專訪志翔科技 | 如何為IC企業(yè)建立數據安全的護城河？

隨著5G、大數據、人工智能、車聯網、工業(yè)互聯網、物聯網和集成電路（Integrated Circuit，以下簡稱IC）等新技術新業(yè)務新模式的快速發(fā)展，網絡安全、數據安全的重要性日趨凸顯。

我們正面臨著外部和內部的并存威脅，并且威脅攻擊面積越來越大。比如國內多家三甲醫(yī)院被入侵挖礦、美國能源安全事件以及微盟刪庫事件。前兩者屬于黑客入侵攻擊的外部事件，而后者則屬于內部的安全事故。

我們還原微盟刪庫事件的始末：微盟某員工在家通過電腦連接公司VPN、登錄公司服務器后執(zhí)行刪除任務，將微盟服務器內數據全部刪除，導致微盟數據業(yè)務癱瘓故8天14個小時。造成微盟公司支付恢復數據服務費、商戶賠付費等經濟損失共計人民幣2260余萬元，微盟公司市值暴跌10億。由此可知，內部攻擊導致的嚴重結果完全不亞于某些外部攻擊。

今天我們聚焦于IC產業(yè)，眾所周知，對于IC企業(yè)，尤其是設計環(huán)節(jié)的IC企業(yè)而言，IP等核心數據就是公司的命脈，一旦泄露或被竊取，就會造成致命的打擊。對于國家而言，IC行業(yè)是國家科技發(fā)展的一塊基石，如果底層技術存在安全威脅問題，定會累及國家安全。

 
圖 | 志翔科技聯合創(chuàng)始人蔣天儀

那么對于正在轉型中的IC產業(yè)，當前存在的安全痛點到底有哪些？如何解決這些問題？未來的安全需求趨勢又是怎樣的？帶著這些問題，與非網在“2021中國集成電路設計創(chuàng)新大會暨IC 應用博覽會”（簡稱ICDIA ）上采訪到了志翔科技的聯合創(chuàng)始人蔣天儀博士。

蔣博士表示，“IC行業(yè)確實正在面臨轉型，不論是新技術的驅動，疫情的影響，還是人才競爭導致的多地研發(fā)趨勢，越來越多的企業(yè)在保障敏捷開發(fā)的同時，對遠程辦公和跨地域、多公司協(xié)同合作提出新的需求。企業(yè)上云的趨勢，讓數據邊界進一步模糊，用戶不再拘泥于企業(yè)內部，設備不再限于內部工作站和電腦等，數據安全風險指數型增長。”

而與此形成鮮明對比的是IC企業(yè)相對保守的IT架構，以安全措施為例，現在很多企業(yè)還在采用物理隔斷的保護措施。蔣博士舉了個例子，把PC鎖進鐵盒子里，再上鎖，焊死網線，在IC企業(yè)里仍然存在，為了嚴格杜絕員工將內部核心數據帶出去。而事實上，這樣的物理筑墻式禁錮，既影響開發(fā)效率，又不能發(fā)揮真正的隔絕作用，形同虛設。此外，對于上面提到的企業(yè)上云等安全挑戰(zhàn)，根本無法有效應對和解決。”

如何面對這些安全問題和未來市場需求，我們需要轉變傳統(tǒng)的以“縱深防御+邊界防御”為主安全理念。事實上，企業(yè)在成長過程中，IT架構也在不斷地演進，安全邊界已經逐步被打破、走向模糊化，基于邊界的安全防護體系已難以適應企業(yè)快速成長，難以應對業(yè)務的快速變化，需要隨業(yè)務而進化。因此，“無邊界”的安全概念被提了出來，所謂無邊界，即以數據為中心，身份為新的安全邊界。這樣可以實現不區(qū)分內外網、不限接入終端設備情況下企業(yè)多種辦公場景地數據安全。那么問題來了，如何做到上述的“無邊界”數據貼身防護要求呢？

