零信任到底是什么？本质上，零信任既不是技术也不是产品，而是一种安全理念。

随着互联网的快速融入世界，它和经济、社会的发展已经愈加一体、密不可分。信息化的浪潮席卷而来，带来了多元的经济结构和形式，同时对网络安全提出了更高的要求。2019年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，正式发布等保2.0“三大”核心标准，标志着等级保护正式进入2.0时代（简称“等保2.0”）。为什么要做等保2.0？法律法规的强制要求2016年11月《网络安全法》出台，明确国家实行网络安全等级保护制度，要求网络运营者按照等级保护制度的相关规定，履行安全保护义务，如果拒不履行，将会受到相应处罚。企业出于自身安全考虑企业对照测评要求，开展安全建设，查漏补缺，可以在实质上提升安全防护能力。尤其是对于从未开展等级保护工作的企业而言，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。开展相关业务的需要金融、电力、广电、医疗、教育、物流等行业，已将等级保护作为准入门槛之一。做了等保就安全了？国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专控保护级。▎等保一级：安全性太低，没人做▎等保二级：县级单位，比如区县医院，学校等▎等保三级：除去二级和四级，三级最多（如：政府、三甲医院）▎等保四级：金融、军工、电力等高安全单位▎等保五级：安全性太高，一般涉密，执行分保实际上，合规和安全是包含关系。满足合规并不等于就安全了。等保合规相当于安全基线，通过测评、整改、落实等级保护制度可以规避大部分安全风险，但是，安全是一个动态而非静止的过程，不是通过一次等保测评，就可以一劳永逸的。哪些企业要做等保？▎政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；▎金融行业：金融监管机构、各大银行、证券、保险公司等；▎电信行业：各大电信运营商、各省电信公司、各地市电信公司等；▎能源行业：电力公司、石油公司、烟草公司；▎企业单位：大中型企业、央企、上市公司等；▎其它有信息系统定级需求的行业与单位。等保2.0，合规≠安全随着企业合规需求的不断上升，对于一些企业而言，网络安全建设的重心转向了如何满足法律法规的监管，企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行，但依然不能百分百保证系统的安全性。2008年Heartland支付系统数据泄露，它是有史以来最大的数据泄漏事件之一，当年超过1亿人的个人信息和支付卡数据被盗，超过600家公司受到影响，损失总额达数亿美元。Heartland符合PCI-DSS，在发现违规行为的两周前刚刚通过合规审计。造成该事件的原因是攻击者通过未涉及到的攻击面注入漏洞成功渗透到系统内部。国城网络安全深度评估体系更全面、更深入、更客观发现别人发现不了的合规性以外的问题国城依托于丰富的网络安全服务经验，以“网络安全深度风险评估”为核心，对企业风险评估系统的日常运行、安全威胁、数据管理、安全配置等多维度情况进行全面的风险评估，出具风险评估报告，协助企业修复漏洞进行安全建设整改，排除安全隐患。助力各单位（组织）深入贯彻落实等级保护工作，持续提升网络和信息系统基础安全防护能力。

随着网络安全形势日渐严峻，国家对网络安全问题也越来越重视，目前网络安全和信息化不仅事关国家安全和国家发展，也事关各行业企业、广大人民群众的工作和生活的重大战略问题。这就让我们萌生出一个思考：网络安全主要到底是靠硬件、软件还是攻防？网络安全的核心在于什么？网络安全从来不是单看某一方面，但有侧重。网络安全本身存在着明显的木桶效应，一旦网络内部任何一方面存在短板，就有被入侵的可能，因此，真正的网络安全是需要全方位的防护。网络安全中的硬件和软件设备相当于基础防护设备，是作为一个载体的存在；攻防的核心是人的思维。网络安全是思维的对抗，动态的对抗在“2020年国家网络安全宣传周高峰论坛”、“第十二届信息安全高级云论坛暨美国2020RSAC热点研讨会”这些具有影响力的会议中，多个安全领导人员都指出“人是安全的核心，网络安全最后一公里是解决人的问题”“网络安全的最大挑战是缺乏人才”。由此可以看出，做好安全工作，先要解决人的问题，人是安全的核心。随着网络空间的对抗冲突不断升级，人们逐渐意识到，网络安全一味地防御、堆砌设备、重金打造所谓的“马奇诺防线”的做法看似固若金汤，实则不堪一击。因为安全不仅仅是技术问题，更是“人”的问题。而网络安全防护无论是硬件还是软件，都只是一种能防护大部分基础攻击的工具。起初，为了网络安全，技术人员开发了防火墙。随着互联网的不断进步更迭，而后发现防火墙并不能应对APT、ODAY这类高级攻击，所以随后开发了零信任身份安全、蜜罐等。但是蜜罐的主要功能包括转移攻击行为，示警安全人员示警，记录攻击者行为，更高级的就是联动安全防护体系。但本质上还是拖延攻击者对真实目标的攻击，并且收集攻击者身份信息方便后期安全人员溯源。所以，无论是拖延攻击、示警安全人员，还是后期的溯源反制，最后的最后还是人与人的动态对抗。自从2016年HW行动开始，每年企业都会定期以实战方式开展网络安全攻防演练。企业除了购买设备以外，最关心的问题就是有没有攻防团队。因为设备是总是有漏洞的，没有企业有了设备之后就能高枕无忧的。但人的精力有限，所以就需要一些防护设备来抵抗大部分基础的攻击，比如自动化攻击。因此，对于网络安全来说，硬件和软件是重要的，但攻防更重要。所有硬件软件的使用都是为了最后的人与人之间的攻防做准备。#国城科技网络安全精细化治理服务商国城科技拥有丰富的攻防实战经验，专注于网络安全本质的探索，在信息系统提供风险评估服务领域，致力于系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件发生可能造成的危害程度。目前已为军工、交通、金融、能源等行业客户提供网络安全深度评估及精细化服务解决方案，发现了更多传统网络安全视角、手段发现不了的网络安全问题，并精准处置风险隐患，帮助客户筑牢网络安全防线，为客户的网络安全保驾护航。

