在首日的战略峰会中,来自奇安信集团董事长、北京网络安全大会主席齐向东在现场发表了主题为《经营安全 安全经营》的演讲。
彼此关联的三届北京网络安全大会主题——从理念、方法到动态掌控
齐向东在演讲中表示,安全和经营这两个词,如果分开来看很简单,每个人都会有自己的理解,但是把它们放在一起,安全和经营包含了思辨的逻辑关系和DT时代的价值观。经营安全、安全经营不是无源之水,无本之末。
回顾前两届北京网络安全大会的主题,2019年的主题——内生安全,其意是将安全能力内置到信息化的环境中,从某种角度上看,它是DT时代的安全理念。2020年的主题——内生安全框架,其意是通过系统工作的方法建成内生安全体系,这是将内生安全理念落地的方法。
那么到了2021年的主题——安全经营,经营安全。其意在于只有用心的去经营安全体系,才能保障经营活动的安全运转。
按照齐向东的说法,这三年的主题其实是一个连续的三部曲,从理念、方法到动态掌控。
DT时代的三大特征
齐向东谈到,近几年来,数据的问题让国际关系变得愈加复杂,从欧盟颁布GDPR到推进数字税计划,从华为遭打压到TikTok遭封杀,可以明显感受到世界各国数据主权的争夺越来越激烈,这种竞争在未来相当长的一段时间里,都将是持续性的。与此同时,数据资产也成为了勒索软件攻击的头号目标,大型的勒索攻击事件在今年频繁爆发。更为值得关注的在于包括针对美国自来水厂、南非的港口以及伊朗铁路数字化系统的攻击事件,都充分表明了安全对于人们生活、社会稳定和国家安全的重要性。
齐向东表示,这些变化几乎都和数字系统和海量的数据有关,标志着人类社会已经从IT时代进入了DT时代。这一时代的核心是数据,数据是人的延伸、交易的延伸和服务的延伸,更带来了商业机会的延伸、生产力的延伸和想象力的延伸。
齐向东指出,数据本身是中性的,但因为有不同的力量,站在不同的立场,并以不同的方式来使用这些数据,令数据的就有了两面性,数据可以拿来做好事,数据也可以拿来做坏事,因而数据和人性是一样的,是非常复杂的。相应的,我们应该如何与这样的复杂性共生,是DT时代的重要的命题。
齐向东在发言中为DT时代总结了三个特征,具体分别为:
1、企业经营者的安全责任,从以前的有限责任变成了无限责任。
在传统经济当中交易是银货两讫,交易结束以后,经营者的责任也就基本结束了,但在当前,通过电子交易完成的订单,即便是交易行为结束了,但企业对交易过程中所产生的数据安全责任并未结束。
2、企业的经营活动变成了国家安全的一部分。
无论是网络安全审查办法还是关键信息基础设施安全保护条例的出台,都充分证明了企业的经营活动已经和社会安全、国家安全发生了密切的联系。
3、网络攻击破坏企业经营变成了高频事件。
这一点在诸多攻击事件中表现得已经非常充分,诸如外国某连锁企业因软件供应链攻击导致旗下800家门店被迫停业等等,都显示出网络攻击对经营活动的破坏力变得愈加巨大,企业更是难以承受。
因此,在DT时代,无论是安全系统还是经营活动,都具有相当高的复杂性。
在未来相当长的一段时期内,要想做到安全经营,就要学会在经营当中与这种复杂性打交道,这是生存和发展的关键。所以今年的北京网络安全大会提出“经营安全 安全经营”这一主题,意在表达只有煞费苦心的经营你的安全系统,才能保障你的经营活动的安全运转。
实现动态掌控的三个前提条件——目标、投入、运营
在DT时代,网络安全发生了颠覆性的变化,安全变成了一个复杂的过程,先是通过运营发现问题,然后再针对问题完善年度建设计划之后,再通过五年规划来升级体系建设,让安全动起来,形成良性循环。
综合而言,DT时代数据的被泄密、被篡改、被删除、被盗窃都是大事。网络安全对政企机构造成的影响是巨大的和致命的。因此今年的北京网络安全大会提出了经营这个词,经营安全是对网络安全的动态掌控,只有让安全能力动起来,不断的循环升级才能破解复杂难题。
齐向东指出,要实现动态掌控,需要三个前提条件。
第一个前提条件是目标。在未来相当长的一个历史时期,新技术、新应用、新场景不断涌现,这些“新”带来了更高的复杂性,因此注定安全系统要不断的完善,需要为安全能力设定一个能够因时而动、因时而变、与日俱增的目标,也可以理解为要用内生安全框架实现安全的弹性或者是扩展性。
第二个前提条件是投入。要用足够的资源来满足对安全的无限需求,安全是没有性价比的,是以结果为导向的。在DT时代,必须对安全有足够的资源投入,这个资源既包括钱也包括人。
