信息時代背景下,企業(yè)網(wǎng)絡(luò)安全問題引發(fā)了越來越多人的關(guān)注,網(wǎng)絡(luò)安全的重要性正日益凸顯。近期,派拉軟件CEO譚翔受邀接受中國科技期刊數(shù)據(jù)庫來源期刊《信息技術(shù)與網(wǎng)絡(luò)安全》的專訪,圍繞網(wǎng)絡(luò)安全的現(xiàn)行政策、發(fā)展動態(tài)、發(fā)展趨勢等進(jìn)行了深入的分析與探討。
圖:《信息技術(shù)與網(wǎng)絡(luò)安全》雜志的2021年第12期“高端訪談”內(nèi)容,該期刊是由華北計算機系統(tǒng)工程研究所主辦的國家級科技期刊,前身《微型機與應(yīng)用》創(chuàng)刊于1982年,該刊35年來為信息技術(shù)和應(yīng)用的發(fā)展作出杰出貢獻(xiàn)。
作為網(wǎng)絡(luò)安全行業(yè)老兵的譚翔,于2008年創(chuàng)立派拉軟件,多年來在身份安全領(lǐng)域精耕不輟,見證和參與了中國網(wǎng)絡(luò)安全行業(yè)的不斷發(fā)展與進(jìn)步。面對當(dāng)今網(wǎng)絡(luò)安全行業(yè)發(fā)展的新形勢新需求,譚翔帶領(lǐng)派拉軟件率先踐行零信任安全理念,攜手客戶共同落地一體化零信任安全體系,他提出,“就2022年網(wǎng)絡(luò)安全行業(yè)的發(fā)展前景而言,零信任應(yīng)該是一個大的方向。”
以零信任為鑰,開啟新安全時代之門
——專訪上海派拉軟件股份有限公司CEO譚翔
編者按:今年是“十四五”的開局之年,在歲末年初之際,《信息技術(shù)與網(wǎng)絡(luò)安全》邀請安全企業(yè)負(fù)責(zé)人對網(wǎng)絡(luò)安全動態(tài)進(jìn)行回顧,對網(wǎng)絡(luò)安全政策進(jìn)行解讀,對行業(yè)發(fā)展脈絡(luò)進(jìn)行剖析,并對來年行業(yè)發(fā)展趨勢進(jìn)行展望。11月1日,派拉軟件宣布完成數(shù)億元人民幣的D輪融資。據(jù)悉,本輪融資將主要用于零信任安全相關(guān)的研發(fā)技術(shù)投入、人才引進(jìn)和市場開拓,同時持續(xù)優(yōu)化產(chǎn)品矩陣,增強一體化零信任安全服務(wù)能力和落地能力。本刊對派拉軟件CEO、信息安全專家譚翔進(jìn)行專訪,圍繞企業(yè)發(fā)展和行業(yè)前瞻為廣大讀者進(jìn)行解讀。
? 請您對2021年的網(wǎng)絡(luò)安全行業(yè)發(fā)展進(jìn)行簡要回顧和總結(jié)。
譚翔:今年,網(wǎng)絡(luò)安全法律法規(guī)的出臺和施行非常密集,包括《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相繼推出,反映了網(wǎng)絡(luò)空間安全戰(zhàn)略環(huán)境和技術(shù)趨勢的發(fā)展變化。
首先,從政府或者企業(yè)角度上來看,整個數(shù)字化轉(zhuǎn)型的進(jìn)程正在加速。數(shù)據(jù)已經(jīng)被定義為生產(chǎn)要素之一,對于構(gòu)建要素驅(qū)動型經(jīng)濟(jì)來講,數(shù)據(jù)的重要程度日益凸顯。數(shù)字化轉(zhuǎn)型過程中,大量業(yè)務(wù)系統(tǒng)的上線會沉淀海量的數(shù)據(jù),從而形成數(shù)據(jù)資產(chǎn)并產(chǎn)生迫切的數(shù)據(jù)安全保護(hù)需求。其次,從個人信息安全角度出發(fā),對于用戶隱私保護(hù)的制度剛性在加強,從過去運營者有責(zé)任去保護(hù),上升到了現(xiàn)在法律的高度,而且執(zhí)法力度不斷加大,無疑對數(shù)字經(jīng)濟(jì)的健康發(fā)展起到非常大的促進(jìn)作用。最后,從資本創(chuàng)新的角度來看,今年市場的融資活動空前活躍,包括派拉軟件在內(nèi)的一大批網(wǎng)絡(luò)安全公司,單輪融資額過億的實例屢見不鮮,融資量級的持續(xù)突破,說明資本市場青睞并高度看好網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展前景。我們判斷,就2022年網(wǎng)絡(luò)安全行業(yè)的發(fā)展前景而言,零信任應(yīng)該是一個大的方向。
? 請介紹一下2021年您遇到的最大挑戰(zhàn)和收獲,貴企業(yè)主要的經(jīng)營品種在市場表現(xiàn)有何亮點?
