隨著5G、大數(shù)據(jù)、人工智能、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和集成電路(Integrated Circuit,以下簡稱IC)等新技術(shù)新業(yè)務(wù)新模式的快速發(fā)展,網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要性日趨凸顯。
我們正面臨著外部和內(nèi)部的并存威脅,并且威脅攻擊面積越來越大。比如國內(nèi)多家三甲醫(yī)院被入侵挖礦、美國能源安全事件以及微盟刪庫事件。前兩者屬于黑客入侵攻擊的外部事件,而后者則屬于內(nèi)部的安全事故。
我們還原微盟刪庫事件的始末:微盟某員工在家通過電腦連接公司VPN、登錄公司服務(wù)器后執(zhí)行刪除任務(wù),將微盟服務(wù)器內(nèi)數(shù)據(jù)全部刪除,導(dǎo)致微盟數(shù)據(jù)業(yè)務(wù)癱瘓故8天14個小時。造成微盟公司支付恢復(fù)數(shù)據(jù)服務(wù)費、商戶賠付費等經(jīng)濟損失共計人民幣2260余萬元,微盟公司市值暴跌10億。由此可知,內(nèi)部攻擊導(dǎo)致的嚴(yán)重結(jié)果完全不亞于某些外部攻擊。
今天我們聚焦于IC產(chǎn)業(yè),眾所周知,對于IC企業(yè),尤其是設(shè)計環(huán)節(jié)的IC企業(yè)而言,IP等核心數(shù)據(jù)就是公司的命脈,一旦泄露或被竊取,就會造成致命的打擊。對于國家而言,IC行業(yè)是國家科技發(fā)展的一塊基石,如果底層技術(shù)存在安全威脅問題,定會累及國家安全。
圖 | 志翔科技聯(lián)合創(chuàng)始人蔣天儀
那么對于正在轉(zhuǎn)型中的IC產(chǎn)業(yè),當(dāng)前存在的安全痛點到底有哪些?如何解決這些問題?未來的安全需求趨勢又是怎樣的?帶著這些問題,與非網(wǎng)在“2021中國集成電路設(shè)計創(chuàng)新大會暨IC 應(yīng)用博覽會”(簡稱ICDIA )上采訪到了志翔科技的聯(lián)合創(chuàng)始人蔣天儀博士。
蔣博士表示,“IC行業(yè)確實正在面臨轉(zhuǎn)型,不論是新技術(shù)的驅(qū)動,疫情的影響,還是人才競爭導(dǎo)致的多地研發(fā)趨勢,越來越多的企業(yè)在保障敏捷開發(fā)的同時,對遠(yuǎn)程辦公和跨地域、多公司協(xié)同合作提出新的需求。企業(yè)上云的趨勢,讓數(shù)據(jù)邊界進(jìn)一步模糊,用戶不再拘泥于企業(yè)內(nèi)部,設(shè)備不再限于內(nèi)部工作站和電腦等,數(shù)據(jù)安全風(fēng)險指數(shù)型增長。”
而與此形成鮮明對比的是IC企業(yè)相對保守的IT架構(gòu),以安全措施為例,現(xiàn)在很多企業(yè)還在采用物理隔斷的保護(hù)措施。蔣博士舉了個例子,把PC鎖進(jìn)鐵盒子里,再上鎖,焊死網(wǎng)線,在IC企業(yè)里仍然存在,為了嚴(yán)格杜絕員工將內(nèi)部核心數(shù)據(jù)帶出去。而事實上,這樣的物理筑墻式禁錮,既影響開發(fā)效率,又不能發(fā)揮真正的隔絕作用,形同虛設(shè)。此外,對于上面提到的企業(yè)上云等安全挑戰(zhàn),根本無法有效應(yīng)對和解決。”
如何面對這些安全問題和未來市場需求,我們需要轉(zhuǎn)變傳統(tǒng)的以“縱深防御+邊界防御”為主安全理念。事實上,企業(yè)在成長過程中,IT架構(gòu)也在不斷地演進(jìn),安全邊界已經(jīng)逐步被打破、走向模糊化,基于邊界的安全防護(hù)體系已難以適應(yīng)企業(yè)快速成長,難以應(yīng)對業(yè)務(wù)的快速變化,需要隨業(yè)務(wù)而進(jìn)化。因此,“無邊界”的安全概念被提了出來,所謂無邊界,即以數(shù)據(jù)為中心,身份為新的安全邊界。這樣可以實現(xiàn)不區(qū)分內(nèi)外網(wǎng)、不限接入終端設(shè)備情況下企業(yè)多種辦公場景地數(shù)據(jù)安全。那么問題來了,如何做到上述的“無邊界”數(shù)據(jù)貼身防護(hù)要求呢?
