2月28日,在中国产业互联网发展联盟指导下,人民邮电报、中国信息安全、腾讯安全联合实验室、腾讯研究院联合推出了《2022产业互联网安全十大趋势》。报告围绕“产业安全宏观态势”、“产业安全实践”、“产业安全技术演进”三大维度,面向年度行业趋势进行分析和研判,为产业数字化发展提供参考和指引。
报告指出,2022年将是产业安全深化发展至关重要的一年。政策法规从“立”向“行”,新技术、新应用不断兴起,新领域需求不断涌现,千亿级别市场的安全产业正加速绘就新图景,为高质量发展夯实基础、筑牢屏障。在这样的背景下,行业需要聚合最顶尖的思想,对未来进行充分的研判,为产业互联网深化发展提供参考和借鉴,助力安全行业更好面对挑战。
CIO时代作为业内专业的CIO智库和研究组织,深谙CIO群体对产业安全的关注焦点,在技术日新月异的今天,安全问题已经成为企业数字化转型的拦路石。在《2022产业互联网安全十大趋势》报告发布之后,我们发现这些趋势与CIO的聚焦点不谋而合,同时为企业的安全发展提供了前瞻观点和洞察预判。
在这十大趋势中,除了政策法规和生态建设为广大决策层所关注之外,在技术演进方面最为CIO所关注的主要是零信任概念和数据安全。这是因为,零信任架构可确保企业核心资产不受侵害,数据则驱动着业务发展,数据安全则业务安全,零信任和数据安全犹如一架马车的两个辕,决定着企业的发展方向和前进动力,是企业的生存之本,强盛之根,全面护航企业的数字化转型。
让我们先看一下报告中是如何论述这两方面的。
关于零信任,报告认为:2022年,零信任将带动产业安全发生显著变化。一是大批安全厂商将会密集推出零信任安全产品,并在政企用户中实现一定范围的落地应用;二是多维度身份属性代理技术需要深入研究。综合用户信息、设备状态、网络地址、业务上下文以及访问时间、空间位置等各个维度的身份实体属性作为实施授权的依据,且申请授权时按需临时产生,定期失效。有效降低基于单一维度实施访问授权的漏洞风险;三是可变信任评估技术对网络代理提供的多维度实时属性信息,进行实时信任评估和分析,通过持续量化评估网络活动风险等级,为访问授权提供判断依据。四是云计算业务将更需要零信任技术。云计算的快速发展和普及应用,包括应用云化,基础架构的异构化和混合化,业务的数字生态化以及接入网络及设备的多元化等因素推动了更多企业开始通过部署零信任架构来建立能够适应云时代的全新安全体系。另外,2022年,基于零信任思路的产品化探索,整个行业会基于客户的需求更重实效,以解决现实诉求为目标获取市场。此外,报告还号召整个行业共同反对零信任的泛化、滥化和概念化。
而在数据安全方面,报告指出:数据要素融合趋势带来跨领域、跨行业、跨地域之间的数据流通,在增进数字经济规模的同时,也放大了数据泄露的安全问题。现在,如何解决数据要素流通和数据隐私泄露之间的矛盾成为了解决数据要素市场化的关键,而隐私计算则以其“数据可用不可见”的特性为这一问题打开了技术突破口。2022年,随着我国数据要素市场的加速建设,以及技术科普和市场教育的日渐完善,越来越多的隐私计算试点项目将不断落地,隐私计算技术创新和标准规范将日趋成熟,市场规模将呈稳步增长态势。
为什么这两项最为CIO们所关注,这也是我们CIO时代近些年一直观察和研究的课题。
数据的价值:从昔日的固定资产到现在的五大生产要素之一
2020年4月9日,中共中央国务院首次公布关于要素市场化配置的文件——《关于构建更加完善的要素市场化配置体制机制的意见》,指出土地、劳动力、资本、技术、数据五大生产要素的改革方向和相关体制机制的建设要求,这是中央首次将数据明确为五大生产要素之一。
“得数据者得天下”,数据之所以如此重要,是因为在过去我们所认知的网络世界里,数据只是网络连接衍生出来的一种资产,各级组织机构只将其看作固定资产而加以保护。但随着数字世界的到来,人们对数据的威力有了新的认识,数据的重要性被提升到了前所未有的高速,它已不再是组织里固化的资产,而是被当作生产要素,它需要被释放,需要流动起来为组织创造价值。
正因为如此,数据成了人们眼中的香饽饽,数据泄露事件因此屡见不鲜,成为组织数字化转型进程中的顽疾。根据Canalys的统计,2020年数据泄露事件呈现爆发式增长,一年内的泄露记录超过过去十五年的总和。