譚翔:通過整個2021年對安全行業(yè)的觀察,我們發(fā)現(xiàn)有兩方面明顯的動向:一是國資型企業(yè)躬身入局、動作頻頻,包括中國電子或者中國電科等中央企業(yè),建立很多相關(guān)的運營實體,對于網(wǎng)絡(luò)安全市場無論是重視程度還是投入力度均在加大。二是傳統(tǒng)面向C端的頭部互聯(lián)網(wǎng)企業(yè)也在大幅進(jìn)軍網(wǎng)絡(luò)安全領(lǐng)域,不但成立相應(yīng)的運行實體,還向To B端的安全體系建設(shè)加大投入力度。在大型國資企業(yè)和大型互聯(lián)網(wǎng)企業(yè)紛紛加入大的安全賽道的情況下,我們要思考:自身的優(yōu)勢和價值怎么來體現(xiàn)?我認(rèn)為機遇和挑戰(zhàn)是并存的。
談到機遇也是2021年最大的收獲。國內(nèi)網(wǎng)絡(luò)安全市場,特別是零信任市場持續(xù)向好,使得我們有機會為客戶創(chuàng)造更多的價值,是最大的收獲。隨著多年的專精研發(fā)和市場開拓,派拉軟件的身份安全技術(shù)與服務(wù)在業(yè)界處于領(lǐng)先地位。我們在立足身份安全優(yōu)勢領(lǐng)域的同時,也積極推動一體化零信任安全能力的構(gòu)建。“十四五”規(guī)劃提出要通過體系化、系統(tǒng)化思路去解決問題,意味著需要在實踐中構(gòu)建成體系的零信任架構(gòu)并落地,這使得我們有更多機會融入到客戶的整體安全架構(gòu)體系中去,與客戶安全體系的深度融合也是我們的重要收獲之一。
2021年我們遇到的最大挑戰(zhàn)還是自身如何去準(zhǔn)確定位。安全體系能力建設(shè)離不開生態(tài)支撐,派拉軟件今年加入了零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組、零信任聯(lián)盟、CSA零信任工作組,主導(dǎo)并參與了零信任國標(biāo)、行標(biāo)和團(tuán)標(biāo)的制定。通過零信任生態(tài)的打造,提高了交付一體化零信任安全解決方案的能力,并且作為首批國家重點培育的“專精特新”小巨人企業(yè),我們積極去擁抱產(chǎn)業(yè)生態(tài)的變化,將自己納入到零信任全生態(tài)價值鏈中,充分發(fā)揮我們的價值。目前行業(yè)和客戶對此都給予比較大的認(rèn)可。
? 派拉軟件在零信任技術(shù)方向上,有些什么樣的規(guī)劃和推進(jìn)嗎?
譚翔:在國際上,零信任架構(gòu)受到高度關(guān)注。今年5月,白宮簽署行政命令,要求政府部門全面采用零信任架構(gòu),并具體落實到美國《2022財年預(yù)算案》中。盡管國內(nèi)還沒有通過行政手段圈定某一項技術(shù)的大規(guī)模應(yīng)用,但是零信任還是受到了業(yè)界非常廣泛的關(guān)注,目前已納入到工信部《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(征求意見稿)》中。
在技術(shù)方向上,2021年我們結(jié)合企業(yè)自身特色,針對身份安全和 API安全兩方面對產(chǎn)品線進(jìn)行了比較大的調(diào)整:
首先,在身份管理與訪問控制方面,通過構(gòu)建覆蓋人、IoT、API的全身份管理體系,實現(xiàn)了多身份源、可信終端以及不同網(wǎng)絡(luò)訪問場景的安全訪問控制,結(jié)合實時動態(tài)的風(fēng)險監(jiān)測和認(rèn)證升級,確保用戶的訪問安全。
其次,在統(tǒng)一授權(quán)和動態(tài)訪問策略方面,基于ABAC授權(quán)模型的統(tǒng)一授權(quán)與基于屬性的動態(tài)訪問策略,零信任安全平臺可以提供便捷又安全的訪問授權(quán)控制,并根據(jù)訪問環(huán)境的變化動態(tài)控制可訪問的資源。
