南半球的一只蝴蝶不小心拍了拍翅膀。两周后,北半球某处爆发了飓风。
-蝴蝶效应
截至3月10日13时29分,网络安全板块指数报2835.899点,跌幅2%,成交额102.47亿元,换手率1.26%。或许,在绿草如茵的股市中,网络安全板块的波动依然被很多人所期待,但其背后的未来却只是冰山一角。
“十四五”期间,信息网络安全发展规划是保障我国经济发展的重要战略。今年两会期间,信息网络安全再次被搜索,引起业界广泛关注。针对网络安全问题,伏羲智库特约研究员许云峰近日撰文阐述了自己的观点——从“人”的因素谈零信任结构。
焦点一
如何定义网络安全
网络安全服务
所谓网络安全服务,定义在纸面上,是用于增强和完善用户网络信息系统的服务,包括安全咨询、安全运营和安全集成。
然而,国际机构开始相互争斗。
IDC跳出来说,网络安全服务应该是“四大天王”,即安全咨询、安全运营、安全融合、安全教育培训。Gartner认为,网络安全服务的“四大天王”应该是安全咨询、安全外包、安全集成、硬件维护和支持。
无论如何,“三轴”在安全咨询、安全运营、安全集成方面占据了90%以上的市场份额。还有一个流行的说法,网络安全即服务。SECaaS的卖点是安全云和服务。
IDC对国内信息技术安全市场支出的预测
据思科统计,全球每年超过90%的企业和政府机构购买包括安全咨询、安全监控、事件响应和威胁情报在内的各种安全服务,只有6%的企业根本不购买安全服务。
据Gartner统计,2019年全球安全市场总规模约为1209亿美元,其中安全服务市场规模达到620亿美元,占比51%。考虑到SECaaS,全球安全服务的比例将达到60%以上。未来渗透率还会继续提高。
是立法助长了渗透。2018年,欧盟《GDPR通用数据保护条例》吹响了网络安全服务市场的号角。国内相继颁布《网络信息保护法》、《网络安全等级保护制度2.0》、《关键基础设施保护条例》、《密码学法》、《网络安全审查办法》、《个人信息保护法》、《数据安全法》等。无疑激活了相关政企用户对于测评、审核、整改的安全需求。
虽然国内安防服务市场总规模约100亿元,仅占安防行业总比重的20%,远低于全球平均水平。安全咨询、安全运营等附加值较高的安全服务占比相对较低,安全实施、系统集成贡献了大部分市场份额,也暴露出市场行业成熟度的差距。
国内政企用户对于网络安全服务普遍存在以下特点:缺乏安全意识,没有支付意愿,产业生态不成熟。
IDC统计显示,在安全咨询领域:2020年上半年,NSFOCUS国内市场份额排名第一,为8.1%,启安信为6.8%;德勤、普华永道和金星分别为6.4%、5.7%和5.5%;在托管安全服务方面:安恒信息以9.6%的份额排名第一;绿联科技为8.6%;金星星、安信天星、IBM占比分别为7.9%、4.8%、4.5%;在安全集成领域:集成商和分销商是主要厂商,包括太极、腾讯、中国软件、东华软件、东软集团等。
《亲爱的爱》剧照
在政策合规和产业升级的带动下,国内安防服务市场进入快速发展期。其中金星之星、安恒信息正在打造城市安防运营中心,深信他们在做“人机智能”安防运营服务,国内安防行业“体系化”“实战化驱动”。
2021年,将成为所有政府和企业用户的合规年,尤其是在个人隐私保护和数据安全方面。要把握网络安全服务发展趋势,提高网络安全培训质量和水平;需要关注云安全领域日益激烈的竞争,应对频繁渗透的网络攻击;要斩断恶意程序上的云,黑AI,面对持续远程办公的新挑战;既要做好网络威胁的日常防护和预防性检测工作,又要防御网络的空中空攻击。
焦点2
两个协会的代表热烈讨论
关注信息网络安全
“十四五”期间,信息网络安全发展规划是保障我国经济发展的重要战略。今年两会期间,信息网络安全再次被搜索,引起业界广泛关注。代表和委员们提出了建议和意见,包括基础设施建设、人员培训、个人信息保护和组织风险管理。
全国人大代表、腾讯公司董事长兼CEO马在提案中提到,在增强机遇意识的同时,要树立风险意识,高度重视数字经济和平台经济发展中的新矛盾、新问题,进一步推动政府、市场、社会、企业共同努力,积极探索创新监管治理方式,强化企业社会责任和合规发展理念,在全社会共享数字经济发展成果。
全国人大代表、腾讯公司董事长兼首席执行官马
全国政协委员、首席技术架构师肖认为,在抗疫期间,我国医疗卫生系统、疫苗研究机构和科研院所频繁遭受网络入侵攻击。因此,既要依托安全检查和通报机制,又要快速增加重点防护目标的防御能力部署和人员投入,通过机动预算保障实现防御资源的快速集中组织。完善多部委联合开展的风险评估机制,有效融入叠加网络安全风险动态评估,提升网络安全防护能力。
全国政协委员、首席技术建筑师肖
全国政协委员、北京金泰律师事务所主任皮剑龙认为,目前很多互联网公司都有大量的公民信息,一旦黑客利用技术入侵或者公司泄露用户信息,很容易造成安全隐患。个人隐私数据应受到更严格的管理。目前规范信息采集的内容还很少,保障数据安全的法律和实施细则、指南还缺乏,无法指导行业企业加强数据安全管理。要加快制定完善人脸识别数据管理专项法律,强化行政监管机制,完善行业自律监管。
