7月24日,由中关村科学城管委会、CCF计算机安全专委会、中国保密协会指导,中关村网络安全与信息化产业联盟主办,北京指掌易科技有限公司承办的首届数字安全与信任高峰论坛在安徽黄山正式举办。
首届数字安全与信任高峰论坛以“数字业务 安全先行”为主题,部委领导、网络安全行业专家、各行各业安全负责人、国内一线安全厂商等数百名行业精英共聚一堂,积极响应国家政策指引与行业发展需求,共议数字化转型背景下的数字安全话题。
畅谈安全趋势 直击数字安全风险
公安部第一、第三研究所原所长、CCF计算机安全专委会荣誉主任严明在高峰论坛开场时谈到,2021年作为十四五开篇的一年,也是数字化深化改革之年。数字中国建设已经步入一个新的时代,众多的行业企业也以前所未有的开放心态,在数字产业化、产业数字化的大潮中迎接数字时代。在数字化转型的过程中,网络安全问题和数据安全问题无疑是重中之重。如何用新的技术、领先的方案解决行业在数字化建设中的安全问题是数字化转型过程中必须要思考好的问题。
论坛伊始,公安部网络安全保卫局原局长顾建国、中国保密协会副会长纪清阳、公安部网络安全保卫局原二级巡视员、中国计算机学会计算机安全专委会秘书长唐前临,中关村网络安全与信息化产业联盟秘书长王海洋先后发表致辞。
公安部网络安全保卫局原局长顾建国在为大会致辞时表示,面对新技术新一轮的发展和复杂的国际环境,我们也将面临数据安全带来了一系列新的安全问题,我国网络安全产业发展小而多,小而分散,创新能力不强的问题仍然存在。
此外在法制建设方面,相应的法律法规和标准还没有得到很好的贯彻落实。顾建国表示,随着《网络安全法》、《数据安全法》和《个人信息保护法》的陆续颁布实施,我国的网络安全法律体系框架已经基本形成,下一步我国网络安全的工作重心是抓好这些法律法规和标准的落地执行,下大力气抓好法律规范和标准的宣传。
中国保密协会副会长纪清阳在致辞中表示,一个大规模生产、分享和应用数据的时代正在开启,以此为伴,数据安全也正在走向前台,数据主权已经成为了政治、经济与国家安全的一个关键点,成为了世界大变局的一个关键部分,而《数据安全法》的实施,则标志着我国全面参与到了全球数据主权的博弈中来。如何帮助国家维护好数据主权,对于网络安全企业来说将是一个巨大的挑战,也将是前所未有的新机遇。
公安部网络安全保卫局原二级巡视员、中国计算机学会计算机安全专委会秘书长唐前临在致辞时谈到,数字经济作为发展最快、创新最活跃、辐射最广的经济活动,正在成为全球经济复苏和增长的重要驱动力,对于扩展新的经济发展空间、推动传统产业转型升级、促进经济可持续发展、提升社会管理和服务水平、带动创新具有极为重要的战略意义。
数字安全是保障数字经济发展的重要基座,数字安全建设需要需要国家、行业和企业的共同协作,整合、凝聚国家信息安全领域的资源力量,共同为数字中国建设、数字经济发展贡献更多价值。
中关村网络安全与信息化产业联盟秘书长王海洋在致辞时表示,如今数字安全建设已逐渐成为政府、企业进行智能化决策的先决手段之一,全面提升网络数据安全保护能力,是应对网络安全新形势的客观要求。随着《等保2.0》的全面开展,《数据安全法》的即将实施,以及《个人信息法(草案)》的加速审议,代表国家层面关于数字安全建设、数据安全保护的立法工作逐渐完善。在政策指引下,接下来中关村网络安全与信息化产业联盟的重点工作方向将聚焦于落地实践,将数字安全保护工作在各行各业落到实处。
