各個(gè)領(lǐng)域踐行網(wǎng)絡(luò )安全與用戶(hù)隱私保護，在每一個(gè)ICT基礎設施產(chǎn)品和解決方案中，都融入信任、構建高質(zhì)量，助力客戶(hù)打造網(wǎng)絡(luò )韌性。

　　

　　吉大正元副總裁張寶欣分享了基于密碼的零信任體系，希望通過(guò)將密碼技術(shù)賦能零信任架構，為零信任解決方案建立堅實(shí)的安全底座，為廣大用戶(hù)在提升網(wǎng)絡(luò )安全能力的同時(shí)，也為符合等保、密評的相關(guān)要求做好準備。

　　零信任安全解決方案的實(shí)際交付并不是交鑰匙工程。除了有完善的方案和成熟的產(chǎn)品做支撐外，還需要對客戶(hù)的使用場(chǎng)景進(jìn)行全面而細致的調研，結合用戶(hù)業(yè)務(wù)場(chǎng)景才能最大程度上兼顧安全性與易用性。吉大正元注重對零信任應用場(chǎng)景與安全策略的積累，現已具備大量開(kāi)箱即用的安全策略，包括：動(dòng)態(tài)訪(fǎng)問(wèn)控制策略、用戶(hù)實(shí)體行為分析策略、終端環(huán)境感知策略等。能夠在短時(shí)間內根據不同行業(yè)用戶(hù)的需求，為客戶(hù)量身打造零信任安全基線(xiàn)。

　　

　　聯(lián)軟科技聯(lián)合創(chuàng )始人張建耀表示，端點(diǎn)安全是零信任實(shí)踐的關(guān)鍵一環(huán)。聯(lián)軟可提供終端安全一體化的能力，通過(guò)終端安全管理模塊，保障終端可管；通過(guò)網(wǎng)絡(luò )準入控制，保障身份可信；通過(guò)終端EDR，保障入侵可防；通過(guò)終端DLP，保證數據可控。從體檢、到入網(wǎng)、到檢查響應，最終圍繞著(zhù)數據的保護，構成了零信任端點(diǎn)動(dòng)態(tài)智能防護的重要部分。聯(lián)軟科技借助于網(wǎng)絡(luò )準入控制、終端安全和終端數據安全等能力，從傳統的內網(wǎng)安全到內網(wǎng)零信任可以很平滑的遷移，目前已經(jīng)在金融、政府、高端制造業(yè)等領(lǐng)域有豐富的實(shí)踐。

　

　　竹云首席運營(yíng)官戴立偉在論壇中分享了以現代IAM體系構筑零信任安全實(shí)踐場(chǎng)景主題演講。IAM作為零信任的核心組件，可提供端到端的安全和可信支撐，構建以身份為核心、應用權限為對象、動(dòng)態(tài)訪(fǎng)問(wèn)控制為手段的統一身份訪(fǎng)問(wèn)與權限管理系統。

　　竹云零信任安全訪(fǎng)問(wèn)整體解決方案已在眾多大型企業(yè)應用，通過(guò)全面的權限管理體系，實(shí)現底層網(wǎng)絡(luò )安全和上層應用安全的關(guān)聯(lián)和融合。竹云零信任訪(fǎng)問(wèn)平臺在某大型集團企業(yè)已接入1000余個(gè)應用，覆蓋本地、移動(dòng)端、云端等多類(lèi)型應用。通過(guò)風(fēng)險引擎模塊實(shí)現日均300萬(wàn)次風(fēng)險檢測，并實(shí)時(shí)將風(fēng)險事件轉發(fā)到態(tài)勢感知，通過(guò)實(shí)時(shí)可視化監測，實(shí)現事前預警、事中訪(fǎng)問(wèn)控制和事后追溯的全流程閉環(huán)管控。

　　在圓桌討論環(huán)節，北京賽博英杰科技有限公司董事長(cháng)譚曉生邀請與會(huì )嘉賓共同討論了零信任在國內各行業(yè)的優(yōu)秀實(shí)踐。

　　竹云首席運營(yíng)官戴立偉首先分享了一個(gè)汽車(chē)制造企業(yè)分階段建立IAM體系的案例。IAM有不同的建設方法和方式，通過(guò)分階段持續性建立，對員工、伙伴等內部人員進(jìn)行身份管理和風(fēng)險動(dòng)態(tài)控制，實(shí)現了權限統一管理和動(dòng)態(tài)權限聯(lián)動(dòng)，有效解決了權限冒用風(fēng)險和安全事件回溯的難題。

　　9月1日《數據安全法》開(kāi)始實(shí)施以后，如何通過(guò)零信任解決數據安全問(wèn)題，聯(lián)軟科技聯(lián)合創(chuàng )始人張建耀認為，零信任核心的理念在于持續驗證及最小化的授權，這與數據安全法是吻合的。同時(shí)也應該認識到數據安全是非常大的話(huà)題，需要根據場(chǎng)景和保護對象，進(jìn)行技術(shù)選擇，平衡安全和效率。

　　吉大正元副總裁張寶欣認為，在零信任實(shí)踐中，密碼技術(shù)提供安全信任的基礎。零信任關(guān)注身份管理，通過(guò)身份管理為設備、應用、API訪(fǎng)問(wèn)和人員頒發(fā)數字證書(shū)，解決信道安全問(wèn)題。通過(guò)國密證書(shū)的政策，發(fā)放加密證書(shū)和簽名證書(shū)，實(shí)現雙向國密通道認證，同時(shí)通過(guò)高性能硬件，還可以實(shí)現每秒數十萬(wàn)次的簽名驗簽，確保效率。

　　最后，華為安全產(chǎn)品領(lǐng)域副總裁王任棟介紹了華為的零信任優(yōu)秀實(shí)踐，以華為HiSec Insight安全態(tài)勢感知系統及HiSecEngine系列安全網(wǎng)關(guān)為核心的安全方案，包括智慧城市移動(dòng)辦公、政務(wù)園區SDP代理接入、政務(wù)重要應用訪(fǎng)問(wèn)、金融遠程辦公等場(chǎng)景。同時(shí)，華為零信任安全解決方案中包含了生態(tài)合作廠(chǎng)商，通過(guò)市場(chǎng)調研，選擇產(chǎn)品領(lǐng)先、研發(fā)能力扎實(shí)、以客戶(hù)為中心的優(yōu)質(zhì)企業(yè)，并且在客戶(hù)方案實(shí)施過(guò)程中，通過(guò)生態(tài)聯(lián)合驗證實(shí)驗室機制保障產(chǎn)品組合的實(shí)施質(zhì)量。