信息化觀察網(wǎng)

9 月 9 日- 11 日，主題為 “計(jì)算萬(wàn)物 湘約未來(lái)” 2019 世界計(jì)算機(jī)大會(huì)在湖南長(zhǎng)沙舉行，奇安信集團(tuán)總裁在 9 月 11 日舉行的網(wǎng)絡(luò)安全主題論壇演講中進(jìn)一步闡釋了 “內(nèi)生安全” 概念，并系統(tǒng)介紹了如何通過(guò)體系化的規(guī)劃、建設(shè)和運(yùn)行來(lái)實(shí)現(xiàn)內(nèi)生安全。他提出，在新的信息化環(huán)境和安全形勢(shì)下，需要面向 “能力導(dǎo)向” 建立信息化系統(tǒng)的內(nèi)生安全能力。

以下內(nèi)容節(jié)選自吳云坤在該論壇上的主題演講：

云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、人工智能等新技術(shù)的加速發(fā)展和普及應(yīng)用，帶來(lái)了以云計(jì)算和大數(shù)據(jù)為基礎(chǔ)設(shè)施，以數(shù)據(jù)共享為目標(biāo)的新一代信息化建設(shè)，推動(dòng)了全球范圍內(nèi)的數(shù)字化轉(zhuǎn)型和數(shù)字經(jīng)濟(jì)發(fā)展。

與此同時(shí)，隨著數(shù)據(jù)資產(chǎn)的不斷增大和數(shù)字業(yè)務(wù)的增加，數(shù)據(jù)和業(yè)務(wù)成為攻擊目標(biāo)，商業(yè)利益訴求和恐怖破壞目的交織，組織化攻擊和網(wǎng)絡(luò)犯罪交織、外部攻擊和內(nèi)部威脅交織，威脅呈現(xiàn)多樣化、未知性態(tài)勢(shì)。

單單從安全側(cè)看攻擊和威脅，單純依賴安全領(lǐng)域的技術(shù)和產(chǎn)品創(chuàng)新，很難做到對(duì)安全的真正保障。

信息化系統(tǒng)需建立內(nèi)生安全系統(tǒng)

信息化向云化、數(shù)據(jù)化、智能化升級(jí)的過(guò)程中，云、網(wǎng)、大數(shù)據(jù)系統(tǒng)都需要改造，業(yè)務(wù)、數(shù)據(jù)和應(yīng)用都出現(xiàn)了變化，安全環(huán)境和安全需求都隨之改變。

這對(duì)于安全建設(shè)既是挑戰(zhàn)也是機(jī)遇，挑戰(zhàn)是必須有新的思維、模式、技術(shù)和方法來(lái)應(yīng)對(duì)新的安全變化，機(jī)遇是我們有機(jī)會(huì)將安全與信息化 “聚合”，與信息化一起用一種新模式，將安全體系、安全能力和安全措施放進(jìn)去，并與信息化系統(tǒng)深度結(jié)合，讓安全成為一種 “內(nèi)生能力”，而不是之前的 “外掛” 或者 “補(bǔ)丁”，這就是奇安信在 2019 北京網(wǎng)絡(luò)安全大會(huì)上提出的“內(nèi)生安全”。

內(nèi)生安全需要信息化系統(tǒng)與安全系統(tǒng)、業(yè)務(wù)數(shù)據(jù)與安全數(shù)據(jù)、IT 人才和安全人才等多要素的聚合。從網(wǎng)絡(luò)安全進(jìn)化到內(nèi)生安全，要求我們的很多安全手段和測(cè)試都要跟信息化的運(yùn)行綁在一起，所以內(nèi)生安全具有自適應(yīng)、自主、自成長(zhǎng)的特性和能力。

面向“能力導(dǎo)向”建立內(nèi)生安全能力

到底如何構(gòu)建內(nèi)生安全能力？過(guò)去的安全建設(shè)導(dǎo)向更多采用的是應(yīng)對(duì)特定威脅或面向特定的合規(guī)政策，遇到一個(gè)病毒就采取一些措施防御這個(gè)病毒，一個(gè)新合規(guī)點(diǎn)出來(lái)就上一些設(shè)備，這種創(chuàng)可貼式的建設(shè)模式，造成了安全系統(tǒng)中碎片化的產(chǎn)品堆砌，無(wú)法形成體系化的能力。

