導讀:CIO時代作為業(yè)內(nèi)專業(yè)的CIO智庫和研究組織,深諳CIO群體對產(chǎn)業(yè)安全的關注焦點,在技術日新月異的今天,安全問題已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的攔路石。在《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》報告發(fā)布之后,我們發(fā)現(xiàn)這些趨勢與CIO的聚焦點不謀而合,同時為企業(yè)的安全發(fā)展提供了前瞻觀點和洞察預判。
2月28日,在中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟指導下,人民郵電報、中國信息安全、騰訊安全聯(lián)合實驗室、騰訊研究院聯(lián)合推出了《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》。報告圍繞“產(chǎn)業(yè)安全宏觀態(tài)勢”、“產(chǎn)業(yè)安全實踐”、“產(chǎn)業(yè)安全技術演進”三大維度,面向年度行業(yè)趨勢進行分析和研判,為產(chǎn)業(yè)數(shù)字化發(fā)展提供參考和指引。
報告指出,2022年將是產(chǎn)業(yè)安全深化發(fā)展至關重要的一年。政策法規(guī)從“立”向“行”,新技術、新應用不斷興起,新領域需求不斷涌現(xiàn),千億級別市場的安全產(chǎn)業(yè)正加速繪就新圖景,為高質(zhì)量發(fā)展夯實基礎、筑牢屏障。在這樣的背景下,行業(yè)需要聚合最頂尖的思想,對未來進行充分的研判,為產(chǎn)業(yè)互聯(lián)網(wǎng)深化發(fā)展提供參考和借鑒,助力安全行業(yè)更好面對挑戰(zhàn)。
CIO時代作為業(yè)內(nèi)專業(yè)的CIO智庫和研究組織,深諳CIO群體對產(chǎn)業(yè)安全的關注焦點,在技術日新月異的今天,安全問題已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的攔路石。在《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》報告發(fā)布之后,我們發(fā)現(xiàn)這些趨勢與CIO的聚焦點不謀而合,同時為企業(yè)的安全發(fā)展提供了前瞻觀點和洞察預判。
在這十大趨勢中,除了政策法規(guī)和生態(tài)建設為廣大決策層所關注之外,在技術演進方面最為CIO所關注的主要是零信任概念和數(shù)據(jù)安全。這是因為,零信任架構可確保企業(yè)核心資產(chǎn)不受侵害,數(shù)據(jù)則驅(qū)動著業(yè)務發(fā)展,數(shù)據(jù)安全則業(yè)務安全,零信任和數(shù)據(jù)安全猶如一架馬車的兩個轅,決定著企業(yè)的發(fā)展方向和前進動力,是企業(yè)的生存之本,強盛之根,全面護航企業(yè)的數(shù)字化轉(zhuǎn)型。
讓我們先看一下報告中是如何論述這兩方面的。
關于零信任,報告認為:2022年,零信任將帶動產(chǎn)業(yè)安全發(fā)生顯著變化。一是大批安全廠商將會密集推出零信任安全產(chǎn)品,并在政企用戶中實現(xiàn)一定范圍的落地應用;二是多維度身份屬性代理技術需要深入研究。綜合用戶信息、設備狀態(tài)、網(wǎng)絡地址、業(yè)務上下文以及訪問時間、空間位置等各個維度的身份實體屬性作為實施授權的依據(jù),且申請授權時按需臨時產(chǎn)生,定期失效。有效降低基于單一維度實施訪問授權的漏洞風險;三是可變信任評估技術對網(wǎng)絡代理提供的多維度實時屬性信息,進行實時信任評估和分析,通過持續(xù)量化評估網(wǎng)絡活動風險等級,為訪問授權提供判斷依據(jù)。四是云計算業(yè)務將更需要零信任技術。云計算的快速發(fā)展和普及應用,包括應用云化,基礎架構的異構化和混合化,業(yè)務的數(shù)字生態(tài)化以及接入網(wǎng)絡及設備的多元化等因素推動了更多企業(yè)開始通過部署零信任架構來建立能夠適應云時代的全新安全體系。另外,2022年,基于零信任思路的產(chǎn)品化探索,整個行業(yè)會基于客戶的需求更重實效,以解決現(xiàn)實訴求為目標獲取市場。此外,報告還號召整個行業(yè)共同反對零信任的泛化、濫化和概念化。
