經營安全才能安全經營 — 齊向東BCS2021演講全文
釋出日期:2021-08-26 作者:奇安信
本文3217字閲讀約需9分鐘
8月26日,奇安信集團董事長齊向東在北京網絡安全大會(BCS2021)發表主題演講時表示,DT時代網絡安全需要“動態掌控”,只有經營好安全體系,才能實現企業經營安全。
北京網絡安全大會三年的主題共同組成了政府和企業實施網絡安全的“三部曲”:理念、方法、動態掌控。
經營安全是對網絡安全的動態掌控,只有讓安全能力動起來,不斷循環升級,才能破解複雜難題。
和時間同在,和變化同在,和運動同在,和安全同在。只要我們攜起手來,共同經營好網絡安全防線,就一定能迎來更富競爭力、萬物生長的數字中國。
以下為奇安信集團董事長齊向東在BCS2021大會上的演講全文:
尊敬的各位領導、來賓,觀眾朋友們,大家好!歡迎參加第三屆北京網絡安全大會。
今天我的演講題目是“經營安全安全經營”。經營和安全,安全和經營,這兩個詞如果分開來看,很簡單,每個人都會有自己的理解。但把它們放在一起,“經營安全安全經營”這8個字,包含了思辨的邏輯關係和DT時代的價值觀。
“經營安全安全經營”,不是無源之水、無本之木。回顧過去,2019年,我們提出“內生安全”,把安全能力內置到信息化環境中,它是DT時代的安全理念;2020年,我們提出“內生安全框架”,用系統工程的方法建成內生安全體系,它是內生安全理念落地的方法;今年,我們提出“經營安全安全經營”,意思是,只有煞費苦心地經營你的安全體系,才能保障你的經營活動安全運轉。
“經營安全”實際上是對網絡安全的動態掌控。這三年大會的主題,共同組成了政府和企業實施網絡安全的“三部曲”:理念、方法、動態掌控。按照這個三部曲的節奏去理解安全、實踐安全、發展安全,未來我們生活的世界,必將出現萬物生長的繁榮景象。
今天我提煉了兩個關鍵詞:DT時代、動態掌控。
第一個關鍵詞:DT時代。
這幾年,我們逐漸感覺到,時代正在發生深刻的變化。如何解讀這種變化,決定了我們以什麼樣的方式去面對未來。
DT時代的三大明顯變化
第一個明顯變化是,數據問題讓國際關係變得越來越複雜。從歐盟頒佈GDPR到推進數字税計劃,從華為5G、TikTok被美國政府封殺到滴滴事件,我們可以明顯感受到,世界各國對於數據主權的爭奪越來越激烈,這種競爭在未來相當長一段時間都將是持續性的。
第二個明顯變化是,數據資產成為了勒索攻擊的頭號目標。有人稱勒索攻擊成為了網絡安全“流行病”,勒索的贖金越來越高,造成的威脅越來越大。今年以來,勒索攻擊造成了斷油、斷肉、斷播、斷零售,贖金從2000萬美元到3000萬美元,再到7000萬美元,屢創新高。
第三個明顯變化是,針對關鍵基礎設施數字化系統的攻擊愈演愈烈。僅今年上半年,就發生了多起攻擊事件,攻擊對象包括美國自來水水廠、輸油管道、南非港口、伊朗鐵路的數字化系統,直接影響了人們生活、社會穩定和國家安全。
這些變化,幾乎都與數字系統和海量數據有關,標誌着人類社會已經從IT時代進入了DT時代。
DT時代的核心,是D,data,也就是數據。數據是人的延伸、交易的延伸、服務的延伸;數據也帶來了商業機會的延伸、生產力的延伸、想象力的延伸。數據本身是中性的,但是因為有不同的力量,站在不同的立場,以不同的方式來使用這些數據,數據就有了一體兩面性。數據可以拿來做好事,數據也可以拿來做壞事。數據和人性一樣,是非常複雜的。我們該如何與這種複雜性共生,是DT時代的一個重要命題。
DT時代的三個顯著特徵
為了更好地理解這種複雜性,我總結了DT時代的三個顯著特徵。
第一個特徵,企業經營者的安全責任,從以前的有限責任變成了無限責任。傳統經濟中,交易是“銀貨兩訖”,交易結束後,企業經營者的責任基本也就結束了。但DT時代,幾乎所有的交易都數字化了,一系列新技術、新應用、新場景和具體業務、具體用户結合在一起,共同構成了一個複雜系統。在這個複雜系統裏,流動着複雜數據,發生着複雜交易。交易結束了,企業經營者的安全責任並未結束。
