2021年,我们提出“经营安全”,它是对网络安全的动态掌控。“经营安全”通过打造认知、安全和授信三大能力,让网络安全体系动起来,不断循环升级,让安全能力与日俱增,保障企业经营活动的安全运转,保障国家和社会的安全稳定运行。
尊敬的各位领导、来宾,观众朋友们,大家好!
欢迎参加第三届北京网络安全大会。今天我的演讲题目是“经营安全 安全经营”。经营和安全,安全和经营,这两个词如果分开来看,很简单,每个人都会有自己的理解。但把它们放在一起,“经营安全 安全经营”这8个字,包含了思辨的逻辑关系,和DT时代的价值观。
“经营安全 安全经营”,不是无源之水、无本之木。 回顾过去,2019年,我们提出“内生安全”,把安全能力内置到信息化环境中,它是DT时代的安全理念;2020年,我们提出“内生安全框架”,用系统工程的方法建成内生安全体系,它是内生安全理念落地的方法;今年,我们提出“经营安全 安全经营”,意思是,只有煞费苦心地经营你的安全体系,才能保障你的经营活动安全运转。
“经营安全”实际上是对网络安全的动态掌控。这三年大会的主题,共同组成了政府和企业实施网络安全的“三部曲”:理念、方法、动态掌控。 按照这个三部曲的节奏去理解安全、实践安全、发展安全,未来我们生活的世界,必将出现万物生长的繁荣景象。
今天我提炼了两个关键词:DT时代、动态掌控。
这几年,我们逐渐感觉到,时代正在发生深刻的变化。如何解读这种变化,决定了我们以什么样的方式去面对未来。
第一个明显变化是,数据问题让国际关系变得越来越复杂。 从欧盟颁布GDPR到推进数字税计划,从华为5G、TikTok被美国政府封杀到滴滴事件,我们可以明显感受到,世界各国对于数据主权的争夺越来越激烈,这种竞争在未来相当长一段时间都将是持续性的。
第二个明显变化是,数据资产成为了勒索攻击的头号目标。 有人称勒索攻击成为了网络安全“流行病”,勒索的赎金越来越高,造成的威胁越来越大。今年以来,勒索攻击造成了断油、断肉、断播、断零售,赎金从2000万美元到3000万美元,再到7000万美元,屡创新高。
第三个明显变化是,针对关键基础设施数字化系统的攻击愈演愈烈。 仅今年上半年,就发生了多起攻击事件,攻击对象包括美国自来水水厂、输油管道、南非港口、伊朗铁路的数字化系统,直接影响了人们生活、社会稳定和国家安全。
DT时代的核心,是D,data,也就是数据。 数据是人的延伸、交易的延伸、服务的延伸;数据也带来了商业机会的延伸、生产力的延伸、想象力的延伸。数据本身是中性的,但是因为有不同的力量,站在不同的立场,以不同的方式来使用这些数据,数据就有了一体两面性。数据可以拿来做好事,数据也可以拿来做坏事。数据和人性一样,是非常复杂的。我们该如何与这种复杂性共生,是DT时代的一个重要命题。
为了更好地理解这种复杂性,我总结了DT时代的三个显著特征。
第一个特征,企业经营者的安全责任,从以前的有限责任变成了无限责任。 传统经济中,交易是“银货两讫”,交易结束后,企业经营者的责任基本也就结束了。但DT时代,几乎所有的交易都数字化了,一系列新技术、新应用、新场景和具体业务、具体用户结合在一起,共同构成了一个复杂系统。在这个复杂系统里,流动着复杂数据,发生着复杂交易。交易结束了,企业经营者的安全责任并未结束。
举个例子,以前,我们打车招手即停,到了目的地,交易就结束了;现在,我们用手机打车,产生了很多数据,即使出行结束了,用车平台仍然需要对我们的隐私、资金等各种数据的安全持续负责。最近,一位办企业的朋友向我咨询,员工违规违法导致数据丢失,企业要承担责任吗?我回答他:“数据泄露违法的锅,法人甩不掉。”企业法人的责任大小看两方面:一是后果,如果危害了国家安全,责任就大了;二是看过程,如果企业没有按要求建设必要的网络安全系统,责任也就大了。这和传统的煤矿爆炸是一样的道理,如果矿场没有安全措施、制度和流程,那么矿主一定要承担主要责任。
