7月24日,由中關村科學城管委會、CCF計算機安全專委會、中國保密協會指導,中關村網絡安全與信息化產業聯盟主辦,北京指掌易科技有限公司承辦的首屆數字安全與信任高峰論壇在安徽黃山成功舉辦。
首屆數字安全與信任高峰論壇以“數字業務 安全先行”為主題,部委領導、網絡安全行業專家、各行各業安全負責人、國內一線安全廠商等數百名行業精英共聚一堂,積極響應國家政策指引與行業發展需求,共議數字化轉型背景下的數字安全話題。
暢談安全趨勢
直擊數字安全風險
公安部第一、第三研究所原所長、CCF計算機安全專委會榮譽主任嚴明在高峰論壇開場時談到,2021年作為十四五開篇之年,也是數字化深化改革之年。數字中國建設已經步入一個新的時代,眾多的行業企業也以前所未有的開放心態,在數字產業化、產業數字化的大潮中迎接數字時代。在數字化轉型的過程中,網絡安全問題和數據安全問題無疑是重中之重。如何用新的技術、領先的方案解決行業在數字化建設中的安全問題是數字化轉型過程中必須要思考好的問題。
(公安部第一、第三研究所原所長、CCF計算機安全專委會榮譽主任 嚴明)
論壇伊始,公安部網絡安全保衛局原局長顧建國、中國保密協會副會長紀清陽、公安部網絡安全保衛局原二級巡視員、中國計算機學會計算機安全專委會秘書長唐前臨,中關村網絡安全與信息化產業聯盟秘書長王海洋先后發表致辭。
公安部網絡安全保衛局原局長顧建國在為大會致辭時表示,面對新技術新一輪的發展和復雜的國際環境,我們也將面臨數據安全帶來了一系列新的安全問題,我國網絡安全產業發展小而多,小而分散,創新能力不強的問題仍然存在。
此外在法制建設方面,相應的法律法規和標準還沒有得到很好的貫徹落實。顧建國表示,隨著《網絡安全法》、《數據安全法》和《個人信息保護法》的陸續頒布實施,我國的網絡安全法律體系框架已經基本形成,下一步我國網絡安全的工作重心是抓好這些法律法規和標準的落地執行,下大力氣抓好法律規范和標準的宣傳。
(公安部網絡安全保衛局原局長 顧建國)
中國保密協會副會長紀清陽在致辭中表示,一個大規模生產、分享和應用數據的時代正在開啟,以此為伴,數據安全也正在走向前臺,數據主權已經成為了政治、經濟與國家安全的一個關鍵點,成為了世界大變局的一個關鍵部分,而《數據安全法》的實施,則標志著我國全面參與到了全球數據主權的博弈中來。如何幫助國家維護好數據主權,對于網絡安全企業來說將是一個巨大的挑戰,也將是前所未有的新機遇。
(中國保密協會副會長 紀清陽)
公安部網絡安全保衛局原二級巡視員、中國計算機學會計算機安全專委會秘書長唐前臨在致辭時談到,數字經濟作為發展最快、創新最活躍、輻射最廣的經濟活動,正在成為全球經濟復蘇和增長的重要驅動力,對于擴展新的經濟發展空間、推動傳統產業轉型升級、促進經濟可持續發展、提升社會管理和服務水平、帶動創新具有極為重要的戰略意義。
數字安全是保障數字經濟發展的重要基座,數字安全建設需要需要國家、行業和企業的共同協作,整合、凝聚國家信息安全領域的資源力量,共同為數字中國建設、數字經濟發展貢獻更多價值。
(中國計算機學會計算機安全專委會秘書長 唐前臨)
中關村網絡安全與信息化產業聯盟秘書長王海洋在致辭時表示,如今數字安全建設已逐漸成為政府、企業進行智能化決策的先決手段之一,全面提升網絡數據安全保護能力,是應對網絡安全新形勢的客觀要求。隨著《等保2.0》的全面開展,《數據安全法》的即將實施,以及《個人信息法(草案)》的加速審議,代表國家層面關于數字安全建設、數據安全保護的立法工作逐漸完善。在政策指引下,接下來中關村網絡安全與信息化產業聯盟的重點工作方向將聚焦于落地實踐,將數字安全保護工作在各行各業落到實處。
