9 月 9 日- 11 日,主题为 “计算万物 湘约未来” 2019 世界计算机大会在湖南长沙举行,奇安信集团总裁在 9 月 11 日举行的网络安全主题论坛演讲中进一步阐释了 “内生安全” 概念,并系统介绍了如何通过体系化的规划、建设和运行来实现内生安全。他提出,在新的信息化环境和安全形势下,需要面向 “能力导向” 建立信息化系统的内生安全能力。
以下内容节选自吴云坤在该论坛上的主题演讲:
云计算、大数据、物联网、移动互联、人工智能等新技术的加速发展和普及应用,带来了以云计算和大数据为基础设施,以数据共享为目标的新一代信息化建设,推动了全球范围内的数字化转型和数字经济发展。
与此同时,随着数据资产的不断增大和数字业务的增加,数据和业务成为攻击目标,商业利益诉求和恐怖破坏目的交织,组织化攻击和网络犯罪交织、外部攻击和内部威胁交织,威胁呈现多样化、未知性态势。
单单从安全侧看攻击和威胁,单纯依赖安全领域的技术和产品创新,很难做到对安全的真正保障。
信息化系统需建立内生安全系统
信息化向云化、数据化、智能化升级的过程中,云、网、大数据系统都需要改造,业务、数据和应用都出现了变化,安全环境和安全需求都随之改变。
这对于安全建设既是挑战也是机遇,挑战是必须有新的思维、模式、技术和方法来应对新的安全变化,机遇是我们有机会将安全与信息化 “聚合”,与信息化一起用一种新模式,将安全体系、安全能力和安全措施放进去,并与信息化系统深度结合,让安全成为一种 “内生能力”,而不是之前的 “外挂” 或者 “补丁”,这就是奇安信在 2019 北京网络安全大会上提出的“内生安全”。
内生安全需要信息化系统与安全系统、业务数据与安全数据、IT 人才和安全人才等多要素的聚合。从网络安全进化到内生安全,要求我们的很多安全手段和测试都要跟信息化的运行绑在一起,所以内生安全具有自适应、自主、自成长的特性和能力。
面向“能力导向”建立内生安全能力
到底如何构建内生安全能力?过去的安全建设导向更多采用的是应对特定威胁或面向特定的合规政策,遇到一个病毒就采取一些措施防御这个病毒,一个新合规点出来就上一些设备,这种创可贴式的建设模式,造成了安全系统中碎片化的产品堆砌,无法形成体系化的能力。
内生安全需要面向 “能力导向”,进行体系化的能力建设。
一、能力导向的安全体系建设中首先是强调 “关口前移” 的规划。
“关口前移” 并不是把防护措施前移,而是安全与信息化做同步规划。我们在大量的客户安全实践中发现,很多的安全措施失效、安全设备没有发挥作用都是因为没有在信息化建设早期的规划阶段跟安全结合。因此,要解决这个问题就需要通过安全与信息化的同步规划实现安全与信息化的深度结合和全面覆盖,一方面借助架构分析、设备配置、资产管理等信息化早期的很多手段做好安全,另一方面用好很多信息化产品内置的安全机制和安全能力。
在过去的一段时间里奇安信协助多个部委、大型央企、地方政府和金融机构,完成了新一代信息化系统建设和改造中的安全体系规划和建设,为这些信息化系统构建了内生安全能力。奇安信在这些实践过程中对 “内生安全” 有了深刻理解,也积累了大量的实践经验。这些实践经验将为政企机构的新一代信息化规划和建设中内生安全能力建设发挥作用。
二、能力导向的安全体系要基于 “叠加演进” 原则建设安全能力。
借鉴 SANS 的网络安全滑动标尺基础模型,安全能力建设分为五个阶段,第一个阶段是基础结构安全,第二个阶段是纵深防御,第三个阶段是积极防御,第四个阶段是威胁情报,威胁情报包括了收集数据将数据利用转化为信息,并将信息生产、加工为评估结果,第五阶段是反制进攻。
前两个阶段是偏静态的综合防御能力;第三、四阶段是偏动态的综合防御能力,前面阶段是后面阶段的基础,后面阶段是前面阶段的叠加,不同阶段相互依赖,相互促进,是叠加演进的过程,而不是淘汰演进或者相互替代。
比如偏静态的综合防御能力中的零信任是一个新的访问模型,它解决的是大量终端、应用和人群在访问集中数据时能否动态、能否可信的授权,不仅防外部黑客攻击,也能防御内部威胁。零信任的实现需要结合业务流程,结合业务数据,还要叠加威胁情报、大数据分析等能力。
偏动态的综合防御能力中的态势感知与安全运营平台,更多的是把安全能力和信息化进行结合,基于来自前两个阶段的安全数据采集,还要结合核心应用系统和业务系统的数据,进行综合研判进行分析,从而掌握态势、发现威胁,并做出处置和响应。
在实网攻防演习的机构防御中,需要云服务商、IT服务商、安全服务商和机构的安全团队能力协同,聚合IT流程和数据、业务数流程和数据、安全数据等来共同应对来自攻击侧的威胁。
无论是零信任访问控制、态势感知与安全运营,还是实网攻防演习,都不是一个简单的安全问题,而是安全与业务体系、安全与信息化体系从数据到运营流程的紧密结合。
三、能力导向的安全体系需要管理、技术与运行一体化,强调实战化运行。
通过规划、建设形成的安全能力需要有运行、技术、人和管理规范,才能形成一个完整系统和体系,将能力有效输出。
如果没有变化则不需要运行,但是安全是动态的,需要面对信息化变化、产品变化、威胁变化、情报变化和监管变化,需要运行跟随变化做不同的动作和响应,解决漏洞问题和补丁问题、产品和策略部署调整、威胁的猎杀、事件的监测与响应、情报数据的收集分析和溯源研判,以及安全众测和实网攻防演习等。
人是安全运行的关键,如果没有相应的人员体系,技术平台无法有效运行,能力就输出不出来。
安全运行需要具备不同技能的人员参与,把安全运行放到人的层面,可以分为安全运营人员、分析响应人员和攻防渗透人员三类,不同人员需要不同的培养体系和培养方式。
奇安信在人才培养方面做了大量实践探索,在绵阳建立了安全运营人才培养基地,通过举办 DataCon 大数据安全分析比赛选拔和培养安全分析人才,利用安全训练营和补天漏洞响应平台培养、聚集攻防渗透人才,通过这些方式建立起了完整的安全人员体系,得以在护网等实网攻防演习行动中,可以规模化、体系化地投入到攻防中。
本质安全与过程安全的结合是达到内生安全的必由之路
内生安全是新一代信息化的基础和保障,也是安全体系建设的目标和方向。希望信息化和安全行业把握住即将到来的十四五规划机遇期,由领先的政企单位推动,综合性的大型安全企业担当,聚合所有细分领域安全企业的能力,一起构建跟信息化深度结合的融合安全生态,建立内生安全能力为信息化投资和数字业务提供有效保障。
在我国大力发展自主创新信息化技术的大背景下,本质安全与过程安全的结合是内生安全的有效实践,也是达到内生安全的必由之路。中国电子战略投资奇安信集团,将中国电子基于 PK 体系的本质安全体系与奇安信的过程安全体系和能力结合,在最底层把信息化和安全做能力的整合,通过内生安全,实现信息化系统的真正安全可信。
