墨子曰:“言不信者,行不果。”
沒有可信的基礎(chǔ),信任就是空中樓閣,其所行終是”無果”甚至是“壞果“。這是人與人之間交往的基本準(zhǔn)線,更是企業(yè)與用戶之間的基本準(zhǔn)則!
那么,企業(yè)要如何建立起用戶心中的可信形象,并由此獲得用戶信任?過去,企業(yè)能保質(zhì)保量的提供產(chǎn)品或服務(wù)就能夠獲取用戶信任,甚至贏得口碑。而現(xiàn)在……
PART ONE
數(shù)字世界深度融合,用戶信息遭遇危機(jī)
隨著物理世界與數(shù)字世界的加速融合與高度映射,數(shù)字世界開始超越現(xiàn)實(shí)并深度參與我們的日常生活與工作。我們熟練的使用微信聊天、支付寶支付賬單、美團(tuán)購(gòu)買外賣、滴滴快速打車……
表面上看,我們正在數(shù)字世界中游刃有余,且人群規(guī)模越來越大。據(jù)CNNIC最新統(tǒng)計(jì)調(diào)查報(bào)告顯示,截至2022年12月,我國(guó)網(wǎng)民規(guī)模為10.67億,普及率已高達(dá)75%以上。但事實(shí)真是這樣嗎?
▲ 圖片來源網(wǎng)站,數(shù)據(jù)來源CNNIC
在享受數(shù)字世界帶來的便利與高效,我們也正在遭遇著個(gè)人信息泄露、形形色色的網(wǎng)絡(luò)詐騙、設(shè)備病毒等等。技術(shù)的快速顛覆式發(fā)展與迭代,讓數(shù)字世界變成一個(gè)“暗箱”,處處藏著風(fēng)險(xiǎn)與危機(jī)。企業(yè)安全技術(shù)人員尚且疲于應(yīng)對(duì),更何況是普通用戶。
那用戶個(gè)人信息安全到底該如何得到保障?為用戶提供服務(wù)的企業(yè)組織自然而然成為承擔(dān)責(zé)任的主體之一。尤其是隨著數(shù)字中國(guó)戰(zhàn)略的推行與深入演進(jìn),網(wǎng)絡(luò)安全與個(gè)人信息安全不斷被各方重視。
我國(guó)2021年頒布的《個(gè)人信息保護(hù)法》就明確提出企業(yè)對(duì)用戶個(gè)人信息的保護(hù)條例。因此,數(shù)字時(shí)代,保證用戶在數(shù)字世界中的信息資產(chǎn)安全,成為企業(yè)組織另一項(xiàng)必須提供的重要服務(wù),甚至成為其提供一切數(shù)字產(chǎn)品服務(wù)的基本前提。
PART TWO
網(wǎng)絡(luò)安全事件頻發(fā),安全可信需求迫切
近幾年來,層出不窮的網(wǎng)絡(luò)安全事件,也讓用戶深刻意識(shí)到安全可靠可信的數(shù)字產(chǎn)品與服務(wù)之重要。前段時(shí)間,每年一度的315晚會(huì)上,再次“上演”著各種網(wǎng)絡(luò)安全騙局。
我們看到免費(fèi)破解版APP成了手機(jī)竊聽器,其中暗藏著不為人知的竊取用戶個(gè)人信息的SDK;不能點(diǎn)的短信背后有不法分子通過“ETC卡禁用”、“快遞丟失理賠”等騙局,誘騙消費(fèi)者登錄釣魚網(wǎng)站對(duì)其進(jìn)行詐騙;免費(fèi)評(píng)書機(jī)背后是欺騙老人的天價(jià)神藥,而在這安全事件背后是個(gè)人信息的大量泄漏……
無獨(dú)有偶,在這正值“金三銀四”的招聘季,利用網(wǎng)絡(luò)手段進(jìn)行詐騙的騙局正在上演。近日,多家知名企業(yè)官方發(fā)布公告顯示,有不法人員以公司招聘名義,在一些兼職、副業(yè)、求職群內(nèi)傳播不實(shí)招聘信息,誘導(dǎo)對(duì)方下載APP及匯款,造成財(cái)務(wù)損失。
類似的招聘騙局還有很多,而能有效防止受騙方法之一,就是選擇官方可信的產(chǎn)品與服務(wù)渠道。這也是為什么人們?cè)絹碓街匾暡A向于選擇官方旗艦店或官方渠道獲取服務(wù)。換一個(gè)角度來看,這更是數(shù)字時(shí)代,企業(yè)加強(qiáng)自身產(chǎn)品服務(wù)安全可信的重要驅(qū)動(dòng)力之一。
因此,數(shù)字時(shí)代,企業(yè)要建立起用戶信任,首要前提即確保企業(yè)產(chǎn)品與服務(wù)的安全可信,從而保障企業(yè)用戶在數(shù)字世界中的安全!
