祝青柳，現任CSA大中華區會(huì )員單位聯(lián)軟科技股份有限公司總裁，2004年成為聯(lián)軟科技創(chuàng )辦人，受思科網(wǎng)絡(luò )準入控制NAC的概念影響，發(fā)明了網(wǎng)絡(luò )接入設備快速發(fā)現與定位的專(zhuān)利技術(shù)、并首創(chuàng )了旁路式/準旁路式準入控制技術(shù)，把網(wǎng)絡(luò )準入控制概念與技術(shù)應用在國內進(jìn)行了推廣與普及，如EoU已經(jīng)成為業(yè)界通用的技術(shù)名詞。

隨著(zhù)新一代通信基礎設施的建設和發(fā)展，企業(yè)在終端、邊緣、網(wǎng)絡(luò )、云上通過(guò)共享開(kāi)放通信、計算、存儲等多類(lèi)資源與能力，內生安全成為行業(yè)乃至社會(huì )輿論重點(diǎn)關(guān)注的熱點(diǎn)話(huà)題。解決融合網(wǎng)絡(luò )架構、數據資源、可信管理等多方面的可信數字網(wǎng)絡(luò )架構，將網(wǎng)絡(luò )安全能力賦予新的生命力，用于資源、數據等網(wǎng)絡(luò )資產(chǎn)識別與發(fā)現，兼備數據資源可信、隱私保護等服務(wù)。聯(lián)軟科技祝青柳在2020云安全聯(lián)盟大中華區大會(huì )上與大家分享《可信數字網(wǎng)絡(luò )架構》的主題演講，CSA大中華區就如何定義、構建可信數字網(wǎng)絡(luò )架構，對?？傔M(jìn)行了采訪(fǎng)，對此進(jìn)一步展開(kāi)討論。

01如何定義可信數字網(wǎng)絡(luò )架構？

在過(guò)去十幾年的實(shí)踐中，聯(lián)軟科技率先探索出了一套幫助政企組織構建內生安全的可信數字網(wǎng)絡(luò )架構。傳統網(wǎng)絡(luò )安全思維旨在通過(guò)多點(diǎn)配置安全產(chǎn)品解決安全困擾，隨著(zhù)網(wǎng)絡(luò )技術(shù)和應用的飛速發(fā)展，互聯(lián)網(wǎng)呈現出日益復雜、異構等特點(diǎn)，傳統安全思維已很難系統性解決安全問(wèn)題，企業(yè)針對性且多次購入產(chǎn)品使得安全投入極高甚至造成負擔。它不僅是系統采購，還包括人員培訓、系統維護等成本，因此，一套體系化的可信數字網(wǎng)絡(luò )架構成為時(shí)代發(fā)展的迫切需求。

另一方面，祝青柳認為可信數字網(wǎng)絡(luò )架構可實(shí)現安全投資的經(jīng)濟可持續，政企組織安全預算可控。一，實(shí)現安全產(chǎn)品之間可銜接，建立一套真正有效的網(wǎng)絡(luò )系統?，F在很多單位談及網(wǎng)絡(luò )安全容易將其絕對化考量，也就是將所有資源都用以安全，導致單次成本過(guò)高使組織機構難以負荷。而經(jīng)濟上可持續是指：部署安全系統后不會(huì )致使業(yè)務(wù)系統無(wú)法運轉；二，安全系統實(shí)施后企業(yè)不會(huì )發(fā)生安全領(lǐng)域高投入低回報，真正實(shí)現采購產(chǎn)品與服務(wù)、系統運維等一系列成本可以控制。

現今，國際上各個(gè)國家之間就經(jīng)濟、技術(shù)之間博弈，為了實(shí)現良性的發(fā)展，戰略部署上必然向可持續推進(jìn)。國家之間尚且如此，各企業(yè)的競爭和進(jìn)步亦是同樣的，聯(lián)軟科技提出可信數字網(wǎng)絡(luò )架構初衷是希望用一套方法幫助企業(yè)快速構建安全系統，以解決重要、關(guān)鍵的安全問(wèn)題，且經(jīng)濟、實(shí)用、可持續，給行業(yè)內各類(lèi)單位用較低成本、較少人力，針對性解決重點(diǎn)核心的問(wèn)題。

