墨子曰:“言不信者,行不果。”
沒有可信的基礎,信任就是空中樓閣,其所行終是”無果”甚至是“壞果“。這是人與人之間交往的基本準線,更是企業(yè)與用戶之間的基本準則!
那么,企業(yè)要如何建立起用戶心中的可信形象,并由此獲得用戶信任?過去,企業(yè)能保質(zhì)保量的提供產(chǎn)品或服務就能夠獲取用戶信任,甚至贏得口碑。而現(xiàn)在……
PART ONE
數(shù)字世界深度融合,用戶信息遭遇危機
隨著物理世界與數(shù)字世界的加速融合與高度映射,數(shù)字世界開始超越現(xiàn)實并深度參與我們的日常生活與工作。我們熟練的使用微信聊天、支付寶支付賬單、美團購買外賣、滴滴快速打車……
表面上看,我們正在數(shù)字世界中游刃有余,且人群規(guī)模越來越大。據(jù)CNNIC最新統(tǒng)計調(diào)查報告顯示,截至2022年12月,我國網(wǎng)民規(guī)模為10.67億,普及率已高達75%以上。但事實真是這樣嗎?
▲ 圖片來源網(wǎng)站,數(shù)據(jù)來源CNNIC
在享受數(shù)字世界帶來的便利與高效,我們也正在遭遇著個人信息泄露、形形色色的網(wǎng)絡詐騙、設備病毒等等。技術(shù)的快速顛覆式發(fā)展與迭代,讓數(shù)字世界變成一個“暗箱”,處處藏著風險與危機。企業(yè)安全技術(shù)人員尚且疲于應對,更何況是普通用戶。
那用戶個人信息安全到底該如何得到保障?為用戶提供服務的企業(yè)組織自然而然成為承擔責任的主體之一。尤其是隨著數(shù)字中國戰(zhàn)略的推行與深入演進,網(wǎng)絡安全與個人信息安全不斷被各方重視。
我國2021年頒布的《個人信息保護法》就明確提出企業(yè)對用戶個人信息的保護條例。因此,數(shù)字時代,保證用戶在數(shù)字世界中的信息資產(chǎn)安全,成為企業(yè)組織另一項必須提供的重要服務,甚至成為其提供一切數(shù)字產(chǎn)品服務的基本前提。
PART TWO
網(wǎng)絡安全事件頻發(fā),安全可信需求迫切
近幾年來,層出不窮的網(wǎng)絡安全事件,也讓用戶深刻意識到安全可靠可信的數(shù)字產(chǎn)品與服務之重要。前段時間,每年一度的315晚會上,再次“上演”著各種網(wǎng)絡安全騙局。
我們看到免費破解版APP成了手機竊聽器,其中暗藏著不為人知的竊取用戶個人信息的SDK;不能點的短信背后有不法分子通過“ETC卡禁用”、“快遞丟失理賠”等騙局,誘騙消費者登錄釣魚網(wǎng)站對其進行詐騙;免費評書機背后是欺騙老人的天價神藥,而在這安全事件背后是個人信息的大量泄漏……
無獨有偶,在這正值“金三銀四”的招聘季,利用網(wǎng)絡手段進行詐騙的騙局正在上演。近日,多家知名企業(yè)官方發(fā)布公告顯示,有不法人員以公司招聘名義,在一些兼職、副業(yè)、求職群內(nèi)傳播不實招聘信息,誘導對方下載APP及匯款,造成財務損失。
類似的招聘騙局還有很多,而能有效防止受騙方法之一,就是選擇官方可信的產(chǎn)品與服務渠道。這也是為什么人們越來越重視并傾向于選擇官方旗艦店或官方渠道獲取服務。換一個角度來看,這更是數(shù)字時代,企業(yè)加強自身產(chǎn)品服務安全可信的重要驅(qū)動力之一。
因此,數(shù)字時代,企業(yè)要建立起用戶信任,首要前提即確保企業(yè)產(chǎn)品與服務的安全可信,從而保障企業(yè)用戶在數(shù)字世界中的安全!