第二个特征,企业的经营活动,成为了国家网络安全的一部分。 今年7月,滴滴上市第二天,网络安全审查办公室根据《国家安全法》、《网络安全法》,对滴滴实行审查;7月10日,《网络安全审查办法》修订草案公开征求意见,明确提出掌握超过100万用户个人信息的运营者赴国外上市,必须申报网络安全审查;8月17日,国务院发布《关键信息基础设施安全保护条例》,明确行业主管部门、企业作为关键信息基础设施运营者要承担主体防护责任;8月20日,《个人信息保护法》出台,明确了个人信息处理和跨境提供的规则……这一系列密集出台的法律法规充分证明,企业的经营活动已经和国家安全、社会安全发生了密切联系。
第三个特征,网络攻击破坏企业经营,变成了高频事件。 今年7月,一家从事IT管理的软件服务商出现系统漏洞,牵连了全球上千家企业,受影响最大的一家零售连锁企业,旗下至少800家门店被迫停业;同样在7月,开源办公软件Zimbra爆出新漏洞,威胁了20万家企业的经营活动……这些网络攻击事件提醒我们,网络安全的威胁对经营活动的破坏力,变得如此巨大,难以承受。
我今天演讲主题的第一句话是经营安全,在此之前,没有人把这两个词这样排列在一起。 以前,我们提到网络安全,一般都说规划网络安全、建设网络安全、运营网络安全,还有网络安全运行。
那么,“经营”这个词,和以往有什么不同呢?
在IT时代,人们认为网络安全建设是一个简单活儿。IT系统解决的是效率问题,比如无纸化办公。IT系统的部署场景是固定的,比如政企机构的办公大楼。IT系统解决安全问题的方法是隔离,不同的业务部门建设不同的网络,叫专网,在专网的边界上安装简单的安全产品。因此,IT时代,网络安全公司的规模都比较小。
在DT时代,网络安全发生了颠覆性变化,变成了一个复杂活。DT系统解决的是生产力问题,比如数字经济,数据是生产要素,数据有生产、使用和交易问题。DT系统是大数据架构的复杂系统,要拆墙、拔烟囱,靠安装简单的安全产品或者某种“银弹”,防住一切网络攻击是不可能的。DT时代,安全变成了一个复杂的过程,先是通过运营发现问题,然后针对问题完善年度建设计划,之后再通过五年规划升级体系建设,让安全动起来,形成良性循环。总之,DT时代,数据的被泄密、被篡改、被删除、被盗窃都是大事,网络安全对政企机构造成的影响,是巨大的和致命的。
经营安全的第一个前提条件是目标,要让安全能力与日俱增,保护复杂系统和复杂交易。 复杂系统,复杂交易,复杂经营,三者是动态连接的。在未来相当长一个历史时期,新技术、新应用、新场景不断涌现,因为新而且复杂,注定安全系统要不断完善,需要为安全能力设定一个能够因势而动、因时而变、与日俱增的目标,也可以理解为用内生安全框架实现安全的弹性或扩展性。
经营安全的第二个前提条件是投入,要用足够的资源,来满足我们对安全无限的需求。 安全是没有性价比的,是以结果为导向的。DT时代,网络安全成了“一失万无”的事,按照投入产出的因果关系,有投入才会有产出。这意味着,我们必须对安全有足够的资源投入。这个资源既包括钱,也包括人。工信部在《网络安全产业高质量发展三年行动计划(征求意见稿)》中提出,到2023年重点行业网络安全投入占信息化投入的比例要达到10%。
经营安全的第三个前提条件是运营,要用专业高效的安全运营服务,来抵御复杂的网络攻击。 网络安全是高度复杂的攻防对抗,尤其是在DT时代,边界消失,连接网络的终端泛化,给网络攻击者提供了充当伪装者的条件,攻击伪装者混在业务之中,很难一眼看穿。再加上有些网络攻击者有国家背景支持,单靠政企机构自己单一的力量无法抵御这种复杂攻击。打个比喻,保障人身安全不能单靠个体的力量,还需要专业的警察来维护社会治安。在发达国家,把网络安全托管给专业的安全公司来运营就非常盛行。
