吳雲坤:網絡安全的新範疇、新管理、新模式和新範式
釋出日期:2021-08-27 作者:奇安信
本文5005字閲讀約需14鍾
8月27日,奇安信集團總裁吳雲坤在BCS2021產業峯會發表主題演講時表示,網絡安全迎來了新的拐點,需要通過新範疇、新管理、新模式和新範式,將網絡安全挑戰轉化為機遇。
從先發展後治理、同步發展和治理到治理先行,這是從信息化視角看網絡安全的巨大轉折,網絡安全迎來了發展新拐點。
在數字化時代的網絡安全新徵程上,網絡安全從業者要主動轉換新角色、發展新能力、共建新生態。
內生安全框架就是通過工程化的方法,通過十大工程和五大任務來滿足各種需求,幫助客户搞好建設、做好運營,滿足各種法律法規要求。
以下為奇安信集團總裁吳雲坤BCS2021產業峯會演講全文:
尊敬的各位嘉賓,各位新老朋友,上午好!
很高興能在每年的這個時刻、在這個平台上,跟新老朋友們一起觀察、思考和判斷產業發展環境和產業發展方向。就像去年BCS大會上我提到的,產業環境就是我們的生存環境,它是池塘、河流還是海洋,將直接決定着我們的發展空間;產業方向則引領我們的發展思維和行動方略。
今天的演講題目是“網絡安全產業的新拐點與新徵程”。“新拐點”是對十四五期間產業環境的判斷,“新徵程”探討在新拐點上我們應該怎麼幹。
第一部分:網絡安全迎來發展“新拐點”
回顧網絡安全發展過去25年曆程,有人説是合規驅動,也有人説是威脅驅動,但如果我們回到一個主脈絡,就會發現網絡安全的發展其實是跟信息化的發展以及信息化對業務的影響緊密相關,這才是發展的主脈絡:隨着信息化對業務的重要性越來越大,威脅也會逐步升級,合規監管也日趨嚴格,網絡安全產業的增長速度隨之越來越快。
1995年~2004年,信息化對於業務是輔助性的,網絡安全也處於非常初級的階段:發展很慢,規模很小,每年只有幾十億規模,十年間複合增長率只有5.8%。
2005年~2014年,信息化開始跟業務結合,網絡安全也隨着合規和威脅升級變得越來越重要。安全問題開始顯性化,比如政府網站被控影響國家安全;企業財務系統感染病毒會影響生產經營。在等保合規和應對威脅驅動下,網絡安全產業開始加速,年產業規模開始超過250億,10年間複合增長率也超過了10%。
在這階段網絡安全的整體思路還是先發展後治理。
2015年到2020年,隨着全面數字化轉型,信息化與業務深度融合,信息系統的安全與業務穩定運行高度相關。
黑客組織也發現了信息化對業務系統的影響,採用更加高級的手段對信息化系統進行攻擊,比如APT組織攻擊重要系統,竊取關鍵業務數據或機密信息。
2014年習總書記提出了“網絡安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施”。國家先後出台了《國家網絡安全戰略》和《網絡安全法》,完成了網絡安全的頂層設計。
以《網絡安全法》為核心開始建立和健全網絡安全法律法規、標準規範、監督檢查機制等網絡安全治理體系。
這一階段的發展思路是同步發展同步治理:在信息化發展的同時開展網絡安全治理。
2021年開始,隨着“十四五”的到來,數字化已經開始貫穿於經濟社會發展的全領域、各層級,成為國家治理、經濟發展和社會運行的核心驅動力,數字化對於國家、企業和每個人都真正是生死攸關。
因此,國家在十四五規劃中提出數字化發展戰略的同時,也提出要統籌安全與發展。今年以來密集出台了《數據安全法》、《關基保護條例》、《個人信息保護法》、《網絡安全審查辦法》(修訂草案徵求意見稿)等法律法規、政策制度和監管手段,這些法規和手段都是超前的,強調的是治理先行。
從先發展後治理、同步發展和治理到先治理後發展,從信息化視角看,網絡安全出行巨大轉折,因此我想説,網絡安全迎來了發展新拐點。
在這個新拐點上,首先我們必須轉換視角,從業務保障看信息化,從信息化保障看安全,最終實現業務保障視角來看網絡安全;其次要轉換理念,堅持治理先行,為業務高質量發展營造健康環境;最後我們還要轉換髮展模式,用系統化和工程化的思想來發展以能力為導向的、信息化跟網絡安全深度融合的建設模式。
