數(shù)字時(shí)代的安全技術(shù)

丁海驁

“一方面，隨著包括《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等在內(nèi)的法律法規(guī)的頒布和實(shí)施，‘安全’已經(jīng)被上升到法律要求層面，不再僅僅是企業(yè)內(nèi)部對(duì)于資產(chǎn)保護(hù)；另一方面，市場(chǎng)上‘安全’方面的技術(shù)人才非常緊缺，一系列的新技術(shù)快速涌現(xiàn)又需要采用一些新的部署方式；另外，在中國(guó)市場(chǎng)，很多大型企業(yè)和政府機(jī)構(gòu)非常關(guān)注他們數(shù)據(jù)的位置，他們不希望把數(shù)據(jù)放到第三方，這使得在中國(guó)市場(chǎng)上，安全工具的本地部署非常高的……這些特殊的因素，都導(dǎo)致在中國(guó)市場(chǎng)，安全技術(shù)在技術(shù)成熟度、產(chǎn)品和供應(yīng)商等方面，與國(guó)際市場(chǎng)其實(shí)有著很大的差異?！备叻澹珿artner高級(jí)研究總監(jiān)日前在發(fā)布2022年《Gartner中國(guó)安全技術(shù)曲線》時(shí)，尤其強(qiáng)調(diào)了中國(guó)市場(chǎng)的特殊性。

對(duì)于當(dāng)今的企業(yè)而言，IT架構(gòu)自身的不斷擴(kuò)展和數(shù)字化程度的持續(xù)深入，都使得企業(yè)面臨一種前所未有的安全感危機(jī)：來(lái)自網(wǎng)絡(luò)威脅的破壞程度與企業(yè)業(yè)務(wù)本身的數(shù)字化程度呈正比增長(zhǎng)，數(shù)字化程度越高，面對(duì)的風(fēng)險(xiǎn)也就越大，受到破壞的結(jié)果越難以收拾和估計(jì)。安全技術(shù)，因此被企業(yè)用戶給予相當(dāng)大的期望：期望其能夠真正幫忙自己構(gòu)建一個(gè)具有成長(zhǎng)性的安全體系和架構(gòu)。

眾所周知，Gartner的技術(shù)曲線將技術(shù)的發(fā)展分為萌芽期、期望膨脹期、泡沫破滅低谷期、穩(wěn)步爬升復(fù)蘇期和生產(chǎn)成熟期五個(gè)階段。在Gartner看來(lái)，技術(shù)在萌芽期、期望膨脹期會(huì)經(jīng)過市場(chǎng)和用戶的篩選，進(jìn)入技術(shù)本身的發(fā)展和應(yīng)用階段。其中，在泡沫破滅低谷期，會(huì)去除掉了一部分對(duì)技術(shù)本身過高的期望，而在穩(wěn)步爬升復(fù)蘇期，會(huì)圍繞技術(shù)的應(yīng)用場(chǎng)景展開更多具有創(chuàng)新性的商業(yè)化模式和應(yīng)用模式，最終在生產(chǎn)成熟期，被市場(chǎng)廣泛接納和采用。

這其中有一個(gè)“悖論”：處在成熟期的技術(shù)，雖然擁有清晰的應(yīng)用場(chǎng)景和明確的應(yīng)用效果，但是只有處在發(fā)展前期的技術(shù)，才能帶來(lái)更多的可能性和充分的領(lǐng)先性，因此對(duì)于企業(yè)用戶而言，在技術(shù)選擇的過程中，往往需要在兩者之間找到一個(gè)合適的平衡點(diǎn)。在本次發(fā)布的《Gartner中國(guó)安全技術(shù)曲線》中，高峰重點(diǎn)談到了幾個(gè)出于不同技術(shù)發(fā)展階段的安全技術(shù)概念。