经营安全的第一个重要能力,是认知能力。 强大的认知能力能帮人们把握事物基本规律、判断事物发展方向、构建自身与世界的关系。网络安全的认知能力也是如此,只有及时看到威胁、揪出威胁、阻断威胁,才能确保安全能力行之有效。
态势感知是建立认知能力的核心。 2016年4月19日,习近平总书记在全国网络安全与信息化工作座谈会上指出:“要全天候全方位感知网络安全态势。”总书记强调“没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’,长期‘潜伏’在里面,一旦有事就发作了。”
这几年,态势感知在我国发展很快,传统网络安全厂商和新兴的初创企业都在加大对态势感知的投入。 我们总结,目前的态势感知主要分为三种:一种主要用于监管机构,我们称之为监管类态势感知;一种主要用于企业内网,我们称之为运营类态势感知;还一种主要用于实战演练,我们称之为攻防类态势感知。
这三类态势感知,每一类单打独斗都不具备全面的认知能力。 有的侧重互联网宏观态势的监测,缺乏针对性;有的侧重日常的安全运行维护,缺乏攻防能力;有的侧重战时的攻防对抗,缺乏平时常态化的运营。更为突出的问题是,只看局部不看整体,有的没有覆盖生产业务系统;有的没有覆盖三级、四级末端的网络;有的没有覆盖物联网、云、数据库和计算平台。
只有将这三类态势感知有机协同在一起,形成实战化态势感知,才能全面提升认知能力。 三类态势感知能有机协同,需要构建统一的计算平台、标准和运营系统。有人把态势感知等同于安全 大脑,这是不全面的。它是大脑(包括五官)、四肢和武功的三合一。大脑是监管态势,能看见威胁;四肢是运营态势,能揪出威胁;武功是攻防态势,能阻断威胁。
认知能力的关键是安全运营。 就像人的认知能力来自学习和实践,网络安全的认知能力来源于实战攻防的运营,通过运营实现攻击告警、调查溯源、拦截阻断的往复循环。
安全运营的基础是资配漏补。 资配漏补是资产、配置、漏洞和补丁的统称。先要把软件、硬件、协议等资梳理清楚,建立档案,用系统管起来。在网络安全攻防中,人是战斗的士兵,资产就是城池。如果自己有多少城池都不清楚,做出的网络安全规划一定是不全面的。只有把自己的资产地图画出来,网络攻防战才能有规划、有打法;我们还要做好配置管理、漏洞管理和补丁管理。只有当资配漏补都做好了,我们才能发现安全产品的不足和安全体系的缺陷。日积月累下来,不合格的产品会逐渐退出,合格的产品会越来越好,安全体系会越来越健全。
经营安全的第二个重要能力,是安全能力。 以前,我们把安全市场分为产品市场和服务市场,产品和服务是两回事。现在,要把产品变成一种能力,把能力变成一种资源,并用服务的方式使用资源。换句话说,把安全产品能力化、资源化、服务化。
安全产品能力化,首先要把安全的硬件产品软件化。 这是一个艰巨的任务,因为过去为了降低成本,往往选用配置较低的硬件平台。同时,为了提高性能,往往把软件和硬件平台深度耦合。所以,把软件从专属的硬件平台上抠出来,适配更通用的硬件平台,几乎需要对代码重构、重写;
安全产品资源化,首先要实现数据和API标准化。 各种各样的安全产品从数据采集、治理、存储、分析,到结果输出使用、API服务,都应该遵从统一的标准,更要与网、云、数据、应用的标准对接。这样,客户就可以用一朵安全云,把所需要的安全产品以资源的形式纳入其中。安全能力资源对外服务过程中产生的日志,自然就形成了安全大数据,可以据此推出能提供更多安全能力的安全大数据中台服务;