PART THREE
80%左右的網(wǎng)絡(luò)安全問題來自企業(yè)內(nèi)部網(wǎng)絡(luò)
在上述提到的315晚會(huì)安全事件中,我們看到有些網(wǎng)絡(luò)安全事件是由于用戶自身“貪小便宜”心理,選擇了非官方正版可信的渠道獲取服務(wù)。
但同時(shí),我們更不能忽略其中大部分網(wǎng)絡(luò)受騙事件是基于用戶個(gè)人信息被泄露的基礎(chǔ)上發(fā)生的。而讓用戶信息慘遭泄露,除了自身原因,提供用戶產(chǎn)品服務(wù)的企業(yè)內(nèi)部更是重災(zāi)區(qū)。
近幾年來,國(guó)內(nèi)外各大知名互聯(lián)網(wǎng)公司泄露用戶信息事件不斷被揭露。這其中有企業(yè)主動(dòng)為之,也有被動(dòng)情況,如被外部黑客攻擊或企業(yè)內(nèi)部人員非法泄露等。
而據(jù)某權(quán)威調(diào)查機(jī)構(gòu)發(fā)布的調(diào)查報(bào)告數(shù)據(jù)顯示,對(duì)企業(yè)而言,相比于外部的威脅,企業(yè)內(nèi)部發(fā)生的一系列網(wǎng)絡(luò)信息安全問題往往會(huì)給企業(yè)帶來更大的危害和損失。另一項(xiàng)調(diào)查發(fā)現(xiàn),80%左右的網(wǎng)絡(luò)安全問題來自企業(yè)內(nèi)部。由此可見,保障企業(yè)內(nèi)部安全對(duì)于保護(hù)企業(yè)自身以及用戶信息資產(chǎn)都至關(guān)重要!
PART FOUR
數(shù)字化轉(zhuǎn)型逐漸打破企業(yè)傳統(tǒng)網(wǎng)絡(luò)安全邊界
那如何保障無論是企業(yè)內(nèi)部還是企業(yè)對(duì)外提供的數(shù)字產(chǎn)品與服務(wù)的安全?過去,企業(yè)往往以網(wǎng)絡(luò)邊界為中心進(jìn)行安全防護(hù)。
然而,隨著數(shù)字戰(zhàn)略的加速推進(jìn),企業(yè)數(shù)字化轉(zhuǎn)型的不斷深入,越來越多的業(yè)務(wù)系統(tǒng)完成了線上化、數(shù)字化甚至云化。
根據(jù)中國(guó)信通院的數(shù)據(jù)統(tǒng)計(jì),我國(guó)產(chǎn)業(yè)數(shù)字化、數(shù)字產(chǎn)業(yè)化正呈向上快速增長(zhǎng)趨勢(shì),且占GDP比重也在逐年遞增,截至2021年,二者共占GDP比重將近50%。這也間接反映出網(wǎng)絡(luò)世界對(duì)我們的影響越來越深。
▲ 圖片來源網(wǎng)站,數(shù)據(jù)來源中國(guó)信通院
最值得注意的是,產(chǎn)業(yè)數(shù)字化發(fā)展使得傳統(tǒng)網(wǎng)絡(luò)安全邊界越來越模糊化,甚至徹底走向無邊界化,致使傳統(tǒng)基于邊界安全的防護(hù)模式遭遇新的挑戰(zhàn)。