PART THREE
80%左右的網(wǎng)絡安全問題來自企業(yè)內(nèi)部網(wǎng)絡
在上述提到的315晚會安全事件中,我們看到有些網(wǎng)絡安全事件是由于用戶自身“貪小便宜”心理,選擇了非官方正版可信的渠道獲取服務。
但同時,我們更不能忽略其中大部分網(wǎng)絡受騙事件是基于用戶個人信息被泄露的基礎上發(fā)生的。而讓用戶信息慘遭泄露,除了自身原因,提供用戶產(chǎn)品服務的企業(yè)內(nèi)部更是重災區(qū)。
近幾年來,國內(nèi)外各大知名互聯(lián)網(wǎng)公司泄露用戶信息事件不斷被揭露。這其中有企業(yè)主動為之,也有被動情況,如被外部黑客攻擊或企業(yè)內(nèi)部人員非法泄露等。
而據(jù)某權(quán)威調(diào)查機構(gòu)發(fā)布的調(diào)查報告數(shù)據(jù)顯示,對企業(yè)而言,相比于外部的威脅,企業(yè)內(nèi)部發(fā)生的一系列網(wǎng)絡信息安全問題往往會給企業(yè)帶來更大的危害和損失。另一項調(diào)查發(fā)現(xiàn),80%左右的網(wǎng)絡安全問題來自企業(yè)內(nèi)部。由此可見,保障企業(yè)內(nèi)部安全對于保護企業(yè)自身以及用戶信息資產(chǎn)都至關(guān)重要!
PART FOUR
數(shù)字化轉(zhuǎn)型逐漸打破企業(yè)傳統(tǒng)網(wǎng)絡安全邊界
那如何保障無論是企業(yè)內(nèi)部還是企業(yè)對外提供的數(shù)字產(chǎn)品與服務的安全?過去,企業(yè)往往以網(wǎng)絡邊界為中心進行安全防護。
然而,隨著數(shù)字戰(zhàn)略的加速推進,企業(yè)數(shù)字化轉(zhuǎn)型的不斷深入,越來越多的業(yè)務系統(tǒng)完成了線上化、數(shù)字化甚至云化。
根據(jù)中國信通院的數(shù)據(jù)統(tǒng)計,我國產(chǎn)業(yè)數(shù)字化、數(shù)字產(chǎn)業(yè)化正呈向上快速增長趨勢,且占GDP比重也在逐年遞增,截至2021年,二者共占GDP比重將近50%。這也間接反映出網(wǎng)絡世界對我們的影響越來越深。
▲ 圖片來源網(wǎng)站,數(shù)據(jù)來源中國信通院
最值得注意的是,產(chǎn)業(yè)數(shù)字化發(fā)展使得傳統(tǒng)網(wǎng)絡安全邊界越來越模糊化,甚至徹底走向無邊界化,致使傳統(tǒng)基于邊界安全的防護模式遭遇新的挑戰(zhàn)。
由于傳統(tǒng)網(wǎng)絡邊界防護模式的基本理念是區(qū)分哪些設備或網(wǎng)絡環(huán)境是可信任的,哪些是不可信任的。隨后,建立“城墻”把網(wǎng)絡劃分為外網(wǎng)、內(nèi)網(wǎng)和隔離區(qū)等不同安全區(qū)域。最后重點防護“城墻”,在邊界上部署防火墻、入侵檢測系統(tǒng)等網(wǎng)絡安全防護技術(shù)手段,使不可信任用戶無法訪問到可信任的設備或網(wǎng)絡環(huán)境的信息。
這種基于“過度信任”假設的防護模式,忽視了部署內(nèi)網(wǎng)安全防護措施的重要性。攻擊者一旦突破網(wǎng)絡安全邊界進入內(nèi)網(wǎng),就如同進入一個不設防的系統(tǒng)。更何況,80%左右的網(wǎng)絡安全問題還是來自企業(yè)內(nèi)部。
因此,尋求新的安全邊界成為各大企業(yè)在數(shù)字化轉(zhuǎn)型創(chuàng)新發(fā)展過程中亟需解決的首要問題。
PART FIVE
基于數(shù)字身份的零信任安全架構(gòu)成為新的安全邊界
眾所周知,隨著社會文明的發(fā)展,以個體人為單位的價值崛起,“以人/用戶為中心”成為越來越多企業(yè)數(shù)字化轉(zhuǎn)型的基本共識。換句話說,企業(yè)業(yè)務系統(tǒng)或服務的線上化與數(shù)字化都是圍繞“人”展開。
而人要在數(shù)字世界生存,第一件事就是要賦予其一個可信的數(shù)字身份。這也是為什么我們登錄很多企業(yè)服務APP都要注冊賬號的原因。隨著人工智能與物聯(lián)網(wǎng)的發(fā)展普及,越來越多的人、事、物接入網(wǎng)絡,賦予唯一標識或者說可信身份是必備前提。
與此同時,傳統(tǒng)的網(wǎng)絡邊界安全模式在數(shù)字時代又面臨上述困境。因此,以“人/身份”為中心的“零信任”安全架構(gòu)順勢而生并在數(shù)字時代逐漸被人重視,甚至成為主流。
零信任的核心理念是“從不信任,始終驗證”,即企業(yè)不應自動信任內(nèi)部或外部的任何人/事/物,應在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證。其本質(zhì)是以身份為基礎進行動態(tài)訪問控制,或者說采用身份集中管理,網(wǎng)絡防護不再區(qū)分內(nèi)網(wǎng)和外網(wǎng)。
PART SIX
如何構(gòu)建以“身份”為中心的一體化零信任安全防護?