舉個例子,以前,我們打車招手即停,到了目的地,交易就結束了;現在,我們用手機打車,產生了很多數據,即使出行結束了,用車平台仍然需要對我們的隱私、資金等各種數據的安全持續負責。最近,一位辦企業的朋友向我諮詢,員工違規違法導致數據丟失,企業要承擔責任嗎?我回答他:“數據泄露違法的鍋,法人甩不掉。”企業法人的責任大小看兩方面:一是後果,如果危害了國家安全,責任就大了;二是看過程,如果企業沒有按要求建設必要的網絡安全系統,責任也就大了。這和傳統的煤礦爆炸是一樣的道理,如果礦場沒有安全措施、制度和流程,那麼礦主一定要承擔主要責任。
可以説,只要用户的數據還存在,企業的責任就不會終結。保護每一個複雜交易的數據安全,成為了貫穿企業經營的生命線,是企業經營者的無限責任。
第二個特徵,企業的經營活動,成為了國家網絡安全的一部分。今年7月,滴滴上市第二天,網絡安全審查辦公室根據《國家安全法》、《網絡安全法》,對滴滴實行審查;7月10日,《網絡安全審查辦法》修訂草案公開徵求意見,明確提出掌握超過100萬用户個人信息的運營者赴國外上市,必須申報網絡安全審查;8月17日,國務院發佈《關鍵信息基礎設施安全保護條例》,明確行業主管部門、企業作為關鍵信息基礎設施運營者要承擔主體防護責任;8月20日,《個人信息保護法》出台,明確了個人信息處理和跨境提供的規則……這一系列密集出台的法律法規充分證明,企業的經營活動已經和國家安全、社會安全發生了密切聯繫。
第三個特徵,網絡攻擊破壞企業經營,變成了高頻事件。今年7月,一家從事IT管理的軟件服務商出現系統漏洞,牽連了全球上千家企業,受影響最大的一家零售連鎖企業,旗下至少800家門店被迫停業;同樣在7月,開源辦公軟件Zimbra爆出新漏洞,威脅了20萬家企業的經營活動……這些網絡攻擊事件提醒我們,網絡安全的威脅對經營活動的破壞力,變得如此巨大,難以承受。
DT時代,無論是安全系統,還是經營活動,都具備了相當的複雜性。在未來相當長一段時期,想要安全經營,就要學會在經營中與這種複雜性打交道,這是生存和發展的關鍵。
所以,今年我們提出“經營安全安全經營”。只有煞費苦心地經營你的安全系統,才能保障你的經營活動安全運轉。
第二個關鍵詞:動態掌控。
我今天演講主題的第一句話是經營安全,在此之前,沒有人把這兩個詞這樣排列在一起。以前,我們提到網絡安全,一般都説規劃網絡安全、建設網絡安全、運營網絡安全,還有網絡安全運行。
那麼,“經營”這個詞,和以往有什麼不同呢?
在IT時代,人們認為網絡安全建設是一個簡單活兒。IT系統解決的是效率問題,比如無紙化辦公。IT系統的部署場景是固定的,比如政企機構的辦公大樓。IT系統解決安全問題的方法是隔離,不同的業務部門建設不同的網絡,叫專網,在專網的邊界上安裝簡單的安全產品。因此,IT時代,網絡安全公司的規模都比較小。
在DT時代,網絡安全發生了顛覆性變化,變成了一個複雜活。DT系統解決的是生產力問題,比如數字經濟,數據是生產要素,數據有生產、使用和交易問題。DT系統是大數據架構的複雜系統,要拆牆、拔煙囱,靠安裝簡單的安全產品或者某種“銀彈”,防住一切網絡攻擊是不可能的。DT時代,安全變成了一個複雜的過程,先是通過運營發現問題,然後針對問題完善年度建設計劃,之後再通過五年規劃升級體系建設,讓安全動起來,形成良性循環。總之,DT時代,數據的被泄密、被篡改、被刪除、被盜竊都是大事,網絡安全對政企機構造成的影響,是巨大的和致命的。
所以,我們提出了“經營”這個詞,經營安全是對網絡安全的動態掌控,只有讓安全能力動起來,不斷循環升級,才能破解複雜難題。
實現動態掌控需要三個前提條件
經營安全的第一個前提條件是目標,要讓安全能力與日俱增,保護複雜系統和複雜交易。
複雜系統,複雜交易,複雜經營,三者是動態連接的。在未來相當長一個歷史時期,新技術、新應用、新場景不斷湧現,因為新而且複雜,註定安全系統要不斷完善,需要為安全能力設定一個能夠因勢而動、因時而變、與日俱增的目標,也可以理解為用內生安全框架實現安全的彈性或擴展性。
經營安全的第二個前提條件是投入,要用足夠的資源,來滿足我們對安全無限的需求。
