2021年10月11日至17日，以“網絡安全為人民，網絡安全靠人民”為主題的2021國家網絡安全宣傳周在陜西西安國際會展中心盛大開幕。10月12日上午，由陜西省委網信辦、西安市委網信辦指導，國家工業信息安全發展研究中心主辦，華為等企業承辦的“零信任安全實踐”論壇成功舉辦，共同探討網絡安全行業落地實踐。國家工業信息安全發展研究中心總工程師李麗女士、華為安全產品領域總裁馬燁為論壇開場致辭，開啟了今天的精彩討論。

一、業務與政策雙輪驅動，

數字化轉型面臨巨大挑戰

社會數字化轉型不斷深入，遠程辦公的用戶和市場規模呈現出爆發式增長，邊界變得更加模糊，使得安全威脅更加難以防范。《數據安全法》的頒布對企業數據安全保障和管理提出了更高的要求，數據的分級分類，數據在流動過程中的采集、傳輸、存儲、處理、交換、銷毀等數據全生命周期中都需要落實安全保障。這些業務與政策上的變化為企業帶來新的安全挑戰。

二、保護企業數據安全，

從零信任開始

企業發展邁入數字經濟時代，數據是核心生產要素，是國家基礎性和戰略性資源。數據安全問題影響國家發展與安全，關系公眾利益，也與公民個人權益密切相關。零信任架構的最根本的目的就是為了保護數據安全，通過數據防泄漏、數據庫審計、虛擬沙箱、隱藏水印、用戶和實體行為分析、云訪問安全代理等一系列技術來進行數據的保護、分類、隔離和控制，對靜態數據和傳輸中的數據進行加密處理，最終實現數據的安全防護。

一是，零信任安全架構需要對任何接入對象進行持續安全驗證，實現對用戶訪問數據權限的控制，這也符合了《數據安全法》對數據分類分級保護的規定。

二是，通過建立終端設備零信任、用戶零信任、流量零信任和應用零信任機制，構建端到端全流程信任鏈，可以滿足《數據安全法》對數據安全管理的要求。

三是，通過全網威脅態勢感知和網絡安全聯動對潛在的安全風險進行溯源處置，可以滿足《數據安全法》對安全風險可監測和處置的要求。

三、零信任“熱”中的“冷”思考

零信任是當下熱門的網絡安全技術理念。中國信息安全研究院副院長左曉棟在主旨發言中對零信任進行了深度解讀。零信任的產生有客觀必然性，它源于網絡安全風險加大，傳統信任模型受到挑戰。以前的訪問主體和客體都相對簡單、明確，但物聯網和大數據技術的應用使主客體變得日益多樣化，越來越難以保證數量繁多的主客體始終處在可信狀態。

為了應對網絡安全形勢變化，零信任要求實施動態細粒度訪問控制，這是零信任的本質特征。即，身份認證不再依賴邊界防御，而是需要持續驗證身份，且服務、資源、環境等變化均是判斷身份是否可信的考量因素。零信任的實質是對訪問控制的新要求，不是網絡安全的全部。

零信任作為一種理念和思路，不是對既有技術和體系結構的顛覆。零信任的實現離不開網絡安全基本能原理。企業和廠商要在零信任“熱”中進行“冷”思考，重視實踐和實效，通過技術升級真正解決安全挑戰和問題。

面向數字化轉型，數據的分級分類管理是實施數據全生命周期安全保護的重要基礎。只有在科學、規范的分級分類管理基礎上，才能夠有效地保護數據的安全。華為零信任安全解決方案可以做到數據端到端全生命周期防護，保護數據安全。

華為零信任安全解決方案具備三大特點：1、持續驗證“準”：持續監測終端設備和用戶的安全風險，可監測的終端評估項超過50類，通過多維安全感知可以保障接入網絡的終端設備和用戶值得信任。2、動態授權“快”：根據授權主體、客體環境和行為風險進行動態授權，實現應用、功能、API、數據等維度的精細安全訪問控制。3、全局防御“穩”：通過多方面評估，創建一條完整的信任鏈實現端到端加密訪問業務時延無感知。

華為零信任安全解決方案當前覆蓋了政企行業用戶的典型應用場景，如敏感業務訪問、數據交換和遠程辦公場景等，適用于政府、部委、金融、交通等大型企業。以零信任安全方案在大數據中心應用為例，華為零信任安全訪問在某省級政府單位的數據中心已持續穩定運行超過一年，通過零信任安全接入，覆蓋應用40多個，用戶終端超過1.5萬，每天攔截的未授權訪問達到300+，端到端訪問時延毫秒級，在既保證安全的同時又不影響客戶的使用體驗，有效保證了相關大型組織數據中心的安全。

