“产、学、研、用”协同创新 全力打造安全平行切面生态体系

首页 / 业界 / 动态 /  正文
来源:蚂蚁集团
发布于:2023-07-24
7月17日,在首届“安全平行切面大会”上,“安全平行切面联盟” (Aspect-Oriented Technology Alliance,简称AOTA )在会上正式成立。

该联盟在中国信息协会信息安全专业委员会指导下成立,由蚂蚁集团联合行业共同发起,将为行业安全实战对抗、网络安全保险、安全合规治理带来全新的能力,为网络安全、数据安全、个人信息保护构建全新的技术基础平台,有望引导行业建立全新的安全治理范式。


(从左至右)中国科学技术大学教授左晓栋,蚂蚁集团副总裁、首席技术安全官韦韬,中国信息协会信息安全专委会副主任赵进延,北京华云安信息技术有限公司CEO沈传宝
 
蚂蚁集团于2019年首次在业界提出安全平行切面体系理念,到如今“安全平行切面联盟”的成立,见证了蚂蚁集团从理念创新到实践落地,快速打造出面向企业数字生命体的新一代安全基础平台的突破能力,也通过“产、学、研、用”的深入融合,不断营造良性的产业生态。
 
中国科学技术大学网络空间安全学院教授左晓栋——完善的防御体系,才是支撑业务运行的关键

中国科学技术大学网络空间安全学院教授左晓栋表示,网络安全防御体系的研究,贯穿着整个网络安全技术的发展。站在安全角度,完善的网络安全防护体系需要包含安全防护、检测、响应、恢复功能以及对抗能力等要素。但事实上,网络安全的防护体系更需要支撑业务运行。

所以,网络安全产品技术本身的最初设计,需要改变原来的研发模式和思路,应该从应用角度出发,支持安全体系的部署,并且融合业务。安全平行切面体系恰恰在解决业务与安全矛盾的层面上,取得了重要突破。尤其是在数据安全领域,数据库、系统业务流以及数据流转等方面的处理,安全平行切面技术的应用效果非常明显。
 
中国信息协会信息安全专业委员会副主任赵进延——更多重视,更需协同,更重应用

中国信息协会信息安全专业委员会副主任赵进延说到,随着我们国家“三法一条例”的发布以及在各个行业的深入应用,数据安全在国家战略层面的重视程度更甚从前。

想要解决数据安全问题,需要多方的协同。政策法规是一方面,更多的是要有强有力的技术保护能力措施和方法,需要产业的支撑以及科研机构的参与和支持。只有大家齐抓共管、协同联动,才能够营造一个比较良好的市场环境,更好的促进切面技术融合与开放。

安全平行切面联盟的成立,为促进网络安全与数据安全产业“产、学、研、用”能力的深度融合,建立了一个跨行业、跨部门的合作机制和优质平台。在他看来,“用”是关键,应用场景产生应用价值,可以促进安全技术不断地升级迭代,最终由应用带动安全产业发展。
 
蚂蚁集团副总裁、首席技术安全官韦韬——融合且解耦,业务与安全共赢共生

安全平行切面体系作为一种创新的安全技术体系与思想,是实现“原生安全”的一条可行路径。在蚂蚁集团副总裁、首席技术安全官韦韬看来,之前的安全防护方式以“外挂式安全”为主,防护效果并不到位。伴随着业务复杂度的提升,越来越多的甲方用户意识到要将安全能力内嵌到应用系统内部的方式来提升安全防护效果,但安全和业务的紧密耦合,会由于业务模式的时间周期与安全的响应周期差别较大,而产生“绑腿走路”的安全困境。

因此,安全平行切面的第一要务就需要解决业务发展诉求与安全建设需求之间的矛盾点,将安全能力融入企业基础设施中并与业务解耦,使安全能力深入业务逻辑,同时实现双方的独立高速发展,在更高维度上实现持续的动态安全防护,独立、高效、精确地支撑安全可治可战任务。

另外从安全能力的建设视角来看,不同类型的安全企业以及应用,内部的开发系统会随着行业的技术不断演进,实际的业务场景非常复杂,它的碎片化问题非常严重。尤其是安全防护企业,需要在每一个小碎片上做很多定制性工作,成本远高于收益,无法形成正向循环。

而通过切面标准化的技术框架,可以为这种碎片化的环境提供一个标准化的支持,实现一致化开发部署和运维能力建设,能够大幅降低安全建设成本和未来安全产品之间互联互通的改造成本。

除此之外,在威胁对抗场景、合规治理场景以及网络安全保险场景等领域,切面也能够实现安全能力和效率的跨越式提升。
 
北京华云安信息技术有限公司创始人兼CEO沈传宝——看清安全的最终价值和目标

作为安全平行切面联盟首批成员单位及重要技术授权合作伙伴,北京华云安信息技术有限公司创始人兼CEO沈传宝表示,华云安是一家聚焦攻击面管理的高新技术企业,实战攻防是切面非常重要的一个应用场景。

实战攻防,首先要“看清”保护目标,保护目标一定是业务、数据以及相关的数字资产。这是华云安做攻击面管理或者安全运营的价值。回到安全平行切面技术。在实战攻防过程中,首要保障目标就是用户的业务不受影响,切面技术在这其中承担着重要角色。切面有各种各样的切点,比如在主机上、在应用和终端上,基于切点可以深入到每一个业务系统的内部,更清楚地看到内部的资产、安全威胁以及风险。

通过切面技术的整合,在技术层面上,把业务和防御手段进行解耦;从保护目标的层面上,又能够把保护要求与业务深度吻合,切面在中间产生了一个巨大的价值。华云安将在实战攻防、数据安全、网络安全保险等方面,不断为联盟贡献创新技术和最佳实践。
 
行业专家观点集锦
 
@北京炼石网络技术有限公司CEO白小勇:安全防护重点从边界防御转向保护数据和应用。在技术演进路线上,从网络安全到数据安全,防护能力倾向从“外挂”到“内嵌”。切面安全在数据流动的切面上重建安全规则,能够实现安全与业务在技术上的解耦与能力融合。
 
@网商银行首席信息安全官张园超:在数字化转型过程中,面临风险敞口扩大、漏洞数量增加、攻击收益增加、威胁等级提高、安全与效率难平衡等安全挑战。基于切面,可以构建可信纵深防御,实现安全免疫,业务解耦、透视、智能评估以及精确管控。
 
@深圳红途科技有限公司CEO刘新凯:铸稳基于切面的数据流转观测底盘,可以梳理全域数据属性、分布、流转及使用情况,全自动化体现数据的全链路走向和真实运营情况。
 
@高德集团个人信息保护负责人冯庆辉:安全切面作用于APP运行时,基于切点的数据和逻辑处理,可以很好的解决端上隐私合规、风险感知、漏洞防护等问题。高德去年7月接入安全切面后,双端运行稳定,无故障。