(中關村網絡安全與信息化產業聯盟秘書長 王海洋)
隨后,正奇學院校長譚曉生在題為《大道至簡,回歸安全本質》的演講中,為在場嘉賓分享了自身對于網絡安全產業未來發展趨勢的理解。譚校長談到,在當今的數字化時代,業務演進的速度尤為重要,安全與發展速度之間是相互制約的,企業業務如果帶著安全問題上線,那么很可能會死于信息安全事故,反之若是安全方面過于保守,也會導致業務發展速度緩慢,那么也可能導致自己的發展速度被競爭對手超越,最終企業仍然會走向滅亡。因此,譚校長認為在今后很長一段時間內,企業業務發展速度與安全之間的關系仍然需要動態的管控和平衡。
在他看來,安全服務將是未來的一種安全趨勢,讓少數專家能夠通過集中化的服務,讓更多的中小企業能夠不配備安全人員,購買安全服務,就達到一定的安全的水準,在不配備安全人員的情況下,只需要購買安全服務產品就能夠實現安全目標,這將是未來安全行業發展的一種解法。
(正奇學院校長 譚曉生)
中國網絡安全審查技術與認證中心首席專家李京春從關鍵信息基礎設施保護框架研究,與加快關鍵供應鏈產品創新和應用模式創新兩個主要方面,分享了我國關基保護框架研究與新對策的相關內容。
李京春認為,關鍵信息基礎設施網絡安全保護可歸為“內外保管治”。“內”即內生安全,系統、平臺、產品要有更多的自限性安全機制,在新基建當中發揮作用;“外”即在網絡安全方面,針對威脅情報大家要共享起來,外部的要聯防聯動,加強不同層級的,不同層面的保障;“保”即保障信息化建設和網絡安全建設的“三同步”——同步的規劃,同步的建設,同步的運行;“管”即管好系統運行的連續性,管好核心人員,管好數據,管好應急。“治”即針對網絡安全亂象進行治理,要打擊網絡的犯罪,加強網上的監督等,做到網絡安全的內核。
(中國網絡安全審查技術與認證中心首席專家 李京春)
北京大學網絡與信息安全實驗室主任陳鐘以《數字經濟時代的安全挑戰與機遇》為主題,重點闡述和討論了當前人工智能技術應用的網絡安全問題。陳鐘談到,當前賽博空間的規則、信任與價值正在重構,數字化、網絡化、智能化將會成為未來社會生產和生活的新常態。計算科學推動信息、物理和社會系統的融合,逐漸形成賽博科學與技術的新學科,“人-機-物”的新型賽博化融合將進一步影響社會學、心理學、法學等人文與社科的學科發展。
他認為,無人駕駛、智能合約、人工器官、陪伴機器人、數字克隆人等新型社會服務功能既會帶來便利和享受、同時也會帶來新的法律與社會關系的挑戰,賽博空間對“人-機-物”信任的需求將會比以往任何時候都更加迫切,將為網絡安全產業的發展帶來前所未有的挑戰與機遇。
(北京大學網絡與信息安全實驗室主任 陳鐘)
隨后,珠海大橫琴發展有限公司盧曉琪為在場嘉賓推介了珠海橫琴新區投資環境,橫琴新區將盡最大努力配合促進服務澳門產業多元的新興產業發展。在“吸引新澳企,增加新澳人、壯大新澳資”上做文章,構建“橫琴空間+澳門資源+全球優秀人才+現代高新科技”的全新發展格局,著力培育和發展高新技術、生物醫藥等產業,共同做大澳門新興產業經濟增量。
盧曉琪表示,大橫琴發展公司將會圍繞橫琴新區產業發展規劃,借助橫琴區位、政策、環境等多方面優勢開展多種業態、全生命周期的產業鏈招商工作,促進各類優質項目落戶橫琴。并以企業需求為出發點和落腳點,構建優質服務機構聚集、多層次公共服務系統和全方位商務平臺共享的產業創新生態系統,為企業提供全生命周期的產業服務、政務服務、商務服務。
(珠海大橫琴發展有限公司 盧曉琪)
EMGC工作組組長王克以《實名計算與信任》為題,分析了當前國際軟件供應鏈安全領域動態和趨勢,介紹了實名計算概念、理論基礎及工程技術體系。王克建議,建立和完善軟件安全相關政策、法規,將軟件供應鏈安全提高到國家戰略高度,納入國家網絡安全治理體系,加強政策引導,補齊法律法規、標準短板,使開展軟件供應鏈安全工作有法可依。
