时间:2021-08-26
本文3217字阅读约需9分钟
8月26日,奇安信集团董事长齐向东在北京网络安全大会(BCS2021)发表主题演讲时表示,DT时代网络安全需要“动态掌控”,只有经营好安全体系,才能实现企业经营安全。
北京网络安全大会三年的主题共同组成了政府和企业实施网络安全的“三部曲”:理念、方法、动态掌控。
经营安全是对网络安全的动态掌控,只有让安全能力动起来,不断循环升级,才能破解复杂难题。
和时间同在,和变化同在,和运动同在,和安全同在。只要我们携起手来,共同经营好网络安全防线,就一定能迎来更富竞争力、万物生长的数字中国。
以下为奇安信集团董事长齐向东在BCS2021大会上的演讲全文:
尊敬的各位领导、来宾,观众朋友们,大家好!欢迎参加第三届北京网络安全大会。
今天我的演讲题目是“经营安全安全经营”。经营和安全,安全和经营,这两个词如果分开来看,很简单,每个人都会有自己的理解。但把它们放在一起,“经营安全安全经营”这8个字,包含了思辨的逻辑关系和DT时代的价值观。
“经营安全安全经营”,不是无源之水、无本之木。回顾过去,2019年,我们提出“内生安全”,把安全能力内置到信息化环境中,它是DT时代的安全理念;2020年,我们提出“内生安全框架”,用系统工程的方法建成内生安全体系,它是内生安全理念落地的方法;今年,我们提出“经营安全安全经营”,意思是,只有煞费苦心地经营你的安全体系,才能保障你的经营活动安全运转。
“经营安全”实际上是对网络安全的动态掌控。这三年大会的主题,共同组成了政府和企业实施网络安全的“三部曲”:理念、方法、动态掌控。按照这个三部曲的节奏去理解安全、实践安全、发展安全,未来我们生活的世界,必将出现万物生长的繁荣景象。
今天我提炼了两个关键词:DT时代、动态掌控。
第一个关键词:DT时代。
这几年,我们逐渐感觉到,时代正在发生深刻的变化。如何解读这种变化,决定了我们以什么样的方式去面对未来。
DT时代的三大明显变化
第一个明显变化是,数据问题让国际关系变得越来越复杂。从欧盟颁布GDPR到推进数字税计划,从华为5G、TikTok被美国政府封杀到滴滴事件,我们可以明显感受到,世界各国对于数据主权的争夺越来越激烈,这种竞争在未来相当长一段时间都将是持续性的。
第二个明显变化是,数据资产成为了勒索攻击的头号目标。有人称勒索攻击成为了网络安全“流行病”,勒索的赎金越来越高,造成的威胁越来越大。今年以来,勒索攻击造成了断油、断肉、断播、断零售,赎金从2000万美元到3000万美元,再到7000万美元,屡创新高。
第三个明显变化是,针对关键基础设施数字化系统的攻击愈演愈烈。仅今年上半年,就发生了多起攻击事件,攻击对象包括美国自来水水厂、输油管道、南非港口、伊朗铁路的数字化系统,直接影响了人们生活、社会稳定和国家安全。
这些变化,几乎都与数字系统和海量数据有关,标志着人类社会已经从IT时代进入了DT时代。
DT时代的核心,是D,data,也就是数据。数据是人的延伸、交易的延伸、服务的延伸;数据也带来了商业机会的延伸、生产力的延伸、想象力的延伸。数据本身是中性的,但是因为有不同的力量,站在不同的立场,以不同的方式来使用这些数据,数据就有了一体两面性。数据可以拿来做好事,数据也可以拿来做坏事。数据和人性一样,是非常复杂的。我们该如何与这种复杂性共生,是DT时代的一个重要命题。
DT时代的三个显著特征
为了更好地理解这种复杂性,我总结了DT时代的三个显著特征。
第一个特征,企业经营者的安全责任,从以前的有限责任变成了无限责任。传统经济中,交易是“银货两讫”,交易结束后,企业经营者的责任基本也就结束了。但DT时代,几乎所有的交易都数字化了,一系列新技术、新应用、新场景和具体业务、具体用户结合在一起,共同构成了一个复杂系统。在这个复杂系统里,流动着复杂数据,发生着复杂交易。交易结束了,企业经营者的安全责任并未结束。
