專訪志翔科技 | 如何為IC企業(yè)建立數(shù)據(jù)安全的護(hù)城河？

隨著5G、大數(shù)據(jù)、人工智能、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和集成電路（Integrated Circuit，以下簡稱IC）等新技術(shù)新業(yè)務(wù)新模式的快速發(fā)展，網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要性日趨凸顯。

我們正面臨著外部和內(nèi)部的并存威脅，并且威脅攻擊面積越來越大。比如國內(nèi)多家三甲醫(yī)院被入侵挖礦、美國能源安全事件以及微盟刪庫事件。前兩者屬于黑客入侵攻擊的外部事件，而后者則屬于內(nèi)部的安全事故。

我們還原微盟刪庫事件的始末：微盟某員工在家通過電腦連接公司VPN、登錄公司服務(wù)器后執(zhí)行刪除任務(wù)，將微盟服務(wù)器內(nèi)數(shù)據(jù)全部刪除，導(dǎo)致微盟數(shù)據(jù)業(yè)務(wù)癱瘓故8天14個小時。造成微盟公司支付恢復(fù)數(shù)據(jù)服務(wù)費(fèi)、商戶賠付費(fèi)等經(jīng)濟(jì)損失共計人民幣2260余萬元，微盟公司市值暴跌10億。由此可知，內(nèi)部攻擊導(dǎo)致的嚴(yán)重結(jié)果完全不亞于某些外部攻擊。

今天我們聚焦于IC產(chǎn)業(yè)，眾所周知，對于IC企業(yè)，尤其是設(shè)計環(huán)節(jié)的IC企業(yè)而言，IP等核心數(shù)據(jù)就是公司的命脈，一旦泄露或被竊取，就會造成致命的打擊。對于國家而言，IC行業(yè)是國家科技發(fā)展的一塊基石，如果底層技術(shù)存在安全威脅問題，定會累及國家安全。

 
圖 | 志翔科技聯(lián)合創(chuàng)始人蔣天儀

那么對于正在轉(zhuǎn)型中的IC產(chǎn)業(yè)，當(dāng)前存在的安全痛點(diǎn)到底有哪些？如何解決這些問題？未來的安全需求趨勢又是怎樣的？帶著這些問題，與非網(wǎng)在“2021中國集成電路設(shè)計創(chuàng)新大會暨IC 應(yīng)用博覽會”（簡稱ICDIA ）上采訪到了志翔科技的聯(lián)合創(chuàng)始人蔣天儀博士。

蔣博士表示，“IC行業(yè)確實(shí)正在面臨轉(zhuǎn)型，不論是新技術(shù)的驅(qū)動，疫情的影響，還是人才競爭導(dǎo)致的多地研發(fā)趨勢，越來越多的企業(yè)在保障敏捷開發(fā)的同時，對遠(yuǎn)程辦公和跨地域、多公司協(xié)同合作提出新的需求。企業(yè)上云的趨勢，讓數(shù)據(jù)邊界進(jìn)一步模糊，用戶不再拘泥于企業(yè)內(nèi)部，設(shè)備不再限于內(nèi)部工作站和電腦等，數(shù)據(jù)安全風(fēng)險指數(shù)型增長。”

而與此形成鮮明對比的是IC企業(yè)相對保守的IT架構(gòu)，以安全措施為例，現(xiàn)在很多企業(yè)還在采用物理隔斷的保護(hù)措施。蔣博士舉了個例子，把PC鎖進(jìn)鐵盒子里，再上鎖，焊死網(wǎng)線，在IC企業(yè)里仍然存在，為了嚴(yán)格杜絕員工將內(nèi)部核心數(shù)據(jù)帶出去。而事實(shí)上，這樣的物理筑墻式禁錮，既影響開發(fā)效率，又不能發(fā)揮真正的隔絕作用，形同虛設(shè)。此外，對于上面提到的企業(yè)上云等安全挑戰(zhàn)，根本無法有效應(yīng)對和解決。”

如何面對這些安全問題和未來市場需求，我們需要轉(zhuǎn)變傳統(tǒng)的以“縱深防御+邊界防御”為主安全理念。事實(shí)上，企業(yè)在成長過程中，IT架構(gòu)也在不斷地演進(jìn)，安全邊界已經(jīng)逐步被打破、走向模糊化，基于邊界的安全防護(hù)體系已難以適應(yīng)企業(yè)快速成長，難以應(yīng)對業(yè)務(wù)的快速變化，需要隨業(yè)務(wù)而進(jìn)化。因此，“無邊界”的安全概念被提了出來，所謂無邊界，即以數(shù)據(jù)為中心，身份為新的安全邊界。這樣可以實(shí)現(xiàn)不區(qū)分內(nèi)外網(wǎng)、不限接入終端設(shè)備情況下企業(yè)多種辦公場景地數(shù)據(jù)安全。那么問題來了，如何做到上述的“無邊界”數(shù)據(jù)貼身防護(hù)要求呢？