第二部分:新拐點上的實踐和感受
面對新拐點的網絡安全變化,奇安信在過去幾年做了一些自己的探索和實踐。
2019年,在“十三五”規劃中期調整一些重大規劃項目實踐基礎上,我們提出了“內生安全”理念,將安全和信息化深度融合,通過技術融合、數據融合、人員融合,實現網絡安全能力與信息化環境融合內生。
2020年奇安信推出了內生安全框架,把安全方法論與IT對標,借鑑信息化的EA思想,用系統工程的方法將安全從過去零散的、局部整改為主的外掛式建設模式,走向深度融合的體系化建設模式,構建出動態綜合的網絡安全防禦體系。
基於內生安全框架,2020年我們幫助很多政企機構完成了“十四五”期間面向數字化保障的網絡安全體系規劃,實現了網絡安全投資在信息化中的佔比從1%~3%,提升到了5%~10%。
2021年以來,我們開始跟客户一起,踏踏實實的幹活,把規劃形成的工程和任務,落地到甲方形成實戰化的安全體系。這就是齊總在昨天詮釋大會主題時所提出的“經營安全”:實實在在的設計、建設和經營安全體系,保障數字化經營活動安全運轉。
在這個過程中,我們遇到了一些問題和挑戰,通過創新轉變,把問題和挑戰變成了機會。
一是新範疇
以數據安全工程為例,數字化的大集成形成了疊加生長,產生了更多的應用與數據。由於數據是流動的,要在雲、網、端不同的基礎設施中,在不同的業務系統中流轉,跟不同的設施和應用形成了纏繞與交織,由此產生了很多安全空白,對安全的覆蓋度提出了挑戰。
與傳統的安全防護不同,構建大數據安全防禦體系,不僅要考慮到抵禦威脅與攻擊的數據實體與計算環境的安全防護,還要將基於零信任架構的動態細粒度訪問控制能力與業務應用結合,實現對數據流轉的精確控制,做到“主體身份可信、行為操作合規、計算環境與數據實體有效防護”;同樣在安全管理層面,除了用於安全攻防的分析、事件響應處置的安全管理中心,也還要擴展到進行權限管理、認證管理、審批管理的安全策略中心。
在這個過程中就生長出很多的新安全能力,安全的範疇發生了改變。
二是新管理
隨着數字化的深入,信息化和業務深度結合,信息化系統起到了核心業務支撐的作用,信息化成為業務生產資料,性質發生了改變,需要用管理生產資料的方式,融入到企業管理和經營過程,上升到企業更高一級的管理,這種性質的改變,對軟件供應鏈的安全管理提出了挑戰。
軟件供應鏈安全,不僅要考慮供應鏈的自主可控,防止斷供、卡脖子的問題,也要將安全與應用開發的生命週期相結合。
因此,我們需要全面梳理、掌握應用系統與供應商的整體情況,通過技術和管理手段排隱患、促能力,整改產品和供應商的現有隱患,建設供應鏈安全檢測能力,然後建機制、抓落實,形成常態化、流程化的供應商安全管理體系,構建更加安全可控的軟件供應鏈安全環境。
軟件供應鏈安全的本質是管理的轉變,包括管理理念和管理模式的變化。
三是新模式
以系統安全為例,信息化系統已經融入業務,以服務化方式成為業務的重要支撐,其中IT運維是信息化最重要的工作過程之一。以資產為核心,進行配置、漏洞、補丁整體安全管理的系統安全,是與IT運維工作關聯最緊密的安全運營工作。
系統安全需要依託大數據架構,獲取經過融合的資產信息數據、安全配置信息、漏洞信息數據、補丁數據,在系統安全平台進行數據處理、碰撞和關聯,通過指引系統安全的運行過程,通過安全策略管理以及漏洞修復等進行系統安全風險的防控。
系統安全工作不僅要落實到大數據平台和自動化工具上,還要把閉環的運行工作落到安全服務工作以及IT運維服務工作中,全面提升系統的保障能力。
原本小規模的、邊緣化的安全運營,通過流程、規程、技術、數據的融合最終融入IT運維和數字化業務運營的大流程,形成對業務的真正有效保障。
這時候安全的角色就發生了變化,已經融入了IT和業務,轉變為運營者和保障者。
四是新範式
網絡安全從原來的工具產品變成應用系統。以態勢感知為例,態勢感知是多種安全能力、安全功能集成組合成的複雜系統,是集合了多種工具、設備、平台和人的應用系統,這種複雜性給系統組合和能力集合帶來了挑戰。
