信息化觀察網(wǎng)

我和我的網(wǎng)安之路

在互聯(lián)網(wǎng)與人們生活關(guān)系如此密切的今天，網(wǎng)絡(luò)像水、電一樣走進(jìn)千家萬戶，成為生活必不可少的一部分。網(wǎng)絡(luò)安全引發(fā)的問題日益普遍，其危害性愈發(fā)嚴(yán)重，維護(hù)網(wǎng)絡(luò)安全已經(jīng)上升為國家安全戰(zhàn)略。“我和我的網(wǎng)安之路”是對國內(nèi)網(wǎng)絡(luò)安全大咖的系列專訪，他們中有國內(nèi)頂級網(wǎng)絡(luò)安全學(xué)者、著名白帽子、CTF挑戰(zhàn)賽冠軍、名校教授、權(quán)威測評機(jī)構(gòu)專家、青年創(chuàng)業(yè)者等。通過傾聽一線網(wǎng)安從業(yè)者真實(shí)的聲音，向大家呈現(xiàn)當(dāng)今網(wǎng)絡(luò)安全世界的生動景象。

嘉賓：白小勇，北京煉石網(wǎng)絡(luò)技術(shù)有限公司創(chuàng)始人、CEO，北京理工大學(xué)碩士。擅長密碼應(yīng)用、數(shù)據(jù)安全，開創(chuàng)性的將CASB云訪問安全代理技術(shù)改進(jìn)并融入企業(yè)私有場景，實(shí)現(xiàn)應(yīng)用免改造的細(xì)粒度數(shù)據(jù)防護(hù)，在密碼數(shù)據(jù)安全等領(lǐng)域具有多項發(fā)明專利。

索引

數(shù)據(jù)安全密碼應(yīng)用實(shí)踐者白小勇：密碼安全創(chuàng)新重點(diǎn)在于融合密碼與其他安全技術(shù)一體化；密碼應(yīng)用的一個新視角是面向切面加密；采用主動式防護(hù)手段保護(hù)數(shù)據(jù)安全；合規(guī)與實(shí)戰(zhàn)兩者并不沖突，而是互為辯證、互相促進(jìn)的兩類需求；密碼和業(yè)務(wù)、新技術(shù)場景的融合是大趨勢；安全法律法規(guī)的一個目的是讓安全成為公共產(chǎn)品。

01緣起安全技術(shù)沙龍

我研究生畢業(yè)后，在用友公司工作了10年，參與和負(fù)責(zé)財務(wù)ERP領(lǐng)域的應(yīng)用安全開發(fā)架構(gòu)。一次機(jī)緣巧合，我參與到“逐鹿安全沙龍”技術(shù)圈，開始接觸了解安全行業(yè)。過去，應(yīng)用和安全看似是交集很少的兩個圈子，但我們認(rèn)為安全應(yīng)該內(nèi)建到應(yīng)用中（Build Security In），方能對業(yè)務(wù)和數(shù)據(jù)進(jìn)行有效防護(hù)。我意識到將安全與應(yīng)用深入融合會很有價值，是個可深入挖掘的思路。當(dāng)時，數(shù)據(jù)安全市場已經(jīng)開始加速發(fā)展，我于是選擇離開了用友，“跨界”到網(wǎng)絡(luò)安全行業(yè)，于2015年2月創(chuàng)辦煉石公司，開啟創(chuàng)業(yè)新征程。

02網(wǎng)絡(luò)與數(shù)據(jù)并重的安全建設(shè)成為趨勢

無論是數(shù)字經(jīng)濟(jì)還是新基建，數(shù)據(jù)安全都是重中之重。對于數(shù)字經(jīng)濟(jì)的一個直觀理解是數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化，前者是把IT相關(guān)的產(chǎn)業(yè)做大，后者是用IT的手段把非IT產(chǎn)業(yè)進(jìn)一步提升；新基建包括信息基礎(chǔ)設(shè)施、應(yīng)用基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施。綜合來看，密碼和安全技術(shù)均應(yīng)服務(wù)于發(fā)展和業(yè)務(wù)，2016年習(xí)總書記在419講話中提出“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)”，數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，安全必將如影隨行。