举个例子,以前,我们打车招手即停,到了目的地,交易就结束了;现在,我们用手机打车,产生了很多数据,即使出行结束了,用车平台仍然需要对我们的隐私、资金等各种数据的安全持续负责。最近,一位办企业的朋友向我咨询,员工违规违法导致数据丢失,企业要承担责任吗?我回答他:“数据泄露违法的锅,法人甩不掉。”企业法人的责任大小看两方面:一是后果,如果危害了国家安全,责任就大了;二是看过程,如果企业没有按要求建设必要的网络安全系统,责任也就大了。这和传统的煤矿爆炸是一样的道理,如果矿场没有安全措施、制度和流程,那么矿主一定要承担主要责任。
可以说,只要用户的数据还存在,企业的责任就不会终结。保护每一个复杂交易的数据安全,成为了贯穿企业经营的生命线,是企业经营者的无限责任。
第二个特征,企业的经营活动,成为了国家网络安全的一部分。今年7月,滴滴上市第二天,网络安全审查办公室根据《国家安全法》、《网络安全法》,对滴滴实行审查;7月10日,《网络安全审查办法》修订草案公开征求意见,明确提出掌握超过100万用户个人信息的运营者赴国外上市,必须申报网络安全审查;8月17日,国务院发布《关键信息基础设施安全保护条例》,明确行业主管部门、企业作为关键信息基础设施运营者要承担主体防护责任;8月20日,《个人信息保护法》出台,明确了个人信息处理和跨境提供的规则……这一系列密集出台的法律法规充分证明,企业的经营活动已经和国家安全、社会安全发生了密切联系。
第三个特征,网络攻击破坏企业经营,变成了高频事件。今年7月,一家从事IT管理的软件服务商出现系统漏洞,牵连了全球上千家企业,受影响最大的一家零售连锁企业,旗下至少800家门店被迫停业;同样在7月,开源办公软件Zimbra爆出新漏洞,威胁了20万家企业的经营活动……这些网络攻击事件提醒我们,网络安全的威胁对经营活动的破坏力,变得如此巨大,难以承受。
DT时代,无论是安全系统,还是经营活动,都具备了相当的复杂性。在未来相当长一段时期,想要安全经营,就要学会在经营中与这种复杂性打交道,这是生存和发展的关键。
所以,今年我们提出“经营安全安全经营”。只有煞费苦心地经营你的安全系统,才能保障你的经营活动安全运转。
第二个关键词:动态掌控。
我今天演讲主题的第一句话是经营安全,在此之前,没有人把这两个词这样排列在一起。以前,我们提到网络安全,一般都说规划网络安全、建设网络安全、运营网络安全,还有网络安全运行。
那么,“经营”这个词,和以往有什么不同呢?
在IT时代,人们认为网络安全建设是一个简单活儿。IT系统解决的是效率问题,比如无纸化办公。IT系统的部署场景是固定的,比如政企机构的办公大楼。IT系统解决安全问题的方法是隔离,不同的业务部门建设不同的网络,叫专网,在专网的边界上安装简单的安全产品。因此,IT时代,网络安全公司的规模都比较小。
在DT时代,网络安全发生了颠覆性变化,变成了一个复杂活。DT系统解决的是生产力问题,比如数字经济,数据是生产要素,数据有生产、使用和交易问题。DT系统是大数据架构的复杂系统,要拆墙、拔烟囱,靠安装简单的安全产品或者某种“银弹”,防住一切网络攻击是不可能的。DT时代,安全变成了一个复杂的过程,先是通过运营发现问题,然后针对问题完善年度建设计划,之后再通过五年规划升级体系建设,让安全动起来,形成良性循环。总之,DT时代,数据的被泄密、被篡改、被删除、被盗窃都是大事,网络安全对政企机构造成的影响,是巨大的和致命的。
所以,我们提出了“经营”这个词,经营安全是对网络安全的动态掌控,只有让安全能力动起来,不断循环升级,才能破解复杂难题。
实现动态掌控需要三个前提条件
经营安全的第一个前提条件是目标,要让安全能力与日俱增,保护复杂系统和复杂交易。
复杂系统,复杂交易,复杂经营,三者是动态连接的。在未来相当长一个历史时期,新技术、新应用、新场景不断涌现,因为新而且复杂,注定安全系统要不断完善,需要为安全能力设定一个能够因势而动、因时而变、与日俱增的目标,也可以理解为用内生安全框架实现安全的弹性或扩展性。
经营安全的第二个前提条件是投入,要用足够的资源,来满足我们对安全无限的需求。
