祝青柳，現任CSA大中華區會員單位聯軟科技股份有限公司總裁，2004年成為聯軟科技創辦人，受思科網絡準入控制NAC的概念影響，發明了網絡接入設備快速發現與定位的專利技術、并首創了旁路式/準旁路式準入控制技術，把網絡準入控制概念與技術應用在國內進行了推廣與普及，如EoU已經成為業界通用的技術名詞。

隨著新一代通信基礎設施的建設和發展，企業在終端、邊緣、網絡、云上通過共享開放通信、計算、存儲等多類資源與能力，內生安全成為行業乃至社會輿論重點關注的熱點話題。解決融合網絡架構、數據資源、可信管理等多方面的可信數字網絡架構，將網絡安全能力賦予新的生命力，用于資源、數據等網絡資產識別與發現，兼備數據資源可信、隱私保護等服務。聯軟科技祝青柳在2020云安全聯盟大中華區大會上與大家分享《可信數字網絡架構》的主題演講，CSA大中華區就如何定義、構建可信數字網絡架構，對祝總進行了采訪，對此進一步展開討論。

01如何定義可信數字網絡架構？

在過去十幾年的實踐中，聯軟科技率先探索出了一套幫助政企組織構建內生安全的可信數字網絡架構。傳統網絡安全思維旨在通過多點配置安全產品解決安全困擾，隨著網絡技術和應用的飛速發展，互聯網呈現出日益復雜、異構等特點，傳統安全思維已很難系統性解決安全問題，企業針對性且多次購入產品使得安全投入極高甚至造成負擔。它不僅是系統采購，還包括人員培訓、系統維護等成本，因此，一套體系化的可信數字網絡架構成為時代發展的迫切需求。

另一方面，祝青柳認為可信數字網絡架構可實現安全投資的經濟可持續，政企組織安全預算可控。一，實現安全產品之間可銜接，建立一套真正有效的網絡系統?，F在很多單位談及網絡安全容易將其絕對化考量，也就是將所有資源都用以安全，導致單次成本過高使組織機構難以負荷。而經濟上可持續是指：部署安全系統后不會致使業務系統無法運轉；二，安全系統實施后企業不會發生安全領域高投入低回報，真正實現采購產品與服務、系統運維等一系列成本可以控制。

現今，國際上各個國家之間就經濟、技術之間博弈，為了實現良性的發展，戰略部署上必然向可持續推進。國家之間尚且如此，各企業的競爭和進步亦是同樣的，聯軟科技提出可信數字網絡架構初衷是希望用一套方法幫助企業快速構建安全系統，以解決重要、關鍵的安全問題，且經濟、實用、可持續，給行業內各類單位用較低成本、較少人力，針對性解決重點核心的問題。

02可信數字網絡架構的特征和價值

可信數字網絡架構是聯軟科技根據深耕網安行業多年實踐，結合行業最新安全技術提煉形成。據悉，早在2014年聯軟受邀同國內某知名證券公司聯合開發一套面向移動應用的系統。該公司擁有龐大的移動應用網絡，按照傳統安全方法將每個應用都發布到互聯網上，再依次完成等保測評、漏洞掃描與管理、應用管理和數據安全等內容，基礎性安全建設投入完成后投資成本相對較高。通過三年的探索研究和安全實踐，最終設計完成了一套幫助企業內部移動應用的發布管理、系統更新和數據安全治理，統一解決系統后端和通信安全的系統。以集中式、中間件的形式將以往在后期解決的安全問題提前至開發環節解決，以此方式將安全能力直接賦予應用系統，開發應用系統過程中也就實現了現在備受行業關注的“內生安全”。整體采購成本也大幅度降低，并且提升了系統開發效率，有效解決數據防泄密、個人隱私保護等問題。

其架構特征有三點：一，融合、統一的安全性能和運行效率；二，系統建設投資運維成本可控，可信數字網絡架構能夠幫助用戶統一解決數據防泄密、系統防入侵和個人隱私保護；三，應用系統的開發成本會下降，系統迭代、更新速度有效提高。