随后,正奇学院校长谭晓生在题为《大道至简,回归安全本质》的演讲中,为在场嘉宾分享了自身对于网络安全产业未来发展趋势的理解。谭校长谈到,在当今的数字化时代,业务演进的速度尤为重要,安全与发展速度之间是相互制约的,企业业务如果带着安全问题上线,那么很可能会死于信息安全事故,反之若是安全方面过于保守,也会导致业务发展速度缓慢,那么也可能导致自己的发展速度被竞争对手超越,最终企业仍然会走向灭亡。因此,谭校长认为在今后很长一段时间内,企业业务发展速度与安全之间的关系仍然需要动态的管控和平衡。
在他看来,安全服务将是未来的一种安全趋势,安全服务的发展会让少数专家能够通过集中化的服务,帮助更多的中小企业在不配备安全人员的情况下,只需要购买安全服务产品就实现安全目标,这将是未来安全行业发展的一种解法。
中国网络安全审查技术与认证中心首席专家李京春从关键信息基础设施保护框架研究,与加快关键供应链产品创新和应用模式创新两个主要方面,分享了我国关基保护框架研究与新对策的相关内容。
李京春认为,关键信息基础设施网络安全保护可归为“内外保管治”。“内”即内生安全,系统、平台、产品要有更多的自限性安全机制,在新基建当中发挥作用;“外”即在网络安全方面,针对威胁情报大家要共享起来,外部的要联防联动,加强不同层级的,不同层面的保障;“保”即保障信息化建设和网络安全建设的“三同步”——同步的规划,同步的建设,同步的运行;“管”即管好系统运行的连续性,管好核心人员,管好数据,管好应急。“治”即针对网络安全乱象进行治理,要打击网络的犯罪,加强网上的监督等,做到网络安全的内核。
北京大学网络与信息安全实验室主任陈钟以《数字经济时代的安全挑战与机遇》为主题,重点阐述和讨论了当前人工智能技术应用的网络安全问题。陈钟谈到,当前赛博空间的规则、信任与价值正在重构,数字化、网络化、智能化将会成为未来社会生产和生活的新常态。计算科学推动信息、物理和社会系统的融合,逐渐形成赛博科学与技术的新学科,“人-机-物”的新型赛博化融合将进一步影响社会学、心理学、法学等人文与社科的学科发展。
他认为,无人驾驶、智能合约、人工器官、陪伴机器人、数字克隆人等新型社会服务功能既会带来便利和享受、同时也会带来新的法律与社会关系的挑战,赛博空间对“人-机-物”信任的需求将会比以往任何时候都更加迫切,将为网络安全产业的发展带来前所未有的挑战与机遇。
随后,珠海大横琴发展有限公司卢晓琪为在场嘉宾推介了珠海横琴新区投资环境,横琴新区将尽最大努力配合促进服务澳门产业多元的新兴产业发展。在“吸引新澳企,增加新澳人、壮大新澳资”上做文章,构建“横琴空间+澳门资源+全球优秀人才+现代高新科技”的全新发展格局,着力培育和发展高新技术、生物医药等产业,共同做大澳门新兴产业经济增量。
卢晓琪表示,大横琴发展公司将会围绕横琴新区产业发展规划,借助横琴区位、政策、环境等多方面优势开展多种业态、全生命周期的产业链招商工作,促进各类优质项目落户横琴。并以企业需求为出发点和落脚点,构建优质服务机构聚集、多层次公共服务系统和全方位商务平台共享的产业创新生态系统,为企业提供全生命周期的产业服务、政务服务、商务服务。
EMGC工作组组长王克以《实名计算与信任》为题,分析了当前国际软件供应链安全领域动态和趋势,介绍了实名计算概念、理论基础及工程技术体系。王克建议,建立和完善软件安全相关政策、法规,将软件供应链安全提高到国家战略高度,纳入国家网络安全治理体系,加强政策引导,补齐法律法规、标准短板,使开展软件供应链安全工作有法可依。
