祝青柳,现任CSA大中华区会员单位联软科技股份有限公司总裁,2004年成为联软科技创办人,受思科网络准入控制NAC的概念影响,发明了网络接入设备快速发现与定位的专利技术、并首创了旁路式/准旁路式准入控制技术,把网络准入控制概念与技术应用在国内进行了推广与普及,如EoU已经成为业界通用的技术名词。
随着新一代通信基础设施的建设和发展,企业在终端、边缘、网络、云上通过共享开放通信、计算、存储等多类资源与能力,内生安全成为行业乃至社会舆论重点关注的热点话题。解决融合网络架构、数据资源、可信管理等多方面的可信数字网络架构,将网络安全能力赋予新的生命力,用于资源、数据等网络资产识别与发现,兼备数据资源可信、隐私保护等服务。联软科技祝青柳在2020云安全联盟大中华区大会上与大家分享《可信数字网络架构》的主题演讲,CSA大中华区就如何定义、构建可信数字网络架构,对祝总进行了采访,对此进一步展开讨论。
在过去十几年的实践中,联软科技率先探索出了一套帮助政企组织构建内生安全的可信数字网络架构。传统网络安全思维旨在通过多点配置安全产品解决安全困扰,随着网络技术和应用的飞速发展,互联网呈现出日益复杂、异构等特点,传统安全思维已很难系统性解决安全问题,企业针对性且多次购入产品使得安全投入极高甚至造成负担。它不仅是系统采购,还包括人员培训、系统维护等成本,因此,一套体系化的可信数字网络架构成为时代发展的迫切需求。
另一方面,祝青柳认为可信数字网络架构可实现安全投资的经济可持续,政企组织安全预算可控。一,实现安全产品之间可衔接,建立一套真正有效的网络系统。现在很多单位谈及网络安全容易将其绝对化考量,也就是将所有资源都用以安全,导致单次成本过高使组织机构难以负荷。而经济上可持续是指:部署安全系统后不会致使业务系统无法运转;二,安全系统实施后企业不会发生安全领域高投入低回报,真正实现采购产品与服务、系统运维等一系列成本可以控制。
现今,国际上各个国家之间就经济、技术之间博弈,为了实现良性的发展,战略部署上必然向可持续推进。国家之间尚且如此,各企业的竞争和进步亦是同样的,联软科技提出可信数字网络架构初衷是希望用一套方法帮助企业快速构建安全系统,以解决重要、关键的安全问题,且经济、实用、可持续,给行业内各类单位用较低成本、较少人力,针对性解决重点核心的问题。
可信数字网络架构是联软科技根据深耕网安行业多年实践,结合行业最新安全技术提炼形成。据悉,早在2014年联软受邀同国内某知名证券公司联合开发一套面向移动应用的系统。该公司拥有庞大的移动应用网络,按照传统安全方法将每个应用都发布到互联网上,再依次完成等保测评、漏洞扫描与管理、应用管理和数据安全等内容,基础性安全建设投入完成后投资成本相对较高。通过三年的探索研究和安全实践,最终设计完成了一套帮助企业内部移动应用的发布管理、系统更新和数据安全治理,统一解决系统后端和通信安全的系统。以集中式、中间件的形式将以往在后期解决的安全问题提前至开发环节解决,以此方式将安全能力直接赋予应用系统,开发应用系统过程中也就实现了现在备受行业关注的“内生安全”。整体采购成本也大幅度降低,并且提升了系统开发效率,有效解决数据防泄密、个人隐私保护等问题。
其架构特征有三点:一,融合、统一的安全性能和运行效率;二,系统建设投资运维成本可控,可信数字网络架构能够帮助用户统一解决数据防泄密、系统防入侵和个人隐私保护;三,应用系统的开发成本会下降,系统迭代、更新速度有效提高。
综上,可信数字网络架构的主要价值在于:1) 针对不同的用户,采用不同的接入方式,快速部署安全策略,保障访问策略合规;2) 针对不同类型和不同重要级别的数据完整性、可用性和保密性防护需要,构建统一安全防护机制,达成策略快速部署和有效落地;3) 针对不同类型的应用系统安全防御问题,形成不同层次的边界安全防御机制,有效构建系统的第一道防线,确保系统能够稳定运行。
可信数字网络架构是面向封闭的数字化系统,即系统有明确的使用账号、访问设备。不论是通过内部网络产生的访问需求,或是来自于互联网、VPN的其他访问渠道。目前,很多用户没有专属的完整数字空间,可信数字网络架构需要先建立一个专属组织的数字空间,独立赋予企业管控权限,该空间完全属于企业自主控制、动态授权。
从攻击者视角自动化、标准化对企业进行检测。大致分为四个步骤:一是建立独立完整的数字空间;二是对已经明确的账号或设备进行动态授权,以此完成数据安全、个人隐私保护机制的纵深部署;三是自动化、标准化的检测系统漏洞;四是从攻击者的视角来测试。可信数字网络架构的核心是不需要依赖于漏洞发现和修复,因为漏洞的数量是无穷尽的,所以在可信数字网络架构中漏洞修复仅作为核心系统的补充。基于可信数字网络架构的设计使用国际相关标准落地,并结合细分领域安全产品同架构进行协同与联动,最终形成体系化的保护方案。
探究可信数字网络架构和零信任SDP之间的区别与联系,后者主要用以解决远程访问的安全保护,保护企业核心数据资产。2004年联软科技推出了软件定义访问(SDA),即根据已知账号、设备硬件信息、用户位置等信息推导出企业内部应用情况,SDA更多聚焦于非互联网连接,而SDP则更关注外部访问行为的信任与安全,可信数字网络架构在二者的基础上有效管理整合网络安全资源,实现内部网络保护、防止机密数据外泄。为确保网络安全可信,还需从多个角度解决问题,如基础设施、准入机制、通信与传输规则、网络可控性等。
结合内外网络访问行为和多年实践经验,可信数字网络架构主要分为五部分安全组件:访问控制系统、数据交换系统、数据防泄密、安全对抗系统和安全中心。联软还在为不断的完善其架构内容不懈努力着,另一方面会推进安全与业务融合的产品研发和落地实践。结合现有安全技术发展趋势,纵观国内外安全产品和技术,实则差距不大。
总体来看,业务与安全势必会融合,单一安全产品的市场发展机遇会相应缩减。该架构目前很受金融行业的欢迎,因为金融行业的业务高度依赖于IT系统,一旦出现网络安全问题对其业务、数据资产影响都较为严重,从业务层面分析来看,金融行业亟需解决天然的对于数据保密、入侵攻击等的困扰问题。可信数字网络架构对于近几年转型成功的制造业,尤其是致力于高端设备的芯片行业的发展来讲都十分重要。
我们相信未来社会、行业也会朝着内生安全的趋势前进,安全市场也会逐渐打磨形成一套完整性、可实用性较高的网络架构,帮助企业在经济上可持续、安全投资可控、安全性更为实际有效的方向演进。
构建符合内生安全需要的可信数字网络架构,联软科技基于目前网络安全行业内多年研究与探索,从体系结构的角度设计和实现了具有内生安全防护的网络架构,以五大安全组件为核心聚合可信资源、安全服务、数据资产实现自动化调度,解决了网络使用者或所有者间由于不信任导致的安全预算问题。未来,联软也将进一步完善可信数字网络架构的系统、设备的设计方案,结合实践与应用推动网安行业的新发展。