齊向東說網絡安全需要動态掌控
DT(資料技術)時代,網絡安全價值觀應該是什麼?
“經營安全,安全經營。”
在8月26日舉行的2021年北京網絡安全大會上,奇安信集團董事長齊向東給出了8個字的答案。這個思辨色彩很濃的回答似乎少了些許“技術含量”,卻引起了國内外網絡安全專家的強烈共鳴。
的确,當網際網路所産生的資料量呈現指數級增長,當資料與土地、勞動力、資本、技術并列成為五大生産要素之一,當資料驅動經濟社會出現層出不窮的新形态,網絡安全已經從“配套角色”變身為“底闆工程”,成為數字化發展的前置條件。深刻變革之下,隻有築牢這個“新底闆”,安全經營才有可能實作。
(小标題)DT時代,安全責任已無“時空邊界”
半個多世紀前,現代計算機之父馮·諾依曼說:“技術日新月異,人類生活方式正在快速轉變,這一切給人類曆史帶來了一系列不可思議的奇點。我們曾經熟悉的一切,都開始變得陌生。”
較之馮·諾依曼所處的時代,DT時代的“轉變”仍在繼續加快,而解讀這種轉變就必須從資料入手。資料本身是中性的,但是因為有不同的力量,站在不同的立場,以不同的方式來使用資料,資料就有了一體兩面性。“它既可以拿來做好事,也可以拿來做壞事。和人性一樣,資料是非常複雜的。”齊向東說。
齊向東認為,資料的複雜性決定了DT時代安全的複雜性,具體可總結為三個顯著特征:
其一,企業經營者的安全責任變成無限責任。隻要使用者的資料還存在,企業的責任就不會終結。保護每一個複雜交易的資料安全,成為貫穿企業經營的生命線,成為企業經營者的無限責任。
其二,企業經營活動變成國家網絡安全的一部分。從《網絡安全審查辦法》到《關鍵資訊基礎設施安全保護條例》再到《個人資訊保護法》,今年密集出台的一系列法律法規都在強調企業涉資料活動必須對國家、社會的承擔安全責任。
其三,網絡攻擊變成破壞企業經營的高頻事件。美國科洛尼爾管道運輸公司遭網絡勒索再次敲響警鐘:勒索攻擊成為“流行病”,勒索的贖金越來越高,造成的威脅越來越大。
責任無界化、安全一體化、攻擊常态化,對于這種新特征給安全帶來的壓迫感,參會的國内外專家也感同身受。
俄羅斯前副總理謝爾蓋·沙赫賴将之形容為“數字世界與線下世界之間特有的賽跑”,“我們都能認識到基礎設施的脆弱性并對此習以為常,我們也都感受到了保護我們遠離周遭亂象的技術屏障是多麼單薄。”
可以預見的是,在未來相當長一段時期,安全系統和經營活動面臨的複雜挑戰還将不斷更新。“想要安全經營,就要學會在經營中與這種複雜性打交道。隻有煞費苦心地經營你的安全系統,才能保障你的經營活動安全運轉。這是未來生存和發展的關鍵,也是我們提出‘經營安全,安全經營’的現實依據和邏輯起點。”齊向東說。
(小标題)“經營安全”,是對網絡安全的動态掌控
在齊向東提出“經營安全”之前,很少有人把這兩個詞這樣排列在一起。即便有,“經營”也隻是作為定語或名詞去修飾“安全”,“經營安全”和“交通安全”“教育安全”一樣,是諸多“安全”類别中的一種。
而DT語境下的“經營安全”,“經營”是謂語、是動詞,是對安全的籌劃和管理。“經營安全”不再是靜态概念,而是一種動态思維,是對網絡安全的提前預判、主動介入、動态掌控,通過“經營”讓安全能力“動”起來,在不斷循環更新的過程中破解複雜難題。