安全产品服务化,首先要做到调度指挥。 把安全能力以资源服务形式嵌入到需要的每个角落,并且这种安全能力的质量是可评估的。例如,发生网络攻击的当时没有告警,但事后通过分析溯源,定位出是防火墙漏掉了这次攻击,我们就会去改进防火墙技术,或者用资源服务的方式快速地换用其它家的防火墙。
这种安全能力服务,还便于商业模式创新。 以前我们采购安全产品,通过招标确定供应商,一经选定之后,就没有机会使用其它品牌的产品了。安全能力资源服务的形式,可以选定多家安全公司的产品部署在安全云上,不使用不付费,依据使用的多少来结算。购买产品模式拼的是商务关系和测试方案,而能力资源服务模式拼的是实战效果,这种模式更能推动厂家技术创新。
经营安全的第三个重要能力,是授信能力。 网络安全的核心问题,是信任问题。比如,Wintel体系不是可信计算,所以有很多计算机病毒出现。沈昌祥院士推出的可信计算技术体系,能免疫Wintel时代的病毒。中国电子推出的PKS体系,是飞腾CPU、麒麟操作系统融合了可信华泰的可信计算以及奇安信的安全技术。
另一方面,网络除了计算之外,更多的是人机交互,人是安全最大的变量,人的可信度成了难题;还有,数据变成生产要素之后,谁在什么场景、用于什么目的、可以使用什么数据,也变成了一种授信问题。
IT时代的授信能力是粗放的和不足的。 假设我们把每一次的网络访问都分为主体(访问者)和客体(被访问者)。主体有很多,比如人、IoT设备、App应用等;客体也有很多,比如业务系统应用、云计算资源、接口、数据资源等。在传统的认证体系里,授信是比较粗放的,一个主体可以访问多个客体,一个客体也可以允许多个主体访问。这种方法有很多漏洞,广泛地被黑客利用进行攻击。
DT时代的授信能力是零信任体系提供的,通过动态评估信任实现动态可控。 它不再绝对信任任何一个主体,而是给每个主体、每个客体附加很多属性,以“权限最小化”原则进行授信,并且对授信持续进行动态评估。比如,账号A是个主体,它的属性包括机器指纹、网络类型、IP地址、使用时间、工作职责和机器环境。再比如,数据资源B是个客体,它的属性包括类型、敏感级别、来源、机密、隐私、连接关系、各种标签等。以“权限最小化”原则,我们授权“A在办公室网络下、在专项工作期间,可以访问非机密属性的数据资源B”。一旦发现A的办公室网络属性消失,或者专项工作的属性消失,这个授信就自动取消。整个过程都是通过系统自动动态评估完成的。
这种授信能力是网络安全的保障。 我在《漏洞》一书中提出网络安全的“四个假设”,“假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已被渗透、假设内部人员不可靠”。关于内部人员对网络安全的危害程度,我在《漏洞》一书里也披露,“85%的网络攻击源于内部”。这个“源于内部”和“内部人员”是一回事,它包括人被收买、账号被盗用、机器被利用、供应链被后门等,之所以被攻击成功,就是因为我们对自己的人、自己的账号、自己的机器、自己的认证、自己的供应商过度信任。
一位古希腊哲学家提出过一个著名的悖论,叫做“飞矢不动”。说的是把一只短箭投出去,它在空中飞行,它是运动的。但是如果把时间切割开,单独去看每一个瞬间的短箭,它是一样的,好像并没有运动。
“飞矢不动”的悖论告诉我们一个道理, 静止是相对的,运动是绝对的。安全也是一样,它看不见摸不着,但是当网络攻击发生了,我们也就感受到了安全的存在。
这也是我今天提出在DT时代,“经营安全 安全经营”这八个字的用意。 和时间同在,和变化同在,和运动同在,和安全同在。 我相信,只要我们携起手来,共同经营好网络安全防线,就一定能迎来一个更富竞争力、万物生长的数字中国。谢谢大家!
尊敬的各位领导、来宾,观众朋友们,大家好!
