真情服務  厚德載物
今天是:
聯系我們

市場部:0564-3227239
技術部:0564-3227237
財務部: 0564-3227034
公司郵箱:lachs@126.com
技術郵箱:cc1982@163.com
地址:六安市淠望路103號

當前位置:首 頁 > 技術中心 > 網絡 > 查看信息
奇安信齊向東:內生安全 從安全框架開始
作者:永辰科技  來源:人民網  發表時間:2020-8-10 17:19:10  點擊:449

   2020年8月10日,2020年北京網絡安全大會(BCS2020)峰會正式開幕。奇安信集團董事長齊向東發表了題為“內生安全,從安全框架開始”的主題演講。他表示,內生安全框架有三個重點——“理清楚”、“建起來”、“跑得贏”,目的是通過“新管理”,讓網絡安全體系具有動態防御,主動防御,縱深防御,精準防護,整體防護,聯防聯控的能力。投入三至五年時間,就能建立起完善的網絡安全協同聯動防御體系,真正實現內生安全。

  以下為演講全文:

  尊敬的各位領導、來賓,觀眾朋友們,上午好!

  感謝大家參加BCS戰略峰會。去年,我們在首屆BCS大會上提出了“內生安全”,得到了業界廣泛認同。很多客戶來找我們,想知道內生安全到底應該怎么做。

  所以從去年開始,我們專門成立了一個工作組,和20多個一線部門緊密協同,用系統工程的思想,把網絡安全能力,映射成為可工程建設的安全能力組件體系,并給出一套規劃方法論,設計工具集和配套的模型、架構、項目綱要,構建一個能夠適應形勢變化的網絡安全框架,來支撐內生安全體系建設。今年3月,我們正式公開發布了這套面向新基建的新一代網絡安全框架。

  截至目前,我們已經在近40個大型機構里應用了這套框架,包括部委、能源央企、金融、航空、大型制造業和數字城市,得到了很高的評價,他們說,有了這套框架,從頂層設計到落地建設運行變得很容易了。為了讓更多的政企機構能快速實現內生安全,我們把今年大會的主題定為“內生安全 從安全框架開始”。

  第一部分:內生安全的關鍵是管理

  去年的BCS大會上,我提出了“內生安全”,強調在政府、銀行和大型企業等機構,通過系統聚合、數據聚合和人的聚合,不斷從信息化系統內生長出安全能力,這種能力具有像免疫系統一樣的自主、自成長、自適應的特點,持續保證業務安全。

  我們都知道,網絡安全是高度對抗性的行業,網絡安全系統包括技術、數據、人員和體制機制等,是一個復雜的系統。為了保障業務的安全性,實現這個系統的有效運轉,就不能僅僅考慮產品和技術因素,而是要綜合技術、管理、運行等多方面的因素。

  一個網絡安全體系,必然面臨著層出不窮的攻擊。首先,漏洞是不可避免的,只要這個系統的0day漏洞還沒有被黑客窮盡,就永遠面臨著未知的威脅。這個漏洞可能存在于芯片、操作系統、應用系統、網絡設備等任何地方,可能掌握在任何一個未知的敵人手中,這個敵人可能隨時發動攻擊,造成的危害也難以掌握,它可能導致數據被盜,也有可能會直接導致系統崩潰。如果只用攻防技術來防護,被漏洞牽著鼻子走,這類安全問題是永遠無法解決的。

  其次,有報告顯示,超過85%的網絡安全威脅來自于內部,危害程度遠遠超過黑客攻擊和病毒造成的損失。這些威脅絕大部分是內部各種非法和違規的操作行為造成的。

  最后,所有的體系都是人來操控管理的,但人是不可靠的,人本身的弱點也是網絡體系最大的脆弱性。比如弱密碼、密碼丟失、使用不安全的設備等,甚至還有人會被策反成間諜。

  上述問題的存在,都導致了不管技術多高,我們的體系還是會失效。

  所以我們認為,安全的關鍵是管理。我們所說的管理,不是傳統意義上的管理,它既不是單純的人員管理、行政管理、體制機制管理,也不是傳統的條文式管理、流程式管理,而是一套“新管理”模式,它由數據驅動,通過與安全體系中的能力平臺和服務平臺有效對接,實現對安全技術、安全運行等各方面要素的有效管理,從而發現和規避黑客利用安全體系里的漏洞發起的攻擊,克服人的不可靠性、彌補人的能力不足?傊,這種新管理模式的表現形式,可以是網絡安全管理大平臺,也可以是網絡安全管理運營管理中心。

  內生安全,代表的正是這種新形態的網絡安全管理模式。它用“一個中心五個濾網”,從網絡、數據、應用、行為、身份五個層面來有效實現對網絡安全體系的管理,從而構建無處不在,處處結合,實戰化運行的安全能力體系。這種新管理模式,需要有強大的能力體系支撐,需要用工程化、體系化的方式進行實施,這套方法的成果,就構成了內生安全框架。