“經營”的“定”“謂”之變、“靜”“動”之變,折射出齊向東等網絡安全界人士對DT時代網安規律的反思。在IT時代,人們認為網絡安全建設是一個簡單活兒,IT系統的部署場景是固定的,解決安全問題的方法是隔離;在DT時代,網絡安全解決的是生産力問題,是資料的生産、使用和交易問題。靠安裝簡單的安全産品或者某種“銀彈”,防住一切網絡攻擊是不可能的,安全變成了一個複雜過程。
正如國家創新與發展戰略研究會副會長郝葉力所言,“現在講安全不能是後天的簡單的外挂貼殼,而是從10月懷胎的時候就開始孕育”。
當然,“經營安全”并不像字面順序調整這般簡單,像所有新理念付諸實踐一樣,它也需要前提條件。齊向東認為第一個條件應該是要有與時俱進的目标。“在未來相當長一個曆史時期,新技術、新應用、新場景不斷湧現。因為新且複雜,注定安全系統要不斷完善,是以需要為安全能力設定一個能夠因勢而動、因時而變、與日俱增的目标。”
實作目标必須有相對應的付出,這成為“經營安全”的第二個條件,即持續全面的投入。“DT時代,網絡安全成了‘一失萬無’的事,這意味着必須對安全有足夠的資源投入才能確定‘萬無一失’。”實際上,在這方面國家已經有了明确要求,工信部在《網絡安全産業高品質發展三年行動計劃(征求意見稿)》中提出,到2023年重點行業網絡安全投入占資訊化投入的比例要達到10%。
“經營安全”的第三個前提條件是專業高效的安全營運服務。DT時代安全邊界消失,連接配接網絡的終端泛化,使攻防對抗變得異常複雜,單靠政企機構自己單一的力量無法抵禦這種複雜攻擊,這就需要借助專業的安全公司來營運。
(小标題)動态掌控網絡安全,需要提升三種能力
今年3月,《十四五規劃和2035遠景目标綱要》正式釋出,“全面加強網絡安全保障體系和能力建設”被寫入檔案,網絡安全進入到戰略總體布局、各方協同關聯、全方位實質性落地推進的新時期。
齊向東認為,做好新時期的網絡安全工作,需要改變發展思維和發展模式,“經營安全”應成為政企機構的自覺行動。隻有“經營安全”,才能實作對網絡安全的動态掌控,而要實作動态掌控,必須進一步提升三種能力。
一是全面提升認知能力。态勢感覺是建立認知能力的核心。目前,态勢感覺主要分為三種:監管機構的監管類态勢感覺、企業内網的營運類态勢感覺、用于實戰演練的攻防類态勢感覺。這三類感覺各有所長,也各有不足。齊向東認為,隻有将這三類态勢感覺有機協同在一起,形成實戰化态勢感覺,才能全面提升認知能力。為此,需要建構統一的計算平台、标準和營運系統,為提升認知能力提供有力支撐。
二是全面提升安全能力。以前,人們把安全市場分為産品市場和服務市場,産品和服務是兩回事。而在DT時代,産品和服務必須融合,要把産品變成一種能力,把能力變成一種資源,并用服務的方式使用資源。換句話說,就是要通過安全硬體産品的軟體化實作安全産品的能力化,通過資料采集、治理、存儲、分析、使用、API服務的标準化實作安全産品的資源化,在此基礎上,把安全能力以資源服務形式嵌入到需要的每個角落。
三是全面提升授信能力。在傳統認證體系裡,授信相對粗放的,一個主體可以通路多個客體,一個客體也可以允許多個主體通路。這種方法有很多漏洞,被黑客廣泛利用進行攻擊。DT時代不再絕對信任任何一個主體,而是要給每個主體、每個客體附加很多屬性,以“權限最小化”原則進行授信,并且對授信持續進行動态評估。
“總結起來,DT時代的網絡安全是一件複雜的事,隻有經營安全,才能實作對網絡安全的動态掌控,而動态掌控力的提升有賴于三種能力:認知能力、安全能力和授信能力。隻要我們攜起手來,共同經營好網絡安全防線,就一定能迎來一個更富競争力、萬物生長的數字中國。”齊向東說。(完)