奇安信吳云坤：零信任是數據安全的必然選擇和創新方向

“數據安全是數字化時代關基保護的核心和關鍵。”12月16日，在由中國計算機學會計算機安全專委會數據安全工作組舉辦的“零信任分論壇”上，奇安信集團總裁、中國計算機學會計算機安全專委會常委吳云坤在主題演講中提出，基于零信任架構，結合零信任與數據實體防護，構建數據安全技術防御體系。

隨著數字化的深入，數據成為重要生產資料。吳云坤指出，數字化業務的開展，改變了信息化環境，帶來了新的安全需求，數字化場景下保護對象從云網端和運行環境擴展到數據核心資產，數據安全保護面臨著多重挑戰。

• 首先，隨著數字化業務的開展，數據由靜止轉向流動，數據安全場景發生了改變，數據安全保護的難度加大；
• 其次，保護對象發生變化，防御措施和手段也需要更新；
• 第三，數據安全管理和技術需要融合，才能有效支撐技術的落地執行。

數據安全靠的不是單點技術，而是能力體系。真正做好數據安全防護，需要從零散建設升級到體系化建設，內生安全框架是安全體系化建設的核心，“一中心兩體系”是內生安全框架落地的具體方法。

其中，態勢感知和運營管控中心通過建立認知能力，揪出威脅、阻斷威脅，確保安全能力行之有效，零信任體系和安全防護體系分別解決“內鬼”和外部攻擊的問題。

具體來說，安全防護體系面向外部攻擊防護，可基于實戰化的攻擊向量框架，分析數據中心可能的威脅攻擊路徑，設計數據中心分層安全防護能力框架，開展縱深防御措施的部署，實現安全與信息化的各層級的全面覆蓋和深度結合。

零信任體系則面向內部業務訪問管控，讓內部合法身份能夠便捷訪問應有的數據和應用，同時防止合法身份的異常行為，將“零信任架構”與“數據安全防護體系”相結合，做到“主體身份可信、行為操作合規、計算環境與數據實體有效防護”，確保合適的人、在合適的時間、以合理的方式，訪問合適的數據。

吳云坤表示，數據安全的整體防護思路，就是圍繞整個業務流轉和數據流動進行防護，以數據安全治理為基礎支撐，得出數據安全策略，把精準管控與實體防護拉通，構建結合“以身份為基石、以規則為準繩、持續信任評估、動態業務合規”的數據安全。

作為國內零信任身份安全的首倡者、本次論壇的承辦單位之一，奇安信還在展區展示了“奇安信零信任身份安全解決方案”。目前，該方案已經在部委、央企、金融等行業進行廣泛應用，充分幫助構建組織“內生安全”能力，推動零信任理念在多個行業的實踐落地，并多次獲得Forrester、IDC等知名研究機構推薦，得到了市場、業界的高度認可。