2月28日,在中國產業(yè)互聯(lián)網發(fā)展聯(lián)盟指導下���,人民郵電報�、中國信息安全����、騰訊安全聯(lián)合實驗室、騰訊研究院聯(lián)合推出了《2022產業(yè)互聯(lián)網安全十大趨勢》����。報告圍繞“產業(yè)安全宏觀態(tài)勢”、“產業(yè)安全實踐”�、“產業(yè)安全技術演進”三大維度,面向年度行業(yè)趨勢進行分析和研判�����,為產業(yè)數字化發(fā)展提供參考和指引�����。
報告指出��,2022年將是產業(yè)安全深化發(fā)展至關重要的一年。政策法規(guī)從“立”向“行”�,新技術、新應用不斷興起�����,新領域需求不斷涌現(xiàn)���,千億級別市場的安全產業(yè)正加速繪就新圖景,為高質量發(fā)展夯實基礎�����、筑牢屏障����。在這樣的背景下,行業(yè)需要聚合最頂尖的思想�����,對未來進行充分的研判�����,為產業(yè)互聯(lián)網深化發(fā)展提供參考和借鑒,助力安全行業(yè)更好面對挑戰(zhàn)�。
CIO時代作為業(yè)內專業(yè)的CIO智庫和研究組織,深諳CIO群體對產業(yè)安全的關注焦點�����,在技術日新月異的今天�����,安全問題已經成為企業(yè)數字化轉型的攔路石����。在《2022產業(yè)互聯(lián)網安全十大趨勢》報告發(fā)布之后,我們發(fā)現(xiàn)這些趨勢與CIO的聚焦點不謀而合���,同時為企業(yè)的安全發(fā)展提供了前瞻觀點和洞察預判�����。
在這十大趨勢中���,除了政策法規(guī)和生態(tài)建設為廣大決策層所關注之外,在技術演進方面最為CIO所關注的主要是零信任概念和數據安全���。這是因為�����,零信任架構可確保企業(yè)核心資產不受侵害�,數據則驅動著業(yè)務發(fā)展,數據安全則業(yè)務安全��,零信任和數據安全猶如一架馬車的兩個轅�����,決定著企業(yè)的發(fā)展方向和前進動力��,是企業(yè)的生存之本����,強盛之根���,全面護航企業(yè)的數字化轉型�����。
讓我們先看一下報告中是如何論述這兩方面的����。
關于零信任,報告認為:2022年�,零信任將帶動產業(yè)安全發(fā)生顯著變化。一是大批安全廠商將會密集推出零信任安全產品����,并在政企用戶中實現(xiàn)一定范圍的落地應用;二是多維度身份屬性代理技術需要深入研究�����。綜合用戶信息����、設備狀態(tài)、網絡地址�����、業(yè)務上下文以及訪問時間��、空間位置等各個維度的身份實體屬性作為實施授權的依據�,且申請授權時按需臨時產生,定期失效��。有效降低基于單一維度實施訪問授權的漏洞風險;三是可變信任評估技術對網絡代理提供的多維度實時屬性信息�,進行實時信任評估和分析,通過持續(xù)量化評估網絡活動風險等級����,為訪問授權提供判斷依據。四是云計算業(yè)務將更需要零信任技術�����。云計算的快速發(fā)展和普及應用�,包括應用云化����,基礎架構的異構化和混合化,業(yè)務的數字生態(tài)化以及接入網絡及設備的多元化等因素推動了更多企業(yè)開始通過部署零信任架構來建立能夠適應云時代的全新安全體系�����。另外��,2022年����,基于零信任思路的產品化探索����,整個行業(yè)會基于客戶的需求更重實效����,以解決現(xiàn)實訴求為目標獲取市場。此外��,報告還號召整個行業(yè)共同反對零信任的泛化����、濫化和概念化。
而在數據安全方面���,報告指出:數據要素融合趨勢帶來跨領域�、跨行業(yè)�、跨地域之間的數據流通,在增進數字經濟規(guī)模的同時�,也放大了數據泄露的安全問題。現(xiàn)在��,如何解決數據要素流通和數據隱私泄露之間的矛盾成為了解決數據要素市場化的關鍵�,而隱私計算則以其“數據可用不可見”的特性為這一問題打開了技術突破口。2022年�����,隨著我國數據要素市場的加速建設,以及技術科普和市場教育的日漸完善����,越來越多的隱私計算試點項目將不斷落地,隱私計算技術創(chuàng)新和標準規(guī)范將日趨成熟�,市場規(guī)模將呈穩(wěn)步增長態(tài)勢。
為什么這兩項最為CIO們所關注����,這也是我們CIO時代近些年一直觀察和研究的課題。
數據的價值:從昔日的固定資產到現(xiàn)在的五大生產要素之一
2020年4月9日��,中共中央國務院首次公布關于要素市場化配置的文件——《關于構建更加完善的要素市場化配置體制機制的意見》��,指出土地���、勞動力、資本�、技術、數據五大生產要素的改革方向和相關體制機制的建設要求��,這是中央首次將數據明確為五大生產要素之一��。
“得數據者得天下”,數據之所以如此重要�,是因為在過去我們所認知的網絡世界里,數據只是網絡連接衍生出來的一種資產�����,各級組織機構只將其看作固定資產而加以保護����。但隨著數字世界的到來,人們對數據的威力有了新的認識��,數據的重要性被提升到了前所未有的高速����,它已不再是組織里固化的資產,而是被當作生產要素����,它需要被釋放,需要流動起來為組織創(chuàng)造價值��。