安全是沒有性價比的,是以結果為導向的。DT時代,網絡安全成了“一失萬無”的事,按照投入產出的因果關係,有投入才會有產出。這意味着,我們必須對安全有足夠的資源投入。這個資源既包括錢,也包括人。工信部在《網絡安全產業高質量發展三年行動計劃(徵求意見稿)》中提出,到2023年重點行業網絡安全投入佔信息化投入的比例要達到10%。
經營安全的第三個前提條件是運營,要用專業高效的安全運營服務,來抵禦複雜的網絡攻擊。
網絡安全是高度複雜的攻防對抗,尤其是在DT時代,邊界消失,連接網絡的終端泛化,給網絡攻擊者提供了充當偽裝者的條件,攻擊偽裝者混在業務之中,很難一眼看穿。再加上有些網絡攻擊者有國家背景支持,單靠政企機構自己單一的力量無法抵禦這種複雜攻擊。打個比喻,保障人身安全不能單靠個體的力量,還需要專業的警察來維護社會治安。在發達國家,把網絡安全託管給專業的安全公司來運營就非常盛行。
提升安全掌控力需要三個重要能力
有了這三個前提條件,我們還需要三個重要能力,來提升對安全的掌控力。
經營安全的第一個重要能力,是認知能力。
強大的認知能力能幫人們把握事物基本規律、判斷事物發展方向、構建自身與世界的關係。網絡安全的認知能力也是如此,只有及時看到威脅、揪出威脅、阻斷威脅,才能確保安全能力行之有效。
態勢感知是建立認知能力的核心。2016年4月19日,習近平總書記在全國網絡安全與信息化工作座談會上指出:“要全天候全方位感知網絡安全態勢。”總書記強調“沒有意識到風險是最大的風險。網絡安全具有很強的隱蔽性,一個技術漏洞、安全風險可能隱藏幾年都發現不了,結果是‘誰進來了不知道、是敵是友不知道、幹了什麼不知道’,長期‘潛伏’在裏面,一旦有事就發作了。”
這幾年,態勢感知在我國發展很快,傳統網絡安全廠商和新興的初創企業都在加大對態勢感知的投入。我們總結,目前的態勢感知主要分為三種:一種主要用於監管機構,我們稱之為監管類態勢感知;一種主要用於企業內網,我們稱之為運營類態勢感知;還一種主要用於實戰演練,我們稱之為攻防類態勢感知。
這三類態勢感知,每一類單打獨鬥都不具備全面的認知能力。有的側重互聯網宏觀態勢的監測,缺乏針對性;有的側重日常的安全運行維護,缺乏攻防能力;有的側重戰時的攻防對抗,缺乏平時常態化的運營。更為突出的問題是,只看局部不看整體,有的沒有覆蓋生產業務系統;有的沒有覆蓋三級、四級末端的網絡;有的沒有覆蓋物聯網、雲、數據庫和計算平台。
只有將這三類態勢感知有機協同在一起,形成實戰化態勢感知,才能全面提升認知能力。三類態勢感知能有機協同,需要構建統一的計算平台、標準和運營系統。有人把態勢感知等同於安全大腦,這是不全面的。它是大腦(包括五官)、四肢和武功的三合一。大腦是監管態勢,能看見威脅;四肢是運營態勢,能揪出威脅;武功是攻防態勢,能阻斷威脅。
認知能力的關鍵是安全運營。就像人的認知能力來自學習和實踐,網絡安全的認知能力來源於實戰攻防的運營,通過運營實現攻擊告警、調查溯源、攔截阻斷的往復循環。
安全運營的基礎是資配漏補。資配漏補是資產、配置、漏洞和補丁的統稱。先要把軟件、硬件、協議等資梳理清楚,建立檔案,用系統管起來。在網絡安全攻防中,人是戰鬥的士兵,資產就是城池。如果自己有多少城池都不清楚,做出的網絡安全規劃一定是不全面的。只有把自己的資產地圖畫出來,網絡攻防戰才能有規劃、有打法;我們還要做好配置管理、漏洞管理和補丁管理。只有當資配漏補都做好了,我們才能發現安全產品的不足和安全體系的缺陷。日積月累下來,不合格的產品會逐漸退出,合格的產品會越來越好,安全體系會越來越健全。
經營安全的第二個重要能力,是安全能力。
以前,我們把安全市場分為產品市場和服務市場,產品和服務是兩回事。現在,要把產品變成一種能力,把能力變成一種資源,並用服務的方式使用資源。換句話説,把安全產品能力化、資源化、服務化。
安全產品能力化,首先要把安全的硬件產品軟件化。這是一個艱鉅的任務,因為過去為了降低成本,往往選用配置較低的硬件平台。同時,為了提高性能,往往把軟件和硬件平台深度耦合。所以,把軟件從專屬的硬件平台上摳出來,適配更通用的硬件平台,幾乎需要對代碼重構、重寫;