而在數(shù)據(jù)安全方面,報告指出:數(shù)據(jù)要素融合趨勢帶來跨領域、跨行業(yè)、跨地域之間的數(shù)據(jù)流通,在增進數(shù)字經(jīng)濟規(guī)模的同時,也放大了數(shù)據(jù)泄露的安全問題。現(xiàn)在,如何解決數(shù)據(jù)要素流通和數(shù)據(jù)隱私泄露之間的矛盾成為了解決數(shù)據(jù)要素市場化的關鍵,而隱私計算則以其“數(shù)據(jù)可用不可見”的特性為這一問題打開了技術突破口。2022年,隨著我國數(shù)據(jù)要素市場的加速建設,以及技術科普和市場教育的日漸完善,越來越多的隱私計算試點項目將不斷落地,隱私計算技術創(chuàng)新和標準規(guī)范將日趨成熟,市場規(guī)模將呈穩(wěn)步增長態(tài)勢。
為什么這兩項最為CIO們所關注,這也是我們CIO時代近些年一直觀察和研究的課題。
數(shù)據(jù)的價值:從昔日的固定資產(chǎn)到現(xiàn)在的五大生產(chǎn)要素之一
2020年4月9日,中共中央國務院首次公布關于要素市場化配置的文件——《關于構建更加完善的要素市場化配置體制機制的意見》,指出土地、勞動力、資本、技術、數(shù)據(jù)五大生產(chǎn)要素的改革方向和相關體制機制的建設要求,這是中央首次將數(shù)據(jù)明確為五大生產(chǎn)要素之一。
“得數(shù)據(jù)者得天下”,數(shù)據(jù)之所以如此重要,是因為在過去我們所認知的網(wǎng)絡世界里,數(shù)據(jù)只是網(wǎng)絡連接衍生出來的一種資產(chǎn),各級組織機構只將其看作固定資產(chǎn)而加以保護。但隨著數(shù)字世界的到來,人們對數(shù)據(jù)的威力有了新的認識,數(shù)據(jù)的重要性被提升到了前所未有的高速,它已不再是組織里固化的資產(chǎn),而是被當作生產(chǎn)要素,它需要被釋放,需要流動起來為組織創(chuàng)造價值。
正因為如此,數(shù)據(jù)成了人們眼中的香餑餑,數(shù)據(jù)泄露事件因此屢見不鮮,成為組織數(shù)字化轉(zhuǎn)型進程中的頑疾。根據(jù)Canalys的統(tǒng)計,2020年數(shù)據(jù)泄露事件呈現(xiàn)爆發(fā)式增長,一年內(nèi)的泄露記錄超過過去十五年的總和。
從保護數(shù)據(jù)的層面,我國在頂層建設方面一直在不斷提速和加碼。2020年“十四五”規(guī)劃綱要提出將數(shù)據(jù)視作數(shù)字化轉(zhuǎn)型核心驅(qū)動力,同時合規(guī)監(jiān)管也日趨嚴格,陸續(xù)發(fā)布了《中華人民共和國民法典》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律,構建了數(shù)據(jù)安全法律體系。
在技術方面,隱私計算以其“數(shù)據(jù)可用不可見”的特性打開了這一問題的技術突破口。新技術的發(fā)展為統(tǒng)籌釋放數(shù)據(jù)價值和保證數(shù)據(jù)安全提供技術實現(xiàn)可能性,有效促進數(shù)據(jù)價值的共享流通和協(xié)同應用。隨著數(shù)據(jù)融合趨勢日盛,安全合規(guī)保護要求日嚴,隱私計算技術受到市場的廣泛青睞,開始蓬勃發(fā)展,隨著世界各地相繼出臺數(shù)據(jù)保護法律法規(guī),隱私計算技術的專利申請數(shù)量也呈現(xiàn)爆發(fā)式增長。
