零信任安全:重塑金融業(yè)安全體系,全面釋放金融業(yè)務生產(chǎn)力
從早期的電子化、信息化建設(shè),到如今的數(shù)字化、智能化轉(zhuǎn)型,金融行業(yè)始終處于數(shù)字經(jīng)濟大潮的風口浪尖,對經(jīng)濟全局的演進和發(fā)展模式的躍遷起到至關(guān)重要的作用。
伴隨云計算、人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等新興技術(shù)的協(xié)同爆發(fā),金融業(yè)的數(shù)字化轉(zhuǎn)型也棋至中局——核心業(yè)務借助科技賦能獲得成長動力的同時,也難免遭遇前所未有的挑戰(zhàn),各種問題與矛盾亂麻一般交織雜糅。
如果說金融業(yè)數(shù)字化轉(zhuǎn)型在布局初期需要開闊的視野和前瞻的眼光,那么在情況趨于復雜的中局階段,則應倚仗抽絲剝繭的耐心與放出“勝負手”的勇氣。
安全就是關(guān)乎金融數(shù)字化整盤大棋最終走向的“棋眼”,每一步落子都不容有失。殺毒軟件、防火墻等產(chǎn)品曾是構(gòu)筑安全防線的“妙手”,后來逐漸演變?yōu)橹幸?guī)中矩的“本手”,再通過軟硬結(jié)合的統(tǒng)一威脅管理避免落入“俗手”的窠臼。
但技術(shù)更新迭代的速度遠超預期,金融業(yè)核心業(yè)務上云、應用場景創(chuàng)新的步伐亦日益加快,傳統(tǒng)的邊界安全思維已無法適應新的需求。
一方面,內(nèi)外網(wǎng)之間的界限模糊不清,云端與本地的業(yè)務相互交融,既有的安全策略總是顧此失彼;另一方面,數(shù)字金融的應用服務開放、遠程資產(chǎn)運維以及多類型終端辦公接入等場景層出不窮,對身份和權(quán)限管理提出了更高要求。
零信任安全正是在這樣的背景下應運而生。根據(jù)市場研究機構(gòu)Markets and Markets的報告,全球零信任安全市場規(guī)模預計將從2019年的156億美元增長到2024年的386億美元,復合年增長率為19.9%。2024年,我國零信任安全市場規(guī)模將達16.7億美元,有望成為安全領(lǐng)域最強勁的增長點。
對進入數(shù)字化中盤博弈的金融業(yè)而言,零信任安全會扮演“勝負手”的核心角色嗎?究竟怎樣的零信任安全策略才能達成最優(yōu)的落地路徑?從理念架構(gòu)的完善到場景化案例的生成,到底需要經(jīng)歷哪些考驗?
追本溯源、腳踏實地,也許是回應上述問題的最佳方式。零信任安全不是漂亮的空中樓閣,而是一條充滿艱辛又注定不凡的通天大道。
零信任安全的緣起與路徑
早在2010年,F(xiàn)orrester分析師JohnKindervag就首次提出關(guān)于零信任安全的三大觀點:一是不再以清晰的邊界來劃分信任或不信任的設(shè)備;二是不再區(qū)別信任或不信任的網(wǎng)絡;三是不再有信任或不信任的用戶。
因敢于應對行業(yè)痛點,零信任安全甫一誕生即吸睛無數(shù),但囿于時機尚不成熟,并未迅速落地生根。直到后來Google BeyondCorp項目成功驗證了零信任安全在大型網(wǎng)絡場景下的可行性,越來越多的ICT廠商躬身入局,包括金融業(yè)在內(nèi)的諸多基于零信任安全的行業(yè)解決方案也逐漸增加,才吹響了整個業(yè)界全面實踐的號角。
過往,企業(yè)構(gòu)建安全體系時,首先尋找安全邊界,把網(wǎng)絡劃分為外網(wǎng)、內(nèi)網(wǎng)、隔離區(qū)等不同區(qū)域,然后在邊界上部署防火墻、入侵檢測等安全產(chǎn)品。這種安全架構(gòu)以內(nèi)網(wǎng)比外網(wǎng)更安全為假設(shè),一旦攻擊者潛入內(nèi)網(wǎng),或其身份被內(nèi)網(wǎng)信任,那么安全邊界就形同虛設(shè)。