  第二部分:管理的關鍵是框架

  新時代需要新管理。要實現內生安全所代表的的這種新形態的網絡安全管理,是一套復雜的系統工程,它需要一個新形態的能力體系做支撐,需要用工程化、體系化的方式進行實施,實現它的關鍵就是安全框架。

  在系統科學里,有一個特性叫“涌現”,指的是構成系統的多個組成部分按照一定的方式相互聯系、相互作用,在整體上就能具備單個組成部分所沒有的性質,產生“1+1>2”的效果。比如,計算機系統可以實現工程計算、文字處理、軟件開發等功能,這些功能是CPU、電源、操作系統等單個組成部分所不具備的。

  內生安全也具有“涌現”效應,能實現“1+1>2”的效果。在信息化系統的功能越來越多、規模越來越大、與用戶的交互越來越深的時候,單一的、堆疊的安全產品和服務,哪怕是最新、最先進的,都無法保證不被黑客穿透,但內生安全系統,能夠讓安全產品和服務相互聯系、相互作用,在整體上具備單個產品和服務所沒有的功能,從而保障復雜系統的安全。建設內生安全,采用的就是系統工程的思想。

  過去20年,國內外在信息化建設方面,用的是系統工程思想,通過行之有效的EA方法論與框架,引導與推動了大規模、體系化、高效整合的信息化建設,很好地支撐了各行業的業務運營。

  針對網絡安全,一些西方發達國家采用體系化思想,也設計出了適應他們發展階段的NIST等框架。但由于我國的網絡安全基礎比較薄弱,一直采用的是“局部整改”為主的安全建設模式,導致網絡安全體系化缺失、碎片化嚴重、協同能力差,網絡安全防御能力與數字化業務的保障要求嚴重不匹配。在這樣的現狀下,無法套用西方現成的框架進行安全體系建設。

  我認為,未來五年我國各行各業能不能取得高質量發展就取決于現在。所以,我們提出了內生安全框架,這是從工程實現的角度,針對我國的國情研制出來的,能將安全需求分步實施,逐步建成面向未來的安全體系。這套框架從頂層視角出發,支撐各行業的建設模式從“局部整改外掛式”走向“深度融合體系化”,在數字化環境內部建立無處不在的網絡安全“免疫力”,真正實現內生安全。

  就在前兩天,我和一位大型央企的領導交流,他非常興奮,非常感慨。他告訴我,他做大規模信息化建設的時候,與業務系統融合用的就是系統工程的方法,但他從來沒有見過、也沒想到過網絡安全公司也能按照系統工程的方法,做出這么具體、這么好用的框架來。他說:“網絡安全與數字化,用體系對體系,這就對了!”

  內生安全框架有三個重點,是把安全能力“理清楚”、“建起來”、“跑得贏”,目的是通過“新管理”,讓網絡安全體系具有動態防御,主動防御,縱深防御,精準防護,整體防護,聯防聯控的能力。

  先說“理清楚”。內生安全體系建設,需要先體系化地梳理、設計出保障政府和企業數字化業務所需要的安全能力,才能確保這些安全能力能夠融入到信息化與業務系統中去。

  就像建造一棟房子,需要算清楚、準備好所有的建筑材料和工具,才能打好地基、筑好框架、建好樓板、裝好防盜門窗、配齊消防設備、布好攝像頭、警報器,房子才會安全、堅固,抵御各種風險。

  在梳理的過程中,我們要充分考慮,這個系統的架構和功能將來是否可以調整?系統的安全能力能不能做到持續不斷的增強?網絡安全產品是否有維護升級的能力?未來是否根據需要增加新的安全產品模塊?系統是否有安全監控和數據采集的功能?

  在設計的過程中,我們要根據政府和企業自身信息化項目的實際情況,對安全能力進行挑選、組合和規劃,給出明確標準。

  再說“建起來”。融合是建設的關鍵,將安全能力深度融入物理、網絡、系統、應用、數據與用戶等各個層次,確保深度結合;還要將安全能力全面覆蓋云、終端、服務器、通信鏈路、網絡設備、安全設備、工控、人員等要素,避免局部盲區,實現全面覆蓋。

  這種將安全能力合理地分配到正確位置的建設過程,就是安全能力組件化的過程。這種安全能力組件,是軟件化、虛擬化、服務化的?茖W、合理地將安全能力組件進行組合、歸并,建立相互作用關系,確保了安全能力的可建設、可落地、可調度。

  在具體建設過程中,需要一個全景化的技術部署模型,全面描繪政企機構的整體網絡結構,信息化和網絡安全的融合關系,以及安全能力的部署形態。

  比如,按照區域,把政企機構的信息化系統分成總部、區域中心、分支機構以及網絡節點等多種類型;按照業務類別和功能,又把政企機構的信息化系統分成了全局網絡、骨干網絡、區域邊界、通信網絡、信息系統、云平臺、大數據平臺、數字化終端等層級、組件,并標記出它們的部署位置和形態。