派拉軟件作為國內(nèi)最早專注于自主研發(fā)身份安全的原廠商,建立了以身份為中心的端到端一體化動態(tài)訪問控制平臺——ZTA(零信任安全管理平臺)。
平臺默認所有數(shù)據(jù)和加密隧道都是不安全的。從客戶端發(fā)起請求到網(wǎng)絡數(shù)據(jù)傳輸,再到請求資源的全過程中,所有的用戶、資源、設備、服務都是不被信任的,需認證通過后才可繼續(xù)。其整體方案架構(gòu)如下圖所示:
▲ 派拉一體化零信任安全架構(gòu)
整個零信任安全管理平臺連接著用戶和資源。在客戶端,先經(jīng)過SDP客戶端連接至互聯(lián)網(wǎng),隨后結(jié)合不同類型用戶身份、終端設備、行為分析等多個因素多維度先對用戶持續(xù)認證,驗證身份可信后建立加密隧道。當連接建立后,還將基于用戶身份進行持續(xù)的信任評估;
在服務器端,限制資源的可見性,劃分執(zhí)行任務的最小特權(quán)可見資源。通過零信任網(wǎng)關(guān)、微隔離等技術(shù)將所有被訪問資源保護在“黑匣子”中,所有訪問者需通過認證、授權(quán)后,方可訪問權(quán)限內(nèi)資源,極大保護了服務端的資源安全;在鏈路上,平臺持續(xù)監(jiān)控訪問請求,確保每次訪問請求過程都是安全可信,整個網(wǎng)絡架構(gòu)持續(xù)處于安全狀態(tài)。
整個平臺通過全方位持續(xù)保障客戶端、服務器端、鏈路的安全,最大化減小網(wǎng)絡攻擊面。而采用的零信任從安全架構(gòu)層面隔離開了企業(yè)私有資源,避免了遠程訪問網(wǎng)關(guān)設備的缺點,最大化保護訪問者和被訪問資源間的安全。
對于IT管理者而言,不僅提升了資源安全管控,還可統(tǒng)一管理企業(yè)訪問策略,更細粒度管控訪問企業(yè)資源的所有用戶請求。
對于企業(yè)數(shù)字化業(yè)務創(chuàng)新而言,派拉零信任安全底座很好地為企業(yè)奠定了數(shù)字化轉(zhuǎn)型安全基石,通過強大的技術(shù)中臺支撐能力,為企業(yè)數(shù)字化轉(zhuǎn)型過程中業(yè)務的創(chuàng)新突破提供技術(shù)基礎。
如用戶中臺,提供員工、客戶的用戶身份的全生命周期管理;統(tǒng)一認證中臺,提供可信身份認證并提供單點登錄能力;權(quán)限管理中臺,提供業(yè)務系統(tǒng)的權(quán)限管理統(tǒng)一化,可視化和自動化;集成中臺,提供企業(yè)服務中心和API賦能平臺,消除應用孤島,實現(xiàn)應用敏捷;數(shù)據(jù)中臺,提供數(shù)據(jù)采集、數(shù)據(jù)治理、數(shù)據(jù)集成和數(shù)據(jù)分析等能力。
▲ 派拉零信任安全管理平臺整體中臺服務能力框架圖
最后,無論是物理世界還是網(wǎng)絡世界,人性都是最經(jīng)不起考量的!尤其是在網(wǎng)絡世界里,秩序還不夠完善,我們的個人信息與生命財產(chǎn)安全需要自我安全意識的提升,更需要政府法律法規(guī)的完善以及企業(yè)組織為我們構(gòu)建一個盡可能安全的數(shù)字世界。
正如派拉軟件一直以來所主張的“創(chuàng)造安全、高效、極致體驗的數(shù)字世界”,其中安全是第一位。這也是數(shù)字時代,企業(yè)建立用戶信任需要做到的第一點!而你的企業(yè)做到了嗎?