 
圖 | 志翔科技產品硬件一覽

蔣博士從志翔科技產品和解決方案構架的角度，跟我們分享了以下幾個關鍵點：

1、傳統(tǒng)以網絡邊界為核心，現代安全要求以身份為核心，即身份權限將成為新的邊界；

2、零信任，對于用戶、終端等做到信任最小化，不區(qū)分內外網，用按需靈活配置和管理的身份權限來定義授權的數據訪問和業(yè)務操作。對于所有數據、應用進行精細化管理，按需授權和隔離；

3、數據不落地，所有的重要數據以視頻流的方式輸出，難以竊取，不留存于本地，無法拷貝出來；

4、貼近業(yè)務需求，圍繞IC生產全流程的每個環(huán)節(jié)、數據的全生命周期，從事前預警，到事中阻斷，到事后溯源，形成閉環(huán)，做到全方位保護；

5、靈活部署，快速上線，簡單運維管理，不改變原有用戶的使用習慣，不影響工作效率。兼顧安全、高效和簡單易用，讓IC企業(yè)可專注創(chuàng)新，不再為安全困擾。

如果您覺得前面的這五條有點抽象的話，我們來舉個例子，假設疫情期間，位于上海的某EDA設計企業(yè)的員工小王滯留在武漢，但他負責的項目比較緊急，不得不采取遠程辦公的模式，這個時候他只需要拿出自己在家的PC機，安裝上志翔科技安全產品的終端客戶端，通過公司配置授權的賬號和密碼登陸進去，就可以遠程訪問被授權的企業(yè)數據和業(yè)務，很安全的在家辦公了。

這個過程中，志翔科技的至安盾產品相當于為企業(yè)構建了一個安全遠程辦公環(huán)境，提供包括安全網關、安全的通訊隧道、用戶權限管理、動態(tài)信任評估和多因子認證等諸多安全特性，來保障遠程辦公的安全可控。用戶通過在其終端進行身份識別，即可經至安盾的安全私有協(xié)議鏈接并安全接入其身份被授權可訪問的公司數據和業(yè)務系統(tǒng)，進行相應的辦公。與此同時，所有的企業(yè)數據并未傳輸并留存至小王的自有終端上，他在家里所看到的都是經過志翔至安盾進行格式轉換后的圖像或者視頻，而非真實的數據，就好比生產型企業(yè)給屋子加了一個透明大玻璃罩，人可以隔著玻璃在屋子外面對屋子里面的機械手進行操作控制一樣。在這種方式下，即使小王的朋友“熱情”地攛掇他出來單干，小王也很難帶走公司的核心資料。

就這樣，遠程辦公到第五天的時候，有一個黑客發(fā)現這家EDA公司很有競爭力，想去竊取部分IP資料，他就開始在網絡鏈路上截取小王的登錄賬號，殊不知志翔科技的至安盾遠程安全接入解決方案具有端口隱藏、控制面和數據面分離、糞污端口動態(tài)分配等諸多安全特性。打個比方，在宇宙飛船中，宇航員要出艙，他得先打開一扇門進入到減壓艙，減壓艙內裝有一個攝像頭，可以判斷是否讓宇航員出第二層艙門，如果不允許的話就出不去，這個就相當于安全軟件中的審批流程，只有審批通過，這個端口才會對操作者開放，于是黑客就沒有辦法真正入侵了。

目前，志翔科技已經針對IC行業(yè)不同的場景推出了基于至安盾產品的遠程安全接入、研發(fā)安全等多個解決方案，包括“硬件主機+軟件”或“純軟件”等形式，解決方案和產品服務遍及紫光展銳、華大九天、君正、華大北斗、寒武紀、全志、中興、微電子、兆芯、瀾起、比特大陸等在內的數百家IC行業(yè)客戶，并根據IC行業(yè)上云趨勢，與紫光芯云達成合作基于紫光芯云平臺為IC設計企業(yè)提供云上的安全服務。在安全的技術能力和創(chuàng)新性上都居行業(yè)領先水平，連續(xù)入選2019-2020年Gartner全球云工作負載安全平臺（CWPP）市場指南。