2023年9月8日,“2023外滩大会·网络安全分论坛”在上海举行。论坛由蚂蚁集团和《信息安全研究》杂志社联合主办,以“开启原生安全范式,护航网络空间安全”为主题。公安部第三研究所副所长金波,第十三届全国政协委员、上海市信息安全行业协会名誉会长谈剑锋到会致辞,对于原生安全范式开带启的网络安全治理表达了殷切期待。
会上,蚂蚁集团与浙江大学网络空间安全学院首发 “原生安全范式框架v1.0”。该框架主要包括两大安全范式、一大技术创新。两大安全范式包括“OVTP可溯范式”(Operator-Voucher-Traceable Paradigm,即OVTP)和“NbSP零越范式”(Non-bypassable Security Paradigm,即NbSP)。一大技术创新主要是“安全平行切面技术”体系。二者相辅相成,让原生安全理念得以落地。蚂蚁集团副总裁、首席技术安全官韦韬,表示“现代化数字企业已经成为不断演变和进化的数字生命体,其架构复杂性会爆炸式增长,正在加据企业内部数字化风险。网络安全保障,本源还是要回到访问是否合法的问题。我们希望通过原生安全范式框架,为企业安全架构设计提供指引,让原生安全从宏观要求,走向可落地实践”。两大安全范式在原生安全思想下,对网络安全访问问题提出了创新解法。简单来看,OVTP就是确保网络访问敏感操作可追溯可研判,如客服人员调用客户信息时依赖的服务工单,不致产生越权漏洞;而NbSP就是类似机场安检,攻击者不会通过各种漏洞形成的隐蔽通道(比如下水道或者通风管)绕过安检点。随后,围绕论坛主题,奇安信、平安集团、之江实验室、北京炼石网络、北京知其安科技、Certik公司等单位的嘉宾分享了行业实践和最新研究。
中国电子科技委副主任、奇安信集团总裁吴云坤认为,现代企业网络安全是从业务出发的内生安全,这样的安全防护体系具备三个关键要素:第一,从关注业务出发,构建内生安全体系;第二,从关注“人”出发,将安全机制内置于数据全链条;三,从关注运营出发,构建实战安全运营体系。这些能力帮助奇安信“零事故”完成了2022年北京冬奥会网络安全保障,吴云坤介绍。平安集团首席信息安全总监陈建分享了原生安全典型实践 DevSecOps:代码即安全,在编写代码的过程中将安全性视为一个核心要素,以确保开发出的软件应用程序在安全方面具有高度的可信度和防御性;上线即安全,在应用程序上线之前,必须确保应用程序具有高度的安全性和可靠性,减少后期修复漏洞和问题的成本;运营即安全,在软件系统和业务运营的过程中,将安全性视为一个持续的需求,确保在运营阶段保持高水平安全性,降级遭受攻击风险。北京炼石网络创始人、CEO白小勇介绍,基于安全平行切面技术,炼石网络在数据流动的切面上重建安全规则,实现了安全与业务在技术上解耦、能力上融合。“免改造应用落地原生数据安全,兼容多、交付快、防护好、省成本”,白小勇表示。原生安全范式的核心思想是让安全能力融入业务的毛细血管,这一思想也正在重塑现代企业安全治理。与会嘉宾一致认为,原生安全范式这一高效能的安全实践,强依赖于范式认知与安全基础设施的演进,需要更多的企业、机构参与技术共建、应用探索,共同打造高安全水平的网络空间。
还没有评论,来说两句吧...