02可信數字網(wǎng)絡(luò )架構的特征和價(jià)值

可信數字網(wǎng)絡(luò )架構是聯(lián)軟科技根據深耕網(wǎng)安行業(yè)多年實(shí)踐，結合行業(yè)最新安全技術(shù)提煉形成。據悉，早在2014年聯(lián)軟受邀同國內某知名證券公司聯(lián)合開(kāi)發(fā)一套面向移動(dòng)應用的系統。該公司擁有龐大的移動(dòng)應用網(wǎng)絡(luò )，按照傳統安全方法將每個(gè)應用都發(fā)布到互聯(lián)網(wǎng)上，再依次完成等保測評、漏洞掃描與管理、應用管理和數據安全等內容，基礎性安全建設投入完成后投資成本相對較高。通過(guò)三年的探索研究和安全實(shí)踐，最終設計完成了一套幫助企業(yè)內部移動(dòng)應用的發(fā)布管理、系統更新和數據安全治理，統一解決系統后端和通信安全的系統。以集中式、中間件的形式將以往在后期解決的安全問(wèn)題提前至開(kāi)發(fā)環(huán)節解決，以此方式將安全能力直接賦予應用系統，開(kāi)發(fā)應用系統過(guò)程中也就實(shí)現了現在備受行業(yè)關(guān)注的“內生安全”。整體采購成本也大幅度降低，并且提升了系統開(kāi)發(fā)效率，有效解決數據防泄密、個(gè)人隱私保護等問(wèn)題。

其架構特征有三點(diǎn)：一，融合、統一的安全性能和運行效率；二，系統建設投資運維成本可控，可信數字網(wǎng)絡(luò )架構能夠幫助用戶(hù)統一解決數據防泄密、系統防入侵和個(gè)人隱私保護；三，應用系統的開(kāi)發(fā)成本會(huì )下降，系統迭代、更新速度有效提高。

綜上，可信數字網(wǎng)絡(luò )架構的主要價(jià)值在于：1） 針對不同的用戶(hù)，采用不同的接入方式，快速部署安全策略，保障訪(fǎng)問(wèn)策略合規；2） 針對不同類(lèi)型和不同重要級別的數據完整性、可用性和保密性防護需要，構建統一安全防護機制，達成策略快速部署和有效落地；3） 針對不同類(lèi)型的應用系統安全防御問(wèn)題，形成不同層次的邊界安全防御機制，有效構建系統的第一道防線(xiàn)，確保系統能夠穩定運行。

03構建以可信為核心的數字網(wǎng)絡(luò )架構

可信數字網(wǎng)絡(luò )架構是面向封閉的數字化系統，即系統有明確的使用賬號、訪(fǎng)問(wèn)設備。不論是通過(guò)內部網(wǎng)絡(luò )產(chǎn)生的訪(fǎng)問(wèn)需求，或是來(lái)自于互聯(lián)網(wǎng)、VPN的其他訪(fǎng)問(wèn)渠道。目前，很多用戶(hù)沒(méi)有專(zhuān)屬的完整數字空間，可信數字網(wǎng)絡(luò )架構需要先建立一個(gè)專(zhuān)屬組織的數字空間，獨立賦予企業(yè)管控權限，該空間完全屬于企業(yè)自主控制、動(dòng)態(tài)授權。

從攻擊者視角自動(dòng)化、標準化對企業(yè)進(jìn)行檢測。大致分為四個(gè)步驟：一是建立獨立完整的數字空間；二是對已經(jīng)明確的賬號或設備進(jìn)行動(dòng)態(tài)授權，以此完成數據安全、個(gè)人隱私保護機制的縱深部署；三是自動(dòng)化、標準化的檢測系統漏洞；四是從攻擊者的視角來(lái)測試?？尚艛底志W(wǎng)絡(luò )架構的核心是不需要依賴(lài)于漏洞發(fā)現和修復，因為漏洞的數量是無(wú)窮盡的，所以在可信數字網(wǎng)絡(luò )架構中漏洞修復僅作為核心系統的補充?；诳尚艛底志W(wǎng)絡(luò )架構的設計使用國際相關(guān)標準落地，并結合細分領(lǐng)域安全產(chǎn)品同架構進(jìn)行協(xié)同與聯(lián)動(dòng)，最終形成體系化的保護方案。

