南半球的一只蝴蝶無意中拍了拍翅膀,兩周之后�,北半球的某個地方就爆發(fā)了一場颶風。
——蝴蝶效應
截至3月10日13點29分�,網(wǎng)絡安全板塊指數(shù)報2835.899點���,跌幅達2%�,成交102.47億元���,換手率1.26%?���;蛟S在綠草叢生的股市��,網(wǎng)絡安全板塊的波動�����,還在很多人的預料之中�,但是這背后所蘊藏的未來,也僅露出冰山一角�����。
“十四五”時期��,信息網(wǎng)絡安全發(fā)展規(guī)劃是保障我國經(jīng)濟發(fā)展的重要戰(zhàn)略�����。今年兩會期間,信息網(wǎng)絡安全再上熱搜并引起業(yè)界廣泛關注���。針對網(wǎng)絡安全的問題����,伏羲智庫特邀研究員徐云峰近日撰文闡述了他的觀點——從“人”的因素談零信任架構�。
重點一
如何定義網(wǎng)絡安全
網(wǎng)絡安全服務
所謂網(wǎng)絡安全服務�����,紙面定義是用于增強和完善用戶網(wǎng)絡信息系統(tǒng)的服務���,包括安全咨詢��、安全運營��、安全集成“三板斧”�。
不過���,國際機構對此開始打口水戰(zhàn)���。
IDC跳出來說����,網(wǎng)絡安全服務,應該是“四大天王”�,即安全咨詢�����、安全運營(MSS)、安全集成�����、安全教育及培訓四個部分����。而 Gartner 認為��,網(wǎng)絡安全服務的“四大天王”��,應該是安全咨詢���、安全外包(含 MSS 及駐場服務)��、安全集成�����、硬件維護與支持����。
無論怎么說,安全咨詢����、安全運營����、安全集成����,“三板斧”占據(jù)了90%以上的市場份額��。還有一種說法很流行�,網(wǎng)絡安全即服務(SECaaS����,Security as a Service)。SECaaS 的賣點就是安全的云化和服務化����。
IDC關于國內IT安全市場支出預測
Cisco 的統(tǒng)計數(shù)據(jù)����,在全球范圍內�����,每年有 90% 以上的企業(yè)和政府機構都會采購包括安全咨詢、安全監(jiān)測�����、事件響應���、威脅情報等各類安全服務,完全不采購安全服務的企業(yè)占比僅 6% (2017)�����。
Gartner 的統(tǒng)計數(shù)據(jù)��,2019 年全球安全市場總規(guī)模約 1209 億美金��, 其中安全服務市場的規(guī)模達到 620 億美金����,占比 51%����。考慮SECaaS 在內���,全球安全服務的占比將達到 60% 以上。未來滲透率還將不斷提升�。
為滲透推波助瀾的是立法��。2018 年歐盟通用數(shù)據(jù)保護條例 GDPR 為網(wǎng)絡安全服務市場吹響了號角��,國內方面��,網(wǎng)絡信息保護法、“網(wǎng)絡安全等級保護制度2.0(簡稱“等保2.0標準”)�����、關鍵基礎設施保護條例��、密碼法�、網(wǎng)絡安全審查辦法、個人信息保護法�����、數(shù)據(jù)安全法等的相繼出臺����,無疑激活了與之相關政企用戶對于評估����、審核���、整改的安全需求�。
雖然�����,國內安全服務市場總規(guī)模約在 100 億元左右����,占安全行業(yè)總體比重僅 20%��,遠低于全球平均水平��。安全咨詢和安全運營等附加值較高的安全服務占比較低�����,安全實施和系統(tǒng)集成貢獻大部分的市場份額�,也是暴露了市場產(chǎn)業(yè)成熟度上的差距�����。
國內政企用戶����,對于網(wǎng)絡安全服務普遍存在如下特征:缺乏安全意識�、沒有付費意愿�、產(chǎn)業(yè)生態(tài)不成熟����。
IDC統(tǒng)計顯示,在安全咨詢領域:2020 上半年����,綠盟科技國內市場占有率位居第一,為8.1%�����,奇安信為 6.8%�;德勤��、普華永道及啟明星辰分別是 6.4%�、5.7%及 5.5%�����;在托管安全服務:安恒信息以 9.6%的份額排名第一��;綠盟科技為8.6%�����;啟明星辰�����、安信天行和 IBM 分別占據(jù) 7.9%���、4.8%和 4.5%;在安全集成領域:以集成商和渠道商為主��,主要廠商有太極股份��、騰訊�����、中國軟件、東華軟件�����、東軟集團等�。