從用戶需求角度來看，安全和業(yè)務(wù)相結(jié)合相對滯后，比如《個人信息保護(hù)法》、《數(shù)據(jù)安全法》等法律尚未通過，有些法律已生效但在具體執(zhí)行落實(shí)方面亟待強(qiáng)化。對用戶而言，若監(jiān)管手段沒有落實(shí)到位，企業(yè)在評估風(fēng)險的時候可能會考慮數(shù)據(jù)泄露對企業(yè)會有什么實(shí)際影響，對數(shù)據(jù)加密保護(hù)有什么實(shí)質(zhì)收益？這就引發(fā)了外部經(jīng)濟(jì)學(xué)問題，當(dāng)消費(fèi)建設(shè)方和受益方不一致，建設(shè)可能就不足了。當(dāng)然積極的看，安全建設(shè)一直是在被“打臉驅(qū)動”和“合規(guī)驅(qū)動”疊加推進(jìn)和發(fā)展，網(wǎng)絡(luò)安全與信息化建設(shè)的同步規(guī)劃、同步建設(shè)、同步運(yùn)維是大勢所趨。

回到現(xiàn)實(shí)，當(dāng)前我國的安全支出在整個IT產(chǎn)業(yè)中占比非常小，遠(yuǎn)低于美國，這是當(dāng)前我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的結(jié)構(gòu)性問題，同時這也意味著未來安全市場的增長潛力。從十四五國家頂層規(guī)劃來看，安全已經(jīng)被提到了一個新高度。安全管理不僅是木桶效應(yīng)，木桶效應(yīng)指整體防護(hù)水平取決于短板，安全管理更像是一個火藥桶效應(yīng)，哪個點(diǎn)出了問題，整個體系就直接炸了?？偟膩碚f，信息產(chǎn)業(yè)的安全能力薄弱，面臨著嚴(yán)峻威脅，而這也給安全行業(yè)帶來發(fā)展機(jī)會，尤其是技術(shù)創(chuàng)新驅(qū)動的“新安全市場”。

過去，企業(yè)安全建設(shè)側(cè)重用防漏洞和補(bǔ)漏洞的思路來保護(hù)數(shù)據(jù)，比如防火墻、反病毒、IDS，也就是“以網(wǎng)絡(luò)為中心的安全”。然而，網(wǎng)絡(luò)漏洞在所難免，我們需要采用更加主動的防護(hù)手段，即直接對數(shù)據(jù)本身進(jìn)行加密、訪問控制、安全審計等，這就是“以數(shù)據(jù)為中心的安全”，未來企業(yè)安全建設(shè)趨勢將成為網(wǎng)絡(luò)安全與數(shù)據(jù)安全并重發(fā)展。

傳統(tǒng)的安全防護(hù)模型，從外到內(nèi)依次是物理環(huán)境安全、系統(tǒng)安全、應(yīng)用安全、主機(jī)安全，最內(nèi)核是數(shù)據(jù)安全。這個模型僅適用于保護(hù)“靜態(tài)數(shù)據(jù)資產(chǎn)”，到今天已經(jīng)不太適用了。因為數(shù)據(jù)貫穿流轉(zhuǎn)于基礎(chǔ)設(shè)施、中間件、業(yè)務(wù)應(yīng)用等信息系統(tǒng)的每一層，和其他層更像正交關(guān)系，就好比人有軀干、大腦、四肢，但是血液在全身流動。數(shù)據(jù)就是信息系統(tǒng)中的血液，而數(shù)據(jù)安全本質(zhì)上是在數(shù)據(jù)流經(jīng)過的關(guān)鍵節(jié)點(diǎn)上，對數(shù)據(jù)施加安全規(guī)則。加密和訪問控制都是事前的防護(hù)手段，其中加密是在開放環(huán)境中保護(hù)數(shù)據(jù)，而訪問控制則通過構(gòu)建封閉環(huán)境保護(hù)數(shù)據(jù)；安全審計是事后的防護(hù)手段，用于分析追溯問題。