安全是没有性价比的,是以结果为导向的。DT时代,网络安全成了“一失万无”的事,按照投入产出的因果关系,有投入才会有产出。这意味着,我们必须对安全有足够的资源投入。这个资源既包括钱,也包括人。工信部在《网络安全产业高质量发展三年行动计划(征求意见稿)》中提出,到2023年重点行业网络安全投入占信息化投入的比例要达到10%。
经营安全的第三个前提条件是运营,要用专业高效的安全运营服务,来抵御复杂的网络攻击。
网络安全是高度复杂的攻防对抗,尤其是在DT时代,边界消失,连接网络的终端泛化,给网络攻击者提供了充当伪装者的条件,攻击伪装者混在业务之中,很难一眼看穿。再加上有些网络攻击者有国家背景支持,单靠政企机构自己单一的力量无法抵御这种复杂攻击。打个比喻,保障人身安全不能单靠个体的力量,还需要专业的警察来维护社会治安。在发达国家,把网络安全托管给专业的安全公司来运营就非常盛行。
提升安全掌控力需要三个重要能力
有了这三个前提条件,我们还需要三个重要能力,来提升对安全的掌控力。
经营安全的第一个重要能力,是认知能力。
强大的认知能力能帮人们把握事物基本规律、判断事物发展方向、构建自身与世界的关系。网络安全的认知能力也是如此,只有及时看到威胁、揪出威胁、阻断威胁,才能确保安全能力行之有效。
态势感知是建立认知能力的核心。2016年4月19日,习近平总书记在全国网络安全与信息化工作座谈会上指出:“要全天候全方位感知网络安全态势。”总书记强调“没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’,长期‘潜伏’在里面,一旦有事就发作了。”
这几年,态势感知在我国发展很快,传统网络安全厂商和新兴的初创企业都在加大对态势感知的投入。我们总结,目前的态势感知主要分为三种:一种主要用于监管机构,我们称之为监管类态势感知;一种主要用于企业内网,我们称之为运营类态势感知;还一种主要用于实战演练,我们称之为攻防类态势感知。
这三类态势感知,每一类单打独斗都不具备全面的认知能力。有的侧重互联网宏观态势的监测,缺乏针对性;有的侧重日常的安全运行维护,缺乏攻防能力;有的侧重战时的攻防对抗,缺乏平时常态化的运营。更为突出的问题是,只看局部不看整体,有的没有覆盖生产业务系统;有的没有覆盖三级、四级末端的网络;有的没有覆盖物联网、云、数据库和计算平台。
只有将这三类态势感知有机协同在一起,形成实战化态势感知,才能全面提升认知能力。三类态势感知能有机协同,需要构建统一的计算平台、标准和运营系统。有人把态势感知等同于安全大脑,这是不全面的。它是大脑(包括五官)、四肢和武功的三合一。大脑是监管态势,能看见威胁;四肢是运营态势,能揪出威胁;武功是攻防态势,能阻断威胁。
认知能力的关键是安全运营。就像人的认知能力来自学习和实践,网络安全的认知能力来源于实战攻防的运营,通过运营实现攻击告警、调查溯源、拦截阻断的往复循环。
安全运营的基础是资配漏补。资配漏补是资产、配置、漏洞和补丁的统称。先要把软件、硬件、协议等资梳理清楚,建立档案,用系统管起来。在网络安全攻防中,人是战斗的士兵,资产就是城池。如果自己有多少城池都不清楚,做出的网络安全规划一定是不全面的。只有把自己的资产地图画出来,网络攻防战才能有规划、有打法;我们还要做好配置管理、漏洞管理和补丁管理。只有当资配漏补都做好了,我们才能发现安全产品的不足和安全体系的缺陷。日积月累下来,不合格的产品会逐渐退出,合格的产品会越来越好,安全体系会越来越健全。
经营安全的第二个重要能力,是安全能力。
以前,我们把安全市场分为产品市场和服务市场,产品和服务是两回事。现在,要把产品变成一种能力,把能力变成一种资源,并用服务的方式使用资源。换句话说,把安全产品能力化、资源化、服务化。
安全产品能力化,首先要把安全的硬件产品软件化。这是一个艰巨的任务,因为过去为了降低成本,往往选用配置较低的硬件平台。同时,为了提高性能,往往把软件和硬件平台深度耦合。所以,把软件从专属的硬件平台上抠出来,适配更通用的硬件平台,几乎需要对代码重构、重写;