內(nèi)生安全需要面向 “能力導(dǎo)向”，進(jìn)行體系化的能力建設(shè)。

一、能力導(dǎo)向的安全體系建設(shè)中首先是強(qiáng)調(diào) “關(guān)口前移” 的規(guī)劃。

“關(guān)口前移” 并不是把防護(hù)措施前移，而是安全與信息化做同步規(guī)劃。我們?cè)诖罅康目蛻舭踩珜?shí)踐中發(fā)現(xiàn)，很多的安全措施失效、安全設(shè)備沒(méi)有發(fā)揮作用都是因?yàn)闆](méi)有在信息化建設(shè)早期的規(guī)劃階段跟安全結(jié)合。因此，要解決這個(gè)問(wèn)題就需要通過(guò)安全與信息化的同步規(guī)劃實(shí)現(xiàn)安全與信息化的深度結(jié)合和全面覆蓋，一方面借助架構(gòu)分析、設(shè)備配置、資產(chǎn)管理等信息化早期的很多手段做好安全，另一方面用好很多信息化產(chǎn)品內(nèi)置的安全機(jī)制和安全能力。

在過(guò)去的一段時(shí)間里奇安信協(xié)助多個(gè)部委、大型央企、地方政府和金融機(jī)構(gòu)，完成了新一代信息化系統(tǒng)建設(shè)和改造中的安全體系規(guī)劃和建設(shè)，為這些信息化系統(tǒng)構(gòu)建了內(nèi)生安全能力。奇安信在這些實(shí)踐過(guò)程中對(duì) “內(nèi)生安全” 有了深刻理解，也積累了大量的實(shí)踐經(jīng)驗(yàn)。這些實(shí)踐經(jīng)驗(yàn)將為政企機(jī)構(gòu)的新一代信息化規(guī)劃和建設(shè)中內(nèi)生安全能力建設(shè)發(fā)揮作用。

二、能力導(dǎo)向的安全體系要基于 “疊加演進(jìn)” 原則建設(shè)安全能力。

借鑒 SANS 的網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺基礎(chǔ)模型，安全能力建設(shè)分為五個(gè)階段，第一個(gè)階段是基礎(chǔ)結(jié)構(gòu)安全，第二個(gè)階段是縱深防御，第三個(gè)階段是積極防御，第四個(gè)階段是威脅情報(bào)，威脅情報(bào)包括了收集數(shù)據(jù)將數(shù)據(jù)利用轉(zhuǎn)化為信息，并將信息生產(chǎn)、加工為評(píng)估結(jié)果，第五階段是反制進(jìn)攻。

前兩個(gè)階段是偏靜態(tài)的綜合防御能力；第三、四階段是偏動(dòng)態(tài)的綜合防御能力，前面階段是后面階段的基礎(chǔ)，后面階段是前面階段的疊加，不同階段相互依賴，相互促進(jìn)，是疊加演進(jìn)的過(guò)程，而不是淘汰演進(jìn)或者相互替代。

比如偏靜態(tài)的綜合防御能力中的零信任是一個(gè)新的訪問(wèn)模型，它解決的是大量終端、應(yīng)用和人群在訪問(wèn)集中數(shù)據(jù)時(shí)能否動(dòng)態(tài)、能否可信的授權(quán)，不僅防外部黑客攻擊，也能防御內(nèi)部威脅。零信任的實(shí)現(xiàn)需要結(jié)合業(yè)務(wù)流程，結(jié)合業(yè)務(wù)數(shù)據(jù)，還要疊加威脅情報(bào)、大數(shù)據(jù)分析等能力。

偏動(dòng)態(tài)的綜合防御能力中的態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)，更多的是把安全能力和信息化進(jìn)行結(jié)合，基于來(lái)自前兩個(gè)階段的安全數(shù)據(jù)采集，還要結(jié)合核心應(yīng)用系統(tǒng)和業(yè)務(wù)系統(tǒng)的數(shù)據(jù)，進(jìn)行綜合研判進(jìn)行分析，從而掌握態(tài)勢(shì)、發(fā)現(xiàn)威脅，并做出處置和響應(yīng)。

在實(shí)網(wǎng)攻防演習(xí)的機(jī)構(gòu)防御中，需要云服務(wù)商、IT服務(wù)商、安全服務(wù)商和機(jī)構(gòu)的安全團(tuán)隊(duì)能力協(xié)同，聚合IT流程和數(shù)據(jù)、業(yè)務(wù)數(shù)流程和數(shù)據(jù)、安全數(shù)據(jù)等來(lái)共同應(yīng)對(duì)來(lái)自攻擊側(cè)的威脅。

