专访志翔科技 | 如何为IC企业建立数据安全的护城河？

随着5G、大数据、人工智能、车联网、工业互联网、物联网和集成电路（Integrated Circuit，以下简称IC）等新技术新业务新模式的快速发展，网络安全、数据安全的重要性日趋凸显。

我们正面临着外部和内部的并存威胁，并且威胁攻击面积越来越大。比如国内多家三甲医院被入侵挖矿、美国能源安全事件以及微盟删库事件。前两者属于黑客入侵攻击的外部事件，而后者则属于内部的安全事故。

我们还原微盟删库事件的始末：微盟某员工在家通过电脑连接公司VPN、登录公司服务器后执行删除任务，将微盟服务器内数据全部删除，导致微盟数据业务瘫痪故8天14个小时。造成微盟公司支付恢复数据服务费、商户赔付费等经济损失共计人民币2260余万元，微盟公司市值暴跌10亿。由此可知，内部攻击导致的严重结果完全不亚于某些外部攻击。

今天我们聚焦于IC产业，众所周知，对于IC企业，尤其是设计环节的IC企业而言，IP等核心数据就是公司的命脉，一旦泄露或被窃取，就会造成致命的打击。对于国家而言，IC行业是国家科技发展的一块基石，如果底层技术存在安全威胁问题，定会累及国家安全。

 
图 | 志翔科技联合创始人蒋天仪

那么对于正在转型中的IC产业，当前存在的安全痛点到底有哪些？如何解决这些问题？未来的安全需求趋势又是怎样的？带着这些问题，与非网在“2021中国集成电路设计创新大会暨IC 应用博览会”（简称ICDIA ）上采访到了志翔科技的联合创始人蒋天仪博士。

蒋博士表示，“IC行业确实正在面临转型，不论是新技术的驱动，疫情的影响，还是人才竞争导致的多地研发趋势，越来越多的企业在保障敏捷开发的同时，对远程办公和跨地域、多公司协同合作提出新的需求。企业上云的趋势，让数据边界进一步模糊，用户不再拘泥于企业内部，设备不再限于内部工作站和电脑等，数据安全风险指数型增长。”

而与此形成鲜明对比的是IC企业相对保守的IT架构，以安全措施为例，现在很多企业还在采用物理隔断的保护措施。蒋博士举了个例子，把PC锁进铁盒子里，再上锁，焊死网线，在IC企业里仍然存在，为了严格杜绝员工将内部核心数据带出去。而事实上，这样的物理筑墙式禁锢，既影响开发效率，又不能发挥真正的隔绝作用，形同虚设。此外，对于上面提到的企业上云等安全挑战，根本无法有效应对和解决。”

如何面对这些安全问题和未来市场需求，我们需要转变传统的以“纵深防御+边界防御”为主安全理念。事实上，企业在成长过程中，IT架构也在不断地演进，安全边界已经逐步被打破、走向模糊化，基于边界的安全防护体系已难以适应企业快速成长，难以应对业务的快速变化，需要随业务而进化。因此，“无边界”的安全概念被提了出来，所谓无边界，即以数据为中心，身份为新的安全边界。这样可以实现不区分内外网、不限接入终端设备情况下企业多种办公场景地数据安全。那么问题来了，如何做到上述的“无边界”数据贴身防护要求呢？

 
图 | 志翔科技产品硬件一览

蒋博士从志翔科技产品和解决方案构架的角度，跟我们分享了以下几个关键点：

1、传统以网络边界为核心，现代安全要求以身份为核心，即身份权限将成为新的边界；

2、零信任，对于用户、终端等做到信任最小化，不区分内外网，用按需灵活配置和管理的身份权限来定义授权的数据访问和业务操作。对于所有数据、应用进行精细化管理，按需授权和隔离；

3、数据不落地，所有的重要数据以视频流的方式输出，难以窃取，不留存于本地，无法拷贝出来；

4、贴近业务需求，围绕IC生产全流程的每个环节、数据的全生命周期，从事前预警，到事中阻断，到事后溯源，形成闭环，做到全方位保护；

5、灵活部署，快速上线，简单运维管理，不改变原有用户的使用习惯，不影响工作效率。兼顾安全、高效和简单易用，让IC企业可专注创新，不再为安全困扰。

如果您觉得前面的这五条有点抽象的话，我们来举个例子，假设疫情期间，位于上海的某EDA设计企业的员工小王滞留在武汉，但他负责的项目比较紧急，不得不采取远程办公的模式，这个时候他只需要拿出自己在家的PC机，安装上志翔科技安全产品的终端客户端，通过公司配置授权的账号和密码登陆进去，就可以远程访问被授权的企业数据和业务，很安全的在家办公了。

这个过程中，志翔科技的至安盾产品相当于为企业构建了一个安全远程办公环境，提供包括安全网关、安全的通讯隧道、用户权限管理、动态信任评估和多因子认证等诸多安全特性，来保障远程办公的安全可控。用户通过在其终端进行身份识别，即可经至安盾的安全私有协议链接并安全接入其身份被授权可访问的公司数据和业务系统，进行相应的办公。与此同时，所有的企业数据并未传输并留存至小王的自有终端上，他在家里所看到的都是经过志翔至安盾进行格式转换后的图像或者视频，而非真实的数据，就好比生产型企业给屋子加了一个透明大玻璃罩，人可以隔着玻璃在屋子外面对屋子里面的机械手进行操作控制一样。在这种方式下，即使小王的朋友“热情”地撺掇他出来单干，小王也很难带走公司的核心资料。

就这样，远程办公到第五天的时候，有一个黑客发现这家EDA公司很有竞争力，想去窃取部分IP资料，他就开始在网络链路上截取小王的登录账号，殊不知志翔科技的至安盾远程安全接入解决方案具有端口隐藏、控制面和数据面分离、粪污端口动态分配等诸多安全特性。打个比方，在宇宙飞船中，宇航员要出舱，他得先打开一扇门进入到减压舱，减压舱内装有一个摄像头，可以判断是否让宇航员出第二层舱门，如果不允许的话就出不去，这个就相当于安全软件中的审批流程，只有审批通过，这个端口才会对操作者开放，于是黑客就没有办法真正入侵了。

目前，志翔科技已经针对IC行业不同的场景推出了基于至安盾产品的远程安全接入、研发安全等多个解决方案，包括“硬件主机+软件”或“纯软件”等形式，解决方案和产品服务遍及紫光展锐、华大九天、君正、华大北斗、寒武纪、全志、中兴、微电子、兆芯、澜起、比特大陆等在内的数百家IC行业客户，并根据IC行业上云趋势，与紫光芯云达成合作基于紫光芯云平台为IC设计企业提供云上的安全服务。在安全的技术能力和创新性上都居行业领先水平，连续入选2019-2020年Gartner全球云工作负载安全平台（CWPP）市场指南。