2020云安全联盟大中华区大会近日在上海举办，包括下一代信息技术安全、网络空间安全技术创新与成果转化、5G时代物联网安全的挑战与策略等成为大会热门话题。

与会嘉宾表示，伴随着科学发展和技术迭代，协同办公、远程运维等新场景不断涌现，传统边界安全已经失效或作用有限。相伴而生的是，云逐渐成为安全的主战场，尤其在新基建和关键信息基础设施建设等领域，云安全将守护和保障数字经济高质量发展。

新安全架构推动数字化转型进入快车道

据了解，为了有效解决企业上云之后面临的安全问题，云安全联盟几年前发布软件定义边界(SDP)新一代网络安全技术架构。相比传统网络安全，SDP具备更安全、更灵活部署、更低成本等特点。

云安全联盟大中华区主席李雨航表示，云安全联盟将与政产学研各界积极全面开展数字合作，引进数字安全和信任的国际优秀实践，赋能新基建，保障数字经济的高质量发展。同时在会上宣布云安全联盟新版官网上线， 全球同步更新云安全联盟个人证书，包括云计算安全知识认证CCSK、注册云安全系统认证专家CCSSP和零信任专家认证CZTP等。此外还发布《2020中国零信任全景图》、《物联网安全关键技术白皮书》、《数字货币交易所Top 10安全风险》、《数字货币溯源技术白皮书》、《智能合约安全指南》、《数字钱包安全开发与应用实践》、《DApp安全指南》等多项研究成果。

“如今数字经济想要高速高质量发展，首先要解决安全问题。很多企业因为安全方面的顾虑或者因为缺乏敏捷灵活的安全手段，导致数字化转型进程举步维艰。安全技术就是生产力，只有拥抱更新的安全技术架构，才能让数字化转型进入快车道。”云安全联盟大中华区SDP工作组组长、云深互联创始人兼CEO陈本峰说，SDP的网络隐身技术可以大幅缩小攻击面，有效帮助企业安全上云。SDP基于零信任安全理念，实现控制面和数据面分离，可以让数据访问的权限控制到非常精细的程度，有效保障企业的数据安全。SDP基于云原生的架构，部署实施灵活，可以帮助企业应对数字化转型过程中快速的业务变化。

凭借在零信任领域的安全创新，云深互联在此次大会上获得“安全创新奖”。对此，陈本峰表示，作为探索实践SDP技术的厂商，很高兴看到越来越多的企业认识到SDP的技术优势并且开始采购部署，相信这将会为企业的数字化转型助一臂之力。云深互联将提供一站式安全云平台，帮助客户实现全局视角、全局安全。

“产业上云安全先行”正在成为企业共识

随着新基建与云基础设施建设的深入推进，云已经成为安全主战场，越来越多的企业意识到“产业上云，安全先行”。

腾讯安全副总经理杨育斌表示，后疫情时代，“云办公”成为常态，但给企业带来规模大、终端基数大、业务类型多、操作系统多样、职场分部多、办公位置多变、协作厂商多、互联网使用量大等诸多挑战。安全风险加速企业探索、实践零信任安全体系，腾讯安全从企业角度出发，结合零信任安全体系和云协同能力，打造出敏捷零信任安全解决方案，助力企业加速数字化转型。

据介绍，腾讯敏捷零信任安全解决方案聚焦企业云上各环节，聚合身份上云、流量上云、业务上云、数据上云和持续信任管理五大能力，可及时发现、有效防御云管端安全风险，与合作伙伴共同构建一个部署、运维、管理都更方便、更高效、更安全的跨产业数字服务网络。

杨育斌表示，以云计算为代表的下一代信息技术是全球数字经济的基础设施，只有从底层构筑敏捷高效的网络安全防火墙，才能保障新基建、数字转型、智能制造等企业业务场景的正常运营。技术的快速迭代，正在倒逼企业在安全方面不断创新、变革防护手段，腾讯安全将持续开放自身技术能力和安全解决方案，携手行业生态伙伴，探索更多零信任标杆产品，为数字经济安全稳健发展提供更多安全技术支撑。

用工程思维推进零信任架构落地

据介绍，数字化转型时代，数据中心也在向云化发展。云化数据中心具有数据价值集中、边界不断延伸、数据持续流动等特点。另一方面，高价值的数据必然充满诱惑，云化数据中心安全威胁和网络攻击的重点也相应发生变化。

对此，奇安信身份安全事业部总经理张泽洲认为，需要以资产为中心，从业务与安全两个视角重新审视安全架构。零信任正是解决上述问题的一种理念、方法和架构。

零信任理念认为网络默认不可信，不能仅仅基于访问者在内网还是外网来决定访问权限，而是要基于不信任、始终验证的原则，将安全措施从网络转移到具体的人员、设备和业务资产，在边界安全之上叠加基于身份的逻辑边界，其本质是基于身份的、细粒度的动态访问控制机制。

张泽洲表示，零信任作为一个安全架构落地，面临流程、技术、管理等多方面挑战。推动零信任架构的落地不能一蹴而就，需要以工程思维妥善规划、分步建设，最终达成基于身份的、细粒度的动态访问控制机制。

云安全保障需要专业化精细化研究

公安部第三研究所研究员、网络安全法律研究中心主任黄道丽表示，数据聚集与分散、服务跨国境、资源虚拟化等云计算潜在的安全风险对国家安全、社会稳定、数据安全和个人隐私等造成现实影响，这些问题已成为国际社会的普遍共识。

黄道丽表示，我国网络安全法律体系日臻完善，立法探索、执法实践与司法适用并行。需要专业化、精细化研究云安全保障的立法、执法和司法适用，清晰化云服务提供商、用户等主体在民事、行政乃至刑事责任中的安全边界，为云计算行业创新发展提供稳健的安全保障。

黄道丽认为，《中华人民共和国数据安全法(草案)》可成为未来云安全法律治理的基本框架，其主要思路在于：以数据分级分类作为监管基础，云计算作为数据处理的一类主体或业务类型进行规制;强调云服务提供商与计算能力相匹配的披露义务，适当降低其适用各类避风港原则，以符合比例原则;通过云计算调控个人信息、重要数据等不同类型的数据关系，为关键信息基础设施保护、网络安全审查等法律制度提供基础性支撑。(记者 张汉青)

关键词： 企业共识