正因為如此�,數據成了人們眼中的香餑餑,數據泄露事件因此屢見不鮮,成為組織數字化轉型進程中的頑疾�����。根據Canalys的統(tǒng)計���,2020年數據泄露事件呈現(xiàn)爆發(fā)式增長�����,一年內的泄露記錄超過過去十五年的總和����。
從保護數據的層面�,我國在頂層建設方面一直在不斷提速和加碼。2020年“十四五”規(guī)劃綱要提出將數據視作數字化轉型核心驅動力�����,同時合規(guī)監(jiān)管也日趨嚴格����,陸續(xù)發(fā)布了《中華人民共和國民法典》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律����,構建了數據安全法律體系��。
在技術方面����,隱私計算以其“數據可用不可見”的特性打開了這一問題的技術突破口��。新技術的發(fā)展為統(tǒng)籌釋放數據價值和保證數據安全提供技術實現(xiàn)可能性�����,有效促進數據價值的共享流通和協(xié)同應用�����。隨著數據融合趨勢日盛����,安全合規(guī)保護要求日嚴,隱私計算技術受到市場的廣泛青睞�,開始蓬勃發(fā)展,隨著世界各地相繼出臺數據保護法律法規(guī)��,隱私計算技術的專利申請數量也呈現(xiàn)爆發(fā)式增長�����。
今天,數字化轉型的深度發(fā)展��,數據已經成為企業(yè)的命脈����,不僅為企業(yè)的日常生產銷售提供支撐,同時助力提升決策能力�����,深入洞察客戶�,CIO群體對數據資產管理的重視程度日益提高。但隨著互聯(lián)網技術的爆發(fā)���,數據安全的問題卻又日益頻發(fā)�����。在實現(xiàn)數據安全方面����,CIO們更需要一種顛覆性思維和深入實踐來指導企業(yè)的數字化轉型落地��。
零信任:產業(yè)安全建設理念的根本性轉變
“零信任”最早雛形源于2004年成立的耶利哥論壇(Jericho Forum )���,2010年“零信任”概念由市場研究機構Forrester正式提出���。2018年開始,我國中央部委�����、國家機關和中大型企業(yè)也開始探索和實踐零信任安全架構��。2019年9月�,工信部公開征求對《關于促進網絡安全產業(yè)發(fā)展的指導意見(征求意見稿)》的意見,除了提出對市場規(guī)模和產業(yè)安全企業(yè)的要求���,《意見》還將“零信任安全”列入需要“著力突破的網絡安全關鍵技術”���。
零信任要解決的是傳統(tǒng)安全邊界消失的問題。一般認為�,傳統(tǒng)網絡安全架構默認內網是安全的,產業(yè)安全重點在邊界防御���,因此在邊界部署大量安全產品如防火墻����、DDoS, WAF, IDS/ IPS、網閘等設備對網絡邊界進行防護����,而對企業(yè)內產業(yè)安全則重視度不夠。隨著業(yè)務需求和技術的演進�,內部員工、業(yè)務合作伙伴甚至供應商都有訪問企業(yè)數據的需求����,在這種情況下,傳統(tǒng)的安全邊界不復存在����,外網和內網不再涇渭分明,行業(yè)迫切需要一種顛覆性的思維和方法來重新定義產業(yè)安全����,“零信任安全”應運而生。
“零信任安全”引導安全體系架構從網絡中心化走向身份中心化��,其本質訴求是以身份為中心進行訪問控制��,以身份來定義企業(yè)的安全邊界�����,用一句話來概括,零信任安全�����,強調的是“永不信任和永遠驗證”�。
特別是當前�,各行各業(yè)都在加速推進數字化轉型進程,尤其是在后疫情時代�����,隨著云計算�����、大數據�����、移動互聯(lián)網�����、物聯(lián)網、5G等技術廣泛應用到企業(yè)信息化建設和業(yè)務發(fā)展中����,遠程辦公、業(yè)務協(xié)同�、分支互聯(lián)等業(yè)務需求快速發(fā)展,企業(yè)原有的網絡邊界逐漸模糊�,由此帶來的網絡安全風險和威脅普遍存在,在這種情況下����,基于“永不信任,永遠驗證”原則的零信任架構成為解決問題的核心手段�����。
對于任何一位決心推動數字化轉型的CIO來說�,零信任架構是無法忽視和規(guī)避的產業(yè)趨勢。也正因為零信任概念在安全領域的顛覆性作用��,我們才會在報告中看到2021年零信任市場大額投融資市場大事件不斷��,這在另外一個層面也反映了零信任概念的深入人心和光明前景�。同時,CIO們已經逐漸從對“零信任”理念的深度理解��,逐漸開始在企業(yè)內部實踐落地,這也印證了報告中關于“零信任”趨勢的觀點��,逐步落地實踐����、應用場景的創(chuàng)新、架構的變遷�����,CIO們在“零信任”之路上越走越堅定�。
以上是CIO時代對報告中有關數據安全和零信任地理解和解讀�����。令人安慰和可喜的是���,我們看到了在去年9月份��,在中國信息協(xié)會主辦的2021第三屆中國電子政務安全大會上��,騰訊安全一家就摘得了“2021中國數據安全領導力企業(yè)”����、“2021中國數據安全優(yōu)秀解決方案”、“2021中國數據安全優(yōu)秀樣板工程”三項大獎�����,相信未來的產業(yè)安全之路����,騰訊安全能繼續(xù)為業(yè)界帶來更多的創(chuàng)新和驚喜,陪伴CIO人群成長��,助力CIO引領的企業(yè)數字化轉型�����。