網(wǎng)絡(luò)與數(shù)據(jù)安全互為補(bǔ)充，安全現(xiàn)在面臨的問題不是做的過多導(dǎo)致冗余，而是出血口太多、目前防護(hù)能力遠(yuǎn)不夠。事實(shí)上，應(yīng)用系統(tǒng)、安全產(chǎn)品、基礎(chǔ)設(shè)施都潛藏著漏洞，或者存在考慮不周的安全設(shè)計缺陷，好的安全理念應(yīng)該是面向失效的安全機(jī)制，通過有聯(lián)動協(xié)同的縱深安全機(jī)制，構(gòu)建有效防線。

03在數(shù)據(jù)安全密碼應(yīng)用中尋找增量市場

對安全創(chuàng)業(yè)公司來說，既要了解最新的前沿技術(shù)進(jìn)展，又要發(fā)現(xiàn)用戶內(nèi)在和外在的需求，然后提供有競爭力的產(chǎn)品幫用戶解決問題。數(shù)據(jù)安全產(chǎn)業(yè)有很多技術(shù)前沿方向亟待突破，比如數(shù)據(jù)眾包、數(shù)據(jù)外包，我們希望外包公司處理數(shù)據(jù)和數(shù)據(jù)計算，但是不希望這些公司掌握機(jī)密數(shù)據(jù)，這意味著一些特定的數(shù)據(jù)需要進(jìn)行密文狀態(tài)計算，在這方面學(xué)術(shù)進(jìn)展還處于偏早期的階段，實(shí)現(xiàn)產(chǎn)業(yè)應(yīng)用規(guī)模化或許還需要一些時間。

安全創(chuàng)業(yè)企業(yè)想要從巨頭環(huán)伺中逆襲突圍，就需要找到有效的增量市場，我認(rèn)為圍繞業(yè)務(wù)應(yīng)用做數(shù)據(jù)安全是一個有效的著力點(diǎn)。其中，密碼技術(shù)可直接作用于數(shù)據(jù)，利用密碼在身份鑒別、數(shù)據(jù)加密、信任傳遞等方面的作用，能夠重構(gòu)數(shù)據(jù)安全防線。密碼作為數(shù)據(jù)安全的殺手锏技術(shù)和核心支撐，在政務(wù)、金融、教育、醫(yī)療、文旅、制造業(yè)、電信及工業(yè)互聯(lián)網(wǎng)等關(guān)乎國計民生的領(lǐng)域大有可為。當(dāng)然，我們應(yīng)當(dāng)避免“唯密碼論”，僅采用密碼技術(shù)難以構(gòu)建有效防護(hù)，需要將訪問控制、審計等其他安全技術(shù)與密碼一體化融合。2018年國家頂層密碼規(guī)劃36號文明確提出，要構(gòu)建“以密碼技術(shù)為核心，多種安全技術(shù)相互融合”的網(wǎng)絡(luò)安全體系，倡導(dǎo)密碼保密一體化。2020年1月1日《密碼法》正式實(shí)行，將密碼應(yīng)用的相關(guān)制度上升為國家法律，明確要求關(guān)鍵信息基礎(chǔ)設(shè)施等使用商用密碼保護(hù)網(wǎng)絡(luò)安全。基于此，煉石網(wǎng)絡(luò)定位是一家將密碼技術(shù)與訪問控制、審計等技術(shù)相結(jié)合的數(shù)據(jù)安全產(chǎn)品公司，基于用戶的行業(yè)流程和復(fù)雜多樣的業(yè)務(wù)場景，提供綜合的數(shù)據(jù)安全解決方案。