此外,研究建立軟件供應新模式,推廣“軟件標簽”新技術。加強軟件安全基礎研究,推廣以密碼數字簽名為基礎的“實名計算”技術,建立“軟件身份標簽”、“軟件認證標簽”體系,推動建立軟件標簽國際互認機制。另外還要加強軟件供應鏈過程監管。加強軟件開發使用開源代碼審核要求,加大軟件開發代碼安全審查力度,實行行業軟件認證制度,嚴把軟件安全、質量關,建立軟件運行管控措施,確保重要軟件系統運行安全。
(EMGC工作組組長 王克)
工信部網絡安全產業發展中心網安產業推進團隊負責人李吉音在《數字安全護航數字經濟新發展》主題演講中談到,在數字化轉型的過程中,需要各方協同合作,構建數字安全治理開放合作的生態。她表示,從企業來說,當企業的業務發展起來了之后,就必須要承擔相應的社會責任,當企業的數據量達到了一定程度時,就必須要考慮數據存儲的成本、運營的成本,同時也要考慮經濟的收益,以及面對國內外的一些新形勢和新問題。統籌好優化數字安全與數字業務發展的平衡。隨著《數據安全法》的正式出臺,產業各界應加強交流研討,共同推進數據安全治理“中國方案”落地。
(工信部網絡安全產業發展中心網安產業推進團隊負責人 李吉音)
隨后,在圓桌對話環節上,在指掌易副總裁丁俊一的主持下,EMGC工作組組長王克、指掌易CEO王偉、正奇學院校長譚曉生和蘋果資本合伙人張運霞四位行業大咖,圍繞當前國內零信任的發展和落地進行了深入的交流和碰撞,為企業依托零信任構建安全治理體系提供了方向和指引。
嘉賓們認為,面對不同的威脅,零信任不僅是一種安全理念,零信任的大規模應用,將會為網絡安全的整體格局帶來新鮮的血液,進一步促進網絡安全技術的健康發展,更好地解決安全問題。但也必須看到,不是說所有的企業,在所有的場景下都需要零信任。需要建立起適合我們中國中國特色,真正符合客戶需求的這樣一套思想和相應的解決方案。
共話零信任實踐
探討數字風險應對之道
7月24日下午,來自IDC中國、指掌易、億賽通、騰訊安全、中國農業銀行等調研機構、網絡安全甲方和乙方代表共同圍繞零信任的應用與實踐的話題進行分享。
IDC中國網絡安全研究總監王軍民以《數字世界需要信任》為題,與在場嘉賓共同探討了數字時代的安全風險,以及將零信任思想融入網絡安全防御體系建設的思考。王軍民建議,零信任不是一款標準產品,零信任建設也沒有標準流程,企業需要結合自身業務安全需求來選擇“最合適”的建設方案。此外,零信任建設也不可能一蹴而就,企業需要做好長期規劃并充分試點和全面測試,理性認知、逐步遷移。
(IDC中國網絡安全研究總監王軍民)
指掌易副總裁龐南分享了指掌易在企業遠程業務數據可信訪問方面的應用和實踐,并結合實際案例為在場嘉賓展示了指掌易EDTA企業數據可信訪問解決方案。他表示,近年來,云計算、移動化的發展給企業傳統IT架構帶來新的變化,企業數據分布不再單純存儲在內網數據中心,大量應用服務和核心業務數據開始轉移到云上。企業用來訪問這些數據和資源的終端也發生重大變化,從傳統的PC桌面到如今隨處可見的移動終端、甚至是物聯網設備,且設備類型包含企業資產和員工自帶設備。新的變化為傳統安全防護手段帶來新的挑戰。
結合客戶實際業務場景需求,指掌易聚焦問題根源,提出了針對性的解決思路——EDTA企業數據可信訪問解決方案。該方案包含EDP端點數據邊界和SDP軟件定義邊界兩個組成部分,可解決客戶可信運行環境建設、收縮互聯網暴露面、持續的訪問控制和數據鏈路保障等核心訴求。并且方案已成功應用于多個行業TOP客戶,市場反饋良好。
