“賽事最直接的效應就是通過溯本求源的一線攻防實踐，為進一步打造‘安全云’積累行業(yè)和技術(shù)經(jīng)驗，為新基建背景下的云安全提供前瞻性技術(shù)框架。”國聯(lián)易安總經(jīng)理門嘉平博士表示。

“云原生”獲青睞

IDC發(fā)布的《2020年中國云計算市場十大預測》指出：2022年，60%的中國500強企業(yè)將投資于云原生應用和平臺的自動化、編排和開發(fā)生命周期管理。

將云原生定格為云計算的第二次革命，似乎一點都不為過。近兩年，云原生爆熱。以至于一大批網(wǎng)絡(luò)安全企業(yè)都在“削尖腦袋”通過“云原生”概念來傳播自身產(chǎn)品與解決方案，以凸顯跟緊了云原生技術(shù)浪潮。

云原生開發(fā)，是指構(gòu)建云計算提供商原生的軟件系統(tǒng)。由此，利用應用程序從云計算提供商獲得更多的安全、治理以及數(shù)據(jù)庫服務等。越來越多的組織和專家將云原生視為一種新興的架構(gòu)模式。在通常情況下，云原生方法需要使用持續(xù)迭代和運維自動化、持續(xù)交付、容器、容器編排和微服務等相關(guān)技術(shù)，在云平臺設(shè)施上實現(xiàn)彈性伸縮、動態(tài)調(diào)度、優(yōu)化資源利用率提高的效果，當然這是云原生的理想結(jié)果。

云原生計算基金會(CNCF)的解釋：“云原生技術(shù)使企業(yè)能夠在公有云、私有云和混合云等現(xiàn)代動態(tài)環(huán)境中構(gòu)建和運行可擴展的應用程序。”其實，更好的說法是，云原生應用程序可以部署在多個云計算環(huán)境中，其中包括傳統(tǒng)平臺。

“云原生讓以安全左移、內(nèi)嵌、自動化為標志的DevSecOps理念及產(chǎn)品正在逐步落地。作為一名長期從業(yè)網(wǎng)絡(luò)安全領(lǐng)域的人，我希望更多的技術(shù)實驗室持續(xù)打造開放的云上靶場，讓更多的安全極客在通過身份驗證后，均可以在基于真實云環(huán)境的靶場上進行安全攻防演練、安全測試或研究。”國聯(lián)易安總經(jīng)理門嘉平博士表示。

“零信任”不可或缺

艾瑞咨詢《2021年中國綜合移動辦公平臺行業(yè)研究報告》表示，綜合移動辦公平臺和效率辦公類APP月活躍數(shù)較2020年1月疫情初期增長289.9%，標志著混合辦公時代嘎然而至。但與此同時，開放協(xié)同的辦公方式也帶來了新的挑戰(zhàn)，組織安全邊界正在逐漸“土崩瓦解”。

“永遠不要相信任何人和任何事。”是一句我們記憶猶新，經(jīng)常在偵探電影里聽到的熟悉話語，其實這句話也同樣適用于云端安全管理。尤其是后疫情時代，隨著云計算進一步普及拉升市場容量，保護云端環(huán)境下的資產(chǎn)安全需求日益增加。

“零信任”重塑了安全邊界。根據(jù)機構(gòu)調(diào)查資料顯示，為了有效應對新業(yè)務模式下的網(wǎng)絡(luò)安全，組織亟需零信任解決應用場景的問題，力求創(chuàng)新零信任解決方案。

“零信任”是一種安全模型。可以概括為“從不信任，始終驗證”。換句話說，無論是從網(wǎng)絡(luò)內(nèi)部還是外部嘗試連接到系統(tǒng)或數(shù)據(jù)，未經(jīng)驗證都不會授予訪問權(quán)限。

零信任在各種類型的技術(shù)應用中都有所體現(xiàn)。譬如在遠程訪問領(lǐng)域，零信任訪問技術(shù)得到了推廣，成為了虛擬專用網(wǎng)絡(luò)更為安全的模式。與此同時，在處理系統(tǒng)管理員、C級管理人員和開發(fā)人員訪問權(quán)限的特權(quán)訪問管理平臺中，要求強制執(zhí)行所謂的“最低特權(quán)”概念即是“零信任”。

基于云實現(xiàn)的零信任方案具備諸多益處。云能夠提供加速、彈性擴容、自動容災等特性，優(yōu)化了硬件虛擬專用網(wǎng)絡(luò)性能瓶頸的問題;而零信任能實現(xiàn)應用隱身，將暴露面極大縮小趨于零，相比虛擬專用網(wǎng)絡(luò)方案又增強了安全性。

“基于云原生架構(gòu)的優(yōu)勢，建議分批次將應用接入零信任訪問架構(gòu)，首批選取業(yè)務影響面較小，且日常使用頻率相對較高的應用，以此檢驗已有信息化架構(gòu)與零信任的適配性及契合度。”國聯(lián)易安總經(jīng)理門嘉平博士表示。