盡管國內(nèi)商用密碼行業(yè)相比于國外起步晚，密碼算法的設(shè)計和標(biāo)準(zhǔn)頒布也相對滯后，但我認(rèn)為在目前的大部分業(yè)務(wù)場景中，商用密碼算法可以做到對國外算法的等效替換。等效替換指的是對原來采用AES/RSA/SHA等國外算法的場景，換成SM2/3/4等商用密碼也不會影響業(yè)務(wù)運(yùn)行。密碼產(chǎn)業(yè)包含算法、產(chǎn)品、應(yīng)用等環(huán)節(jié)，過去做密碼，多集中在做密碼算法、密碼產(chǎn)品，而密碼應(yīng)用占據(jù)最大價值鏈分配、但相對薄弱。密碼監(jiān)管機(jī)構(gòu)抽查的全國一萬個等保系統(tǒng)中，完全沒有密碼的系統(tǒng)占大概75%，剩余25%的系統(tǒng)僅有很小的比例采用國密，并且也只是淺層次的應(yīng)用國密。

所以在這樣的產(chǎn)業(yè)背景下，當(dāng)前密碼法和配套法規(guī)都在強(qiáng)調(diào)密碼應(yīng)用，但是這些行業(yè)內(nèi)并沒有廣泛使用國密，究其根本原因是推廣比較復(fù)雜，所以普及國密需要多管齊下：需求側(cè)規(guī)劃引導(dǎo)，供給側(cè)持續(xù)優(yōu)化，監(jiān)管手段也得隨之升級。當(dāng)前商用密碼產(chǎn)品亟待在好用易用方面改進(jìn)提升，傳統(tǒng)技術(shù)路線會基于密碼機(jī)硬件設(shè)備提供SDK讓用戶進(jìn)行密碼整改，而這會給應(yīng)用開發(fā)人員帶來較大負(fù)擔(dān)，因為整改意味著要投入人力。

為了進(jìn)一步降低其密碼使用門檻和集成工作量，煉石在這個痛點(diǎn)問題上做了深入探索，提出免開發(fā)改造應(yīng)用的數(shù)據(jù)加密技術(shù)路線，對應(yīng)用運(yùn)行不影響，也避免實(shí)施加密帶來業(yè)務(wù)風(fēng)險，在快速解決合規(guī)問題的同時，也能有效提升實(shí)戰(zhàn)防護(hù)能力。

04面向切面的安全新思路

我們把密碼和應(yīng)用相結(jié)合的技術(shù)路線稱為面向切面加密，用加密代指安全，實(shí)際上它是面向切面的安全體現(xiàn)，這是一個比較新的視角。有效的安全防護(hù)模型，是把安全防護(hù)能力和用戶身份、數(shù)據(jù)字段等業(yè)務(wù)場景緊密結(jié)合，以金融行業(yè)個人信息保護(hù)為例，從監(jiān)管的角度已經(jīng)提出了一些要求，要將個人信息分成一類、二類、三類，不同的分級意味著安全措施和業(yè)務(wù)場景緊密結(jié)合，但是如果按傳統(tǒng)思路進(jìn)行結(jié)合，往往會給應(yīng)用帶來比較大的負(fù)擔(dān)。而面向切面的加密實(shí)現(xiàn)了在數(shù)據(jù)流經(jīng)的關(guān)鍵咽喉要道，以切面的思路能讓安全能力和業(yè)務(wù)應(yīng)用深入融合，但在技術(shù)上又是解耦的，所以不需要改造現(xiàn)有應(yīng)用系統(tǒng)，僅需通過配置即可實(shí)現(xiàn)安全增強(qiáng)。進(jìn)一步的，從安全能力看，流動數(shù)據(jù)本身沒有邊界，我們的做法是把數(shù)據(jù)放在一個安全增強(qiáng)點(diǎn)上進(jìn)行加密，用這種方式給數(shù)據(jù)重新塑造了一個虛擬邊界，在解密點(diǎn)上結(jié)合用戶身份進(jìn)行脫敏等訪問控制，這樣就構(gòu)建了一個“防繞過”的訪問控制、高置信度的訪問審計，不僅可防范外部攻擊，也可以防范內(nèi)部業(yè)務(wù)人員越權(quán)。