欢迎参加第三届北京网络安全大会。今天我的演讲题目是“经营安全 安全经营”。经营和安全,安全和经营,这两个词如果分开来看,很简单,每个人都会有自己的理解。但把它们放在一起,“经营安全 安全经营”这8个字,包含了思辨的逻辑关系,和DT时代的价值观。
“经营安全 安全经营”,不是无源之水、无本之木。 回顾过去,2019年,我们提出“内生安全”,把安全能力内置到信息化环境中,它是DT时代的安全理念;2020年,我们提出“内生安全框架”,用系统工程的方法建成内生安全体系,它是内生安全理念落地的方法;今年,我们提出“经营安全 安全经营”,意思是,只有煞费苦心地经营你的安全体系,才能保障你的经营活动安全运转。
“经营安全”实际上是对网络安全的动态掌控。这三年大会的主题,共同组成了政府和企业实施网络安全的“三部曲”:理念、方法、动态掌控。 按照这个三部曲的节奏去理解安全、实践安全、发展安全,未来我们生活的世界,必将出现万物生长的繁荣景象。
今天我提炼了两个关键词:DT时代、动态掌控。
这几年,我们逐渐感觉到,时代正在发生深刻的变化。如何解读这种变化,决定了我们以什么样的方
式去面对未来。
第一个明显变化是,数据问题让国际关系变得越来越复杂。 从欧盟颁布GDPR到推进数字税计划,从华为5G、TikTok被美国政府封杀到滴滴事件,我们可以明显感受到,世界各国对于数据主权的争夺越来越激烈,这种竞争在未来相当长一段时间都将是持续性的。
第二个明显变化是,数据资产成为了勒索攻击的头号目标。 有人称勒索攻击成为了网络安全“流行病”,勒索的赎金越来越高,造成的威胁越来越大。今年以来,勒索攻击造成了断油、断肉、断播、断零售,赎金从2000万美元到3000万美元,再到7000万美元,屡创新高。
第三个明显变化是,针对关键基础设施数字化系统的攻击愈演愈烈。 仅今年上半年,就发生了多起攻击事件,攻击对象包括美国自来水水厂、输油管道、南非港口、伊朗铁路的数字化系统,直接影响了人们生活、社会稳定和国家安全。
DT时代的核心,是D,data,也就是数据。 数据是人的延伸、交易的延伸、服务的延伸;数据也带来了商业机会的延伸、生产力的延伸、想象力的延伸。数据本身是中性的,但是因为有不同的力量,站
在不同的立场,以不同的方式来使用这些数据,数据就有了一体两面性。数据可以拿来做好事,数据也可以拿来做坏事。数据和人性一样,是非常复杂的。我们该如何与这种复杂性共生,是DT时代的一个重要命题。
为了更好地理解这种复杂性,我总结了DT时代的三个显著特征。
第一个特征,企业经营者的安全责任,从以前的有限责任变成了无限责任。 传统经济中,交易是“银货两讫”,交易结束后,企业经营者的责任基本也就结束了。但DT时代,几乎所有的交易都数字化了,一系列新技术、新应用、新场景和具体业务、具体用户结合在一起,共同构成了一个复杂系统。在这个复杂系统里,流动着复杂数据,发生着复杂交易。交易结束了,企业经营者的安全责任并未结束。
举个例子,以前,我们打车招手即停,到了目的地,交易就结束了;现在,我们用手机打车,产生了很多数据,即使出行结束了,用车平台仍然需要对我们的隐私、资金等各种数据的安全持续负责。最近,一位办企业的朋友向我咨询,员工违规违法导致数据丢失,企业要承担责任吗?我回答他:“数据泄露违法的锅,法人甩不掉。”企业法人的责任大小看两方面:一是后果,如果危害了国家安全,责任就大了;二是看过程,如果企业没有按要求建设必要的网络安全系统,责任也就大了。这和传统的煤矿爆炸是一样的道
理,如果矿场没有安全措施、制度和流程,那么矿主一定要承担主要责任。
第二个特征,企业的经营活动,成为了国家网络安全的一部分。 今年7月,滴滴上市第二天,网络安全审查办公室根据《国家安全法》、《网络安全法》,对滴滴实行审查;7月10日,《网络安全审查办法》修订草案公开征求意见,明确提出掌握超过100万用户个人信息的运营者赴国外上市,必须申报网络安全审查;8月17日,国务院发布《关键信息基础设施安全保护条例》,明确行业主管部门、企业作为关键信息基础设施运营者要承担主体防护责任;8月20日,《个人信息保护法》出台,明确了个人信息处理和跨境提供的规则……这一系列密集出台的法律法规充分证明,企业的经营活动已经和国家安全、社会安全发生了密切联系。
第三个特征,网络攻击破坏企业经营,变成了高频事件。 今年7月,一家从事IT管理的软件服务商出现系统漏洞,牵连了全球上千家企业,受影响最大的一家零售连锁企业,旗下至少800家门店被迫停业;同样在7月,开源办公软件Zimbra爆出新漏洞,威胁了20万家企业的经营活动……这些网络攻击事件提醒我们,网络安全的威胁对经营活动的破坏力,变得如
此巨大,难以承受。
我今天演讲主题的第一句话是经营安全,在此之前,没有人把这两个词这样排列在一起。 以前,我们提到网络安全,一般都说规划网络安全、建设网络安全、运营网络安全,还有网络安全运行。
那么,“经营”这个词,和以往有什么不同呢?