對(duì)于那些希望能夠給企業(yè)未來(lái)帶來(lái)更多安全提升的企業(yè)，高峰認(rèn)為應(yīng)該關(guān)注還處在萌芽期階段的安全技術(shù)。他重點(diǎn)談到了CPS安全（信息物理網(wǎng)絡(luò)系統(tǒng)安全）、ASM（攻擊面管理）和云安全資源池等都是目前處于萌芽期的安全技術(shù)。在他看來(lái)，信息網(wǎng)絡(luò)物理系統(tǒng)其實(shí)是一種工程系統(tǒng)，它是可以協(xié)調(diào)傳感器計(jì)算、控制和網(wǎng)絡(luò)來(lái)分析與物理世界進(jìn)行交互。而在中國(guó)的數(shù)字經(jīng)濟(jì)和新基建的推動(dòng)下，信息物理系統(tǒng)安全技術(shù)，實(shí)際上未來(lái)很可能成為支撐著整個(gè)城市交通、能源、醫(yī)療和政務(wù)關(guān)鍵信息的基礎(chǔ)設(shè)施。與此相對(duì)，ASM（攻擊面管理）則是針對(duì)企業(yè)中邊界越來(lái)越擴(kuò)展和模糊的數(shù)字資產(chǎn)——包括內(nèi)部資產(chǎn)，還有越來(lái)越多的外部資產(chǎn)，而攻擊面管理的技術(shù)就是希望幫助企業(yè)克服資產(chǎn)的可見性和漏洞。

至于“云安全資源池”技術(shù)，高峰認(rèn)為，云安全資源池技術(shù)實(shí)際上是基于軟件的一個(gè)安全工具資源集合，整合了統(tǒng)一的“云”上的像管理、監(jiān)控、安全編排和自動(dòng)化，包括：可能很多廠商可以提供合規(guī)的管理能力?！霸瓢踩Y源池技術(shù)其實(shí)是一個(gè)中國(guó)特有的創(chuàng)新，它其實(shí)最大的應(yīng)用場(chǎng)景是為了滿足中國(guó)市場(chǎng)用戶本地化部署的私有云?！?/p>

在高峰看來(lái)，安全訪問服務(wù)邊緣（SASE）和物聯(lián)網(wǎng)身份認(rèn)證這兩項(xiàng)安全技術(shù)，目前還處在“期望膨脹期”?！癝ASE（安全訪問服務(wù)邊緣）主要是針對(duì)多種邊緣的訪問場(chǎng)景提供一個(gè)融合性的廣域網(wǎng)、邊緣的安全訪問能力?！备叻逭J(rèn)為，通常來(lái)說(shuō)，企業(yè)對(duì)于邊緣的保護(hù)有很多種工具，如：VPN、SWG（安全的訪問網(wǎng)關(guān)）等，但是這些技術(shù)都是單個(gè)的產(chǎn)品，并且它們?cè)诓渴鹦问缴虾吞峁┑墓δ苌弦捕嘤兄睾?。“我們認(rèn)為SASE作為一個(gè)融合型的平臺(tái)產(chǎn)品，能夠把這些分開的、單獨(dú)工作的邊緣保護(hù)的工具能夠整合起來(lái)，減少企業(yè)的運(yùn)維復(fù)雜度、來(lái)提供統(tǒng)一的可視化——這其實(shí)能夠?yàn)槠髽I(yè)提供更高、包括多種邊緣訪問的安全產(chǎn)品的能力，從而提高可見性、敏捷性、彈性和安全性。”但高峰強(qiáng)調(diào)，由于強(qiáng)調(diào)本地部署，因此中國(guó)SASE廠商提供的產(chǎn)品與海外存在差異，而“國(guó)內(nèi)的SASE產(chǎn)品，其成熟度還是不夠的，還需要時(shí)間來(lái)提高他們的成熟度——我們認(rèn)為這些SASE產(chǎn)品才是在中國(guó)市場(chǎng)被大量采用的主力?！?/p>

對(duì)于“物聯(lián)網(wǎng)身份認(rèn)證”也被認(rèn)為是處在“期望膨脹期”，高峰認(rèn)為：雖然車聯(lián)網(wǎng)、智慧城市、智能家具和智能可穿戴設(shè)備等的迅速發(fā)展，使得這些物聯(lián)網(wǎng)設(shè)備需要一個(gè)可信身份和強(qiáng)大的設(shè)備身份驗(yàn)證來(lái)減少它受到攻擊的可能性，但是，“物聯(lián)網(wǎng)的安全環(huán)境是非常復(fù)雜的，大多處于不可控的位置，且這些終端的計(jì)算能力也非常有限，它能做的安全保護(hù)更是非常有限，再加上它存在各種不同的標(biāo)準(zhǔn)……這些都使得物聯(lián)網(wǎng)的身份驗(yàn)證被廣泛采用，是比較困難的。”