一、合规性建设需求持续增加随着2021年多项法律法规相继实施，各行业需要落实法律法规的保护要求，建立健全网络安全保障体系。2022年网络安全合规建设将进一步深化，在网络安全法、密码法、数据安全法、个人信息保护法和关键信息基础设施保护条例等法律法规的明确要求和指引下，各行业的企业用户会进一步深化落实合规性安全建设工作。二、国家级网络攻击愈演愈烈受地缘政治的影响，全球网络空间局部冲突将不断升级，网络空间将成为实际战场，网络战随时都可能发生。以窃取敏感数据、破坏关键信息基础设施为目的的国家级网络攻击愈演愈烈，攻击复杂性持续上升。三、大规模数据泄露趋于常态化随着数字化、网络化进程加快，越来越多的在线资产和数字系统收集了海量数据。大量数据和设备暴露在网上，它们被入侵的风险逐渐增大。数据泄露将继续增加，而且规模会更大。四、供应链攻击持续高发软件系统规模、程序逻辑和生产方式等越发复杂多元，极大增加了供应链的攻击面，供应链攻击将变得更加普遍。供应链攻击具有难发现、难溯源、不可避免的特点，已成为各国面临的最重要安全威胁之一。各国政府应积极制定法律法规，建立联防联控体系，提升应对供应链攻击的发现、分析、响应处置和恢复能力。五、大规模数据泄露趋于常态化随着数字化、网络化进程加快，越来越多的在线资产和数字系统收集了海量数据。大量数据和设备暴露在网上，它们被入侵的风险逐渐增大。数据泄露将继续增加，而且规模会更大。六、安全运营及服务市场或全面爆发随着企业数字化全面转型的全面开展，一体化安全运营业务会成为保障业务安全和数据安全的必要条件。2022年，安全运营技术有望实现多维度的全面突破，云端安全运营能力与线下运营能力全面融合，安全运营管理平台、安全运营工具、安全运营标准规范、安全运营能力评定及考核指标都会快速形成。七、更加关注网络安全“软实力”的构建随着我国网络安全市场迅速崛起，网络安全“硬实力”构建已经初见端倪。2022年，网络安全“软实力”的建设将得到更多关注，要通过加强数字安全顶层规划、数字化转型风险防范、泛安全防护体系构建、网络安全监管执行、信息系统审计推广、网络安全教育培训、安全赋能平台搭建等方面，不断形成和增强网络安全保障与服务能力。八、加密货币成为网络攻击的主要目标加密货币平台币市（BitMart）近日发表声明，称被黑客盗走了价值约1.5亿美元的资产。因具有匿名付款和不断升值的特点，加密货币正在被广泛使用，到2022年，加密货币相关的攻击预计将会继续增加，成为黑客攻击的重要目标。九、零信任成为行业新一轮增长的引爆点基于网络边界的防护模型在新的网络态势中不再适用，基于零信任模式的需求将逐步增加。2022年，零信任领域的核心技术创新有望取得突破，并将应用于更广泛的行业和场景中，以创新的产品技术方案解决因网络环境开放、用户角色增加带来的各类新型安全风险将是大势所趋，更多市场机会也将随之产生。十、数据安全产品竞争加剧数据作为信息基础设施产生的重要新型生产要素，其安全性将继续获得前所未有的重视。2022年，数据安全市场仍将“炙手可热”、快速发展，同时，该领域的市场竞争也会加剧，面对海量的数据和用户的广泛应用场景，基于密码学的隐私保护技术、AI技术等将会给数据安全领域注入新的活力。