华为发布HiSecEngine系列安全网关为核心的安全方案

2021年10月11日至17日，以“网络安全为人民，网络安全靠人民”为主题的2021国家网络安全宣传周在陕西西安国际会展中心盛大开幕。10月12日上午，由陕西省委网信办、西安市委网信办指导，国家工业信息安全发展研究中心主办，华为等企业承办的“零信任安全实践”论坛成功举办，共同探讨网络安全行业落地实践。国家工业信息安全发展研究中心总工程师李丽女士、华为安全产品领域总裁马烨为论坛开场致辞，开启了今天的精彩讨论。

一、业务与政策双轮驱动，

数字化转型面临巨大挑战

社会数字化转型不断深入，远程办公的用户和市场规模呈现出爆发式增长，边界变得更加模糊，使得安全威胁更加难以防范。《数据安全法》的颁布对企业数据安全保障和管理提出了更高的要求，数据的分级分类，数据在流动过程中的采集、传输、存储、处理、交换、销毁等数据全生命周期中都需要落实安全保障。这些业务与政策上的变化为企业带来新的安全挑战。

二、保护企业数据安全，

从零信任开始

企业发展迈入数字经济时代，数据是核心生产要素，是国家基础性和战略性资源。数据安全问题影响国家发展与安全，关系公众利益，也与公民个人权益密切相关。零信任架构的最根本的目的就是为了保护数据安全，通过数据防泄漏、数据库审计、虚拟沙箱、隐藏水印、用户和实体行为分析、云访问安全代理等一系列技术来进行数据的保护、分类、隔离和控制，对静态数据和传输中的数据进行加密处理，最终实现数据的安全防护。

一是，零信任安全架构需要对任何接入对象进行持续安全验证，实现对用户访问数据权限的控制，这也符合了《数据安全法》对数据分类分级保护的规定。

二是，通过建立终端设备零信任、用户零信任、流量零信任和应用零信任机制，构建端到端全流程信任链，可以满足《数据安全法》对数据安全管理的要求。

三是，通过全网威胁态势感知和网络安全联动对潜在的安全风险进行溯源处置，可以满足《数据安全法》对安全风险可监测和处置的要求。

三、零信任“热”中的“冷”思考

零信任是当下热门的网络安全技术理念。中国信息安全研究院副院长左晓栋在主旨发言中对零信任进行了深度解读。零信任的产生有客观必然性，它源于网络安全风险加大，传统信任模型受到挑战。以前的访问主体和客体都相对简单、明确，但物联网和大数据技术的应用使主客体变得日益多样化，越来越难以保证数量繁多的主客体始终处在可信状态。

为了应对网络安全形势变化，零信任要求实施动态细粒度访问控制，这是零信任的本质特征。即，身份认证不再依赖边界防御，而是需要持续验证身份，且服务、资源、环境等变化均是判断身份是否可信的考量因素。零信任的实质是对访问控制的新要求，不是网络安全的全部。

零信任作为一种理念和思路，不是对既有技术和体系结构的颠覆。零信任的实现离不开网络安全基本能原理。企业和厂商要在零信任“热”中进行“冷”思考，重视实践和实效，通过技术升级真正解决安全挑战和问题。

面向数字化转型，数据的分级分类管理是实施数据全生命周期安全保护的重要基础。只有在科学、规范的分级分类管理基础上，才能够有效地保护数据的安全。华为零信任安全解决方案可以做到数据端到端全生命周期防护，保护数据安全。

华为零信任安全解决方案具备三大特点：1、持续验证“准”：持续监测终端设备和用户的安全风险，可监测的终端评估项超过50类，通过多维安全感知可以保障接入网络的终端设备和用户值得信任。2、动态授权“快”：根据授权主体、客体环境和行为风险进行动态授权，实现应用、功能、API、数据等维度的精细安全访问控制。3、全局防御“稳”：通过多方面评估，创建一条完整的信任链实现端到端加密访问业务时延无感知。

华为零信任安全解决方案当前覆盖了政企行业用户的典型应用场景，如敏感业务访问、数据交换和远程办公场景等，适用于政府、部委、金融、交通等大型企业。以零信任安全方案在大数据中心应用为例，华为零信任安全访问在某省级政府单位的数据中心已持续稳定运行超过一年，通过零信任安全接入，覆盖应用40多个，用户终端超过1.5万，每天拦截的未授权访问达到300+，端到端访问时延毫秒级，在既保证安全的同时又不影响客户的使用体验，有效保证了相关大型组织数据中心的安全。