安全产品资源化,首先要实现数据和API标准化。各种各样的安全产品从数据采集、治理、存储、分析,到结果输出使用、API服务,都应该遵从统一的标准,更要与网、云、数据、应用的标准对接。这样,客户就可以用一朵安全云,把所需要的安全产品以资源的形式纳入其中。安全能力资源对外服务过程中产生的日志,自然就形成了安全大数据,可以据此推出能提供更多安全能力的安全大数据中台服务;
安全产品服务化,首先要做到调度指挥。把安全能力以资源服务形式嵌入到需要的每个角落,并且这种安全能力的质量是可评估的。例如,发生网络攻击的当时没有告警,但事后通过分析溯源,定位出是防火墙漏掉了这次攻击,我们就会去改进防火墙技术,或者用资源服务的方式快速地换用其它家的防火墙。
这种安全能力服务,还便于商业模式创新。以前我们采购安全产品,通过招标确定供应商,一经选定之后,就没有机会使用其它品牌的产品了。安全能力资源服务的形式,可以选定多家安全公司的产品部署在安全云上,不使用不付费,依据使用的多少来结算。购买产品模式拼的是商务关系和测试方案,而能力资源服务模式拼的是实战效果,这种模式更能推动厂家技术创新。
经营安全的第三个重要能力,是授信能力。
网络安全的核心问题,是信任问题。比如,Wintel体系不是可信计算,所以有很多计算机病毒出现。沈昌祥院士推出的可信计算技术体系,能免疫Wintel时代的病毒。中国电子推出的PKS体系,是飞腾CPU、麒麟操作系统融合了可信华泰的可信计算以及奇安信的安全技术。
另一方面,网络除了计算之外,更多的是人机交互,人是安全最大的变量,人的可信度成了难题;还有,数据变成生产要素之后,谁在什么场景、用于什么目的、可以使用什么数据,也变成了一种授信问题。
IT时代的授信能力是粗放的和不足的。假设我们把每一次的网络访问都分为主体(访问者)和客体(被访问者)。主体有很多,比如人、IoT设备、App应用等;客体也有很多,比如业务系统应用、云计算资源、接口、数据资源等。在传统的认证体系里,授信是比较粗放的,一个主体可以访问多个客体,一个客体也可以允许多个主体访问。这种方法有很多漏洞,广泛地被黑客利用进行攻击。
DT时代的授信能力是零信任体系提供的,通过动态评估信任实现动态可控。它不再绝对信任任何一个主体,而是给每个主体、每个客体附加很多属性,以“权限最小化”原则进行授信,并且对授信持续进行动态评估。比如,账号A是个主体,它的属性包括机器指纹、网络类型、IP地址、使用时间、工作职责和机器环境。再比如,数据资源B是个客体,它的属性包括类型、敏感级别、来源、机密、隐私、连接关系、各种标签等。以“权限最小化”原则,我们授权“A在办公室网络下、在专项工作期间,可以访问非机密属性的数据资源B”。一旦发现A的办公室网络属性消失,或者专项工作的属性消失,这个授信就自动取消。整个过程都是通过系统自动动态评估完成的。
这种授信能力是网络安全的保障。我在《漏洞》一书中提出网络安全的“四个假设”,“假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已被渗透、假设内部人员不可靠”。
关于内部人员对网络安全的危害程度,我在《漏洞》一书里也披露,“85%的网络攻击源于内部”。
这个“源于内部”和“内部人员”是一回事,它包括人被收买、账号被盗用、机器被利用、供应链被后门等,之所以被攻击成功,就是因为我们对自己的人、自己的账号、自己的机器、自己的认证、自己的供应商过度信任。
结语
总结起来,DT时代的网络安全是一件复杂的事,只有经营安全,才能实现对网络安全的动态掌控,而动态掌控力的提升有赖于三种能力:认知能力、安全能力和授信能力。
一位古希腊哲学家提出过一个著名的悖论,叫做“飞矢不动”。说的是把一只短箭投出去,它在空中飞行,它是运动的。但是如果把时间切割开,单独去看每一个瞬间的短箭,它是一样的,好像并没有运动。
“飞矢不动”的悖论告诉我们一个道理,静止是相对的,运动是绝对的。安全也是一样,它看不见摸不着,但是当网络攻击发生了,我们也就感受到了安全的存在。
这也是我今天提出在DT时代,“经营安全安全经营”这八个字的用意。和时间同在,和变化同在,和运动同在,和安全同在。我相信,只要我们携起手来,共同经营好网络安全防线,就一定能迎来一个更富竞争力、万物生长的数字中国。谢谢大家!