由于傳統(tǒng)網(wǎng)絡(luò)邊界防護(hù)模式的基本理念是區(qū)分哪些設(shè)備或網(wǎng)絡(luò)環(huán)境是可信任的,哪些是不可信任的。隨后,建立“城墻”把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)和隔離區(qū)等不同安全區(qū)域。最后重點(diǎn)防護(hù)“城墻”,在邊界上部署防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全防護(hù)技術(shù)手段,使不可信任用戶無法訪問到可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境的信息。
這種基于“過度信任”假設(shè)的防護(hù)模式,忽視了部署內(nèi)網(wǎng)安全防護(hù)措施的重要性。攻擊者一旦突破網(wǎng)絡(luò)安全邊界進(jìn)入內(nèi)網(wǎng),就如同進(jìn)入一個(gè)不設(shè)防的系統(tǒng)。更何況,80%左右的網(wǎng)絡(luò)安全問題還是來自企業(yè)內(nèi)部。
因此,尋求新的安全邊界成為各大企業(yè)在數(shù)字化轉(zhuǎn)型創(chuàng)新發(fā)展過程中亟需解決的首要問題。
PART FIVE
基于數(shù)字身份的零信任安全架構(gòu)成為新的安全邊界
眾所周知,隨著社會(huì)文明的發(fā)展,以個(gè)體人為單位的價(jià)值崛起,“以人/用戶為中心”成為越來越多企業(yè)數(shù)字化轉(zhuǎn)型的基本共識(shí)。換句話說,企業(yè)業(yè)務(wù)系統(tǒng)或服務(wù)的線上化與數(shù)字化都是圍繞“人”展開。
而人要在數(shù)字世界生存,第一件事就是要賦予其一個(gè)可信的數(shù)字身份。這也是為什么我們登錄很多企業(yè)服務(wù)APP都要注冊(cè)賬號(hào)的原因。隨著人工智能與物聯(lián)網(wǎng)的發(fā)展普及,越來越多的人、事、物接入網(wǎng)絡(luò),賦予唯一標(biāo)識(shí)或者說可信身份是必備前提。
與此同時(shí),傳統(tǒng)的網(wǎng)絡(luò)邊界安全模式在數(shù)字時(shí)代又面臨上述困境。因此,以“人/身份”為中心的“零信任”安全架構(gòu)順勢(shì)而生并在數(shù)字時(shí)代逐漸被人重視,甚至成為主流。
零信任的核心理念是“從不信任,始終驗(yàn)證”,即企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物,應(yīng)在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。其本質(zhì)是以身份為基礎(chǔ)進(jìn)行動(dòng)態(tài)訪問控制,或者說采用身份集中管理,網(wǎng)絡(luò)防護(hù)不再區(qū)分內(nèi)網(wǎng)和外網(wǎng)。
PART SIX
如何構(gòu)建以“身份”為中心的一體化零信任安全防護(hù)?