04新安全 新發(fā)展

探究可信數字網(wǎng)絡(luò )架構和零信任SDP之間的區別與聯(lián)系，后者主要用以解決遠程訪(fǎng)問(wèn)的安全保護，保護企業(yè)核心數據資產(chǎn)。2004年聯(lián)軟科技推出了軟件定義訪(fǎng)問(wèn)（SDA），即根據已知賬號、設備硬件信息、用戶(hù)位置等信息推導出企業(yè)內部應用情況，SDA更多聚焦于非互聯(lián)網(wǎng)連接，而SDP則更關(guān)注外部訪(fǎng)問(wèn)行為的信任與安全，可信數字網(wǎng)絡(luò )架構在二者的基礎上有效管理整合網(wǎng)絡(luò )安全資源，實(shí)現內部網(wǎng)絡(luò )保護、防止機密數據外泄。為確保網(wǎng)絡(luò )安全可信，還需從多個(gè)角度解決問(wèn)題，如基礎設施、準入機制、通信與傳輸規則、網(wǎng)絡(luò )可控性等。

結合內外網(wǎng)絡(luò )訪(fǎng)問(wèn)行為和多年實(shí)踐經(jīng)驗，可信數字網(wǎng)絡(luò )架構主要分為五部分安全組件：訪(fǎng)問(wèn)控制系統、數據交換系統、數據防泄密、安全對抗系統和安全中心。聯(lián)軟還在為不斷的完善其架構內容不懈努力著(zhù)，另一方面會(huì )推進(jìn)安全與業(yè)務(wù)融合的產(chǎn)品研發(fā)和落地實(shí)踐。結合現有安全技術(shù)發(fā)展趨勢，縱觀(guān)國內外安全產(chǎn)品和技術(shù)，實(shí)則差距不大。

總體來(lái)看，業(yè)務(wù)與安全勢必會(huì )融合，單一安全產(chǎn)品的市場(chǎng)發(fā)展機遇會(huì )相應縮減。該架構目前很受金融行業(yè)的歡迎，因為金融行業(yè)的業(yè)務(wù)高度依賴(lài)于IT系統，一旦出現網(wǎng)絡(luò )安全問(wèn)題對其業(yè)務(wù)、數據資產(chǎn)影響都較為嚴重，從業(yè)務(wù)層面分析來(lái)看，金融行業(yè)亟需解決天然的對于數據保密、入侵攻擊等的困擾問(wèn)題?？尚艛底志W(wǎng)絡(luò )架構對于近幾年轉型成功的制造業(yè)，尤其是致力于高端設備的芯片行業(yè)的發(fā)展來(lái)講都十分重要。

我們相信未來(lái)社會(huì )、行業(yè)也會(huì )朝著(zhù)內生安全的趨勢前進(jìn)，安全市場(chǎng)也會(huì )逐漸打磨形成一套完整性、可實(shí)用性較高的網(wǎng)絡(luò )架構，幫助企業(yè)在經(jīng)濟上可持續、安全投資可控、安全性更為實(shí)際有效的方向演進(jìn)。

05結論與思考

構建符合內生安全需要的可信數字網(wǎng)絡(luò )架構，聯(lián)軟科技基于目前網(wǎng)絡(luò )安全行業(yè)內多年研究與探索，從體系結構的角度設計和實(shí)現了具有內生安全防護的網(wǎng)絡(luò )架構，以五大安全組件為核心聚合可信資源、安全服務(wù)、數據資產(chǎn)實(shí)現自動(dòng)化調度，解決了網(wǎng)絡(luò )使用者或所有者間由于不信任導致的安全預算問(wèn)題。未來(lái)，聯(lián)軟也將進(jìn)一步完善可信數字網(wǎng)絡(luò )架構的系統、設備的設計方案，結合實(shí)踐與應用推動(dòng)網(wǎng)安行業(yè)的新發(fā)展。