“多方安全計(jì)算”和“零信任網(wǎng)絡(luò)接入”，高峰認(rèn)為是處在安全技術(shù)曲線的“滑落和低谷期”。在高峰看來(lái)，作為隱私計(jì)算技術(shù)的一種，多方安全計(jì)算更加強(qiáng)調(diào)應(yīng)用的場(chǎng)景化，因此在具體落地實(shí)施過程中，往往都是根據(jù)企業(yè)的具體業(yè)務(wù)場(chǎng)景和需求，做了很多定制化的部署?！斑@就導(dǎo)致出現(xiàn)了一些非常個(gè)性化的部署和產(chǎn)品，使得其很難被快速?gòu)?fù)制推廣到其他企業(yè)使用。復(fù)雜性、不可復(fù)制性，是導(dǎo)致多方安全計(jì)算進(jìn)入下降階段的一個(gè)原因?！备叻逭f(shuō)。

而對(duì)于“零信任網(wǎng)絡(luò)訪問”，高峰強(qiáng)調(diào)，作為可以落地的“零信任”創(chuàng)新，“零信任網(wǎng)絡(luò)訪問”其實(shí)正處在從谷底到爬升的過程當(dāng)中，“這項(xiàng)技術(shù)正在受到越來(lái)越多的企業(yè)關(guān)注，特別是在中國(guó)市場(chǎng)，很多安全廠商都已經(jīng)能夠提供相應(yīng)的產(chǎn)品。而且，也有越來(lái)越多的企業(yè)用戶，開始部署或者是已經(jīng)計(jì)劃部署這個(gè)技術(shù)?！?/p>

處于“穩(wěn)步爬升復(fù)蘇期”的技術(shù)，相對(duì)而言是在技術(shù)領(lǐng)先性和應(yīng)用成熟度上相對(duì)均衡的技術(shù)。高峰提到攻防演練、態(tài)勢(shì)感知、數(shù)據(jù)分類和云工作保護(hù)平臺(tái)等幾項(xiàng)技術(shù)正處在這個(gè)階段。“云工作負(fù)載保護(hù)平臺(tái)其實(shí)是一個(gè)以工作負(fù)載為中心的安全產(chǎn)品。我們認(rèn)為一個(gè)好的云工作負(fù)載保護(hù)平臺(tái)是可以為混合云，以及多云數(shù)據(jù)中心的服務(wù)器工作負(fù)載提供保護(hù)的?！备叻逭J(rèn)為，處于穩(wěn)步爬升復(fù)蘇期的“云工作負(fù)載保護(hù)”技術(shù)不只能夠?qū)€下負(fù)載進(jìn)行保護(hù)，更是能夠?yàn)槠髽I(yè)所有的平臺(tái)——包括企業(yè)所有的公有云、私有云或者是企業(yè)的信息安全數(shù)據(jù)中心——所有工作負(fù)載提供保護(hù)，并且可以針對(duì)任何地點(diǎn)的物理機(jī)、虛擬機(jī)、容器，無(wú)服務(wù)工作負(fù)載、提供一些持續(xù)可監(jiān)控的一些管控?！爸袊?guó)市場(chǎng)對(duì)于云的采用率正在快速增加，因此會(huì)有大量的企業(yè)都需要云工作保護(hù)平臺(tái)幫助保護(hù)他們的工作負(fù)載。這實(shí)際上也加速了云工作保護(hù)平臺(tái)的采用率?！备叻逭f(shuō)。

“技術(shù)、企業(yè)的流程、文化對(duì)于企業(yè)構(gòu)建安全體系都是非常重要的，也都是其安全工作的瓶頸?！痹诨卮鸸P者提問時(shí)，高峰認(rèn)為：對(duì)于企業(yè)而言，把“安全”僅僅定義成是一個(gè)技術(shù)問題，是不全面，并且可能是錯(cuò)誤的；在很大程度上，安全也與企業(yè)自身的管理、人才、業(yè)務(wù)流程等都有非常密切的關(guān)系。