安全產品資源化,首先要實現數據和API標準化。各種各樣的安全產品從數據採集、治理、存儲、分析,到結果輸出使用、API服務,都應該遵從統一的標準,更要與網、雲、數據、應用的標準對接。這樣,客户就可以用一朵安全雲,把所需要的安全產品以資源的形式納入其中。安全能力資源對外服務過程中產生的日誌,自然就形成了安全大數據,可以據此推出能提供更多安全能力的安全大數據中台服務;
安全產品服務化,首先要做到調度指揮。把安全能力以資源服務形式嵌入到需要的每個角落,並且這種安全能力的質量是可評估的。例如,發生網絡攻擊的當時沒有告警,但事後通過分析溯源,定位出是防火牆漏掉了這次攻擊,我們就會去改進防火牆技術,或者用資源服務的方式快速地換用其它家的防火牆。
這種安全能力服務,還便於商業模式創新。以前我們採購安全產品,通過招標確定供應商,一經選定之後,就沒有機會使用其它品牌的產品了。安全能力資源服務的形式,可以選定多家安全公司的產品部署在安全雲上,不使用不付費,依據使用的多少來結算。購買產品模式拼的是商務關係和測試方案,而能力資源服務模式拼的是實戰效果,這種模式更能推動廠家技術創新。
經營安全的第三個重要能力,是授信能力。
網絡安全的核心問題,是信任問題。比如,Wintel體系不是可信計算,所以有很多計算機病毒出現。沈昌祥院士推出的可信計算技術體系,能免疫Wintel時代的病毒。中國電子推出的PKS體系,是飛騰CPU、麒麟操作系統融合了可信華泰的可信計算以及奇安信的安全技術。
另一方面,網絡除了計算之外,更多的是人機交互,人是安全最大的變量,人的可信度成了難題;還有,數據變成生產要素之後,誰在什麼場景、用於什麼目的、可以使用什麼數據,也變成了一種授信問題。
IT時代的授信能力是粗放的和不足的。假設我們把每一次的網絡訪問都分為主體(訪問者)和客體(被訪問者)。主體有很多,比如人、IoT設備、App應用等;客體也有很多,比如業務系統應用、雲計算資源、接口、數據資源等。在傳統的認證體系裏,授信是比較粗放的,一個主體可以訪問多個客體,一個客體也可以允許多個主體訪問。這種方法有很多漏洞,廣泛地被黑客利用進行攻擊。
DT時代的授信能力是零信任體系提供的,通過動態評估信任實現動態可控。它不再絕對信任任何一個主體,而是給每個主體、每個客體附加很多屬性,以“權限最小化”原則進行授信,並且對授信持續進行動態評估。比如,賬號A是個主體,它的屬性包括機器指紋、網絡類型、IP地址、使用時間、工作職責和機器環境。再比如,數據資源B是個客體,它的屬性包括類型、敏感級別、來源、機密、隱私、連接關係、各種標籤等。以“權限最小化”原則,我們授權“A在辦公室網絡下、在專項工作期間,可以訪問非機密屬性的數據資源B”。一旦發現A的辦公室網絡屬性消失,或者專項工作的屬性消失,這個授信就自動取消。整個過程都是通過系統自動動態評估完成的。
這種授信能力是網絡安全的保障。我在《漏洞》一書中提出網絡安全的“四個假設”,“假設系統一定有未被發現的漏洞、假設一定有已發現但仍未修補的漏洞、假設系統已被滲透、假設內部人員不可靠”。
關於內部人員對網絡安全的危害程度,我在《漏洞》一書裏也披露,“85%的網絡攻擊源於內部”。
這個“源於內部”和“內部人員”是一回事,它包括人被收買、賬號被盜用、機器被利用、供應鏈被後門等,之所以被攻擊成功,就是因為我們對自己的人、自己的賬號、自己的機器、自己的認證、自己的供應商過度信任。
結語
總結起來,DT時代的網絡安全是一件複雜的事,只有經營安全,才能實現對網絡安全的動態掌控,而動態掌控力的提升有賴於三種能力:認知能力、安全能力和授信能力。
一位古希臘哲學家提出過一個著名的悖論,叫做“飛矢不動”。説的是把一隻短箭投出去,它在空中飛行,它是運動的。但是如果把時間切割開,單獨去看每一個瞬間的短箭,它是一樣的,好像並沒有運動。
“飛矢不動”的悖論告訴我們一個道理,靜止是相對的,運動是絕對的。安全也是一樣,它看不見摸不着,但是當網絡攻擊發生了,我們也就感受到了安全的存在。
這也是我今天提出在DT時代,“經營安全安全經營”這八個字的用意。和時間同在,和變化同在,和運動同在,和安全同在。我相信,只要我們攜起手來,共同經營好網絡安全防線,就一定能迎來一個更富競爭力、萬物生長的數字中國。謝謝大家!