Remontant à l'origine de la sécurité des réseaux, le cadre de paradigme de sécurité natif v1.0 a été officiellement publié lors de la conférence Bund.

Le 8 septembre, le sous-forum sur la cybersécurité de la conférence Bund 2023 s'est tenu à Shanghai. Le forum était organisé conjointement par Ant Group et le magazine Information Security Research, sur le thème « Ouvrir le paradigme de sécurité natif et protéger la sécurité du cyberespace ». Lors de la réunion, Ant Group et l'École de sécurité du cyberespace de l'Université du Zhejiang ont lancé une réalisation majeure en matière de cybersécurité, « Native Security Paradigm Framework v1.0 ». Il s'agit d'une intégration d'idées techniques et de méthodes systèmes pour explorer l'origine de la sécurité des réseaux. Elle comprend principalement deux paradigmes de sécurité majeurs : le « paradigme de traçabilité OVTP » et le « paradigme de passage à zéro NbSP », et une innovation technologique majeure « aspect parallèle de sécurité ». .

"Les entreprises numériques modernes sont devenues des êtres numériques qui évoluent et évoluent constamment. La complexité de leur architecture va exploser et augmenter les risques numériques au sein de l'entreprise. L'origine de la sécurité des réseaux revient encore à la question de savoir si l'accès est légal. . Nous espérons que grâce au cadre de paradigme de sécurité natif, nous pourrons fournir des conseils pour la conception d'une architecture de sécurité d'entreprise, afin que la sécurité native puisse passer des exigences macro à une pratique implémentable. Ayant participé à d'importants travaux de sécurité des réseaux pendant de nombreuses années, Wei Tao, vice-président et directeur de la sécurité technologique d'Ant Group, possède une connaissance approfondie de la nouvelle situation de la sécurité des réseaux et de la nature du travail de sécurité.

(Photo : Wei Tao, vice-président et directeur de la sécurité technologique d'Ant Group, prononçant un discours d'ouverture)

Confronté aux nouveaux défis en matière de sécurité des réseaux, Ant Group a exploré le paradigme de sécurité natif depuis 2019, et à travers mises à niveau itératives, la vérification pratique a été continuellement améliorée et condensée dans le « cadre de paradigme de sécurité natif v1.0 ». Il comprend principalement deux paradigmes majeurs de sécurité et une innovation technologique majeure. Les deux principaux paradigmes de sécurité incluent le « paradigme traçable OVTP » (paradigme opérateur-voucher-traçable, ou OVTP) et le « paradigme NbSP Zero-crossing » (paradigme de sécurité non contournable, ou NbSP). Une innovation technologique majeure est principalement le système « technologie d'aspect parallèle de sécurité », qui est un système de méthodes innovantes basé sur deux paradigmes majeurs de sécurité. Les deux se complètent et permettent de mettre en œuvre le concept de sécurité natif.

(Photo : Native Security Paradigm Framework v1.0)

Sous l'idée de sécurité native, les deux principaux paradigmes de sécurité ont proposé des solutions innovantes pour résoudre les problèmes d'accès à la sécurité des réseaux. En termes simples, l'objectif d'OVTP est de garantir la traçabilité et le jugement des opérations d'accès au réseau sensibles, telles que les tickets de service sur lesquels le personnel du service client s'appuie lorsqu'il appelle des informations client, afin d'éviter l'apparition de vulnérabilités non autorisées. NbSP est similaire à la sécurité des aéroports : les attaquants ne peuvent pas contourner les points de contrôle de sécurité par des canaux cachés (tels que les égouts ou les conduits de ventilation) formés par diverses vulnérabilités. La « section parallèle de sécurité » pionnière d'Ant peut réaliser le paradigme de traçabilité OVTP pour les institutions numériques modernes. système de méthode et plate-forme de base avec le paradigme de passage à zéro NbSP, permettant une amélioration considérable de l'effet et de l'efficacité de la gouvernance de la sécurité des réseaux. Par exemple, au cours de la période de promotion Double Twelve en 2021, en réponse aux attaques de vulnérabilité log4j2, le système d'aspect parallèle de sécurité d'Ant Group a réalisé une hémostase horaire à l'échelle du site, et le personnel d'urgence de sécurité a été réduit de 6 000 jours-personnes pendant l'intervention d'urgence fastjson à 30. jours-personnes, et l'efficacité a été améliorée de cent fois meilleure, une approche à deux volets de l'hémostase et du renforcement peut résoudre la crise sans aucune interruption d'activité.