《親愛的 熱愛的》劇照
隨著政策合規(guī)與產(chǎn)業(yè)升級的驅動���,國內安全服務市場進入快速發(fā)展期���,其中��,啟明星辰���、安恒信息正在打造城市安全運營中心、深信服在做“人機共智”安全運營服務�����,國內安全行業(yè)向“體系化”和“實戰(zhàn)驅動”����。
2021年或將成為各政企用戶的合規(guī)大年���,特別是在個人隱私保護��、數(shù)據(jù)安全等方面需要深耕細作。既要把握網(wǎng)絡安全服務發(fā)展趨勢����,又要提升網(wǎng)絡安全培訓的質量和水平�����;既要關注愈演愈烈的云安全競爭,又要應對頻繁滲透的網(wǎng)絡攻擊���;既要切斷惡意程序上云�����,黑產(chǎn)AI化,又要面對持續(xù)的遠程辦公的新挑戰(zhàn)����;既要做好網(wǎng)絡威脅的日常保護和預防檢測,又要防御網(wǎng)絡的航空攻擊�����。
重點二
兩會代表熱議
關注信息網(wǎng)絡安全
“十四五”時期�����,信息網(wǎng)絡安全發(fā)展規(guī)劃是保障我國經(jīng)濟發(fā)展的重要戰(zhàn)略��。今年兩會期間�����,信息網(wǎng)絡安全再上熱搜并引起業(yè)界廣泛關注��。代表�����、委員紛紛建言獻策����,內容包括基礎設施建設�����、人才培養(yǎng)�����、個人信息保護以及組織風險管理等。
全國人大代表����、騰訊董事會主席兼首席執(zhí)行官馬化騰在建議中提到�,在增強機遇意識的同時樹立風險意識����,高度重視數(shù)字經(jīng)濟�����、平臺經(jīng)濟發(fā)展過程中出現(xiàn)的新矛盾和新問題�,進一步推動政府�、市場、社會��、企業(yè)形成合力�����,積極探索創(chuàng)新監(jiān)管與治理方式�,強化企業(yè)社會責任與合規(guī)發(fā)展理念���,在全社會共享數(shù)字經(jīng)濟發(fā)展成果����。
全國人大代表、騰訊董事會主席兼首席執(zhí)行官馬化騰
全國政協(xié)委員�、安天首席技術架構師肖新光認為,抗疫期間�����,我國的衛(wèi)生醫(yī)療系統(tǒng)�、疫苗研究機構�����、科研院所等就曾頻繁遭遇網(wǎng)絡入侵攻擊���。為此,我們不僅要依靠安全檢查和通報等機制��,也要快速機動增加重點防護目標的防御能力部署和人員投入�����,通過機動預算保障�����,實現(xiàn)防御資源的快速集中組織。完善多部委聯(lián)席研判風險機制,有效融入疊加網(wǎng)絡安全風險動態(tài)研判����,提升網(wǎng)絡安全防護能力����。
全國政協(xié)委員����、安天首席技術架構師肖新光
全國政協(xié)委員�����、北京金臺律師事務所主任皮劍龍認為�,現(xiàn)階段不少互聯(lián)網(wǎng)公司掌握大量公民信息��,一旦黑客利用技術入侵或者公司泄露用戶信息,極易造成安全隱患�����。個人隱私數(shù)據(jù)應受到更為嚴格的管理����,現(xiàn)僅有少量內容對信息采集進行規(guī)范��,仍缺乏保障數(shù)據(jù)安全的法律及實施細則和指引,指導行業(yè)企業(yè)強化數(shù)據(jù)安全管理����。應加快制定和完善有關人臉識別數(shù)據(jù)管理專門法律,強化行政監(jiān)管機制����,完善行業(yè)自律監(jiān)督�����。
全國政協(xié)委員����、北京金臺律師事務所主任皮劍龍
重點三
專家解讀
徐云峰:從“人”的因素談零信任架構
針對網(wǎng)絡安全的問題,伏羲智庫特邀研究員徐云峰近日撰文闡述了他的觀點——從“人”的因素談零信任架構�����。