 
圖 | 志翔科技產(chǎn)品硬件一覽

蔣博士從志翔科技產(chǎn)品和解決方案構(gòu)架的角度，跟我們分享了以下幾個關(guān)鍵點(diǎn)：

1、傳統(tǒng)以網(wǎng)絡(luò)邊界為核心，現(xiàn)代安全要求以身份為核心，即身份權(quán)限將成為新的邊界；

2、零信任，對于用戶、終端等做到信任最小化，不區(qū)分內(nèi)外網(wǎng)，用按需靈活配置和管理的身份權(quán)限來定義授權(quán)的數(shù)據(jù)訪問和業(yè)務(wù)操作。對于所有數(shù)據(jù)、應(yīng)用進(jìn)行精細(xì)化管理，按需授權(quán)和隔離；

3、數(shù)據(jù)不落地，所有的重要數(shù)據(jù)以視頻流的方式輸出，難以竊取，不留存于本地，無法拷貝出來；

4、貼近業(yè)務(wù)需求，圍繞IC生產(chǎn)全流程的每個環(huán)節(jié)、數(shù)據(jù)的全生命周期，從事前預(yù)警，到事中阻斷，到事后溯源，形成閉環(huán)，做到全方位保護(hù)；

5、靈活部署，快速上線，簡單運(yùn)維管理，不改變原有用戶的使用習(xí)慣，不影響工作效率。兼顧安全、高效和簡單易用，讓IC企業(yè)可專注創(chuàng)新，不再為安全困擾。

如果您覺得前面的這五條有點(diǎn)抽象的話，我們來舉個例子，假設(shè)疫情期間，位于上海的某EDA設(shè)計企業(yè)的員工小王滯留在武漢，但他負(fù)責(zé)的項目比較緊急，不得不采取遠(yuǎn)程辦公的模式，這個時候他只需要拿出自己在家的PC機(jī)，安裝上志翔科技安全產(chǎn)品的終端客戶端，通過公司配置授權(quán)的賬號和密碼登陸進(jìn)去，就可以遠(yuǎn)程訪問被授權(quán)的企業(yè)數(shù)據(jù)和業(yè)務(wù)，很安全的在家辦公了。

這個過程中，志翔科技的至安盾產(chǎn)品相當(dāng)于為企業(yè)構(gòu)建了一個安全遠(yuǎn)程辦公環(huán)境，提供包括安全網(wǎng)關(guān)、安全的通訊隧道、用戶權(quán)限管理、動態(tài)信任評估和多因子認(rèn)證等諸多安全特性，來保障遠(yuǎn)程辦公的安全可控。用戶通過在其終端進(jìn)行身份識別，即可經(jīng)至安盾的安全私有協(xié)議鏈接并安全接入其身份被授權(quán)可訪問的公司數(shù)據(jù)和業(yè)務(wù)系統(tǒng)，進(jìn)行相應(yīng)的辦公。與此同時，所有的企業(yè)數(shù)據(jù)并未傳輸并留存至小王的自有終端上，他在家里所看到的都是經(jīng)過志翔至安盾進(jìn)行格式轉(zhuǎn)換后的圖像或者視頻，而非真實(shí)的數(shù)據(jù)，就好比生產(chǎn)型企業(yè)給屋子加了一個透明大玻璃罩，人可以隔著玻璃在屋子外面對屋子里面的機(jī)械手進(jìn)行操作控制一樣。在這種方式下，即使小王的朋友“熱情”地攛掇他出來單干，小王也很難帶走公司的核心資料。

就這樣，遠(yuǎn)程辦公到第五天的時候，有一個黑客發(fā)現(xiàn)這家EDA公司很有競爭力，想去竊取部分IP資料，他就開始在網(wǎng)絡(luò)鏈路上截取小王的登錄賬號，殊不知志翔科技的至安盾遠(yuǎn)程安全接入解決方案具有端口隱藏、控制面和數(shù)據(jù)面分離、糞污端口動態(tài)分配等諸多安全特性。打個比方，在宇宙飛船中，宇航員要出艙，他得先打開一扇門進(jìn)入到減壓艙，減壓艙內(nèi)裝有一個攝像頭，可以判斷是否讓宇航員出第二層艙門，如果不允許的話就出不去，這個就相當(dāng)于安全軟件中的審批流程，只有審批通過，這個端口才會對操作者開放，于是黑客就沒有辦法真正入侵了。

目前，志翔科技已經(jīng)針對IC行業(yè)不同的場景推出了基于至安盾產(chǎn)品的遠(yuǎn)程安全接入、研發(fā)安全等多個解決方案，包括“硬件主機(jī)+軟件”或“純軟件”等形式，解決方案和產(chǎn)品服務(wù)遍及紫光展銳、華大九天、君正、華大北斗、寒武紀(jì)、全志、中興、微電子、兆芯、瀾起、比特大陸等在內(nèi)的數(shù)百家IC行業(yè)客戶，并根據(jù)IC行業(yè)上云趨勢，與紫光芯云達(dá)成合作基于紫光芯云平臺為IC設(shè)計企業(yè)提供云上的安全服務(wù)。在安全的技術(shù)能力和創(chuàng)新性上都居行業(yè)領(lǐng)先水平，連續(xù)入選2019-2020年Gartner全球云工作負(fù)載安全平臺（CWPP）市場指南。