此外,研究建立软件供应新模式,推广“软件标签”新技术。加强软件安全基础研究,推广以密码数字签名为基础的“实名计算”技术,建立“软件身份标签”、“软件认证标签”体系,推动建立软件标签国际互认机制。另外还要加强软件供应链过程监管。加强软件开发使用开源代码审核要求,加大软件开发代码安全审查力度,实行行业软件认证制度,严把软件安全、质量关,建立软件运行管控措施,确保重要软件系统运行安全。
工信部网络安全产业发展中心网安产业推进团队负责人李吉音在《数字安全护航数字经济新发展》主题演讲中谈到,在数字化转型的过程中,需要各方协同合作,构建数字安全治理开放合作的生态。她表示,从企业来说,当企业的业务发展起来了之后,就必须要承担相应的社会责任,当企业的数据量达到了一定程度时,就必须要考虑数据存储的成本、运营的成本,同时也要考虑经济的收益,以及面对国内外的一些新形势和新问题。统筹好优化数字安全与数字业务发展的平衡。随着《数据安全法》的正式出台,产业各界应加强交流研讨,共同推进数据安全治理“中国方案”落地。
随后,在圆桌对话环节上,在指掌易副总裁丁俊一的主持下,中关村网络安全与信息化产业联盟EMGC工作组组长王克、指掌易CEO王伟、正奇学院校长谭晓生和苹果资本合伙人张运霞四位行业大咖,围绕当前国内零信任的发展和落地进行了深入的交流和碰撞,为企业依托零信任构建安全治理体系提供了方向和指引。
嘉宾们认为,面对不同的威胁,零信任不仅是一种安全理念,零信任的大规模应用,将会为网络安全的整体格局带来新鲜的血液,进一步促进网络安全技术的健康发展,更好地解决安全问题。但也必须看到,不是说所有的企业,在所有的场景下都需要零信任。需要建立起适合我们中国中国特色,真正符合客户需求的这样一套思想和相应的解决方案。
共话零信任实践 探讨数字风险应对之道
7月24日下午,来自IDC中国、指掌易、亿赛通、腾讯安全、中国农业银行与中国电信等调研机构、网络安全甲方和乙方代表共同围绕零信任的应用与实践的话题进行分享。
IDC中国网络安全研究总监王军民以《数字世界需要信任》为题,与在场嘉宾共同探讨了数字时代的安全风险,以及将零信任思想融入网络安全防御体系建设的思考。王军民建议,零信任不是一款标准产品,零信任建设也没有标准流程,企业需要结合自身业务安全需求来选择“最合适”的建设方案。此外,零信任建设也不可能一蹴而就,企业需要做好长期规划并充分试点和全面测试,理性认知、逐步迁移。
指掌易副总裁庞南分享了指掌易在企业远程业务数据可信访问方面的应用和实践,并结合实际案例为在场嘉宾展示了指掌易EDTA企业数据可信访问解决方案。他表示,近年来,云计算、移动化的发展给企业传统IT架构带来新的变化,企业数据分布不再单纯存储在内网数据中心,大量应用服务和核心业务数据开始转移到云上。企业用来访问这些数据和资源的终端也发生重大变化,从传统的PC桌面到如今随处可见的移动终端、甚至是物联网设备,且设备类型包含企业资产和员工自带设备。新的变化为传统安全防护手段带来新的挑战。
结合客户实际业务场景需求,指掌易聚焦问题根源,提出了针对性的解决思路——EDTA企业数据可信访问解决方案。该方案包含EDP端点数据边界和SDP软件定义边界两个组成部分,可解决客户可信运行环境建设、收缩互联网暴露面、持续的访问控制和数据链路保障等核心诉求。并且方案已成功应用于多个行业TOP客户,市场反馈良好。
亿赛通技术总监孙超在会上分享了《数据安全的大势与小节》主题演讲,从理念、建设、实施等多个维度分享了数据安全体系防护经验。孙超表示,亿赛通数据安全建设理念包括“分•放•管•服”四步。
