“数据安全是数字化时代关基保护的核心和关键。”12月16日,在由中国计算机学会计算机安全专委会数据安全工作组举办的“零信任分论坛”上,奇安信集团总裁、中国计算机学会计算机安全专委会常委吴云坤在主题演讲中提出,基于零信任架构,结合零信任与数据实体防护,构建数据安全技术防御体系。
随着数字化的深入,数据成为重要生产资料。吴云坤指出,数字化业务的开展,改变了信息化环境,带来了新的安全需求,数字化场景下保护对象从云网端和运行环境扩展到数据核心资产,数据安全保护面临着多重挑战。
首先,随着数字化业务的开展,数据由静止转向流动,数据安全场景发生了改变,数据安全保护的难度加大;
其次,保护对象发生变化,防御措施和手段也需要更新;
第三,数据安全管理和技术需要融合,才能有效支撑技术的落地执行。
数据安全靠的不是单点技术,而是能力体系。真正做好数据安全防护,需要从零散建设升级到体系化建设,内生安全框架是安全体系化建设的核心,“一中心两体系”是内生安全框架落地的具体方法。
其中,态势感知和运营管控中心通过建立认知能力,揪出威胁、阻断威胁,确保安全能力行之有效,零信任体系和安全防护体系分别解决“内鬼”和外部攻击的问题。
具体来说,安全防护体系面向外部攻击防护,可基于实战化的攻击向量框架,分析数据中心可能的威胁攻击路径,设计数据中心分层安全防护能力框架,开展纵深防御措施的部署,实现安全与信息化的各层级的全面覆盖和深度结合。
零信任体系则面向内部业务访问管控,让内部合法身份能够便捷访问应有的数据和应用,同时防止合法身份的异常行为,将“零信任架构”与“数据安全防护体系”相结合,做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”,确保合适的人、在合适的时间、以合理的方式,访问合适的数据。
吴云坤表示,数据安全的整体防护思路,就是围绕整个业务流转和数据流动进行防护,以数据安全治理为基础支撑,得出数据安全策略,把精准管控与实体防护拉通,构建结合“以身份为基石、以规则为准绳、持续信任评估、动态业务合规”的数据安全。
作为国内零信任身份安全的首倡者、本次论坛的承办单位之一,奇安信还在展区展示了“奇安信零信任身份安全解决方案”。目前,该方案已经在部委、央企、金融等行业进行广泛应用,充分帮助构建组织“内生安全”能力,推动零信任理念在多个行业的实践落地,并多次获得Forrester、IDC等知名研究机构推荐,得到了市场、业界的高度认可。