奇安信左英男：“零信任架构”理念支撑企业“内生安全”

近日，北京网络安全大会在京举办，其中，“内生安全”成为一热议词汇。“内生安全是一个理念性框架，一方面它是在向前看，向前发展的趋势，未来从企业级的网络安全防护体系的建设，产品技术相关的研发和布局就会向内生方向的发展。另一方面，它也是阶段性的总结。”奇安信集团副总裁左英男在接受记者采访时表示。

据介绍，在2018年奇安信提出了安全从0开始，呼吁要在信息化系统从0到1的建设过程中就开始考虑安全。通过一年的实践发现，安全能力必须在内部的业务系统上构建，才能真正解决客户的业务安全问题。所以今年奇安信提出内生安全。

内生安全为何如此重要？左英男表示，目前企业整个信息化业务系统建设的节奏变得非常快。新的信息化系统的建设有一个很重要的特征，就是云计算、大数据平台、微服务架构，成为非常核心的普遍性的新一代信息化信息系统业务架构，这种架构本身和过去系统不一样。过去提到安全，就是建一张网，采用一些服务器，过五年之后再回来做网络安全还是可以的，因为它们之间的耦合度很低，在网络里面防火墙，信息检测部署上就好了。但是如今，业务系统大变，对于云计算、大数据、微服务架构这些新的IT技术的基础架构，其信息化系统和安全系统耦合度非常高，在基础设施和业务系统耦合度也非常高，开发和运维和管理耦合度也非常高，所以很难外挂式搭建安全体系，因此需要把安全的体系设计和客户的信息化业务系统的架构设计紧密的融合起来，才能够真正的把安全能力嵌入到系统里面去提升它的安全防护能力，这就是内生。

事实上，从去年提出“安全从零开始”概念开始，相应的零信任架构理念也随之而来。据悉，基于零信任架构理念的解决方案本身就是一种内生安全的落地呈现的形式之一，因为零信任架构理念核心是解决访问控制能力、权限的管控能力问题，再加上业务系统和信息化系统紧密结合起来，形成耦合关系，其就是一种内生的动力，也是产品技术落地的一种表现。目前，奇安信基于零信任架构理念的解决方案相关产品已经落地应用，后续还有新品推出。

值得一提的是，当前随着互联网从消费互联网走向产业互联网，工业互联网安全关注度越来越高。对于工业互联网安全，除了工业主机安全外，工业数据的安全防护也至关重要。 而对于工业数据的安全保护， “零信任架构”理念同样不可或缺。

据介绍，随着工业互联网的发展，很多大型工业企业都在积极拥抱互联网新技术，建了私有化的工业云平台、工业大数据平台，应用和数据不断在集中。同时，过去工业企业的封闭网络环境使得很多安全问题用传统的基于网络边界的安全架构、安全思路就可以解决，但随着工业互联网的发展，移动办公、远程检修、供应链平台的交互需求，都让网络的外延和边界不断扩大和模糊，工业互联网带来的开放、共享、流动的新IT技术环境让数据安全日益成为挑战，在某种程度上阻碍了很多工业企业去积极发展工业互联网的意愿。

左英男认为，在这种新的网络环境下，解决工业大数据安全的问题，首要是解决访问控制问题。在当前这种边界日趋模糊的情况下，需要用“零信任架构”理念来重构工业企业网络安全。“零信任架构”有四个重要的特性：以身份为中心，业务安全访问，持续信任评估，动态风险度量，它默认不相信内外网里任何用户、人、设备对应用和数据的访问和调用，而是利用基于风险持续度量的动态认证、访问授权、密钥重新构建信任基础。

左英男表示，“零信任架构”可以解决80%的工业大数据安全问题，剩下的20%，要靠“工业大数据风险可视化管理系统”来解决。它可以对重要敏感数据进行分类、分级，打上标签，将这些重要数据在不同系统、不同访问主体之间的流动做测绘、建模、规则分析，从而及时发现数据可能会出现泄露、被窃取、被破坏的迹象。