無(wú)論是零信任訪問(wèn)控制、態(tài)勢(shì)感知與安全運(yùn)營(yíng)，還是實(shí)網(wǎng)攻防演習(xí)，都不是一個(gè)簡(jiǎn)單的安全問(wèn)題，而是安全與業(yè)務(wù)體系、安全與信息化體系從數(shù)據(jù)到運(yùn)營(yíng)流程的緊密結(jié)合。

三、能力導(dǎo)向的安全體系需要管理、技術(shù)與運(yùn)行一體化，強(qiáng)調(diào)實(shí)戰(zhàn)化運(yùn)行。

通過(guò)規(guī)劃、建設(shè)形成的安全能力需要有運(yùn)行、技術(shù)、人和管理規(guī)范，才能形成一個(gè)完整系統(tǒng)和體系，將能力有效輸出。

如果沒(méi)有變化則不需要運(yùn)行，但是安全是動(dòng)態(tài)的，需要面對(duì)信息化變化、產(chǎn)品變化、威脅變化、情報(bào)變化和監(jiān)管變化，需要運(yùn)行跟隨變化做不同的動(dòng)作和響應(yīng)，解決漏洞問(wèn)題和補(bǔ)丁問(wèn)題、產(chǎn)品和策略部署調(diào)整、威脅的獵殺、事件的監(jiān)測(cè)與響應(yīng)、情報(bào)數(shù)據(jù)的收集分析和溯源研判，以及安全眾測(cè)和實(shí)網(wǎng)攻防演習(xí)等。

人是安全運(yùn)行的關(guān)鍵，如果沒(méi)有相應(yīng)的人員體系，技術(shù)平臺(tái)無(wú)法有效運(yùn)行，能力就輸出不出來(lái)。

安全運(yùn)行需要具備不同技能的人員參與，把安全運(yùn)行放到人的層面，可以分為安全運(yùn)營(yíng)人員、分析響應(yīng)人員和攻防滲透人員三類(lèi)，不同人員需要不同的培養(yǎng)體系和培養(yǎng)方式。

奇安信在人才培養(yǎng)方面做了大量實(shí)踐探索，在綿陽(yáng)建立了安全運(yùn)營(yíng)人才培養(yǎng)基地，通過(guò)舉辦 DataCon 大數(shù)據(jù)安全分析比賽選拔和培養(yǎng)安全分析人才，利用安全訓(xùn)練營(yíng)和補(bǔ)天漏洞響應(yīng)平臺(tái)培養(yǎng)、聚集攻防滲透人才，通過(guò)這些方式建立起了完整的安全人員體系，得以在護(hù)網(wǎng)等實(shí)網(wǎng)攻防演習(xí)行動(dòng)中，可以規(guī)模化、體系化地投入到攻防中。

本質(zhì)安全與過(guò)程安全的結(jié)合是達(dá)到內(nèi)生安全的必由之路

內(nèi)生安全是新一代信息化的基礎(chǔ)和保障，也是安全體系建設(shè)的目標(biāo)和方向。希望信息化和安全行業(yè)把握住即將到來(lái)的十四五規(guī)劃?rùn)C(jī)遇期，由領(lǐng)先的政企單位推動(dòng)，綜合性的大型安全企業(yè)擔(dān)當(dāng)，聚合所有細(xì)分領(lǐng)域安全企業(yè)的能力，一起構(gòu)建跟信息化深度結(jié)合的融合安全生態(tài)，建立內(nèi)生安全能力為信息化投資和數(shù)字業(yè)務(wù)提供有效保障。

在我國(guó)大力發(fā)展自主創(chuàng)新信息化技術(shù)的大背景下，本質(zhì)安全與過(guò)程安全的結(jié)合是內(nèi)生安全的有效實(shí)踐，也是達(dá)到內(nèi)生安全的必由之路。中國(guó)電子戰(zhàn)略投資奇安信集團(tuán)，將中國(guó)電子基于 PK 體系的本質(zhì)安全體系與奇安信的過(guò)程安全體系和能力結(jié)合，在最底層把信息化和安全做能力的整合，通過(guò)內(nèi)生安全，實(shí)現(xiàn)信息化系統(tǒng)的真正安全可信。