圖 | 志翔科技產(chǎn)品硬件一覽
蔣博士從志翔科技產(chǎn)品和解決方案構(gòu)架的角度,跟我們分享了以下幾個關(guān)鍵點:
1、傳統(tǒng)以網(wǎng)絡(luò)邊界為核心,現(xiàn)代安全要求以身份為核心,即身份權(quán)限將成為新的邊界;
2、零信任,對于用戶、終端等做到信任最小化,不區(qū)分內(nèi)外網(wǎng),用按需靈活配置和管理的身份權(quán)限來定義授權(quán)的數(shù)據(jù)訪問和業(yè)務(wù)操作。對于所有數(shù)據(jù)、應(yīng)用進(jìn)行精細(xì)化管理,按需授權(quán)和隔離;
3、數(shù)據(jù)不落地,所有的重要數(shù)據(jù)以視頻流的方式輸出,難以竊取,不留存于本地,無法拷貝出來;
4、貼近業(yè)務(wù)需求,圍繞IC生產(chǎn)全流程的每個環(huán)節(jié)、數(shù)據(jù)的全生命周期,從事前預(yù)警,到事中阻斷,到事后溯源,形成閉環(huán),做到全方位保護(hù);
5、靈活部署,快速上線,簡單運維管理,不改變原有用戶的使用習(xí)慣,不影響工作效率。兼顧安全、高效和簡單易用,讓IC企業(yè)可專注創(chuàng)新,不再為安全困擾。
如果您覺得前面的這五條有點抽象的話,我們來舉個例子,假設(shè)疫情期間,位于上海的某EDA設(shè)計企業(yè)的員工小王滯留在武漢,但他負(fù)責(zé)的項目比較緊急,不得不采取遠(yuǎn)程辦公的模式,這個時候他只需要拿出自己在家的PC機,安裝上志翔科技安全產(chǎn)品的終端客戶端,通過公司配置授權(quán)的賬號和密碼登陸進(jìn)去,就可以遠(yuǎn)程訪問被授權(quán)的企業(yè)數(shù)據(jù)和業(yè)務(wù),很安全的在家辦公了。
這個過程中,志翔科技的至安盾產(chǎn)品相當(dāng)于為企業(yè)構(gòu)建了一個安全遠(yuǎn)程辦公環(huán)境,提供包括安全網(wǎng)關(guān)、安全的通訊隧道、用戶權(quán)限管理、動態(tài)信任評估和多因子認(rèn)證等諸多安全特性,來保障遠(yuǎn)程辦公的安全可控。用戶通過在其終端進(jìn)行身份識別,即可經(jīng)至安盾的安全私有協(xié)議鏈接并安全接入其身份被授權(quán)可訪問的公司數(shù)據(jù)和業(yè)務(wù)系統(tǒng),進(jìn)行相應(yīng)的辦公。與此同時,所有的企業(yè)數(shù)據(jù)并未傳輸并留存至小王的自有終端上,他在家里所看到的都是經(jīng)過志翔至安盾進(jìn)行格式轉(zhuǎn)換后的圖像或者視頻,而非真實的數(shù)據(jù),就好比生產(chǎn)型企業(yè)給屋子加了一個透明大玻璃罩,人可以隔著玻璃在屋子外面對屋子里面的機械手進(jìn)行操作控制一樣。在這種方式下,即使小王的朋友“熱情”地攛掇他出來單干,小王也很難帶走公司的核心資料。
就這樣,遠(yuǎn)程辦公到第五天的時候,有一個黑客發(fā)現(xiàn)這家EDA公司很有競爭力,想去竊取部分IP資料,他就開始在網(wǎng)絡(luò)鏈路上截取小王的登錄賬號,殊不知志翔科技的至安盾遠(yuǎn)程安全接入解決方案具有端口隱藏、控制面和數(shù)據(jù)面分離、糞污端口動態(tài)分配等諸多安全特性。打個比方,在宇宙飛船中,宇航員要出艙,他得先打開一扇門進(jìn)入到減壓艙,減壓艙內(nèi)裝有一個攝像頭,可以判斷是否讓宇航員出第二層艙門,如果不允許的話就出不去,這個就相當(dāng)于安全軟件中的審批流程,只有審批通過,這個端口才會對操作者開放,于是黑客就沒有辦法真正入侵了。
目前,志翔科技已經(jīng)針對IC行業(yè)不同的場景推出了基于至安盾產(chǎn)品的遠(yuǎn)程安全接入、研發(fā)安全等多個解決方案,包括“硬件主機+軟件”或“純軟件”等形式,解決方案和產(chǎn)品服務(wù)遍及紫光展銳、華大九天、君正、華大北斗、寒武紀(jì)、全志、中興、微電子、兆芯、瀾起、比特大陸等在內(nèi)的數(shù)百家IC行業(yè)客戶,并根據(jù)IC行業(yè)上云趨勢,與紫光芯云達(dá)成合作基于紫光芯云平臺為IC設(shè)計企業(yè)提供云上的安全服務(wù)。在安全的技術(shù)能力和創(chuàng)新性上都居行業(yè)領(lǐng)先水平,連續(xù)入選2019-2020年Gartner全球云工作負(fù)載安全平臺(CWPP)市場指南。