Lors du forum, des invités de Qi Anxin, Ping An Group, Zhejiang Laboratory, Beijing Lianshi Network, Beijing Zhiqian Technology, Certik Company et d'autres unités ont partagé autour du thème « Ouvrir le paradigme de sécurité natif et protéger la sécurité du cyberespace » Wu Yunkun, directeur adjoint de la Commission chinoise des sciences et technologies électroniques et président du groupe Qi'anxin, estime que la sécurité des réseaux d'entreprise modernes est une sécurité endogène qui commence par l'entreprise. Il a souligné que ce système de protection de la sécurité comporte trois éléments clés. Tout d’abord, nous devons commencer par nous concentrer sur les entreprises et construire un système de sécurité endogène. Deuxièmement, nous devons commencer par prêter attention aux « personnes » et intégrer des mécanismes de sécurité dans l’ensemble de la chaîne de données. Enfin, nous devons commencer par nous concentrer sur les opérations et construire un système opérationnel de sécurité pratique. Wu Yunkun a déclaré que ces capacités ont aidé QiAnXin à atteindre « zéro incident » dans la garantie de sécurité du réseau des Jeux olympiques d'hiver de Pékin 2022

(Photo : Wu Yunkun, directeur adjoint de la Commission chinoise des sciences et technologies électroniques et président du groupe QiAnXin , a prononcé un discours d'ouverture )

Chen Jian, directeur en chef de la sécurité de l'information du groupe Ping An, a partagé la pratique de sécurité native typique de DevSecOps : Le code est la sécurité. La sécurité est considérée comme un élément essentiel dans le processus d'écriture du code pour garantir que le code développé. les applications logicielles sont sécurisées. Degré élevé de crédibilité et de défendabilité ; sécurité lorsqu'elles sont en ligne, avant que l'application ne soit mise en ligne, il est nécessaire de garantir que l'application présente un degré élevé de sécurité et de fiabilité, réduisant ainsi le coût de résolution des vulnérabilités et des problèmes de fonctionnement ultérieurs ; signifie sécurité, dans les systèmes logiciels et dans les entreprises. Au cours du processus d'exploitation, la sécurité est considérée comme une exigence continue, garantissant un niveau élevé de sécurité pendant la phase d'exploitation et réduisant le risque d'attaques.

Bai Xiaoyong, fondateur et PDG de Beijing Lianshi Network, a présenté que, sur la base de la technologie des aspects parallèles de sécurité, Lianshi Network reconstruit les règles de sécurité dans l'aspect du flux de données, réalisant un découplage technique et une intégration des capacités de sécurité et d'affaires. « Les données natives de l'application qui n'ont pas besoin d'être modifiées sont sécurisées, présentent une compatibilité multiple, une livraison rapide, une bonne protection et permettent de réaliser des économies », a déclaré Bai Xiaoyong.

Jin Bo, directeur adjoint du troisième institut de recherche du ministère de la Sécurité publique, et Tan Jianfeng, membre du 13e Comité national de la Conférence consultative politique du peuple chinois et président honoraire de l'Association de l'industrie de la sécurité de l'information de Shanghai, ont exprimé de fortes attentes pour la gouvernance de la sécurité des réseaux initiée par le paradigme de sécurité natif

important Le contenu suivant est : Le concept central du paradigme de sécurité natif est d'intégrer les capacités de sécurité dans chaque détail de l'entreprise. Ce concept change la méthode de gestion de la sécurité des entreprises modernes. Les invités à la réunion ont convenu que le paradigme de sécurité native est une pratique de sécurité efficace. Il nécessite une évolution continue basée sur la cognition du paradigme et l'infrastructure de sécurité. Il nécessite que davantage d'entreprises et d'institutions participent à la co-construction technologique et à l'exploration d'applications pour construire conjointement un niveau élevé. -niveau Cyberespace sécurisé

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!