从信息安全的本质看网络安全法 访平安集团信息安全总监戎国强

作者:星期五, 五月 26, 20170
分享:

网络安全法发布以来,安全牛走访了多家各行业安全相关领域的人员,分别从不同角度对其进行了解读。在其中的一次采访中,平安集团信息安全总监戎国强先生,从信息安全本质出发谈起,将安全的深刻内涵延伸至法律层面,显现出个人对信息安全认识上的独到见解。

安全牛现将采访内容整理如下,供业内人士参考与分享。

戎国强

个人简介

戎国强,互联网通信技术专家,平安集团信息安全总监、首席信息官办公室主任、平安科技副董事长,深圳平安讯科技术有限公司董事长,毕业于上海大学工学院计算机辅助设计专业,上海中欧工商管理学院EMBA学位。

一、科技飞速发展带来的裂痕

安全牛:从最早的网络安全到信息安全,再到现在的网络空间安全,您如何看待安全的发展变化?

戎国强:的确,信息安全始终处于变化当中,尤其是随着互联网、智能设备的发展,令其变化更加的迅速和复杂。正如习近平主席在4.19“网络安全和信息化工作座谈会”讲话上总结的:“网络安全是动态的而不是静态的”,因此也对企业整体的系统性安全防护应变能力提出了更高的挑战。但是,万变不离其宗。如果我们从信息安全问题的本质去考虑问题,许多事情就会豁然开朗。

首先,我们要认识到,信息安全如此复杂多变的原因何在。我认为,这是现代企业“裂变式”的发展而造成的。信息化的极大进步,企业的业务快速甚至是飞速增长,以前多少年才能达到的业务规模,在云计算时代已经可以用天来计。在这种“可怕”速度的发展下,信息系统出现“裂痕”或说漏洞是再自然不过的事情,是不可避免的。

认识到这一点之后,你就会发现,当前许多从业人员和绝大部分非从业人员,对信息安全问题的认知与现实是脱节的,是有偏差与谬误的。比如,某些创业公司拿到了风投,开始企业建设,但有几个公司会专门考虑信息安全方面的投入呢?他们都认为信息安全是以后考虑的事情。还有些公司认为该买的设备都买了,该做的动作和步骤都做了,设备发挥作用了,安全就做到位了。显而易见,这些观点是不合时宜的。

安全牛:也就是说,信息安全是一个永远对抗的过程,是一个动态稳定的过程?

戎国强:是的,可以这样说。其实也可以从另一个角度去思考,信息安全问题的暴露是由三个角色组成的,受攻击(保护)的对象,防护设备,和攻击(防护)人员。信息安全问题的暴露是需要这三者同时存在的,但不管暴露与否,缺陷或风险是客观存在的。需要不断地升级,不停的打补丁逐渐弥补缺陷,并永远做下去。同样,习主席在4.19讲话上也指出了“ 依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念”的观点。

上述错误的信息安全认识其原因又在哪里?中国经济的特点是实用性很强,但是有着大量的重复,非常缺少原创性。由于这两多一少,很多人的心态、意识和观念都有强烈的跟随效应,包括信息安全。目前很多企业堆积着安全产品就是在跟风,其他家买了的产品我们也要跟着买,否则就不安全。还有企业试图把信息安全完全掌控,实际上这是一种对综合复杂体的管控思维,是无法做到的。哪怕国内有很多技术非常强的安全专家和技术,但是当不同层面的专家、技术合在一起的时候,就会出现整体性、架构性、系统性的问题。

网络安全法的实施,这正好是一个重新建立新的安全体系契机。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,认清信息安全的本质,我们的网络安全水平才会不断提高。

二、动态边界:从防范、感知到响应的三位一体

安全牛:那么,具体一些来讲,您认为信息安全怎样建设才能够更适应于当前的飞速发展?

戎国强:我是做金融行业的,可以结合我们自身在发展过程中遇到的问题谈一谈。最重要的一点,就是信息安全观一定要上从领导下至全员进行转变,建立起从防范到感知再到响应的三位一体的安全体系。

刚才谈到,现在的经济发展是快速、开放,甚至是粗暴的,所以才出现了裂痕。而传统的 “围墙”式的防御方式,早已不适用于当前瞬息变幻的信息安全形势。边界小会制约业务发展,边界大安全性又成了问题。如何解决?需要我们去动态调整围墙的大小。所谓的无边界,不如解释成动态边界。想做到动态边界,则需要实时的感知安全威胁。想实时的感知威胁,则需要“传感器”,也就是各种获取数据的设备。

俗话说“世上没有不透风的墙”,网络安全也一样。一旦围墙被突破,那么防线就只有后退,即安全响应这道防线来保护组织的安全。当然这里的响应不仅仅发生在围墙被突破之后,响应应该是贯穿安全防护整个生命周期的,而且包含了对内和对外两个维度的操作。

安全牛:平安集团的信息安全工作是怎样的,是否结合了您上面说的安全理念?