“數(shù)據(jù)治理”不容小覷

數(shù)據(jù)治理是指組織為實現(xiàn)數(shù)據(jù)資產(chǎn)價值最大化所開展的一系列持續(xù)工作過程，目標是明確數(shù)據(jù)相關(guān)方的責權(quán)、協(xié)調(diào)數(shù)據(jù)相關(guān)方達成數(shù)據(jù)利益的一致以及促進數(shù)據(jù)相關(guān)方采取聯(lián)合數(shù)據(jù)行動。具體來看，數(shù)據(jù)治理包括：數(shù)據(jù)質(zhì)量管理、元數(shù)據(jù)管理、數(shù)據(jù)標準管理、主數(shù)據(jù)管理、數(shù)據(jù)架構(gòu)管理和數(shù)據(jù)安全管理，同時還包括數(shù)據(jù)管理相關(guān)的組織與制度。

億歐智庫預測，2021年中國云安全、數(shù)據(jù)安全市場規(guī)模分別為113.1億元、68.4億元，2021-2023年各細分領(lǐng)域年均復合增速均超過30.0%，2021年-2023年復合增長率達19.3%。

基于IDC數(shù)據(jù)，結(jié)合對行業(yè)專家的訪談調(diào)研，愛分析預計到2023年，中國的數(shù)據(jù)治理市場規(guī)模將達到200億元人民幣。當前數(shù)據(jù)治理市場企業(yè)眾多，但呈現(xiàn)能力與服務同質(zhì)化、單一、市場供應分散的市場局面。

與之同時，隨著互聯(lián)網(wǎng)與大數(shù)據(jù)的逐步發(fā)展，大數(shù)據(jù)的安全問題逐漸暴露，針對大數(shù)據(jù)的勒索攻擊和數(shù)據(jù)泄露問題日趨嚴重。由此，也催生了大數(shù)據(jù)相關(guān)的安全技術(shù)、解決方案。國內(nèi)許多網(wǎng)絡(luò)安全企業(yè)致力于為政企客戶打造一體化的數(shù)據(jù)安全防護體系，在實現(xiàn)組織機構(gòu)數(shù)據(jù)價值的同時，保障數(shù)據(jù)資產(chǎn)安全。

“大數(shù)據(jù)安全是指搭建大數(shù)據(jù)平臺所需的產(chǎn)品與解決方案以及專業(yè)服務，大數(shù)據(jù)場景下的大數(shù)據(jù)全生命周期管理尤為重要。作為網(wǎng)絡(luò)安全架構(gòu)的研究者，我建議要推進以網(wǎng)絡(luò)為中心的安全體系(NCS )逐漸進化為以數(shù)據(jù)為中心的安全體系(DCS)，以更好地保障數(shù)據(jù)全生命周期的安全。”國聯(lián)易安總經(jīng)理門嘉平博士表示。

結(jié)束語

業(yè)界普遍認為“組織整體上云”的趨勢不可逆轉(zhuǎn)。究其原因，網(wǎng)絡(luò)安全產(chǎn)業(yè)增長的主要動力在于：伴隨數(shù)字技術(shù)的快速革新，網(wǎng)絡(luò)安全風險已經(jīng)從虛擬空間輾轉(zhuǎn)到現(xiàn)實世界。因此，傳統(tǒng)的網(wǎng)絡(luò)安全概念已經(jīng)不能涵蓋整個安全產(chǎn)業(yè)市場，應該準確定義為“數(shù)字安全”，網(wǎng)絡(luò)安全產(chǎn)業(yè)也將從傳統(tǒng)的存量市場進入新的“數(shù)字安全”增量市場。

2022年是“數(shù)字安全”元年。云安全、數(shù)據(jù)安全、人工智能安全等新安全領(lǐng)域，以及工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等數(shù)字化應用場景，都會催生大量“數(shù)字安全”需求，為網(wǎng)絡(luò)安全產(chǎn)業(yè)打開非常龐大的增量空間。

“隨著數(shù)字化時代到來，組織面臨數(shù)字化轉(zhuǎn)型。其中一個非常關(guān)鍵的轉(zhuǎn)型，就是‘上云’。所謂上云是指組織以互聯(lián)網(wǎng)為基礎(chǔ)進行信息化基礎(chǔ)設(shè)施、管理、業(yè)務等方面的開發(fā)應用，并通過互聯(lián)網(wǎng)與云計算連接資源、共享服務及擴展能力的過程。”國聯(lián)易安總經(jīng)理門嘉平博士表示。

門嘉平 國聯(lián)易安總經(jīng)理，清華大學電子信息專業(yè)博士、北京交通大學信息安全專業(yè)博士。第一作者發(fā)表中英論文10余篇，參與國家標準起草與修訂工作3項;承擔國家級重大專項、重大工程課題研發(fā)成果8項;獲得發(fā)明專利、著作權(quán)近300項。多個國家部級單位特聘信息安全專家、多個國家部級執(zhí)法單位特聘信息安全專家，清華大學計算機系網(wǎng)絡(luò)安全智能研究中心副主任、清華大學無錫應用技術(shù)研究院數(shù)字技術(shù)產(chǎn)業(yè)研究中心主任。民建中央信息和網(wǎng)絡(luò)創(chuàng)新專委會委員、民建中央企業(yè)家精神專委會委員，中關(guān)村軟聯(lián)安全專業(yè)委會主任，中關(guān)村軟件和信息服務產(chǎn)業(yè)創(chuàng)新聯(lián)盟副理事長，中國計算機學會安全專業(yè)委員，海南國際仲裁院互聯(lián)網(wǎng)服務中心專家顧問。