全球安全漏洞和攻击事件频发，《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等法律条例不断推出，网络安全的监管力度持续加大。华为作为全球领先的ICT基础设施和智能终端提供商，网络安全是华为公司的最高纲领。在零信任实践论坛中，华为中国首席网络安全与用户隐私保护官李加赞分享了华为端到端网络安全治理与思考。讲述了华为如何构筑并全面实施端到端的全球网络安全保障体系，在公司治理、流程、研发、验证、供应、交付、审计等各个领域践行网络安全与用户隐私保护，在每一个ICT基础设施产品和解决方案中，都融入信任、构建高质量，助力客户打造网络韧性。

吉大正元副总裁张宝欣分享了基于密码的零信任体系，希望通过将密码技术赋能零信任架构，为零信任解决方案建立坚实的安全底座，为广大用户在提升网络安全能力的同时，也为符合等保、密评的相关要求做好准备。

零信任安全解决方案的实际交付并不是交钥匙工程。除了有完善的方案和成熟的产品做支撑外，还需要对客户的使用场景进行全面而细致的调研，结合用户业务场景才能最大程度上兼顾安全性与易用性。吉大正元注重对零信任应用场景与安全策略的积累，现已具备大量开箱即用的安全策略，包括：动态访问控制策略、用户实体行为分析策略、终端环境感知策略等。能够在短时间内根据不同行业用户的需求，为客户量身打造零信任安全基线。

联软科技联合创始人张建耀表示，端点安全是零信任实践的关键一环。联软可提供终端安全一体化的能力，通过终端安全管理模块，保障终端可管；通过网络准入控制，保障身份可信；通过终端EDR，保障入侵可防；通过终端DLP，保证数据可控。从体检、到入网、到检查响应，最终围绕着数据的保护，构成了零信任端点动态智能防护的重要部分。联软科技借助于网络准入控制、终端安全和终端数据安全等能力，从传统的内网安全到内网零信任可以很平滑的迁移，目前已经在金融、政府、高端制造业等领域有丰富的实践。

竹云首席运营官戴立伟在论坛中分享了以现代IAM体系构筑零信任安全实践场景主题演讲。IAM作为零信任的核心组件，可提供端到端的安全和可信支撑，构建以身份为核心、应用权限为对象、动态访问控制为手段的统一身份访问与权限管理系统。

竹云零信任安全访问整体解决方案已在众多大型企业应用，通过全面的权限管理体系，实现底层网络安全和上层应用安全的关联和融合。竹云零信任访问平台在某大型集团企业已接入1000余个应用，覆盖本地、移动端、云端等多类型应用。通过风险引擎模块实现日均300万次风险检测，并实时将风险事件转发到态势感知，通过实时可视化监测，实现事前预警、事中访问控制和事后追溯的全流程闭环管控。

四、零信任在国内网络安全的实践

在圆桌讨论环节，北京赛博英杰科技有限公司董事长谭晓生邀请与会嘉宾共同讨论了零信任在国内各行业的优秀实践。

竹云首席运营官戴立伟首先分享了一个汽车制造企业分阶段建立IAM体系的案例。IAM有不同的建设方法和方式，通过分阶段持续性建立，对员工、伙伴等内部人员进行身份管理和风险动态控制，实现了权限统一管理和动态权限联动，有效解决了权限冒用风险和安全事件回溯的难题。

9月1日《数据安全法》开始实施以后，如何通过零信任解决数据安全问题，联软科技联合创始人张建耀认为，零信任核心的理念在于持续验证及最小化的授权，这与数据安全法是吻合的。同时也应该认识到数据安全是非常大的话题，需要根据场景和保护对象，进行技术选择，平衡安全和效率。

吉大正元副总裁张宝欣认为，在零信任实践中，密码技术提供安全信任的基础。零信任关注身份管理，通过身份管理为设备、应用、API访问和人员颁发数字证书，解决信道安全问题。通过国密证书的政策，发放加密证书和签名证书，实现双向国密通道认证，同时通过高性能硬件，还可以实现每秒数十万次的签名验签，确保效率。

最后，华为安全产品领域副总裁王任栋介绍了华为的零信任优秀实践，以华为HiSec Insight安全态势感知系统及HiSecEngine系列安全网关为核心的安全方案，包括智慧城市移动办公、政务园区SDP代理接入、政务重要应用访问、金融远程办公等场景。同时，华为零信任安全解决方案中包含了生态合作厂商，通过市场调研，选择产品领先、研发能力扎实、以客户为中心的优质企业，并且在客户方案实施过程中，通过生态联合验证实验室机制保障产品组合的实施质量。

原文标题：网安周零信任实践论坛 | 零信任“热”中的“冷”思考

文章出处：【微信公众号：华为数据通信】欢迎添加关注！文章转载请注明出处。
责任编辑:pj