戎国强:理念到实施是需要时间和过程的,但平安集团的信息安全工作一直都进步很快,在全体信息安全工作人员的积极努力下,成效明显。比如在感知方面,虽然平安集团有20多家子公司,但我们尽量形成了一个相对统一的感知平台,以达到信息共享和及时响应的能力。同时全集团形成了有效的组织和配置,在工作流程中逐渐加入安全要素,这种感知平台至少在金融行业,还是比较领先的。

安全牛:您说的这套防护理念,正好对应于我们安全技术所讲的PDR模型,预防、检测和响应。

戎国强:我只是从需求方的角度来考虑,但实际上这套体系的建立是需要借助众多安全公司的力量。说到这里,有一个现象我认为需要纠正。

安全公司当然愿意甲方花钱购买安全产品和设备,但如果想真正的提升安全防护,达到防范、感知、和响应的体系化,以准确把握网络安全风险的规律、动向和趋势,则远非销售安全产品所能达到,更多的要依靠自身软性实力的提升。

三、安全产品与服务能力的分离

安全牛:您的意思是强调服务、去产品化,正如2015年RSA大会上的“砸盒子”?

戎国强:也没那么极端,因为标准化的产品还是必要的,我主张的是安全产品与服务的分离。类似于SDN(软件定义网络)中的控制平面与数据平面相分离的设计思想,这种分离更有助于整体安全防范能力的提升。新兴安全厂商的价值应该由其提供的安全服务能力来衡量,而不是简单的从产品销售角度来考虑。

如果安全厂商的安全防护能力从产品化上升到服务化,不仅可以更好的服务于客户,同时还可以覆盖更广范围、更具分享经济的信息安全保障建设,企业可以按需付费、按时付费,大幅度的降低成本增加效率。但目前纵观各大安全厂商,能提供这种安全服务能力的还是凤毛麟角。更多的还是以产品销售为主,服务能力提供为辅。

因此,我希望未来出现更多的以提供服务为主的安全企业,将来的发展趋势也一定是安全服务能力与产品能力分离。围绕标准化的安全产品,谁的服务能力更强,服务更细化,谁就能获得更广大的市场。当然,这一切还有待于从国家到企业自上而下的安全建设理念的形成,同时也需要信息安全市场的完善发展。但这个趋势是直观存在的,放眼国外的安全服务市场已经远超安全产品市场。这种服务与产品的分离、细化,将更加促进创业和就业,使得整个信息安全产业更加有机与健康。

四、数据已成为生产要素

安全牛:刚才您谈到了信息安全问题的本质,以及它的保障体系和未来方向,那么从本质或根源的角度,您又如何看待信息安全的核心保护对象,数据呢?

戎国强:信息时代,数据的重要性已毋庸多说。阿里讲DT时代,360讲数据驱动安全,大家都知道数据是核心资产。但我想提出一个更为本质的观点,数据不仅是核心资产还是生产资料,而且越来越成为核心的生产资料。

安全牛:听上去像是在讲资本论,如何理解?

戎国强:对于企业来说,有生产资料才能制造产品,然后销售出去才能有收入。但不管是固定资产还是流动资产,如生产厂房、设备、办公用品,还是原材料、现金、存款、存货等,这些全都是成本损耗性质的,随着时间的推移和每一次的流通使用,都会逐渐消耗同时计入资产负债表的成本一栏。

而数据则不然。数据在流通使用的过程中,不仅不会损耗,还会随着流通与关联不断增值。可以想像,那些以损耗资产输出产品的传统企业,拿什么来与成本不断增值的企业竞争呢?未来,数据必将成为企业的生产要素,全社会企业的生产赢利模式,将迎来翻天覆地的变化。

五、终极的信息安全是透明的

安全牛:数据不仅是核心资产,还是核心生产资料,既然如此的重要,那就更意味着对数据保护的无比的重要,刚才您谈到攻防无止境,那从未来的趋势和概念上讲,又该如何更好的保护数据呢?