第三个前提条件是运营。要用专业高效的安全运营服务来抵御复杂的专业网络攻击。网络安全是高度复杂的网络攻防对抗。尤其是在DT时代,边界消失,连接网络的终端泛化,给网络攻击者提供了充当伪装者的条件,很难一眼把攻击者看穿,再加上有些网络攻击者有国家背景的支持,单靠政企机构自己单一的力量是无法抵御这种复杂的网络攻击的。
经营安全的三大能力——认知能力、安全能力、授信能力
齐向东指出,除了要有前面所提到的三个前提条件,还需要三个重要能力来提升对网络安全的掌控力。
经营安全的第一个重要能力是认知能力。强大的认知能力,能够帮助人们把握事物的基本规律,判断事物的发展方向,构建自身与世界的关系。网络安全的认知能力也是如此,只有及时的发现威胁、阻断威胁,才能确保安全能力行之有效。因此,态势感知是建立认知能力的核心。这几年态势感知在我国发展很快,传统的安全厂商和新兴的初创公司都加大对态势感知技术研发的投入。
齐向东将目前主流的态势感知总结为三种。一种是用于监管机构,称为监管类态势感知,一种主要用于企业的内网,称为运营类态势感知,还有一种主要用于实战演练,称为攻防类态势感知。如果这三类态势感知每一类都单打独斗,那么必然是无法具备全面的认知能力,毕竟它们之中有的侧重互联网的宏观态势监测,缺乏针对性;有的侧重于日常的网络安全维护,缺乏攻防能力;有的侧重于战时的攻防对抗,缺乏平时常态化的运营。
因此,只有将这三类态势感知有机协同在一起,形成实战化态势感知,才能实现认知能力的全面提升。
安全运营是认知能力的关键。齐向东打比方说,就像人的认知能力来自学习和实践,网络安全的认知能力来源于实战攻防的运营。安全运营的基础是资产、配置、漏洞和补丁,只有当资配漏补都做好了,才能发现安全产品的不足和体系的缺陷。通过不断发现问题、解决问题,安全产品会日臻完善,安全体系也会越来越健全。
第二个重要能力是安全能力。以前业内经常将安全市场分为产品市场和服务市场,产品和服务两者互不相关,而现在就要把产品变成一种能力,再把能力变成一种资源,用服务的方式来使用这些资源。
齐向东表示,安全产品能力化,首先要将硬件产品软件化,让软件摆脱专属硬件平台的束缚,使其更加通用;安全产品资源化,首先要实现数据和API标准化,使安全产品从数据采集、治理、存储、分析、到结果输出、API服务都应遵从统一的标准,同时产品接口也要统一,实现与网、云、数据、应用的标准对接;安全产品服务化,首先要做到调度指挥,把安全能力以资源服务形式嵌入到需要的每个角落。
“这种安全能力资源服务,便于商业模式创新。”齐向东强调,过去通过招标采购安全产品,拼的是商务关系和测试方案,一经选定,就没有机会使用其它品牌的产品;安全能力资源服务,拼的是产品的实战效果,客户能选定多家公司的产品进行部署,依据使用多少来结算,不使用不付费,更能推动厂家技术创新。
第三个重要能力是授信能力。网络安全的核心问题,是信任问题。齐向东表示,未来的数字化系统是复杂的、开放的,人是安全最大的变量,人的可信度成了难题。尤其是数据成为生产要素后,谁在什么场景、用于什么目的、可以使用什么数据,也变成了一种授信问题。
齐向东曾在《漏洞》一书中披露,“85%的网络攻击源于内部”。他强调所谓的“内部”包括人被收买、账号被盗用、机器被利用、供应链被后门等,之所以被攻击成功,是因为我们对自己的人、自己的账号、自己的机器、自己的认证、自己的供应商过度信任。
零信任体系能够为DT时代提供所需的授信能力。利用零信任体系以“权限最小化”为原则建立动态评估信任机制,给网络访问的主体(访问者)与客体(被访问者)附加一系列属性。一旦发现某个属性消失,授信就自动取消,整个过程都是通过系统自动动态评估完成的。
在演讲的最后阶段,齐向东援引了一位古希腊数学家芝诺提出的著名哲学悖论——飞矢不动,指的是当射出一支飞矢,它在空中飞行时是运动的,但如果把时间切割开来,单独去看每一个瞬间的飞矢,它却是一样的,好像并没有运动。他在现场引用这个悖论,意图告诉大家,静止是相对的,运动是绝对的,网络安全是也一样,我们看不见,摸不着,但是当网络攻击发生了,我们也就感受到了安全的存在。这也是本次大会提出在DT时代“经营安全 安全经营”这八个字的用意。
齐向东相信,只要大家一同携起手来,共同经营好网络安全防线,就一定能够迎来一个更富竞争力、孕育万物生长的数字中国。