史爱武：网络安全的未来在云端，云安全将无处不在

护网行动，检验关键信息基础设施及重要信息系统的网络安全

2016年，公安部组织民航局、国家电网开展了“护网2016”网络安全攻防演习活动。同年颁布的《网络安全法》出台了网络安全演练相关规定，明确指出“关键信息基础设施的运营者应制定网络安全事件应急预案，并定期进行演练”。自此，“护网行动”在每年的7、8月举行，一般持续时间是2-3周，成为我国网络安全建设的重要一环。

护网行动是一场由国家组织的网络安全攻防演练，目的是针对全国范围的真实网络目标的实战攻防活动，旨在发现、暴露和解决安全问题，检验我国交通、铁路、民航、能源、新闻广电、金融、电信等各大企事业单位、政府机关的网络安全防护水平和应急处置能力。一些对网络安全要求比较高的行业（如金融）也会在行业内部展开护网行动。

2020年以来，新冠疫情全球爆发并不断反复，很多企业和行业借助网络和IT技术逐步实现线下到线上的数字化转型，不断开拓线上市场、网络平台交易、乃至居家“云办公”。各行各业的“数字化”“上云”“智能化”等数字经济发展形势越来越好。

随着云计算、大数据、物联网等新兴信息技术的广泛应用以及我国对网络安全的高度重视，愈演愈烈的网络攻击已成为国家安全的新挑战，越来越多的企事业单位和组织都加入到护网行动中，网络安全对抗演练越来越贴近实际情况，各行各业对待网络安全需求也从被动构建升级为业务保障刚需。

护网行动是我国加强网络安全防范意识，应对网络安全问题的重要布局之一。全社会都应高度重视、积极响应，为网络安全建设贡献一份力量。

云安全，网络安全的重要发展方向和趋势

“十四五”规划纲要和疫情防控常态化驱动着政务“上云”提速。赛迪顾问的报告显示，2021年，中国政务云市场增长迅速，同比增长20.4%。2022年上半年各省、自治区、直辖市、国企的智慧城市各类中标项目信息超3000条，所有智慧城市项目几乎都离不开云平台。

目前，我国已颁布《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规，为政务云和关键信息基础设施云平台的网络安全工作提供了基础法律依据以及安全管理细化要求。

2022年1月，国务院发布《“十四五”数字经济发展规划》，提出要着力强化数字经济安全体系，完善基础设施，增强网络安全防护能力；完善法治保障，提升数据安全保障水平；依法依规做好网络安全审查、云计算服务安全评估等，有效防范国家安全风险。2021年12月，国家发改委印发《“十四五”推进国家政务信息化规划》，提出“全面提升政务信息化基础设施、重大平台、业务系统和数据资源的安全保障能力”。2021年11月，工信部发布《“十四五”信息通信行业发展规划》，强调实施企业“安全上云”工程，提升云网一体、云边协同、云化应用下的大数据中心等云设施安全保障水平。

俄乌战争反映出的网络安全态势表明，关键信息基础设施和政务系统已成为重点打击目标，而它们的核心基础多为云平台。因此，云安全尤为重要。

KVM、Docker、Openstack、Kubernetes、MongoDB等开源技术和开源系统是构成当前主流云平台和云原生平台的基础，开源软件的安全漏洞在流行项目中最为普遍，很多流行项目至少包含一个已知的安全漏洞，广泛使用的开源组件的安全性已成为影响软件供应链安全的重要一环。短时间内，这些开源系统也难以完全自主可控或国产化替代，毋庸置疑，云安全（云平台供应链安全）是未来网络安全的重要发展方向和趋势。

云安全技术——CASB、CWPP、CSPM和CNAPP

CASB（云访问安全代理）作为部署在客户和云服务商之间的安全策略控制点，是访问云资源时实施的安全策略。CASB相当于一个超级网关，融合了多类的安全策略执行点，能进行认证、单点登录、授权、加密、审计、告警，甚至恶意代码检测和防护等等。CASB在云安全市场已经成为一项较为普及的技术，其核心价值是解决深度可视化、数据安全、威胁防护、合规性等问题。

CWPP（云工作负载保护平台）是为所有类型的工作负载（包括物理机、虚拟机、容器和无服务器工作负载）提供了以工作负载为中心的安全保护解决方案。CWPP为工作负载提供统一的可视化和控制力，对云上的工作负载提供多维度、全方位的保护能力，包括恶意软件扫描、漏洞利用预防/内存保护、应用控制/白名单、网络防火墙、可视性及微隔离、加固配置和漏洞管理，等等。

CWPP是从内部来保护工作负载，而CSPM（云安全态势管理）是通过评估云平台控制平面的资源治理、安全和合规相关的配置，从外部保护工作负载。大多数云平台的安全问题都是由于配置不当造成的，配置和合规监控、风险评估、DevOps集成、风险可视化等CSPM功能可以减轻配置风险。

过去几年，CWPP、CSPM等云安全产品对云原生安全的保护发挥了一定的作用。但是，随着新应用场景的出现、云原生技术的发展和市场趋势的变化，CNAPP（云原生应用保护平台）的概念应运而生。

CNAPP是Gartner 近年提出的新概念，是业界首个将应用和风险场景融合在一起的平台，融合了CWPP和CSPM的功能，它包括容器扫描、CWPP、云基础架构授权管理、CSPM等核心组件。实际上，CNAPP是一组集成的安全性和合规性功能集，旨在保护开发和生产中的整个云原生应用生命周期，未来将在很大程度替代传统防护模式的CSPM、CWPP等云安全技术。目前，CNAPP受到了业界的广泛关注，也可以说，CNAPP代表了云安全的未来。

在新兴云安全技术中，CWPP在国内的应用相对比较成熟，领导厂商包括安全狗、天融信、绿盟科技等。因为国内缺乏重量级的面向企业 SaaS服务，CASB云安全技术的市场相当较小。由于不断提出新的云功能，不断颁发新法律法规，需要适时变化的CSPM云安全配置管理也未受到足够重视。对于CNAPP来说，目前还没有供应商能够提供全面的解决方案。但是，随着云原生技术和国内公有云服务在各行各业的广泛应用，这些新兴的云安全技术将大放异彩，成为未来网络安全领域的中流砥柱。