戎国强:你这个问题问的很好。想要解答这个问题,我们又得回归信息安全的本质。也许每个组织、每个人都在界定自己认可的信息安全定义,而我对信息安全的定义是,“主体在希望或要求所发出的信息在流动时,其流动管道是事先预知的,是事先定义的、是可控的”,只有真正的满足这个定义,才谈的上真正的信息安全。

安全牛:这个定义有些哲学的味道,能否通俗的解释一下?

戎国强:是这样,例如在微博、Facebook等社交网络中发布信息的时候,你是希望所有人看到还是只能部分人看到?这些信息都是你按照个人意愿发布的,而且谁看谁不看是可控的。再说的直白些,就是用户在同意或预知后果的情况下的信息流动,超出这种信息流动的范围或管道,就是不安全的。这里, “管道”和“预知”是信息安全定义中的两个关键词。

有了管道的概念,就可以在生产流程各个环节中和生产要素(指数据)中植入信息安全,从而进一步促进生产。

这里我又想到一个例子,如传统安全技术都是有罪推断的,所谓的“零信任”。因此大量的工作都需要前置,如账号口令、生物识别、多因子认证等技术。但这种方式的问题在于,简单就不安全,太复杂则会妨碍业务的快速发展。但如果信息安全是基本属性呢?用户无感呢?在工作的时候,不用分心去考虑怎样做才会安全;即把安全透明化,这种工作环境才是安全的终极追求。

安全牛:听起来有点过于理想化。

戎国强:当然,我讲得只是未来的终极演变。如同人工智能和机器人世界,目前来看虽然不可能达到,但路径是有的,方向是存在的。关键是我们对信息安全本质上的认识,如何在生产流程的各个环节把信息安全这一必备生产要素融合进去。

例如,在生产过程中就将客户信息分类分级进入流程,这就很容易发现安全隐患。同时通过信息安全管道化的概念,将安全要素进行提炼,分散到生产的每个环节当中。安全需求变成了生产要素,安全也就透明化,并且结合数据安全的保护和数据产权的保护,才能最终达到大力促进业务发展的目的。

六、二次相关性是解决个人信息使用难题的关键

安全牛:您在这里又提到了数据产权的概念,我们知道网络安全法即将实施,其中很重要的一块就是对个人信息的保护,但目前企业普遍反应个人信息的使用与责任的界定很难,作为有着大量个人信息的金融行业信息安全负责人,您又是如何看待个人信息保护呢?

戎国强:其实这个问题也并不复杂。从个人信息保护的角度来看,知识产权法早就规定了数据是具有产权属性的。但数据应当在合理主张的一定范围内的产权属性才有意义,比如我们在使用各种互联网服务的时候,所产生的地理信息、购买信息、支付信息等,一定是会被提供服务方收集并分析的,否则无法提供服务,这里的服务方就是数据的一次相关方。

信息安全对数据的保护,实质是数据在流动过程当中,各种数据的产权属性得到保全,与之关联的各方权益得到保障。也就是说在当事人知情、同意,并在一次相关性不受侵害的前提下,授权使用方进行使用。

刚才说过,一般生产要素使用是会产生折旧,但数据是特殊生产资料,它是越用越有价值。所以从发展的本质上看,数据一定要流动从而产生更多的价值,而这也就意味着数据将产生二次相关性。当由于二次相关性带来的对数据加工和使用的时候,则要在去除敏感性的同时,保证当事人或数据拥有者的知情权,并取得允许。牢牢把握二次相关性的界定,责任和权利就非常容易区分了。

从知识产权的角度来看,如果国家层面或政策决策层面,把数据的保护与产权法相关连,能够遵从数据的产权和产权定义规则,行使数据各类保护行为和措施,大家对数据的保护才能更具可操作性。只有当数据的各种产权属性得到保护,各方的权益都得到保障,数据才会健康流动,才能促进业务的发展,才会给整个社会带来更大的价值。信息安全在未来发展过程中,特别是网络安全法实施后,未来的方向一定是往颗粒度不断细化的趋势发展。

安全牛评

网络安全法实施在即,企业如何透过法律条文认清信息安全的本质,从而构建全新的安全体系,戎总进行了深刻的思考和总结,对于企业安全建设和安全行业的发展有很强的借鉴意义。他对于数据资产、数据产权和数据安全的理解,更加贴近信息安全的本质需求,引人深思。

作者:张妤

 

分享:

相关文章

写一条评论

 

 

0条评论