第三,在SDP網(wǎng)關(guān)構(gòu)建與應(yīng)用方面,為企業(yè)構(gòu)建起一個虛擬邊界,利用基于身份的訪問控制機制,結(jié)合敲門和安全隧道技術(shù),為企業(yè)應(yīng)用和服務(wù)提供隱身保護(hù),大大降低應(yīng)用可攻擊面。
作為安全理念上的一種改變,零信任目前承載了比較大的期望,但我們還是會比較理性的看待這一需求市場,正如派拉軟件的價值觀那樣:Value價值、Innovation創(chuàng)新、Excellence卓越、Win共贏,使得在零信任這條跑道上,不盲目追求快速發(fā)展,更重要的是保持不斷鉆研,勇于創(chuàng)新的企業(yè)責(zé)任心,以及不斷沉淀與研磨技術(shù)、服務(wù)的耐心,最終與客戶和伙伴一起,實現(xiàn)價值共創(chuàng)和卓越共贏。正如派拉軟件多年的長跑精神,零信任是一個持久的戰(zhàn)場,長期相互信任、共同堅持的伙伴,與不斷探索的技術(shù)、不斷優(yōu)化的服務(wù),構(gòu)成了派拉軟件細(xì)水長流卻生生不息的生命力。此外,我們還將保持產(chǎn)品向理性的架構(gòu)方向上去靠攏的戰(zhàn)略思想,和合作伙伴一起向客戶提供整體解決方案,目前受到客戶歡迎,起到良好的效果。
? 在企業(yè)經(jīng)營方面,咱們的客戶覆蓋哪些領(lǐng)域?在新的一年里,有哪些新的計劃或動向,計劃推出哪些新的產(chǎn)品?
譚翔:我們公司一直以來屬于業(yè)務(wù)驅(qū)動型的網(wǎng)絡(luò)安全公司,更多的是從保障客戶業(yè)務(wù)安全的角度去提供服務(wù)。作為數(shù)字化基礎(chǔ)技術(shù)架構(gòu)的組成部分,我們的客戶類型非常廣泛,覆蓋包括汽車、金融、核電、先進(jìn)制造、生物制藥、教育、交通等事關(guān)國計民生的關(guān)鍵領(lǐng)域。我們將身份和訪問控制技術(shù)、API的安全網(wǎng)關(guān)技術(shù)應(yīng)用到業(yè)務(wù)場景中去,根據(jù)最小權(quán)限原則,結(jié)合業(yè)務(wù)場景分配業(yè)務(wù)數(shù)據(jù),帶給客戶最大程度的數(shù)據(jù)安全保護(hù)。
今天數(shù)字化不再局限在企業(yè)內(nèi)部,而要做到數(shù)據(jù)的全流程管控,包括跟上下游合作伙伴的數(shù)據(jù)共享和一定范圍內(nèi)的數(shù)據(jù)開放。因此,從身份安全角度去延伸業(yè)務(wù)場景,能夠為客戶提供比較好的業(yè)務(wù)安全保護(hù)。圍繞員工接入和客戶接入數(shù)字化系統(tǒng)的不同,為企業(yè)設(shè)計整體安全保護(hù)場景。典型的如車聯(lián)網(wǎng),很多客戶會有幾百萬甚至上千萬的車主,車聯(lián)網(wǎng)的信息安全十分重要。
隨著移動互聯(lián)網(wǎng)和數(shù)字化轉(zhuǎn)型的日益深入,API因為更容易暴露程序邏輯和個人身份數(shù)據(jù),而成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。派拉軟件以身份安全為基礎(chǔ),實現(xiàn)數(shù)據(jù)安全和API安全并重,并且在前幾年就開始布局API網(wǎng)關(guān)、數(shù)據(jù)訪問安全等技術(shù),實現(xiàn)了技術(shù)能力和產(chǎn)品能力的戰(zhàn)略儲備和預(yù)置。同時我們積極布局云安全,圍繞如何保證云端數(shù)據(jù)安全,如何保證客戶端到云端訪問通道的信息安全,如何實現(xiàn)云端應(yīng)用之間的安全互訪等問題,將自身產(chǎn)品框架與云安全緊密結(jié)合,孕育孵化出一大批新產(chǎn)品,可以更好地解決客戶安全需求。目前,派拉軟件在零信任一體化思路指導(dǎo)下,形成了以身份安全為中心的產(chǎn)品矩陣,并通過生態(tài)聯(lián)盟伙伴的加持,將業(yè)務(wù)拓展到聯(lián)動終端管理、SDP、微隔離、動態(tài)授權(quán)、用戶行為分析等各個領(lǐng)域,助力企業(yè)構(gòu)建體系化的安全防護(hù)能力。