《信息技术与网络安全》专访|以零信任为钥，开启新安全时代之门

图：《信息技术与网络安全》杂志的2021年第12期“高端访谈”内容，该期刊是由华北计算机系统工程研究所主办的国家级科技期刊，前身《微型机与应用》创刊于1982年，该刊35年来为信息技术和应用的发展作出杰出贡献。

以零信任为钥，开启新安全时代之门

编者按：今年是“十四五”的开局之年，在岁末年初之际，《信息技术与网络安全》邀请安全企业负责人对网络安全动态进行回顾，对网络安全政策进行解读，对行业发展脉络进行剖析，并对来年行业发展趋势进行展望。11月1日，派拉软件宣布完成数亿元人民币的D轮融资。据悉，本轮融资将主要用于零信任安全相关的研发技术投入、人才引进和市场开拓，同时持续优化产品矩阵，增强一体化零信任安全服务能力和落地能力。本刊对派拉软件CEO、信息安全专家谭翔进行专访，围绕企业发展和行业前瞻为广大读者进行解读。

✔ 请您对2021年的网络安全行业发展进行简要回顾和总结。

谭翔：今年，网络安全法律法规的出台和施行非常密集，包括《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等相继推出，反映了网络空间安全战略环境和技术趋势的发展变化。

首先，从政府或者企业角度上来看，整个数字化转型的进程正在加速。数据已经被定义为生产要素之一，对于构建要素驱动型经济来讲，数据的重要程度日益凸显。数字化转型过程中，大量业务系统的上线会沉淀海量的数据，从而形成数据资产并产生迫切的数据安全保护需求。其次，从个人信息安全角度出发，对于用户隐私保护的制度刚性在加强，从过去运营者有责任去保护，上升到了现在法律的高度，而且执法力度不断加大，无疑对数字经济的健康发展起到非常大的促进作用。最后，从资本创新的角度来看，今年市场的融资活动空前活跃，包括派拉软件在内的一大批网络安全公司，单轮融资额过亿的实例屡见不鲜，融资量级的持续突破，说明资本市场青睐并高度看好网络安全产业的发展前景。我们判断，就2022年网络安全行业的发展前景而言，零信任应该是一个大的方向。

✔ 请介绍一下2021年您遇到的最大挑战和收获，贵企业主要的经营品种在市场表现有何亮点？

谭翔：通过整个2021年对安全行业的观察，我们发现有两方面明显的动向：一是国资型企业躬身入局、动作频频，包括中国电子或者中国电科等中央企业，建立很多相关的运营实体，对于网络安全市场无论是重视程度还是投入力度均在加大。二是传统面向C端的头部互联网企业也在大幅进军网络安全领域，不但成立相应的运行实体，还向To B端的安全体系建设加大投入力度。在大型国资企业和大型互联网企业纷纷加入大的安全赛道的情况下，我们要思考：自身的优势和价值怎么来体现？我认为机遇和挑战是并存的。

谈到机遇也是2021年最大的收获。国内网络安全市场，特别是零信任市场持续向好，使得我们有机会为客户创造更多的价值，是最大的收获。随着多年的专精研发和市场开拓，派拉软件的身份安全技术与服务在业界处于领先地位。我们在立足身份安全优势领域的同时，也积极推动一体化零信任安全能力的构建。“十四五”规划提出要通过体系化、系统化思路去解决问题，意味着需要在实践中构建成体系的零信任架构并落地，这使得我们有更多机会融入到客户的整体安全架构体系中去，与客户安全体系的深度融合也是我们的重要收获之一。

2021年我们遇到的最大挑战还是自身如何去准确定位。安全体系能力建设离不开生态支撑，派拉软件今年加入了零信任产业标准工作组、零信任联盟、CSA零信任工作组，主导并参与了零信任国标、行标和团标的制定。通过零信任生态的打造，提高了交付一体化零信任安全解决方案的能力，并且作为首批国家重点培育的“专精特新”小巨人企业，我们积极去拥抱产业生态的变化，将自己纳入到零信任全生态价值链中，充分发挥我们的价值。目前行业和客户对此都给予比较大的认可。