“分”是从整体架构的层面来规划数据安全,是数据安全综合解决方案的基础,没有准确合理的“分”就没有有效安全的数据应用和管控。“放”的含义是指数据的流动与应用,“管”则是指保障数据的安全。高效的数据应用给机构带来巨大的业务价值,但如果没有数据安全的保障,则时刻面临着巨大的运营风险,两者之间是一个需要动态精准把握的平衡关系。
腾讯安全副总经理杨育斌以“敏捷安全新边界”为题,分享了腾讯安全零信任iOA安全管理系统在办公安全的建设经验。杨育斌指出,作为一种战略和框架,零信任是动态安全防护体系的进阶,其关键是以身份安全为基础,以SDP软件定义接入边界,对业务进行细粒度动态访问控制和东西向安全隔离防护。零信任重塑网络安全连接的身份接入防线、提高业务安全弹性、构建智能化持续业务安全能力三个维度提升企业安全建设水位,帮助企业实现业务安全和办公效率的双重提升。
作为零信任领域的先行者,腾讯从2016年开始在内部实践落地零信任安全管理系统——腾讯iOA。目前,该方案已在政府、金融、物流、泛互、教育、大中型企业等多个行业领域应用落地。iOA的核心接入安全技术SDP作为传统VPN替换解决方案,帮助客户快速应用零信任技术实现高效的接入安全,无需改造网络,兼顾安全与连接效率的优势,在众多行业实践中得到客户的认可。
作为甲方代表,中国农业银行科技与产品管理处处长何启翱分享了中国农业银行自数据安全防护体系建设方面的经验与思考。何启翱表示,随着数字经济快速发展,数据资产已成为现代经济社会的重要生产要素,被视为新时代的“石油”,其价值越来越大,使用面越来越广,面临的安全风险也越来越高。随着数据价值的提高,黑客越来越多的攻击目标转向企业内部存留的用户、员工数据,当企业发生数据泄露时,损失的不仅仅是经济利益,还面临着声誉、资金、合规、网络攻击等风险。
“数据安全管理与其说是管安全,其本质是保证数据访问过程合理合规,即从全数据领域,按照数据全生命周期,建立管理组织、制度、技术工具以及人员能力,以全面构建数据安全管理能力。”何启翱谈到。
写在最后:
随着云计算、大数据等新兴技术的快速发展,企业数字化进程不断深入,企业各个系统的应用逐渐转向云端,业务架构和网络环境发生了重大变化,网络安全边界逐渐模糊化,而快速增长的数字化办公需求也让企业办公网络更加复杂,如何确保多样化办公场景下的企业数据安全,成为企业数字化转型的必答题。
在这样的背景下,以“持续验证,永不信任”为核心的零信任作为解决云网边界消弭、重塑企业安全体系的新方式,逐渐成为行业关注的焦点,并得到了安全厂商及最终用户的广泛关注和认可。
本届数字安全与信任高峰论坛成功地搭建了一个数字安全与零信任领域多维度、多层次的交流平台,论坛的成功召开加深了各行业对零信任思想的认知和了解,各位安全行业意见领袖和厂商代表带来的前瞻思考,以及在各行业中的实际应用案例,为正在考虑建设零信任的企业提供了有益的参考。
正如演讲嘉宾们所言,零信任安全的落地是一项庞大而复杂的工程,涉及到组织管理、技术、成本等多项因素,在实际落地过程中还存在诸多难点。长远来看,零信任的理念的确契合了企业网络无边界化的发展趋势,但零信任作为一种新生事物,未来如何广泛在企业安全建设过程中落地,取决于市场与提供安全产品的安全厂商们相关安全技术是否成熟。
期待看到国内的优秀安全厂商们在零信任安全建设方面的更多实践,也期待看到看到零信任领域的安全厂商们走出一条更适合中国发展的道路和方向,为我们带来更多惊喜。