首先，是由于安全技術(shù)本身的復(fù)雜性，所帶來(lái)的對(duì)安全技術(shù)的部署和應(yīng)用，門檻很高。“我們發(fā)現(xiàn)，安全問題大部分都是由于配置錯(cuò)誤引起的?！备叻逭J(rèn)為，與整個(gè)IT市場(chǎng)不同，安全市場(chǎng)上不僅產(chǎn)品眾多，而且安全廠商數(shù)量也遠(yuǎn)遠(yuǎn)超過基礎(chǔ)架構(gòu)廠商的數(shù)量，這就導(dǎo)致企業(yè)對(duì)于安全技術(shù)的跟蹤、管理存在非常大的難度。加之目前在企業(yè)內(nèi)的安全人才短缺，很多企業(yè)當(dāng)中往往都是由CTO、CIO兼職安全負(fù)責(zé)人，這就使得企業(yè)實(shí)際上是完全沒有管理如此多技術(shù)和廠商的能力。

雖然目前與安全相關(guān)的技術(shù)和產(chǎn)品，都開始有整合的趨勢(shì)，希望借此能夠降低安全技術(shù)和產(chǎn)品的復(fù)雜度，簡(jiǎn)化實(shí)施部署和應(yīng)用的難度，方便用戶使用，但是，“還有很多新的威脅出現(xiàn)，企業(yè)需要的保護(hù)的場(chǎng)景總是日新月異，總是遠(yuǎn)遠(yuǎn)超過已有產(chǎn)品的覆蓋面?！备叻逭f(shuō)。

其次，安全不應(yīng)該是一個(gè)技術(shù)問題，更應(yīng)該是業(yè)務(wù)問題?！皯?yīng)該讓企業(yè)內(nèi)部的業(yè)務(wù)人員，更多地去承擔(dān)一些安全的責(zé)任，而不能只管做業(yè)務(wù)、不關(guān)系安全?！备叻逭J(rèn)為，很多企業(yè)往往有一個(gè)錯(cuò)誤的認(rèn)識(shí)，認(rèn)為重視安全可能會(huì)降低業(yè)務(wù)效率、讓企業(yè)業(yè)務(wù)流程變得不順暢，最終導(dǎo)致在企業(yè)中很難建設(shè)一個(gè)非常有效的安全體系，保護(hù)企業(yè)的數(shù)字資產(chǎn)?！斑@個(gè)時(shí)候，我認(rèn)為應(yīng)該把安全責(zé)任向前推：讓業(yè)務(wù)人員承擔(dān)更多的安全責(zé)任，讓業(yè)務(wù)人員與IT認(rèn)為互相合作，在實(shí)現(xiàn)安全和保業(yè)務(wù)障流程高效之間，找到平衡點(diǎn)。”

最后，高峰建議說(shuō)，企業(yè)在具體選擇安全技術(shù)時(shí)，應(yīng)該考慮“現(xiàn)在的情況”和“將來(lái)的情況”：針對(duì)現(xiàn)在的情況，企業(yè)需要考慮自身現(xiàn)在的安全工具，是否能與備選的安全工具進(jìn)行集成，或者完全取代；而處于對(duì)未來(lái)的考慮，企業(yè)需要考慮，備選的安全工具是不是能夠在企業(yè)給自己規(guī)劃的未來(lái)的業(yè)務(wù)場(chǎng)景中，提供保護(hù)。

更多關(guān)注安全對(duì)于企業(yè)用戶而言，是一種面向未來(lái)的務(wù)實(shí)選擇，說(shuō)明企業(yè)開始真正關(guān)注自身的需求，而不是一味追求IT技術(shù)所帶來(lái)的短期效率提升，這無(wú)疑是一種進(jìn)步。而面對(duì)市場(chǎng)上過于豐富的安全技術(shù)概念和產(chǎn)品，企業(yè)用戶更多需要從自身需求出發(fā)，將安全與發(fā)展同時(shí)考慮，并行建設(shè)，才能從根本上構(gòu)建一個(gè)健康、安全的業(yè)務(wù)環(huán)境。