✔ 派拉软件在零信任技术方向上，有些什么样的规划和推进吗？

谭翔：在国际上，零信任架构受到高度关注。今年5月，白宫签署行政命令，要求政府部门全面采用零信任架构，并具体落实到美国《2022财年预算案》中。尽管国内还没有通过行政手段圈定某一项技术的大规模应用，但是零信任还是受到了业界非常广泛的关注，目前已纳入到工信部《网络安全产业高质量发展三年行动计划（征求意见稿）》中。

在技术方向上，2021年我们结合企业自身特色，针对身份安全和 API安全两方面对产品线进行了比较大的调整：

首先，在身份管理与访问控制方面，通过构建覆盖人、IoT、API的全身份管理体系，实现了多身份源、可信终端以及不同网络访问场景的安全访问控制，结合实时动态的风险监测和认证升级，确保用户的访问安全。

其次，在统一授权和动态访问策略方面，基于ABAC授权模型的统一授权与基于属性的动态访问策略，零信任安全平台可以提供便捷又安全的访问授权控制，并根据访问环境的变化动态控制可访问的资源。

第三，在SDP网关构建与应用方面，为企业构建起一个虚拟边界，利用基于身份的访问控制机制，结合敲门和安全隧道技术，为企业应用和服务提供隐身保护，大大降低应用可攻击面。

作为安全理念上的一种改变，零信任目前承载了比较大的期望，但我们还是会比较理性的看待这一需求市场，正如派拉软件的价值观那样：Value价值、Innovation创新、Excellence卓越、Win共赢，使得在零信任这条跑道上，不盲目追求快速发展，更重要的是保持不断钻研，勇于创新的企业责任心，以及不断沉淀与研磨技术、服务的耐心，最终与客户和伙伴一起，实现价值共创和卓越共赢。正如派拉软件多年的长跑精神，零信任是一个持久的战场，长期相互信任、共同坚持的伙伴，与不断探索的技术、不断优化的服务，构成了派拉软件细水长流却生生不息的生命力。此外，我们还将保持产品向理性的架构方向上去靠拢的战略思想，和合作伙伴一起向客户提供整体解决方案，目前受到客户欢迎，起到良好的效果。

✔ 在企业经营方面，咱们的客户覆盖哪些领域？在新的一年里，有哪些新的计划或动向，计划推出哪些新的产品？

谭翔：我们公司一直以来属于业务驱动型的网络安全公司，更多的是从保障客户业务安全的角度去提供服务。作为数字化基础技术架构的组成部分，我们的客户类型非常广泛，覆盖包括汽车、金融、核电、先进制造、生物制药、教育、交通等事关国计民生的关键领域。我们将身份和访问控制技术、API的安全网关技术应用到业务场景中去，根据最小权限原则，结合业务场景分配业务数据，带给客户最大程度的数据安全保护。

今天数字化不再局限在企业内部，而要做到数据的全流程管控，包括跟上下游合作伙伴的数据共享和一定范围内的数据开放。因此，从身份安全角度去延伸业务场景，能够为客户提供比较好的业务安全保护。围绕员工接入和客户接入数字化系统的不同，为企业设计整体安全保护场景。典型的如车联网，很多客户会有几百万甚至上千万的车主，车联网的信息安全十分重要。

随着移动互联网和数字化转型的日益深入，API因为更容易暴露程序逻辑和个人身份数据，而成为网络攻击的重要目标。派拉软件以身份安全为基础，实现数据安全和API安全并重，并且在前几年就开始布局API网关、数据访问安全等技术，实现了技术能力和产品能力的战略储备和预置。同时我们积极布局云安全，围绕如何保证云端数据安全，如何保证客户端到云端访问通道的信息安全，如何实现云端应用之间的安全互访等问题，将自身产品框架与云安全紧密结合，孕育孵化出一大批新产品，可以更好地解决客户安全需求。目前，派拉软件在零信任一体化思路指导下，形成了以身份安全为中心的产品矩阵，并通过生态联盟伙伴的加持，将业务拓展到联动终端管理、SDP、微隔离、动态授权、用户行为分析等各个领域，助力企业构建体系化的安全防护能力。