(本文整理自奇安信董事长齐向东近期的内部讲话)
全球开启数字化转型:中国“新基建”、美国“数字现代化”
安全从辅助变成基础:绝大部分安全问题集中在应用场景上
新一代网络安全框架:面向新基建建设、面向数字化业务
"十大工程五大任务":适用于各个应用场景、指导不同行业输出安全架构
数字化从可选变成必选
2020年开端,一场突如其来的新型冠状疫情,无形中加速了全球拥抱数字化的步伐。从疫情防控到远程办公,人类社会首次大范围感受到数字化转型带来的效率提升。数字化已经成为治理体系和治理能力现代化建设的必要一环。
3月4日,中央政治局会议强调加快5G网络、数据中心等新型基础设施建设,为我国数字化转型按下了加速键。
2019年7月12日,美国国防部发布国防部数字现代化战略,新战略强调必须建立全球性的联合信息环境,实现海陆空天全覆盖,整合所有公共设备上的资源实现“超聚合化”。以此创建“更安全、协调、无缝、透明且经济的IT架构,将数据转化为可操作的信息,并确保面对持续的网络威胁时能够可靠的执行任务。这个战略提出必须制定美国所有伙伴国通用的通信标准;必须在实践中响应“网络优先”的口号;还提到了5G技术和IPv6协议。
新基建将带动经济高质量增长,但新技术的应用也引入了新的安全风险。一旦发生重大网络安全事件,将使数字化带来的收益“一失万无”。如何保障数字化业务的平稳、有序和高效运营,是新基建过程中的一次大考。
同样的,美国国防部在数字现代化战略中确立的四个优先事项中,把网络安全排在了第一位,其他三个事项分别是:人工智能;云;指挥、控制和通信(C3)。
安全从辅助变成基础
自中央政治局会议强调加快新型基础设施建设以来,我国各地方政府纷纷公布新基建投资计划。截至目前,全国31个省份推出了超过40万亿的投资蓝图。
齐向东认为,网络安全是新基建的基础。以前,网络安全是辅助性工程,但在新基建里是基础工程。新基建会进一步加快网络世界和物理世界的融合。这意味着两者的边界将基本消失,对网络的攻击就等于对物理世界的攻击,直接影响人民生活、社会稳定和国家安全。比如,5G远程手术遭遇网络攻击,可能会威胁到人们的生命安全;车联网遭受攻击,可能会直接造成车毁人亡。
在他看来,未来绝大部分的安全问题都集中在应用场景上,因此需要把安全升级,作为基础设施来建设。以新能源汽车充电桩为例,未来每个充电桩都会联网,当协议出现漏洞,就出现了新的攻击方法,安全问题瞬息万变。传统的解决方法是给每个充电桩部署安全设施,但未来充电桩会遍布城乡各地,一个个分布式解决是行不通的。只有通过分层解耦、异构兼容,把安全能力资源化、目录化、云化,用网络调度来增减安全措施,才能保障系统的正常运转。
美国联邦首席信息官肯特(Suzette Kent)也于近日表示,网络安全必须是“高度优先”的,必须将其“嵌入”到技术的各个方面。她认为,从现在开始进行的每个技术项目,都必须以网络安全为基础。
新一代网络安全框架
过去20年,国内外在信息化建设方面,有一套行之有效的框架与方法论,即采用以系统工程思想结合IT的EA(Enterprise Architecture)方法论,形成TOGAF框架(开放组织体系结构框架 The Open Group Architecture Framework),引导与推动了大规模、体系化、高效整合的信息化建设,很好地支撑了各行业的业务运营。
网络安全行业一直盼望着能有与信息化系统工程方法相匹配的框架,指导未来的网络安全体系建设。因为此前,在网络安全行业,一直采用的是“局部整改”为主的安全建设模式,致使网络安全体系化缺失、碎片化严重,网络安全防御能力与数字化业务运营的保障要求严重不相匹配。
把网络安全升级成新基建的基础工程,就必须有一套行之有效的框架作为指导。齐向东要求奇安信的战略部门,从2019年开始潜心研究,并计划于近日发布新一代网络安全框架。这是面向新基建建设、面向数字化业务,以系统工程的方法论结合“内生安全”的理念,形成的网络安全建设框架。