在IT时代,人们认为网络安全建设是一个简单活儿。IT系统解决的是效率问题,比如无纸化办公。IT系统的部署场景是固定的,比如政企机构的办公大楼。IT系统解决安全问题的方法是隔离,不同的业务部门建设不同的网络,叫专网,在专网的边界上安装简单的安全产品。因此,IT时代,网络安全公司的规模都比较小。
在DT时代,网络安全发生了颠覆性变化,变成了一个复杂活。DT系统解决的是生产力问题,比如数字经济,数据是生产要素,数据有生产、使用和交易问题。DT系统是大数据架构的复杂系统,要拆墙、拔烟囱,靠安装简单的安全产品或者某种“银弹”,防住一切网络攻击是不可能的。DT时代,安全变成了一个复
杂的过程,先是通过运营发现问题,然后针对问题完善年度建设计划,之后再通过五年规划升级体系建设,让安全动起来,形成良性循环。总之,DT时代,数据的被泄密、被篡改、被删除、被盗窃都是大事,网络安全对政企机构造成的影响,是巨大的和致命的。
经营安全的第一个前提条件是目标,要让安全能力与日俱增,保护复杂系统和复杂交易。 复杂系统,复杂交易,复杂经营,三者是动态连接的。在未来相当长一个历史时期,新技术、新应用、新场景不断涌现,因为新而且复杂,注定安全系统要不断完善,需要为安全能力设定一个能够因势而动、因时而变、与日俱增的目标,也可以理解为用内生安全框架实现安全的弹性或扩展性。
经营安全的第二个前提条件是投入,要用足够的资源,来满足我们对安全无限的需求。 安全是没有性价比的,是以结果为导向的。DT时代,网络安全成了“一失万无”的事,按照投入产出的因果关系,有投入才会有产出。这意味着,我们必须对安全有足够的资源投入。这个资源既包括钱,也包括人。工信部在《网络安全产业高质量发展三年行动计划(征求意见
稿)》中提出,到2023年重点行业网络安全投入占信息化投入的比例要达到10%。
经营安全的第三个前提条件是运营,要用专业高效的安全运营服务,来抵御复杂的网络攻击。 网络安全是高度复杂的攻防对抗,尤其是在DT时代,边界消失,连接网络的终端泛化,给网络攻击者提供了充当伪装者的条件,攻击伪装者混在业务之中,很难一眼看穿。再加上有些网络攻击者有国家背景支持,单靠政企机构自己单一的力量无法抵御这种复杂攻击。打个比喻,保障人身安全不能单靠个体的力量,还需要专业的警察来维护社会治安。在发达国家,把网络安全托管给专业的安全公司来运营就非常盛行。
经营安全的第一个重要能力,是认知能力。 强大的认知能力能帮人们把握事物基本规律、判断事物发展方向、构建自身与世界的关系。网络安全的认知能力也是如此,只有及时看到威胁、揪出威胁、阻断威胁,才能确保安全能力行之有效。
态势感知是建立认知能力的核心。 2016年4月19日,习近平总书记在全国网络安全与信息化工作座谈会上指出:“要全天候全方位感知网络安全态势。”总书记强调“没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是‘谁进来了不知道、是敌是友
不知道、干了什么不知道’,长期‘潜伏’在里面,一旦有事就发作了。”
这几年,态势感知在我国发展很快,传统网络安全厂商和新兴的初创企业都在加大对态势感知的投入。 我们总结,目前的态势感知主要分为三种:一种主要用于监管机构,我们称之为监管类态势感知;一种主要用于企业内网,我们称之为运营类态势感知;还一种主要用于实战演练,我们称之为攻防类态势感知。
这三类态势感知,每一类单打独斗都不具备全面的认知能力。 有的侧重互联网宏观态势的监测,缺乏针对性;有的侧重日常的安全运行维护,缺乏攻防能力;有的侧重战时的攻防对抗,缺乏平时常态化的运营。更为突出的问题是,只看局部不看整体,有的没有覆盖生产业务系统;有的没有覆盖三级、四级末端的网络;有的没有覆盖物联网、云、数据库和计算平台。