  在這個基礎上,我們就可以把所有的安全能力組件,分別以系統、服務、軟硬件資源的形態,合理部署到信息化系統的不同區域、節點、層級中。各種安全能力組件之間,通過網絡和數據進行整體協同,使安全能力全面覆蓋信息化所有范圍,實現了對各個層次的管理,消除盲點,增強安全資源的豐富性、靈活性、完整性。

  第三個重點“跑得贏”。新基建、數字化轉型,催生了無數新的應用場景,帶來的安全風險劇增,推動網絡安全從輔助工程變成了基礎工程。

  缺乏安全運行的安全系統,相當于“靠天吃飯”。以前,由于網絡攻擊是小概率事件,就好比每年都風調雨順,“靠天吃飯”的網絡安全也很少出事;但隨著網絡攻擊成為大概率事件,好比“十年九災”,繼續“靠天吃飯”的網絡安全就會出大問題。

  內生安全體系強調安全運行,把管理作為關鍵,就能“人定勝天”,跑得贏漏洞、跑得贏內鬼、跑得贏黑客。

  我們將網絡安全運行的各個組件,以及網絡安全與信息化之間聚合、協同運行的狀態進行了詳盡的描繪,使安全工作中大量隱性活動顯性化、標準化、條令化,從而確保安全運行的可持續性,實現管理閉環。

  第三部分:框架的關鍵是組件化。

  落地內生安全,實現新管理模式,最理想的情況,是建設一個完整的框架。但現實情況是,大多數政府和企業的信息化系統,都是新老結合的,往往需要花若干年的時間,才能完成對老系統的替換,這是一個“立新破舊”的過程。

  從安全系統與信息化系統聚合的實施角度來看,如果割裂地對老系統用老辦法,新系統用新辦法,未來,當老系統被替代時,老的安全系統也不得不替換掉,造成巨大的浪費。

  這就要求我們對安全體系進行“統一設計,分步實施”,在體系的基礎上,把安全框架組件化,讓這些組件既能是新體系的一部分,又能部署到老系統中,從而適應信息化系統這種漸進式的、“立新破舊”的過程,避免不斷地把安全系統推倒重來,確,F在安全上的投資是面向未來的。

  從國際的經驗看,ISO/IEC 27000信息安全管理體系就是按照組件化的方式設計的,它包含14個類別,35個目標,114個控制措施;NIST 的系統安全工程也列舉了從需求、設計、實現到驗證、部署、維護、棄置等14個過程應該開展的安全工作,包括54個任務、235項活動。在NIST網絡空間安全框架中,也通過IPDRR-識別、保護、檢測、響應、恢復的機制,以及多個落地子項來構造網絡安全的保護體系。

  遵循這樣的經驗,我們用工程化的思想,把體系中的安全能力,映射成為可執行、可建設的網絡安全能力組件,構成了內生安全框架,這些組件與信息化進行體系化地聚合,是安全框架落地的關鍵。

  我相信,政府和企業按照我們提出的內生安全框架,投入三至五年時間,就能建立起完善的網絡安全協同聯動防御體系,真正實現內生安全。

  朋友們,數字化轉型和新一輪技術革命,正在重寫全球經濟、科技和政治格局。對網絡安全行業來說,這既是一次前所未有的機遇,也是一次前所未有的挑戰。讓我們攜起手,從安全框架開始,推動網絡安全產業再上新臺階。謝謝大家! 


 
 
 
合作伙伴
微軟中國 | 聯想集團 | IBM | 蘋果電腦 | 浪潮集團 | 惠普中國 | 深信服 | 愛數軟件 | 華為
六安市永辰科技有限公司 版權所有 © Copyright 2010-2019 All Rights 六安市淠望路103號 最佳瀏覽效果 IE8或以上瀏覽器
訪問量:1527637    皖ICP備11014188號
平特计算公式规律 欢乐麻将怎么创建房间 0809nba开拓者vs湖人 上海天天彩选4开奖公告 最新浙江12走势图 杭州麻将怎么胡 南宁麻将十三幺 火箭vs奇才 一点红六肖期期中特 吉林快3基本走势图带连线图 精选平特一肖 ewin棋牌娱乐 广东麻将所有牌型 斗牛开挂软件作弊器 彩金捕鱼掉落红包 贵州快三客服 平特计算公式规律 欢乐麻将怎么创建房间 0809nba开拓者vs湖人 上海天天彩选4开奖公告 最新浙江12走势图 杭州麻将怎么胡 南宁麻将十三幺 火箭vs奇才 一点红六肖期期中特 吉林快3基本走势图带连线图 精选平特一肖 ewin棋牌娱乐 广东麻将所有牌型 斗牛开挂软件作弊器 彩金捕鱼掉落红包 贵州快三客服