徐云峰認為���,網(wǎng)絡安全的最薄弱環(huán)節(jié)是“人”,應重視人在網(wǎng)絡安全中的重要性和必要性�。人既是威脅網(wǎng)絡安全的主體,也是維護網(wǎng)絡安全的主力�,又是造成網(wǎng)絡事件的主因����,網(wǎng)絡攻防的本質其實是人與人的對抗,人性的漏洞成為網(wǎng)絡空間治理的最大漏洞��。
徐云峰表示�����,現(xiàn)實中信息網(wǎng)絡安全主要有兩大技術����,一是“讓狼進不來”,即訪問控制���;二是“即便狼來了�,也吃不到羊”�,即密碼技術�����。傳統(tǒng)的網(wǎng)絡安全模型是基于邊界防御,如防火墻�、入侵檢測(IDS)等。其假定內網(wǎng)(Intranet)中用戶�����、設備和流量均可信����,那么一旦黑客入侵��,獲得內網(wǎng)“合法”身份、即可獲得 “授權”許可�����,肆意實施攻擊��。
如今���,技術不斷迭代����,網(wǎng)絡邊界模糊,數(shù)據(jù)訪問復雜��。傳統(tǒng)網(wǎng)絡安全模型中����,可信的“人”卻成為了威脅之源�����。因此��,徐云峰提出零信任思想�����,即針對傳統(tǒng)邊界安全架構的缺陷 “從不信任��、總是驗證”��。
黑客網(wǎng)絡攻擊
根據(jù)NIST《零信任架構標準》中的定義���,徐云峰提出,零信任架構具有四個特點�����。
一是以身份為中心。從傳統(tǒng)的以網(wǎng)絡為中心轉變?yōu)橐陨矸轂橹行倪M行訪問控制��,不再基于網(wǎng)絡位置作為網(wǎng)絡安全訪問授權的依據(jù)�����,始終以身份信息作為鑒權依據(jù)��。
二是細粒度授權�����。訪問控制需要符合最小權限原則進行細粒度授權�,基于盡量多的屬性進行信任和風險度量�����,實現(xiàn)動態(tài)自適應訪問控制����。
三是動態(tài)評估��。在零信任模型中�����,無論用戶處在組織內部或外部���,都需要持續(xù)的信任等級評估,在訪問被允許之前����,所有資源訪問的身份驗證和授權是動態(tài)的和嚴格強制實施的。
四是安全訪問�。在零信任模型中,所有業(yè)務系統(tǒng)都隱藏在安全網(wǎng)關后面��,只有認證通過的設備和用戶�����,并且具備足夠的權限才能訪問業(yè)務���。數(shù)據(jù)受到加密保護及強制訪問控制。
徐云峰表示����,零信任思想��,在網(wǎng)絡安全中融合“人的因素”���,重申安全專家主導性��,并控制“人”的威脅傾向。這種新防護理念����,希望引導安全體系架構由“網(wǎng)絡中心化”向“身份中心化”轉變����,其本質是以“人”為中心重構訪問控制的信任基礎。
在零信任理念下�,網(wǎng)絡安全人員需要調整思維模式�,認清當前形勢,建立零信任機制���,同時����,企業(yè)的決策層也應參與其中�,真正將零信任安全模型���,作為企業(yè)數(shù)字化轉型戰(zhàn)略的重要一環(huán)�,在整體安全架構設計上,全新打造零信任框架�����,推陳出新�,而非修修補補����。
徐云峰認為,零信任的完全落地是一個長期堅守����、不斷迭代的過程��,須堅持從“人的因素”出發(fā)�����,因地制宜�,確立標準����,推廣實踐��,從理念認識、需求分析��、設計架構��、應用部署和策略管理等多個層面��,實現(xiàn)數(shù)字化轉型、助力高質量發(fā)展�����。
——END——
更多網(wǎng)站設計���、網(wǎng)頁設計等相關內容,歡迎您咨詢中山網(wǎng)訊科技��!
責任編輯:中山網(wǎng)站建設
【網(wǎng)訊網(wǎng)絡】國家高新技術企業(yè)》十二年專注軟件開發(fā)����,網(wǎng)站建設,網(wǎng)頁設計����,APP開發(fā),小程序�����,微信公眾號開發(fā)���,定制各類企業(yè)管理軟件(OA、CRM�、ERP、OMS訂單管理系統(tǒng)�、WMS進銷存管理軟件等)�����!服務熱線:0760-88610046�����、13924923903�,http://www.denorpool.com