只有将这三类态势感知有机协同在一起,形成实战化态势感知,才能全面提升认知能力。 三类态势感知能有机协同,需要构建统一的计算平台、标准和运营系统。有人把态势感知等同于安全 大脑,这是不全面的。它是大脑(包括五官)、四肢和武功的三合一。大脑是监管态势,能看见威胁;四肢是运营态势,能揪出威胁;武功是攻防态势,能阻断威胁。
认知能力的关键是安全运营。 就像人的认知能力
来自学习和实践,网络安全的认知能力来源于实战攻防的运营,通过运营实现攻击告警、调查溯源、拦截阻断的往复循环。
安全运营的基础是资配漏补。 资配漏补是资产、配置、漏洞和补丁的统称。先要把软件、硬件、协议等资梳理清楚,建立档案,用系统管起来。在网络安全攻防中,人是战斗的士兵,资产就是城池。如果自己有多少城池都不清楚,做出的网络安全规划一定是不全面的。只有把自己的资产地图画出来,网络攻防战才能有规划、有打法;我们还要做好配置管理、漏洞管理和补丁管理。只有当资配漏补都做好了,我们才能发现安全产品的不足和安全体系的缺陷。日积月累下来,不合格的产品会逐渐退出,合格的产品会越来越好,安全体系会越来越健全。
经营安全的第二个重要能力,是安全能力。 以前,我们把安全市场分为产品市场和服务市场,产品和服务是两回事。现在,要把产品变成一种能力,把能力变成一种资源,并用服务的方式使用资源。换句话说,把安全产品能力化、资源化、服务化。
安全产品能力化,首先要把安全的硬件产品软件化。 这是一个艰巨的任务,因为过去为了降低成本,往往选用配置较低的硬件平台。同时,为了提高性能,往往把软件和硬件平台深度耦合。所以,把软件从专属的硬件平台上抠出来,适配更通用的硬件平台,几乎需要对代码重构、重写;
安全产品资源化,首先要实现数据和API标准化。 各种各样的安全产品从数据采集、治理、存储、分析,到结果输出使用、API服务,都应该遵从统一的标准,更要与网、云、数据、应用的标准对接。这样,客户就可以用一朵安全云,把所需要的安全产品以资源的形式纳入其中。安全能力资源对外服务过程中产生的日志,自然就形成了安全大数据,可以据此推出能提供更多安全能力的安全大数据中台服务;
安全产品服务化,首先要做到调度指挥。 把安全能力以资源服务形式嵌入到需要的每个角落,并且这种安全能力的质量是可评估的。例如,发生网络攻击的当时没有告警,但事后通过分析溯源,定位出是防火墙漏掉了这次攻击,我们就会去改进防火墙技术,或者用资源服务的方式快速地换用其它家的防火墙。
这种安全能力服务,还便于商业模式创新。 以前我们采购安全产品,通过招标确定供应商,一经选定之后,就没有机会使用其它品牌的产品了。安全能力资源服务的形式,可以选定多家安全公司的产品部署在安全云上,不使用不付费,依据使用的多少来结算。购买产品模式拼的是商务关系和测试方案,而能力资源服务模式拼的是实战效果,这种模式更能推动厂家技术创新。
经营安全的第三个重要能力,是授信能力。 网络安全的核心问题,是信任问题。比如,Wintel体系不是可信计算,所以有很多计算机病毒出现。沈昌祥院
士推出的可信计算技术体系,能免疫Wintel时代的病毒。中国电子推出的PKS体系,是飞腾CPU、麒麟操作系统融合了可信华泰的可信计算以及奇安信的安全技术。
另一方面,网络除了计算之外,更多的是人机交互,人是安全最大的变量,人的可信度成了难题;还有,数据变成生产要素之后,谁在什么场景、用于什么目的、可以使用什么数据,也变成了一种授信问题。
IT时代的授信能力是粗放的和不足的。 假设我们把每一次的网络访问都分为主体(访问者)和客体(被访问者)。主体有很多,比如人、IoT设备、App应用等;客体也有很多,比如业务系统应用、云计算资源、接口、数据资源等。在传统的认证体系里,授信是比较粗放的,一个主体可以访问多个客体,一个客体也可以允许多个主体访问。这种方法有很多漏洞,广泛地被黑客利用进行攻击。