與以網(wǎng)絡為中心的防護理念不同,零信任建立以身份為中心,以識別、持續(xù)認證、動態(tài)訪問控制、授權(quán)、審計以及監(jiān)測為鏈條,以最小化實時授權(quán)為核心,以多維信任算法為基礎(chǔ),認證直達末端的動態(tài)安全架構(gòu)。在邊界日漸消失的背景下,零信任通過軟件定義的方式,將傳統(tǒng)邊界收縮到更靠近具體的應用。
顯而易見,零信任的突出優(yōu)勢在于其動態(tài)綜合縱深安全防御能力,整個防護控制都基于身份,并對身份進行持續(xù)確認。在網(wǎng)絡可能被攻陷或存在內(nèi)部威脅的環(huán)境下,零信任把安全能力擴展到主體行為、客體資源,解決了傳統(tǒng)邊界無法應對的難題。
外部環(huán)境的急劇變化也為零信任邁向縱深創(chuàng)造了條件。云計算基礎(chǔ)架構(gòu)的異構(gòu)化和混合化加速了邊界消失的進程,云網(wǎng)邊端不再涇渭分明,在業(yè)務實際運行中渾然一體;與此同時,大數(shù)據(jù)、物聯(lián)網(wǎng)、5G等技術(shù)的迅猛發(fā)展,不斷催生遠程辦公、業(yè)務協(xié)同、分支互聯(lián)等應用場景,企業(yè)基于邊界的傳統(tǒng)安全架構(gòu)不再可靠,零信任成為必然之選。
零信任重塑金融業(yè)安全體系
作為關(guān)系國計民生的重點行業(yè),金融業(yè)對各類業(yè)務場景的安全管理有著更為嚴苛的要求,以金融科技創(chuàng)新解決數(shù)字化轉(zhuǎn)型深水區(qū)的衍生問題更是迫在眉睫,零信任安全與金融業(yè)的結(jié)合可謂水到渠成。
工信部2019年發(fā)布《關(guān)于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見》,將零信任安全列入需要“著力突破的網(wǎng)絡安全關(guān)鍵技術(shù)”;金融標準化十四五發(fā)展規(guī)劃進一步指出,鼓勵探索零信任網(wǎng)絡等新技術(shù)應用標準,釋放了推進零信任安全在金融業(yè)快速發(fā)展的政策信號;金融業(yè)關(guān)鍵基礎(chǔ)設(shè)施國產(chǎn)化重點任務實施計劃更接地氣,提出金融機構(gòu)零信任工作空間的搭建應優(yōu)先考慮國產(chǎn)化解決方案。
零信任安全可觀的發(fā)展前景也吸引了眾多參與者。目前國內(nèi)市場中主要有三大零信任流派:一是以阿里、騰訊為代表的互聯(lián)網(wǎng)與云平臺大廠,二是深信服、奇安信等專業(yè)的安全解決方案提供商,三是華為、新華三等具有ICT背景的綜合廠商。
三大流派各擅其長,很難簡單作優(yōu)劣對比。若以零信任安全在金融業(yè)落地的角度看,兼具自主品牌軟硬件產(chǎn)品與終端服務優(yōu)勢的ICT綜合廠商也許略勝一籌。
作為國內(nèi)領(lǐng)先的金融云與金融ICT基礎(chǔ)設(shè)施服務商,新華三集團深耕金融行業(yè)30年,服務90%以上的金融客戶,承載1000+金融全場景應用。值得一提的是,新華三在交換機、路由器、服務器、無線、運維、虛擬化等金融行業(yè)ICT領(lǐng)域均處于領(lǐng)先地位。
面對金融業(yè)客戶的新痛點,新華三集團致力于打造獨具特色的金融零信任工作空間解決方案,從安全理念、安全戰(zhàn)略、安全架構(gòu)等維度,構(gòu)建五大核心能力:
一是動態(tài)權(quán)限管控能力,根據(jù)管理策略,金融用戶遠程接入辦公過程中的風險操作都會調(diào)整相應的訪問權(quán)限;二是應用服務隱藏能力,保護金融用戶資源安全,只有經(jīng)過單包認證的用戶才能看到應用資源;三是細粒度訪問控制能力,最小化原則只為對應金融場景的人員進行對應的訪問控制授權(quán);四是統(tǒng)一管控門戶能力,為金融客戶提供整體用戶登錄入口以及應用資源登錄界面;五是統(tǒng)一身份認證能力,對金融員工、測試、外包、客服人員以及客戶等對象進行整體認證。