中国人民政治协商会议全国委员会委员、北京金泰律师事务所主任皮剑龙
焦点3
专家解读
许云峰:从“人”的因素谈零信任结构
针对网络安全问题,伏羲智库特约研究员许云峰近日撰文阐述了自己的观点——从“人”的因素谈零信任结构。
许云峰认为,网络安全最薄弱的环节是“人”,要重视人在网络安全中的重要性和必要性。人既是威胁网络安全的主体,也是维护网络安全的主力军和网络事件的主要原因。网络攻防的本质其实是人与人之间的对抗,人性的漏洞成为网络之间治理的最大漏洞空。
许云峰说,现实中,信息网络安全有两大技术。一个是“让狼不进”,即门禁;第二,“狼来了也不能吃羊”,也就是密码技术。传统的网络安全模型是基于边界防御,如防火墙和入侵检测。它假设内网中的用户、设备和流量是可信的,因此一旦黑客入侵并获得内网的“合法”身份,就可以获得“授权”许可,任意进行攻击。
如今,技术是迭代的,网络边界是模糊的,数据访问是复杂的。在传统的网络安全模型中,可信的“人”已经成为威胁的来源。因此,许云峰针对传统边境安全架构的缺陷,提出了零信任的思想,即“从不信任,始终验证”。
黑客网络攻击
根据NIST零信任架构标准中的定义,许云峰提出零信任架构具有四个特征。
第一,以身份为中心。从传统的以网络为中心到以身份为中心的访问控制,网络位置不再作为网络安全访问授权的依据,身份信息始终作为认证的依据。
第二,细粒度授权。访问控制需要遵循细粒度授权的最小权限原则,基于尽可能多的属性度量信任和风险,实现动态自适应访问控制。
三是动态评价。在零信任模型中,无论用户是在组织内部还是外部,都需要持续评估信任级别。在允许访问之前,所有资源访问的身份验证和授权都是动态的,并且严格执行。
第四,安全访问。在零信任模型中,所有的业务系统都隐藏在安全网关后面,只有经过认证的设备和用户才能以足够的权限访问业务。数据受到加密和强制访问控制的保护。
许云峰表示,零信任理念整合了网络安全中的“人的因素”,重申了安全专家的主导地位,控制了“人”的威胁倾向。这种新的保护理念希望将安全架构从“以网络为中心”引向“以身份为中心”,其本质是重构以“人”为中心的访问控制信任基础。
零信任理念下,网络安全人员需要调整思维方式,认清现状,建立零信任机制。同时,企业的决策层也要参与其中,真正把零信任安全模式作为企业数字化转型战略的重要组成部分。在整体安全架构设计中,应该创建一个新的零信任框架,推陈出新而不是修修补补。
许云峰认为,零信任的完全落地是一个长期坚持和不断迭代的过程。要坚持“人的因素”,因地制宜,建立标准,推动实践,从理念理解、需求分析、设计架构、应用部署、战略管理等方面,实现数字化转型,助力高质量发展。
-结束-
本文图片资料均来自网络,内容来源于以下参考资料:
1.许云峰:从“人”的因素谈零信任结构
摘自《光明日报·中国读书报》2021年3月10日第18版
2.集中精神!在一篇文章中了解两会的网络安全提案
https://new.qq.com/rain/a/20210310A04YDQ00
3.建议提高“十四五”网络安全规划的完整性、系统性和针对性
https://new.qq.com/omn/20210308/20210308A037LG00.html
4.两会提出建议:信息网络安全“威胁检测比防御更重要。”
https://www.doit.com.cn/p/432890.html
5.两会|全国政协委员贺:屡禁不止不仅加速了个人信息保护法的立法
https://baijiahao.baidu.com/s? id = 1693826802060048829 & wfr = spider & for = PC
6.党的十九届五中全会的启示:系统思维下的网络安全
https://baijiahao.baidu.com/s? id = 1692649026386186605 & wfr = spider & for = PC
7.再见2020年,2021年网络安全趋势预测即将到来
https://baijiahao.baidu.com/s? id = 1692374433180286495 & wfr = spider & for = PC
8.134统计将带你了解2021年网络安全趋势
https://new.qq.com/omn/20210222/20210222A04AK800.html
9.2021年,将出现六大网络安全趋势
https://netsecurity.51cto.com/art/202103/648483.htm
10.网络安全服务行业研究报告:网络安全行业的制高点
https://baijiahao.baidu.com/s? id = 1693553384959139009 & wfr = spider & for = PC