DT时代的授信能力是零信任体系提供的,通过动态评估信任实现动态可控。 它不再绝对信任任何一个主体,而是给每个主体、每个客体附加很多属性,以“权限最小化”原则进行授信,并且对授信持续进行动态评估。比如,账号A是个主体,它的属性包括机器指纹、网络类型、IP地址、使用时间、工作职责和机器环境。再比如,数据资源B是个客体,它的属性包括类型、敏感级别、来源、机密、隐私、连接关
系、各种标签等。以“权限最小化”原则,我们授权“A在办公室网络下、在专项工作期间,可以访问非机密属性的数据资源B”。一旦发现A的办公室网络属性消失,或者专项工作的属性消失,这个授信就自动取消。整个过程都是通过系统自动动态评估完成的。
这种授信能力是网络安全的保障。 我在《漏洞》一书中提出网络安全的“四个假设”,“假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已被渗透、假设内部人员不可靠”。关于内部人员对网络安全的危害程度,我在《漏洞》一书里也披露,“85%的网络攻击源于内部”。这个“源于内部”和“内部人员”是一回事,它包括人被收买、账号被盗用、机器被利用、供应链被后门等,之所以被攻击成功,就是因为我们对自己的人、自己的账号、自己的机器、自己的认证、自己的供应商过度信任。
一位古希腊哲学家提出过一个著名的悖论,叫做“飞矢不动”。说的是把一只短箭投出去,它在空中飞行,它是运动的。但是如果把时间切割开,单独去看每一个瞬间的短箭,它是一样的,好像并没有运动。
“飞矢不动”的悖论告诉我们一个道理, 静止是相
这也是我今天提出在DT时代,“经营安全 安全经营”这八个字的用意。 和时间同在,和变化同在,和运动同在,和安全同在。 我相信,只要我们携起手来,共同经营好网络安全防线,就一定能迎来一个更富竞争力、万物生长的数字中国。谢谢大家!
95015服务热线
微信公众号
内生安全
2019年,我们提出“内生安全”,它是DT时代的安全理念。“内生安全”是把安全能力内置到信息化环境中,通过信息化系统和安全系统的聚合、业务数据和安全数据的聚合、IT人才和安全人才的三个聚合,让安全系统像人的免疫系统一样,实现自适应、自主和自成长。
内生安全框架
2020年,我们提出“内生安全框架”,它是内生安全理念落地的方法。“内生安全框架”把内生安全理念用系统工程方法,将网络安全能力统一规划、分步实施,落地成完整的安全防护体系。“内生安全框架”荣获2020“世界互联网领先科技成果”,并已经应用到了上百家重要客户的十四五网络安全规划中,得到了很高的评价。
经营安全 安全经营
2021年,我们提出“经营安全”,它是对网络安全的动态掌控。“经营安全”通过打造认知、安全和授信三大能力,让网络安全体系动起来,不断循环升级,让安全能力与日俱增,保障企业经营活动的安全运转,保障国家和社会的安全稳定运行。
零事故之路
网络安全“零事故”是一个结果,更是一个开始。北京冬奥这场世界级的网络安全实战充分证明,“零事故”是可以实现的目标。“零事故”应该成为行业新目标,向千行百业推广。网络安全“零事故”具体有三条标准:业务不中断、数据不出事、合规不踩线。对应“零事故”的三个标准,我们总结了三大要求:联合作战、精准防护、深度运营。
数智安全 内生为本
数智时代是数据和智能的时代,数据出现了从死到活、从虚到实、从贱到贵的“三大变化”,引发了“数据操作行为真假难辨”“‘三员’违规行为难控”“软件供应链漏洞后门难防”三大数据安全难题,网络安全易攻难守成为常态。解决这些安全问题,需要做出三大转变,即从关注IT转变成关注业务,从关注设备转变成关注“人”,从关注建设转变成关注运营。坚持内生为本,以零事故为目标,在安全能力螺旋式的上升中,构建一个安全的数智时代。