奇安信吴云坤:零信任是数据安全的必然选择和创新方向
釋出日期:2021-12-16 作者:奇安信集团
“數據安全是數字化時代關基保護的核心和關鍵。”12月16日,在由中國計算機學會計算機安全專委會數據安全工作組舉辦的“零信任分論壇”上,奇安信集團總裁、中國計算機學會計算機安全專委會常委吳雲坤在主題演講中提出,基於零信任架構,結合零信任與數據實體防護,構建數據安全技術防禦體系。
隨着數字化的深入,數據成為重要生產資料。吳雲坤指出,數字化業務的開展,改變了信息化環境,帶來了新的安全需求,數字化場景下保護對象從雲網端和運行環境擴展到數據核心資產,數據安全保護面臨着多重挑戰。
首先,隨着數字化業務的開展,數據由靜止轉向流動,數據安全場景發生了改變,數據安全保護的難度加大;
其次,保護對象發生變化,防禦措施和手段也需要更新;
第三,數據安全管理和技術需要融合,才能有效支撐技術的落地執行。
數據安全靠的不是單點技術,而是能力體系。真正做好數據安全防護,需要從零散建設升級到體系化建設,內生安全框架是安全體系化建設的核心,“一中心兩體系”是內生安全框架落地的具體方法。
其中,態勢感知和運營管控中心通過建立認知能力,揪出威脅、阻斷威脅,確保安全能力行之有效,零信任體系和安全防護體系分別解決“內鬼”和外部攻擊的問題。
具體來説,安全防護體系面向外部攻擊防護,可基於實戰化的攻擊向量框架,分析數據中心可能的威脅攻擊路徑,設計數據中心分層安全防護能力框架,開展縱深防禦措施的部署,實現安全與信息化的各層級的全面覆蓋和深度結合。
零信任體系則面向內部業務訪問管控,讓內部合法身份能夠便捷訪問應有的數據和應用,同時防止合法身份的異常行為,將“零信任架構”與“數據安全防護體系”相結合,做到“主體身份可信、行為操作合規、計算環境與數據實體有效防護”,確保合適的人、在合適的時間、以合理的方式,訪問合適的數據。
吳雲坤錶示,數據安全的整體防護思路,就是圍繞整個業務流轉和數據流動進行防護,以數據安全治理為基礎支撐,得出數據安全策略,把精準管控與實體防護拉通,構建結合“以身份為基石、以規則為準繩、持續信任評估、動態業務合規”的數據安全。
作為國內零信任身份安全的首倡者、本次論壇的承辦單位之一,奇安信還在展區展示了“奇安信零信任身份安全解決方案”。目前,該方案已經在部委、央企、金融等行業進行廣泛應用,充分幫助構建組織“內生安全”能力,推動零信任理念在多個行業的實踐落地,並多次獲得Forrester、IDC等知名研究機構推薦,得到了市場、業界的高度認可。