綜上，可信數字網絡架構的主要價值在于：1） 針對不同的用戶，采用不同的接入方式，快速部署安全策略，保障訪問策略合規；2） 針對不同類型和不同重要級別的數據完整性、可用性和保密性防護需要，構建統一安全防護機制，達成策略快速部署和有效落地；3） 針對不同類型的應用系統安全防御問題，形成不同層次的邊界安全防御機制，有效構建系統的第一道防線，確保系統能夠穩定運行。

03構建以可信為核心的數字網絡架構

可信數字網絡架構是面向封閉的數字化系統，即系統有明確的使用賬號、訪問設備。不論是通過內部網絡產生的訪問需求，或是來自于互聯網、VPN的其他訪問渠道。目前，很多用戶沒有專屬的完整數字空間，可信數字網絡架構需要先建立一個專屬組織的數字空間，獨立賦予企業管控權限，該空間完全屬于企業自主控制、動態授權。

從攻擊者視角自動化、標準化對企業進行檢測。大致分為四個步驟：一是建立獨立完整的數字空間；二是對已經明確的賬號或設備進行動態授權，以此完成數據安全、個人隱私保護機制的縱深部署；三是自動化、標準化的檢測系統漏洞；四是從攻擊者的視角來測試?？尚艛底志W絡架構的核心是不需要依賴于漏洞發現和修復，因為漏洞的數量是無窮盡的，所以在可信數字網絡架構中漏洞修復僅作為核心系統的補充。基于可信數字網絡架構的設計使用國際相關標準落地，并結合細分領域安全產品同架構進行協同與聯動，最終形成體系化的保護方案。

04新安全 新發展

探究可信數字網絡架構和零信任SDP之間的區別與聯系，后者主要用以解決遠程訪問的安全保護，保護企業核心數據資產。2004年聯軟科技推出了軟件定義訪問（SDA），即根據已知賬號、設備硬件信息、用戶位置等信息推導出企業內部應用情況，SDA更多聚焦于非互聯網連接，而SDP則更關注外部訪問行為的信任與安全，可信數字網絡架構在二者的基礎上有效管理整合網絡安全資源，實現內部網絡保護、防止機密數據外泄。為確保網絡安全可信，還需從多個角度解決問題，如基礎設施、準入機制、通信與傳輸規則、網絡可控性等。

結合內外網絡訪問行為和多年實踐經驗，可信數字網絡架構主要分為五部分安全組件：訪問控制系統、數據交換系統、數據防泄密、安全對抗系統和安全中心。聯軟還在為不斷的完善其架構內容不懈努力著，另一方面會推進安全與業務融合的產品研發和落地實踐。結合現有安全技術發展趨勢，縱觀國內外安全產品和技術，實則差距不大。

總體來看，業務與安全勢必會融合，單一安全產品的市場發展機遇會相應縮減。該架構目前很受金融行業的歡迎，因為金融行業的業務高度依賴于IT系統，一旦出現網絡安全問題對其業務、數據資產影響都較為嚴重，從業務層面分析來看，金融行業亟需解決天然的對于數據保密、入侵攻擊等的困擾問題。可信數字網絡架構對于近幾年轉型成功的制造業，尤其是致力于高端設備的芯片行業的發展來講都十分重要。

我們相信未來社會、行業也會朝著內生安全的趨勢前進，安全市場也會逐漸打磨形成一套完整性、可實用性較高的網絡架構，幫助企業在經濟上可持續、安全投資可控、安全性更為實際有效的方向演進。

05結論與思考

構建符合內生安全需要的可信數字網絡架構，聯軟科技基于目前網絡安全行業內多年研究與探索，從體系結構的角度設計和實現了具有內生安全防護的網絡架構，以五大安全組件為核心聚合可信資源、安全服務、數據資產實現自動化調度，解決了網絡使用者或所有者間由于不信任導致的安全預算問題。未來，聯軟也將進一步完善可信數字網絡架構的系統、設備的設計方案，結合實踐與應用推動網安行業的新發展。