態勢感知在我國已經發展多年,目前的態勢感知主要分為三種:一種主用於監管機構,我們稱之為監管類態勢感知;一種主要用於政企機構自身的安全運營,我們稱之為運營類態勢感知;還一種主要用於實戰演練,我們稱之為攻防類態勢感知。在這個過程中,奇安信也一度發現態勢感知的發展,總是很難完全跟上不同類型客户的變化需求。
我們意識到,態勢感知不再是一種獨立的安全工具,其本身也需要符合大數據平台與應用的標準,去構建基於元數據驅動的數據平台、數據服務與安全應用。解決數據接入、處理、數據組織、數據治理、數據服務、模型資源、業務應用組件等問題。這樣一來,態勢感知的構建,也成為了一個複雜的數據平台與應用系統的構建過程。
從原來的工具、設備轉變成為平台系統,這就帶來了安全範式的轉變。
無論是範疇的轉變、管理模式的轉變、運行模式的轉變還是安全範式的轉變,都是在新拐點上,安全與信息化深度融合過程中,我們必須要面對的挑戰和機會。
第三部分:新角色、新能力、新生態
在數字化時代的網絡安全新徵程上,網絡安全從業者要主動轉換新角色、發展新能力、共建新生態。
第一,我們需要從旁觀者轉變為共同建設者。
在建設過程中,安全從業者要從一個旁觀者、一個滯後的配套工作者轉換為積極的共同建設者,因為數字化時代,安全是前提而不再滯後,與信息化是一體兩翼,以內生的方式,通過同步規劃、同步建設和同步運營全程參與到數字化建設中。在運營過程中,安全從業者要把安全從審計、檢查、整改的檢查者轉變為運營職能的主動承擔者,融入網絡和IT運營流程,成為數字化業務運營大流程的一部分。
這個轉變就是我們要從有限責任成為無限責任承擔者:隨着信息化對業務的重要性越來越高,安全的重要性也越來越高,安全深度參與到了信息化和業務發展和運營中,需要真正承擔起確保業務安全的無限責任。
第二,在強化非功能性能力的基礎上,拓展功能性新能力。
威脅導向的安全能力,比如態勢感知、威脅情報、威脅監測等對於信息化系統是非功能性,技術上自成體系,脱離於信息化之外,但對於應對威脅不可或缺,需要伴隨着威脅的不斷升級持續強化。
除了強化非功能能力,更重要的是要拓展原本缺失的安全能力,融入業務和應用,成為功能性能力。比如攻擊面管理、沙箱、UBA這些原本外掛的能力隨着積極防禦的演進,開始進入信息化和業務循環,成為功能性能力。
在建設層面通過安全左移的DevSecOps,進入應用從開發到應用的全流程;在運營層面把流程、技術、數據融入IT和業務運營的大流程,融入數字化的業務運營,都是將安全拓展成為數字化業務功能性能力的舉措。
通過功能性能力的發展,原本業務和信息化對安全的恐懼就會慢慢降下來,安全反作用於信息化和業務的變革,由障礙變成為推力,真正成為數字化生產力。
第三,產業鏈中的各環節需要融合發展,共同構建新安全生態。
之前的安全生態是安全廠商的生態,更像是我們圈子內的事情。在現在的數字化時代,安全生態亟需破圈,打破小圈子。在甲方的安全生態中,不僅有安全處、安全口的人和組織,還需要加入信息化處、數據辦、業務部門,甚至和企業管理層建立起覆蓋數字化業務全流程的、各層級的真正的數字化安全生態。
在乙方的安全生態中,不僅有安全廠商,還必須把大的集成商、平台廠商、科技廠商、信息化服務提供集成商結合在一起,構成包含數字化建設全過程、各環節的一個新的數字化安全生態,推動數字化時代的安全,承擔起數字化使能者的使命,讓安全成為數字化生產力,成就美好的數字化未來。
隨着法律法規密集出台,今天的網絡安全市場一片欣欣向榮,但是作為一個從業者,我也有很多擔憂,這麼多的法律法規,每一個都自成一個體系,有自己的範疇、有各種要求,而且要求越來越高,但是作為任何一個企業,在數字化過程中,正處在IT與業務變革的探索中,可能沒有太多的精力去逐一實現所有體系的每個條款,只能集中力量辦大事。
我們提出的內生安全框架就是通過工程化的方法,通過十大工程和五大任務來滿足各種需求,幫助客户搞好建設、做好運營,滿足各種法律法規要求。所以希望我們大家在一起,基於內生安全框架,腳踏實地推動每個工程的落地,滿足每一條法律法規的要求,真正助力國家和政企十四五的數字化轉型,這就是我們在新拐點上的新徵程。