这套框架从顶层视角出发,帮助各行业在数字化环境内部建立无处不在的“免疫力”,构建出动态综合的网络安全防御体系,全方位保障业务安全。
十大工程五大任务
新一代网络安全框架,以实体工程和支撑任务两个维度,划分为“十大工程”和“五大任务”。它适用于几乎所有网络空间各个应用场景下的安全需求,能指导不同的行业输出符合其业务特点的网络安全架构。
十大工程
工程一:新一代身份安全。对应新场景下身份管理和使用模式的改变,构建基于属性的身份管理与访问控制体系,全面纳管数字化身份,为网络安全与业务运营奠定基础。
工程二:重构企业级网络纵深防御。对应新技术应用产生的更多网络出口、更复杂的管理挑战,采用标准化、模块化的网络安全防护集群,适配网络节点接入模式,构建覆盖多层次的网络纵深防御体系。
工程三:数字化终端及接入环境安全。对应数字化时代终端类别繁多、接入与管控、数据安全的风险,在终端和接入环境上构建一体化终端安全技术栈,构建全面覆盖多场景的数字化终端安全管理体系。
工程四:面向云的数据中心安全防护。对应云数据中心复杂的应用场景,将安全能力深入融合到云数据中心多层次的网络纵深和组件中,同时满足传统数据中心安全和云计算安全要求。
工程五:面向大数据应用的数据安全防护。对应数据集中、流转和应用场景中的安全挑战,以数据安全治理为基础,将数据生命周期与数据应用场景结合,严控数据流转与使用,加强行为监控与审计,确保数据安全。
工程六:面向实战化的全局态势感知体系。对应目前重展现轻分析,实战支撑力不足的现状,覆盖所有信息资产的全面实时安全监测,持续检验安全防御机制的有效性、动态分析安全威胁并及时处置。
工程七:面向资产/漏洞/配置/补丁的系统安全。对应当前各大机构安全体系的最短板,聚合IT资产、配置、漏洞、补丁等数据,提高漏洞修复的确定性,实现及时、准确、可持续的系统安全保护。
工程八:工业生产网安全防护。对应企业工业生产网长期以来安全防护普遍缺失的现状,面向工控网络内部、工控与IT网络边界、数据采集与运维、集团总部数据中心构建多层次安全措施,强化纵深防御,全面掌握工业生产网的安全态势。
工程九:内部威胁防控体系。对应内部人员导致严重业务损失的巨大威胁,基于操作监控、访问控制、行为分析等手段,结合管控制度、意识培训等管理措施,提升内部威胁防护能力。
工程十:密码专项。对应密码相关的法律要求和业务需求,秉承“内生安全”理念规划、设计密码体系,实现密码与信息系统、数据和业务应用紧密结合。
五大任务
任务一:实战化安全运行能力建设。按次开展的安全检查与测评模式无法达到业务安全保障要求。应全面涵盖安全团队、安全运行流程、安全操作规程、安全运行支撑平台和安全工具等,并持续的评估、优化,持续提升安全运行成熟度,以达成对信息系统的持久性防护。
任务二:应用安全能力支撑。应用系统建设过程中安全长期缺位,安全与信息化建设普遍割裂,系统带病上线,后期整改困难。结合开发运行一体化(DevOps)模式,推进安全能力与信息系统持续集成,使安全属性内生于信息系统,保持敏捷的同时满足合规,使信息系统天然具有免疫力。
任务三:安全人员能力支撑。人的能力决定安全体系建设和运行的能力。设计企业网络安全团队、设置岗位与能力要求,开展能力实训,建设网络安全实战训练靶场,提升人员的实战能力,形成安全团队建制化。
任务四:物联网安全能力支撑。物联网设备类型碎片化、网络异构化、部署泛在化的特性引入了大量安全风险。结合物联网“端边云”的架构,构建具有灵活性、自适应性和边云协同能力的物联网安全支撑体系。
任务五:业务安全能力支撑。数字化业务剧增,由恶意操作、误操作行为引发的业务风险显著增长。聚合业务与行为数据,利用大数据分析技术,保护客户隐私、交易安全,加强欺诈防范,打击涉黄、涉政等行为,保障业务运营。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。