新華三集團在金融業(yè)的零信任策略符合市場需求的發(fā)展趨勢。IDC咨詢的研究成果顯示,金融業(yè)的員工、設(shè)備、合作伙伴以及客戶需要通過多種方式靈活接入企業(yè)業(yè)務系統(tǒng),企業(yè)原有的網(wǎng)絡邊界逐漸泛化,零信任策略必須多管齊下方能發(fā)揮最大效用。
零信任場景化落地的征途
從理念到架構(gòu),零信任安全已贏得充分認可,但要完成實質(zhì)性的跨越,還應在場景化落地方面更上層樓。
金融業(yè)的零信任場景紛繁復雜,不同場景對應的解決方案也存在較大差異,亟需領(lǐng)導型廠商建立可供借鑒的行業(yè)標桿。
基于對金融業(yè)客戶需求的深刻理解,新華三推出金融零信任工作空間場景化解決方案,讓金融客戶可以使用任意終端在任意地點以任意網(wǎng)絡以正確的權(quán)限接入訪問對應的金融業(yè)務,全面釋放金融業(yè)務生產(chǎn)力。
“零信任+”是新華三針對細分場景的應對之道:在金融行業(yè)安全辦公場景,主打零信任+VDI;在金融行業(yè)開發(fā)測試場景,力推零信任+VDI+雙網(wǎng)終端;在金融行業(yè)柜面業(yè)務場景,祭出零信任+VOI+云盤方案;金融行業(yè)運維場景,零信任+VDI+動態(tài)桌面大行其道;在金融行業(yè)客服坐席場景,零信任+VDI + VOI備受青睞。
綜合來看,更便捷、更穩(wěn)定、易運維、更友好、成本低、高安全是新華三金融零信任工作空間解決方案的亮點,這也是ICT廠商玩轉(zhuǎn)零信任安全的根基所在。
以新華三面向數(shù)字金融應用服務開放場景的解決方案為例:首先是用戶可信——借助終端Agent實現(xiàn)對用戶的認證和綁定,確保用戶的登錄、操作是本人操作;其次是終端可信——基于終端Agent確保設(shè)備自身的安全可信,以檢測保證終端發(fā)起資源請求的程序可信;再次是資源權(quán)限可信——依托零信任安全控制中心,打造持續(xù)動態(tài)校驗機制,保障資源被擁有權(quán)限的用戶正確獲取;最后是鏈路可信——基于零信任網(wǎng)關(guān)的代理轉(zhuǎn)發(fā)、控制、聯(lián)動能力,并與控制中心聯(lián)動,動態(tài)執(zhí)行隔離、阻斷、降級等操作。
從某種意義上講,零信任安全既然是金融業(yè)數(shù)字化棋至中局的“勝負手”,就必須采用沙盤推演窮盡各種可能性,以應對新場景帶來的風險,保障這盤棋最終獲得完勝。
來源:IT創(chuàng)事記
IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有,未經(jīng)授權(quán),轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年,直通硅谷,專注于TMT領(lǐng)域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。
熱門文章
精彩評論
小何華為現(xiàn)在牛的不只是設(shè)備商了,,華為的手機現(xiàn)在也是全球銷量不錯,國內(nèi)也算是老大了,之前用小米,,現(xiàn)在都改華為了。。產(chǎn)品確實不錯。- 小何三星手機在中國還有市場嗎?看看現(xiàn)在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現(xiàn)在也沒有之前那么火了,,補貼也少了。。
來自: 【人物】滴滴創(chuàng)始人程維回顧與Uber競爭:中國互聯(lián)網(wǎng)從來沒有輸過--IT時代網(wǎng)
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。
來自: 少年頭條對壘中年騰訊:解局兩代互聯(lián)網(wǎng)公司商業(yè)之戰(zhàn)--IT時代網(wǎng)