此外，結(jié)合數(shù)據(jù)在業(yè)務(wù)流轉(zhuǎn)中的安全風(fēng)險應(yīng)對，我們在探索“以數(shù)據(jù)為中心的安全防護(hù)技術(shù)模型”，面向時間維度的傳輸、存儲、使用等數(shù)據(jù)形態(tài)，結(jié)合空間維度的基礎(chǔ)設(shè)施、中間件、業(yè)務(wù)應(yīng)用等分層，施加NIST IPDDR模型中的發(fā)現(xiàn)、防護(hù)、檢測、響應(yīng)、恢復(fù)等不同安全能力，分階段規(guī)劃企業(yè)數(shù)據(jù)安全防護(hù)能力成熟度，幫助企業(yè)實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)能力螺旋式提升。

05懂是非、守正義

首先，我認(rèn)為網(wǎng)絡(luò)安全行業(yè)的從業(yè)者，對于是非正義一定要有特別清晰的認(rèn)知，也要有很強(qiáng)的法律意識，因為網(wǎng)絡(luò)安全的對立面是龐大的黑產(chǎn)、灰產(chǎn)。

其次，網(wǎng)絡(luò)安全行業(yè)對于技術(shù)能力的要求非常高，搞業(yè)務(wù)開發(fā)僅需清楚如何使用Java調(diào)用數(shù)據(jù)庫，而安全還要分析數(shù)據(jù)庫的協(xié)議、以及密碼應(yīng)用等，所以安全對人才能力的要求普遍要高于業(yè)務(wù)。

再次，業(yè)務(wù)本質(zhì)上是和自然規(guī)律對抗，比如業(yè)務(wù)高峰如何實(shí)現(xiàn)高并發(fā)，而安全是對人的動態(tài)對抗，攻防兩側(cè)永遠(yuǎn)是道高一尺魔高一丈，安全面臨著時間、空間等維度全面開放的無止境對抗環(huán)境，加上新技術(shù)場景又會帶來新攻防手段，所以安全行業(yè)是“技術(shù)常青樹”。

最后，每位從業(yè)者進(jìn)入安全行業(yè)需要抱有初心，先守正、再出奇，順序不要搞反。

目前，國家十四五頂層規(guī)劃已經(jīng)把安全上升到與發(fā)展統(tǒng)籌協(xié)調(diào)的新高度，數(shù)據(jù)安全也迎來了前所未有的發(fā)展機(jī)遇。我覺得創(chuàng)業(yè)于網(wǎng)絡(luò)安全行業(yè)，始終都應(yīng)保持積極奮進(jìn)的工作狀態(tài)。創(chuàng)業(yè)者應(yīng)當(dāng)戰(zhàn)略上樂觀的看待大方向，戰(zhàn)術(shù)上謹(jǐn)慎的做好每一個細(xì)節(jié)；而在今天面臨全球疫情、經(jīng)濟(jì)形勢調(diào)整的艱難環(huán)境下，企業(yè)服務(wù)創(chuàng)業(yè)者當(dāng)下最要緊的是扎實(shí)修煉內(nèi)功，打磨產(chǎn)品、服務(wù)客戶、把控好現(xiàn)金流，步步為營，企業(yè)服務(wù)創(chuàng)業(yè)特別考驗個人對行業(yè)的理解、技術(shù)水平、以及人脈等，創(chuàng)業(yè)者也應(yīng)當(dāng)保持強(qiáng)烈的求知欲，不達(dá)目的不罷休的干勁，實(shí)現(xiàn)自身能力螺旋式提升，帶團(tuán)隊持續(xù)前進(jìn)、奪取勝利，不負(fù)時代不負(fù)己！