派拉軟件作為國(guó)內(nèi)最早專注于自主研發(fā)身份安全的原廠商,建立了以身份為中心的端到端一體化動(dòng)態(tài)訪問控制平臺(tái)——ZTA(零信任安全管理平臺(tái))。
平臺(tái)默認(rèn)所有數(shù)據(jù)和加密隧道都是不安全的。從客戶端發(fā)起請(qǐng)求到網(wǎng)絡(luò)數(shù)據(jù)傳輸,再到請(qǐng)求資源的全過程中,所有的用戶、資源、設(shè)備、服務(wù)都是不被信任的,需認(rèn)證通過后才可繼續(xù)。其整體方案架構(gòu)如下圖所示:
▲ 派拉一體化零信任安全架構(gòu)
整個(gè)零信任安全管理平臺(tái)連接著用戶和資源。在客戶端,先經(jīng)過SDP客戶端連接至互聯(lián)網(wǎng),隨后結(jié)合不同類型用戶身份、終端設(shè)備、行為分析等多個(gè)因素多維度先對(duì)用戶持續(xù)認(rèn)證,驗(yàn)證身份可信后建立加密隧道。當(dāng)連接建立后,還將基于用戶身份進(jìn)行持續(xù)的信任評(píng)估;
在服務(wù)器端,限制資源的可見性,劃分執(zhí)行任務(wù)的最小特權(quán)可見資源。通過零信任網(wǎng)關(guān)、微隔離等技術(shù)將所有被訪問資源保護(hù)在“黑匣子”中,所有訪問者需通過認(rèn)證、授權(quán)后,方可訪問權(quán)限內(nèi)資源,極大保護(hù)了服務(wù)端的資源安全;在鏈路上,平臺(tái)持續(xù)監(jiān)控訪問請(qǐng)求,確保每次訪問請(qǐng)求過程都是安全可信,整個(gè)網(wǎng)絡(luò)架構(gòu)持續(xù)處于安全狀態(tài)。
整個(gè)平臺(tái)通過全方位持續(xù)保障客戶端、服務(wù)器端、鏈路的安全,最大化減小網(wǎng)絡(luò)攻擊面。而采用的零信任從安全架構(gòu)層面隔離開了企業(yè)私有資源,避免了遠(yuǎn)程訪問網(wǎng)關(guān)設(shè)備的缺點(diǎn),最大化保護(hù)訪問者和被訪問資源間的安全。
對(duì)于IT管理者而言,不僅提升了資源安全管控,還可統(tǒng)一管理企業(yè)訪問策略,更細(xì)粒度管控訪問企業(yè)資源的所有用戶請(qǐng)求。
對(duì)于企業(yè)數(shù)字化業(yè)務(wù)創(chuàng)新而言,派拉零信任安全底座很好地為企業(yè)奠定了數(shù)字化轉(zhuǎn)型安全基石,通過強(qiáng)大的技術(shù)中臺(tái)支撐能力,為企業(yè)數(shù)字化轉(zhuǎn)型過程中業(yè)務(wù)的創(chuàng)新突破提供技術(shù)基礎(chǔ)。
如用戶中臺(tái),提供員工、客戶的用戶身份的全生命周期管理;統(tǒng)一認(rèn)證中臺(tái),提供可信身份認(rèn)證并提供單點(diǎn)登錄能力;權(quán)限管理中臺(tái),提供業(yè)務(wù)系統(tǒng)的權(quán)限管理統(tǒng)一化,可視化和自動(dòng)化;集成中臺(tái),提供企業(yè)服務(wù)中心和API賦能平臺(tái),消除應(yīng)用孤島,實(shí)現(xiàn)應(yīng)用敏捷;數(shù)據(jù)中臺(tái),提供數(shù)據(jù)采集、數(shù)據(jù)治理、數(shù)據(jù)集成和數(shù)據(jù)分析等能力。
▲ 派拉零信任安全管理平臺(tái)整體中臺(tái)服務(wù)能力框架圖
最后,無論是物理世界還是網(wǎng)絡(luò)世界,人性都是最經(jīng)不起考量的!尤其是在網(wǎng)絡(luò)世界里,秩序還不夠完善,我們的個(gè)人信息與生命財(cái)產(chǎn)安全需要自我安全意識(shí)的提升,更需要政府法律法規(guī)的完善以及企業(yè)組織為我們構(gòu)建一個(gè)盡可能安全的數(shù)字世界。
正如派拉軟件一直以來所主張的“創(chuàng)造安全、高效、極致體驗(yàn)的數(shù)字世界”,其中安全是第一位。這也是數(shù)字時(shí)代,企業(yè)建立用戶信任需要做到的第一點(diǎn)!而你的企業(yè)做到了嗎?