奇安信吴云坤：零信任是数据安全的必然选择和创新方向

　　“数据安全是数字化时代关基保护的核心和关键。”12月16日，在由中国计算机学会计算机安全专委会数据安全工作组举办的“零信任分论坛”上，奇安信集团总裁、中国计算机学会计算机安全专委会常委吴云坤在主题演讲中提出，基于零信任架构，结合零信任与数据实体防护，构建数据安全技术防御体系。

　　随着数字化的深入，数据成为重要生产资料。吴云坤指出，数字化业务的开展，改变了信息化环境，带来了新的安全需求，数字化场景下保护对象从云网端和运行环境扩展到数据核心资产，数据安全保护面临着多重挑战。

　　首先，随着数字化业务的开展，数据由静止转向流动，数据安全场景发生了改变，数据安全保护的难度加大；其次，保护对象发生变化，防御措施和手段也需要更新；第三，数据安全管理和技术需要融合，才能有效支撑技术的落地执行。

　　数据安全靠的不是单点技术，而是能力体系。真正做好数据安全防护，需要从零散建设升级到体系化建设，内生安全框架是安全体系化建设的核心，“一中心两体系”是内生安全框架落地的具体方法。

　　其中，态势感知和运营管控中心通过建立认知能力，揪出威胁、阻断威胁，确保安全能力行之有效，零信任体系和安全防护体系分别解决“内鬼”和外部攻击的问题。

　　具体来说，安全防护体系面向外部攻击防护，可基于实战化的攻击向量框架，分析数据中心可能的威胁攻击路径，设计数据中心分层安全防护能力框架，开展纵深防御措施的部署，实现安全与信息化的各层级的全面覆盖和深度结合。

　　零信任体系则面向内部业务访问管控，让内部合法身份能够便捷访问应有的数据和应用，同时防止合法身份的异常行为，将“零信任架构”与“数据安全防护体系”相结合，做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”，确保合适的人、在合适的时间、以合理的方式，访问合适的数据。

　　吴云坤表示，数据安全的整体防护思路，就是围绕整个业务流转和数据流动进行防护，以数据安全治理为基础支撑，得出数据安全策略，把精准管控与实体防护拉通，构建结合“以身份为基石、以规则为准绳、持续信任评估、动态业务合规”的数据安全。

　　作为本次论坛的承办单位之一，奇安信还在展区展示了“奇安信零信任身份安全解决方案”。目前，该方案已经在多种行业进行广泛应用，充分帮助构建组织“内生安全”能力，推动零信任理念在多个行业的实践落地，并多次获得Forrester、IDC等知名研究机构推荐，得到了市场、业界的高度认可。