今天,數(shù)字化轉(zhuǎn)型的深度發(fā)展,數(shù)據(jù)已經(jīng)成為企業(yè)的命脈,不僅為企業(yè)的日常生產(chǎn)銷售提供支撐,同時助力提升決策能力,深入洞察客戶,CIO群體對數(shù)據(jù)資產(chǎn)管理的重視程度日益提高。但隨著互聯(lián)網(wǎng)技術的爆發(fā),數(shù)據(jù)安全的問題卻又日益頻發(fā)。在實現(xiàn)數(shù)據(jù)安全方面,CIO們更需要一種顛覆性思維和深入實踐來指導企業(yè)的數(shù)字化轉(zhuǎn)型落地。
零信任:產(chǎn)業(yè)安全建設理念的根本性轉(zhuǎn)變
“零信任”最早雛形源于2004年成立的耶利哥論壇(Jericho Forum ),2010年“零信任”概念由市場研究機構Forrester正式提出。2018年開始,我國中央部委、國家機關和中大型企業(yè)也開始探索和實踐零信任安全架構。2019年9月,工信部公開征求對《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見(征求意見稿)》的意見,除了提出對市場規(guī)模和產(chǎn)業(yè)安全企業(yè)的要求,《意見》還將“零信任安全”列入需要“著力突破的網(wǎng)絡安全關鍵技術”。
零信任要解決的是傳統(tǒng)安全邊界消失的問題。一般認為,傳統(tǒng)網(wǎng)絡安全架構默認內(nèi)網(wǎng)是安全的,產(chǎn)業(yè)安全重點在邊界防御,因此在邊界部署大量安全產(chǎn)品如防火墻、DDoS, WAF, IDS/ IPS、網(wǎng)閘等設備對網(wǎng)絡邊界進行防護,而對企業(yè)內(nèi)產(chǎn)業(yè)安全則重視度不夠。隨著業(yè)務需求和技術的演進,內(nèi)部員工、業(yè)務合作伙伴甚至供應商都有訪問企業(yè)數(shù)據(jù)的需求,在這種情況下,傳統(tǒng)的安全邊界不復存在,外網(wǎng)和內(nèi)網(wǎng)不再涇渭分明,行業(yè)迫切需要一種顛覆性的思維和方法來重新定義產(chǎn)業(yè)安全,“零信任安全”應運而生。
“零信任安全”引導安全體系架構從網(wǎng)絡中心化走向身份中心化,其本質(zhì)訴求是以身份為中心進行訪問控制,以身份來定義企業(yè)的安全邊界,用一句話來概括,零信任安全,強調(diào)的是“永不信任和永遠驗證”。
特別是當前,各行各業(yè)都在加速推進數(shù)字化轉(zhuǎn)型進程,尤其是在后疫情時代,隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等技術廣泛應用到企業(yè)信息化建設和業(yè)務發(fā)展中,遠程辦公、業(yè)務協(xié)同、分支互聯(lián)等業(yè)務需求快速發(fā)展,企業(yè)原有的網(wǎng)絡邊界逐漸模糊,由此帶來的網(wǎng)絡安全風險和威脅普遍存在,在這種情況下,基于“永不信任,永遠驗證”原則的零信任架構成為解決問題的核心手段。
對于任何一位決心推動數(shù)字化轉(zhuǎn)型的CIO來說,零信任架構是無法忽視和規(guī)避的產(chǎn)業(yè)趨勢。也正因為零信任概念在安全領域的顛覆性作用,我們才會在報告中看到2021年零信任市場大額投融資市場大事件不斷,這在另外一個層面也反映了零信任概念的深入人心和光明前景。同時,CIO們已經(jīng)逐漸從對“零信任”理念的深度理解,逐漸開始在企業(yè)內(nèi)部實踐落地,這也印證了報告中關于“零信任”趨勢的觀點,逐步落地實踐、應用場景的創(chuàng)新、架構的變遷,CIO們在“零信任”之路上越走越堅定。
以上是CIO時代對報告中有關數(shù)據(jù)安全和零信任地理解和解讀。令人安慰和可喜的是,我們看到了在去年9月份,在中國信息協(xié)會主辦的2021第三屆中國電子政務安全大會上,騰訊安全一家就摘得了“2021中國數(shù)據(jù)安全領導力企業(yè)”、“2021中國數(shù)據(jù)安全優(yōu)秀解決方案”、“2021中國數(shù)據(jù)安全優(yōu)秀樣板工程”三項大獎,相信未來的產(chǎn)業(yè)安全之路,騰訊安全能繼續(xù)為業(yè)界帶來更多的創(chuàng)新和驚喜,陪伴CIO人群成長,助力CIO引領的企業(yè)數(shù)字化轉(zhuǎn)型。