2021国家网络安全宣传周│ 格尔软件聚焦网络和数据安全 赋能城市数字化转型

10月11日，2021年国家网络安全宣传周上海地区活动在上海世博会博物馆开幕。来自网络安全领域的权威精英们汇聚黄浦江畔，共谋网络安全治理之策。

网络安全宣传周主论坛《网络和数据安全赋能城市数字化转型》由市委网信办、黄浦区委共同指导，黄浦区委网信办主办，上海市商用密码行业协会承办。中国信息安全研究院副院长左晓栋、市委网信办总工程师杨海军、黄浦区副区长王鼐、市政府办公厅副主任、市大数据中心主任朱宗尧、市公安局副局长陈超、国家数字交换系统工程技术研究中心总工季新生、市大数据中心副主任刘迎风、上海交通大学网络空间安全学院副院长邢朝平、以及观安、格尔软件、中电科数字科技等政府领导、高校学者、行业机构及企业负责人出席。

论坛上，各位专家学者先后致辞发言，围绕论坛主题探讨最新技术、传播前沿理念、分享宝贵经验、激发头脑风暴，共同为城市数字化转型中的网络和数据安全出谋划策、贡献智慧、保驾护航。

在主论坛中，格尔软件副总工郎文华分享到：“十四五”以来政府、企业不断加快数字化转型，而云计算、大数据、移动互联网、物联网等技术的发展，使得我们面临的IT环境变得越来越复杂，数据在各种用户、终端、网络、应用、云端广泛的流动，传统基于边界的静态安全防护体系越来越难以应对新的安全风险。从资源管控的视角，以数据资产为核心，我们可以借鉴零信任的安全理念，构建一个基于身份白名单的、细粒度的、以策略驱动的动态访问控制体系。零信任绝不是要取代传统的安全防护体系，而是互为补充，叠加安全。

格尔结合自身的专业优势及行业实践，提出了 “密码为基石、身份为中心、策略驱动的SDP”的零信任架构。

1） 密码为基石

通过密码服务平台、PKI/CA提供基础的密码服务、密钥管理、数字证书等服务，确保身份的可信及真实性、数据的机密性及完整性、行为的不可否认性。没有密码技术，零信任就是无根之木。

2） 身份为中心

身份不仅仅是用户、账号，也包括设备、应用、服务。通过可信身份服务平台实现泛身份的全面数字化、全生命周期管理、身份治理以及身份的风险管理能力。可信身份服务平台成为零信任的身份基础设施。

3） 策略驱动的SDP

如果把零信任体系看成一个有机体，控制面的策略服务平台就是零信任的大脑，数据面的零信任网关、以及各类策略执行点，就是零信任的四肢。通过策略服务平台来驱动控制面、数据面的安全组件，形成一个自动化的、动态的闭环零信任访问控制体系。

零信任参考部署架构——云交付模式

云交付模式的核心是“零信任安全云服务”，包括管理控制面的密码服务平台、可信身份服务平台、策略服务平台，以及数据面的零信任网关云服务。零信任网关云也是一个安全连接云，实现后端受保护资源的隐藏、代理，通过与策略服务平台交互，实现访问主体的强制身份认证、细粒度动态访问控制，建立端到端的加密通道等能力。

可信身份服务平台（IAM）：敏捷、智能、安全合规

IAM不仅仅是安全问题，还是一个管理问题。新一代的IAM需要具备敏捷、智能、安全合规的特点。不同行业/组织，其架构、管理模式、流程、身份模型都不同，各种新、老业务系统的对接，都会导致大量的定制化需求。用IDaaS云服务化的设计理念去重构IAM，构建身份服务基础平台。采用开放API架构，通过二次开发去满足行业特性、个性化的定制需求，使IAM变得更加敏捷、智能。同时，IAM需要注重身份数据安全、隐私保护，平台要支持国产密码算法，满足等保、信创等合规性要求。

策略驱动的SDP

在零信任架构中，策略服务平台位于控制面的中枢，是一个策略驱动的零信任的大脑。

(1) 策略即代码

策略由一系列规则组成，每条规则都可能涉及到用户、设备、环境、网络、应用、数据等。需要对访问主体、客体进行抽象，对环境属性/标签进行定义，对条件进行约束，所有要素都可定义，都可以通过策略语言来描述，通过策略引擎来评估决策，实现“策略即代码”的理念。

(2) 策略智能化&自动化

通过策略模板定义自动化匹配规则，持续监控主体/客体的变化来自动生成新的策略。平台结合身份风险，或者和外部的终端环境感知、UEBA、安全大脑联动综合评估风险，智能化的调整策略，实现自动化的响应，比如阻断、二次认证等。

(3) 策略即服务

以策略服务平台为核心，提供“策略即服务”的能力

全栈全域的零信任策略执行点

从用户访问的视角来看，数据面可简单抽象出4层访问边界：人机边界、网络边界、应用/服务边界、数据边界。可以在数据面上构建一个覆盖终端、网络、应用、服务，再到数据，全栈全域的零信任纵深访问控制体系。

数据访问安全：零信任数据访问云服务

针对最核心的数据访问，构建一个零信任数据访问云服务。通过策略服务平台实现统一的数据访问策略管理和决策；通过数据访问云服务，实现敏感数据的自动发现，数据细粒度访问控制、以及数据动态脱敏、加密等功能。

最后，郎文华再次强调了零信任就是一种安全理念，这个理念可以应用于网络安全的各个层面。在零信任落地实践中，结合具体场景，走自己的零信任之路。

关于格尔软件

格尔软件（股票代码：603232）是国内信息安全数字信任领域的先行者和领导者，作为二十多年专业密码厂商和云密码服务商，格尔软件基于零信任理念，致力提供以身份治理为中心的数字资产安全整体解决方案；公司拥有大批政务、金融、军工等领域核心客户，面向社会数字化转型的新形势，完成了云计算、大数据环境下大规模复杂场景的安全体系建设，并为工业互联网、物联网、车联网等新型应用保驾护航，全力打造成为国内全栈全域的信息安全服务提供商。