从保护数据的层面,我国在顶层建设方面一直在不断提速和加码。2020年“十四五”规划纲要提出将数据视作数字化转型核心驱动力,同时合规监管也日趋严格,陆续发布了《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,构建了数据安全法律体系。
在技术方面,隐私计算以其“数据可用不可见”的特性打开了这一问题的技术突破口。新技术的发展为统筹释放数据价值和保证数据安全提供技术实现可能性,有效促进数据价值的共享流通和协同应用。随着数据融合趋势日盛,安全合规保护要求日严,隐私计算技术受到市场的广泛青睐,开始蓬勃发展,随着世界各地相继出台数据保护法律法规,隐私计算技术的专利申请数量也呈现爆发式增长。
今天,数字化转型的深度发展,数据已经成为企业的命脉,不仅为企业的日常生产销售提供支撑,同时助力提升决策能力,深入洞察客户,CIO群体对数据资产管理的重视程度日益提高。但随着互联网技术的爆发,数据安全的问题却又日益频发。在实现数据安全方面,CIO们更需要一种颠覆性思维和深入实践来指导企业的数字化转型落地。
零信任:产业安全建设理念的根本性转变
“零信任”最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),2010年“零信任”概念由市场研究机构Forrester正式提出。2018年开始,我国中央部委、国家机关和中大型企业也开始探索和实践零信任安全架构。2019年9月,工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见,除了提出对市场规模和产业安全企业的要求,《意见》还将“零信任安全”列入需要“着力突破的网络安全关键技术”。
零信任要解决的是传统安全边界消失的问题。一般认为,传统网络安全架构默认内网是安全的,产业安全重点在边界防御,因此在边界部署大量安全产品如防火墙、DDoS, WAF, IDS/ IPS、网闸等设备对网络边界进行防护,而对企业内产业安全则重视度不够。随着业务需求和技术的演进,内部员工、业务合作伙伴甚至供应商都有访问企业数据的需求,在这种情况下,传统的安全边界不复存在,外网和内网不再泾渭分明,行业迫切需要一种颠覆性的思维和方法来重新定义产业安全,“零信任安全”应运而生。
“零信任安全”引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行访问控制,以身份来定义企业的安全边界,用一句话来概括,零信任安全,强调的是“永不信任和永远验证”。
特别是当前,各行各业都在加速推进数字化转型进程,尤其是在后疫情时代,随着云计算、大数据、移动互联网、物联网、5G等技术广泛应用到企业信息化建设和业务发展中,远程办公、业务协同、分支互联等业务需求快速发展,企业原有的网络边界逐渐模糊,由此带来的网络安全风险和威胁普遍存在,在这种情况下,基于“永不信任,永远验证”原则的零信任架构成为解决问题的核心手段。
对于任何一位决心推动数字化转型的CIO来说,零信任架构是无法忽视和规避的产业趋势。也正因为零信任概念在安全领域的颠覆性作用,我们才会在报告中看到2021年零信任市场大额投融资市场大事件不断,这在另外一个层面也反映了零信任概念的深入人心和光明前景。同时,CIO们已经逐渐从对“零信任”理念的深度理解,逐渐开始在企业内部实践落地,这也印证了报告中关于“零信任”趋势的观点,逐步落地实践、应用场景的创新、架构的变迁,CIO们在“零信任”之路上越走越坚定。
以上是CIO时代对报告中有关数据安全和零信任地理解和解读。令人安慰和可喜的是,我们看到了在去年9月份,在中国信息协会主办的2021第三届中国电子政务安全大会上,腾讯安全一家就摘得了“2021中国数据安全领导力企业”、“2021中国数据安全优秀解决方案”、“2021中国数据安全优秀样板工程”三项大奖,相信未来的产业安全之路,腾讯安全能继续为业界带来更多的创新和惊喜,陪伴CIO人群成长,助力CIO引领的企业数字化转型。