全球安全漏洞和攻擊事件頻發，《數據安全法》、《關鍵信息基礎設施安全保護條例》、《個人信息保護法》等法律條例不斷推出，網絡安全的監管力度持續加大。華為作為全球領先的ICT基礎設施和智能終端提供商，網絡安全是華為公司的最高綱領。在零信任實踐論壇中，華為中國首席網絡安全與用戶隱私保護官李加贊分享了華為端到端網絡安全治理與思考。講述了華為如何構筑并全面實施端到端的全球網絡安全保障體系，在公司治理、流程、研發、驗證、供應、交付、審計等各個領域踐行網絡安全與用戶隱私保護，在每一個ICT基礎設施產品和解決方案中，都融入信任、構建高質量，助力客戶打造網絡韌性。

吉大正元副總裁張寶欣分享了基于密碼的零信任體系，希望通過將密碼技術賦能零信任架構，為零信任解決方案建立堅實的安全底座，為廣大用戶在提升網絡安全能力的同時，也為符合等保、密評的相關要求做好準備。

零信任安全解決方案的實際交付并不是交鑰匙工程。除了有完善的方案和成熟的產品做支撐外，還需要對客戶的使用場景進行全面而細致的調研，結合用戶業務場景才能最大程度上兼顧安全性與易用性。吉大正元注重對零信任應用場景與安全策略的積累，現已具備大量開箱即用的安全策略，包括：動態訪問控制策略、用戶實體行為分析策略、終端環境感知策略等。能夠在短時間內根據不同行業用戶的需求，為客戶量身打造零信任安全基線。

聯軟科技聯合創始人張建耀表示，端點安全是零信任實踐的關鍵一環。聯軟可提供終端安全一體化的能力，通過終端安全管理模塊，保障終端可管；通過網絡準入控制，保障身份可信；通過終端EDR，保障入侵可防；通過終端DLP，保證數據可控。從體檢、到入網、到檢查響應，最終圍繞著數據的保護，構成了零信任端點動態智能防護的重要部分。聯軟科技借助于網絡準入控制、終端安全和終端數據安全等能力，從傳統的內網安全到內網零信任可以很平滑的遷移，目前已經在金融、政府、高端制造業等領域有豐富的實踐。

竹云首席運營官戴立偉在論壇中分享了以現代IAM體系構筑零信任安全實踐場景主題演講。IAM作為零信任的核心組件，可提供端到端的安全和可信支撐，構建以身份為核心、應用權限為對象、動態訪問控制為手段的統一身份訪問與權限管理系統。

竹云零信任安全訪問整體解決方案已在眾多大型企業應用，通過全面的權限管理體系，實現底層網絡安全和上層應用安全的關聯和融合。竹云零信任訪問平臺在某大型集團企業已接入1000余個應用，覆蓋本地、移動端、云端等多類型應用。通過風險引擎模塊實現日均300萬次風險檢測，并實時將風險事件轉發到態勢感知，通過實時可視化監測，實現事前預警、事中訪問控制和事后追溯的全流程閉環管控。

四、零信任在國內網絡安全的實踐

在圓桌討論環節，北京賽博英杰科技有限公司董事長譚曉生邀請與會嘉賓共同討論了零信任在國內各行業的優秀實踐。

竹云首席運營官戴立偉首先分享了一個汽車制造企業分階段建立IAM體系的案例。IAM有不同的建設方法和方式，通過分階段持續性建立，對員工、伙伴等內部人員進行身份管理和風險動態控制，實現了權限統一管理和動態權限聯動，有效解決了權限冒用風險和安全事件回溯的難題。

9月1日《數據安全法》開始實施以后，如何通過零信任解決數據安全問題，聯軟科技聯合創始人張建耀認為，零信任核心的理念在于持續驗證及最小化的授權，這與數據安全法是吻合的。同時也應該認識到數據安全是非常大的話題，需要根據場景和保護對象，進行技術選擇，平衡安全和效率。

吉大正元副總裁張寶欣認為，在零信任實踐中，密碼技術提供安全信任的基礎。零信任關注身份管理，通過身份管理為設備、應用、API訪問和人員頒發數字證書，解決信道安全問題。通過國密證書的政策，發放加密證書和簽名證書，實現雙向國密通道認證，同時通過高性能硬件，還可以實現每秒數十萬次的簽名驗簽，確保效率。

最后，華為安全產品領域副總裁王任棟介紹了華為的零信任優秀實踐，以華為HiSec Insight安全態勢感知系統及HiSecEngine系列安全網關為核心的安全方案，包括智慧城市移動辦公、政務園區SDP代理接入、政務重要應用訪問、金融遠程辦公等場景。同時，華為零信任安全解決方案中包含了生態合作廠商，通過市場調研，選擇產品領先、研發能力扎實、以客戶為中心的優質企業，并且在客戶方案實施過程中，通過生態聯合驗證實驗室機制保障產品組合的實施質量。

原文標題：網安周零信任實踐論壇 | 零信任“熱”中的“冷”思考

文章出處：【微信公眾號：華為數據通信】歡迎添加關注！文章轉載請注明出處。
責任編輯:pj