(指掌易副總裁 龐南)
億賽通技術總監孫超在會上分享了《數據安全的大勢與小節》主題演講,從理念、建設、實施等多個維度分享了數據安全體系防護經驗。孫超表示,億賽通數據安全建設理念包括“分•放•管•服”四步。
“分”是從整體架構的層面來規劃數據安全,是數據安全綜合解決方案的基礎,沒有準確合理的“分”就沒有有效安全的數據應用和管控。“放”的含義是指數據的流動與應用,“管”則是指保障數據的安全。高效的數據應用給機構帶來巨大的業務價值,但如果沒有數據安全的保障,則時刻面臨著巨大的運營風險,兩者之間是一個需要動態精準把握的平衡關系。
(億賽通技術總監孫超)
騰訊安全副總經理楊育斌以“敏捷安全新邊界”為題,分享了騰訊安全零信任iOA安全管理系統在辦公安全的建設經驗。楊育斌指出,作為一種戰略和框架,零信任是動態安全防護體系的進階,其關鍵是以身份安全為基礎,以SDP軟件定義接入邊界,對業務進行細粒度動態訪問控制和東西向安全隔離防護。零信任重塑網絡安全連接的身份接入防線、提高業務安全彈性、構建智能化持續業務安全能力三個維度提升企業安全建設水位,幫助企業實現業務安全和辦公效率的雙重提升。
作為零信任領域的先行者,騰訊從2016年開始在內部實踐落地零信任安全管理系統——騰訊iOA。目前,該方案已在政府、金融、物流、泛互、教育、大中型企業等多個行業領域應用落地。iOA的核心接入安全技術SDP作為傳統VPN替換解決方案,幫忙客戶快速應用零信任技術實現高效的接入安全,無需改造網絡,兼顧安全與連接效率的優勢,在眾多行業實踐中得到客戶的認可。
(騰訊安全副總經理楊育斌)
作為甲方代表,中國農業銀行科技與產品管理處處長何啟翱分享了中國農業銀行自數據安全防護體系建設方面的經驗與思考。何啟翱表示,隨著數字經濟快速發展,數據資產已成為現代經濟社會的重要生產要素,被視為新時代的“石油”,其價值越來越大,使用面越來越廣,面臨的安全風險也越來越高。隨著數據價值的提高,黑客越來越多的攻擊目標轉向企業內部存留的用戶、員工數據,當企業發生數據泄露時,損失的不僅僅是經濟利益,還面臨著聲譽、資金、合規、網絡攻擊等風險。
“數據安全管理與其說是管安全,其本質是保證數據訪問過程合理合規,即從全數據領域,按照數據全生命周期,建立管理組織、制度、技術工具以及人員能力,以全面構建數據安全管理能力。”何啟翱談到。
(中國農業銀行科技與產品管理處處長 何啟翱 )
編者按:
隨著云計算、大數據等新興技術的快速發展,企業數字化進程不斷深入,企業各個系統的應用逐漸轉向云端,業務架構和網絡環境發生了重大變化,網絡安全邊界逐漸模糊化,而快速增長的數字化辦公需求也讓企業辦公網絡更加復雜,如何確保多樣化辦公場景下的企業數據安全,成為企業數字化轉型的必答題。
在這樣的背景下,以“持續驗證,永不信任”為核心的零信任作為解決云網邊界消弭、重塑企業安全體系的新方式,逐漸成為行業關注的焦點,并得到了安全廠商及最終用戶的廣泛關注和認可。
本屆數字安全與信任高峰論壇,成功的搭建了一個數字安全與零信任領域多維度、多層次的交流平臺,論壇的成功召開加深了各行業對零信任思想的認知和了解,各位安全行業意見領袖和廠商代表帶來的前瞻思考,以及在各行業中的實際應用案例,為正在考慮建設零信任的企業提供了有益的參考。
正如演講嘉賓們所言,零信任安全的落地是一項龐大而復雜的工程,涉及到組織管理、技術、成本等多項因素,在實際落地過程中還存在諸多難點。長遠來看,零信任的理念的確契合了企業網絡無邊界化的發展趨勢,但零信任作為一種新生事物,未來如何廣泛在企業安全建設過程中落地,取決于市場與提供安全產品的安全廠商們相關安全技術是否成熟。
