扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
“安全平行切面是为数不多由中国人研发、能够在国际舞台上正面竞争的网络安全理念和方法论,它或将引发网络安全行业的一场重大变革。”在CNCC 2023“可信切面,构筑数字免疫屏障论坛”上,赛博英杰创始人、CCF理事、副秘书长、CCF YOCSEF秘书长谭晓生表示。
10月26日,第二十届中国计算机大会(CNCC2023)在沈阳召开,大会首日将安全平行切面作为重点话题,设立了“可信切面,构筑数字免疫屏障论坛”(以下简称论坛)。
在过去三十多年从业经历中,我一直都在努力地寻找一个能解决这两大问题的技术架构和业务逻辑解耦的方法,直到接触了安全平行切面的概念,看了相关的资料,我觉得这是一个挺好的思路。网络安全行业一直以来都在投入和效果之间寻找一个最佳平衡点,安全平行切面是一个很好的方式,韦韬建立了安全平行切面联盟,并把自己的代码分享给了大家,降低了业界采用安全平行切面的复杂度,在学术和产业两个角度都非常有价值。
左晓栋认为,网络安全需要创新,但创新要符合网络安全的本质,所谓“经典永流传”。所以研究可信切面和数字免疫相关的话题之前,需要去了解和思考什么才是网络安全体系结构,尽管这个话题实际上可能并不存在绝对的标准答案。
左晓栋指出,GB/T 18336《信息安全 信息技术安全评估准则》是目前的国标,并且在不断更新和修订。18336国标最初参考了欧洲ITSEC,里面提到了一个重大概念叫做“安全执行功能”,指为了实现IT系统或产品的保密性、完整性、可用性要求而实施的一系列技术性安全措施。而什么是可信?只有安全机制是不够的,必须要有保障,“保障”意味着要对安全执行功能以及这些功能的有效性有信心。也就是说,一个设备,只有安全功能,做得再好也不一定能满足你真正的安全需求,所以真正的可信和信任,是对安全功能正确性以及有效性的信任,这是可信最经典的定义,是安全最初的本质。
他指出,在网络安全领域和空间之内,绝对的安全是无法追求到的,所以在商业的角度上,网络安全不能不计代价,一定要考虑投入产出,商业环境的安全是需要度量的。在我们的想象空间中,安全并非是一道不可逾越的墙,而是一场博弈,攻击者要付出多大成本、克服多大不确定性、承担怎样的后果才能破坏你的安全体系,这个“难度”才是我们在做的安全工作。
韦韬说,安全体系里面非常显著的一个特点就是不确定性。随着时代的演进,网络空间系统也在不断演进,就像星空一样。从人类自古至今对星空的研究,我们发现探知事物的本源包括宏观层面和微观层面。在网络安全都有哪些问题是微观层面的问题呢?例如访问控制,访问控制的原生安全范式里又可以微观到OVTP可溯范式(策略层)、NbSP零越范式(机制层)。我们可以看到微观的重要性:关键细节决定成败。
“没有绝对的安全,但我们见过太多因一个细节的疏忽就导致整体安全失败的惨痛案例。很多以前在架构层面安全考虑不到位的地方,一旦应用开始铺开后,即使付出巨大代价也不一定能扳回来。所以安全架构设计正是这样,需要在顶层思考充分,才能支撑关键细节不会塌方”。
韦韬随后详细的阐述了从原生安全范式的微观视角,重新审视著名的网络安全体系架构,如纵深防御、零信任、Moving Target Defense和密码学应用体系,阐述各自的架构理想并分析现实的困难与挑战,特别从OVTP可溯范式与NbSP零越范式两个角度分析现存的优势与劣势。继而展示了如何应用安全平行切面来弥补现有安全体系架构的缺陷,并推动数字化企业向“可见可信 可控可战”的下一代安全体系架构演进。
随后,IDC全球安全研究总监Cathy Huang从分析师的角度,提出了在全球网络安全新变化下,安全平行切面的优势与价值;平安集团首席安全总监陈建站在企业的角度介绍了安全平行切面如何护航企业信息安全建设;深圳红途科技有限公司创始人刘新凯介绍了在加入安全平行切面联盟之后,红途科技运用可信切面在数据安全领域实现了实践应用。
「安全平行切面」该体系理念在2019年首次由蚂蚁集团副总裁、首席技术安全官韦韬提出。据韦韬介绍,安全平行切面通过切面、切点、平行舱等手段将安全可信的管控能力动态部署到目标系统执行空间内部,它能够实现对系统内部的数据自由观测,从而推动安全智能和管控效能的跨越式提升。切面技术的应用可以在数据安全治理等方面提供近十倍的效能提升,而在高危漏洞爆发等重大网络灾害应急方面能提供百倍以上的效能提升。
2021年“双十二”购物节期间,轰动全球的Log4j2漏洞爆发,蚂蚁凭借安全平行切面体系顶住了超40万次网络攻击,零误拦、零漏拦完成了“双十二”安全保障工作,对比之前对FastJson高危漏洞的响应,安全平行切面将Log4j2的应急人力效能提升了两百倍。
2021年12月24日,蚂蚁集团与信息产业信息安全测评中心发布了《安全平行切面白皮书》1.0版本,安全平行切面正式开始出现在行业视野之中。
2023年7月17日安全平行切面联盟正式成立,首批14个成员单位、5家技术授权单位,涵盖移动通信运营商、电商、金融、数字地图、网络安全、新型研发机构等领域,其中4家企业是世界500强。
《安全平行切面白皮书2.0》
浏览器扫码下载
(来源:数说安全)
《中国安全信息》杂志倾力推荐
“企业成长计划”
点击下图 了解详情