9月14日,2020年国家网络安全宣传周在河南郑州正式启动,奇安信集团董事长齐向东在网络安全高峰论坛发表主题演讲指出,数字经济推动新型网络安全行业热,但市场难、企业难,安全企业要勇于投入、勇于创新,主动颠覆传统网络安全思维,变“事后补救”为“事前防控”型建设思路,网络安全不仅要“治病救人”,还要做到“可防可控”。
网络安全行业热、市场难、企业难的怪象,原因主要是甲方的传统思维局限、乙方的创新动能弱和市场竞争标准单一等三大传统思维和惯性做法还没有及时转变。
“事后补救”和“治病救人”的安全措施,往往是 “头痛医头、脚痛医脚”,是局部的、单点的,而不是彻底的和全面的。
网络安全产业要满足数字经济时代的网络安全需求,就必须抛弃“事后补救”的安全建设思路,关口前移、防患于未然,构建全面的“事前防控”网络安全防护体系。
内生安全系统工程就是把安全能力内置到业务系统当中,来感知、响应对业务系统和数据的任何破坏行为,真正做到“事前防控”。
以下为奇安信集团董事长齐向东在国家网络安全宣传周网络安全高峰论坛上的演讲全文:
尊敬的庄荣文主任、王国生书记,各位领导、来宾,大家好:
很荣幸参加本届国家网络安全宣传周的主论坛,通过在网络安全领域的创新实践,我们认为网络安全的建设思路要从“事后补救”措施到“事前防控”体系,也就是说网络安全的功能要从“治病救人”进化到“可防可控”,下面我谈三点体会。
第一,要准确把握网络安全产业在重要转折期的规律。
随着数字经济时代的到来,政府和企业开始全面网络化、数字化,业务和数据的安全性成了重中之重的问题。习近平总书记指出:“没有网络安全,就没有国家安全”,贯彻落实总书记的指示,党政各级单位、各级领导都充分认识到网络安全的重要性,并采取了一系列重要措施,包括制定网络安全法、计算机等级保护2.0制度和关键信息基础设施网络安全保护制度等。
数字经济的高速增长,政府和领导的高度重视,把网络安全变成了风口行业,吸引了更多的人才、更多的资金。近三年,网络安全产业持续火热,企业资本交易活动活跃程度明显提升,大量投资机构涌入市场助力产业发展,2017年国内网络安全企业融资、并购及股权等资本交易总额为69.7亿,到2019年这一数字达到了225.6亿元,创历史新高。同时,网络安全人才的待遇也在不断提升,平均年薪从2016年底的18.5万元涨到了24万元。
与行业的高温相反,网络安全企业赚钱难、发展慢的状况没有得到根本改善,绝大多数企业仍处于小规模、零散化、同质化的“小零同”状态。数据显示,2019年美国网络安全市场规模为447亿美元,我国同期网络安全产业规模只有608亿人民币,仅是美国的五分之一,与我国GDP达到美国的67%的比例严重不符。
我认为导致这种行业热但市场难、企业难的原因,主要是网络安全处于重要转折期,传统的思维和惯性做法还没有及时转变,跟不上数字经济时代的步伐,具体有三个方面:
第一方面是甲方的传统思维局限。有的受传统思维影响,不愿意增加网络安全建设的投资;有的虽然转变了思维,想增加投资,把对网络安全的重视落实,但局限在传统认知里,认为加大网络安全投入,就是购买更多的防火墙、终端安全软件这样的网络安全产品,不知道该建设什么系统;
第二方面是乙方的创新动能弱。网络安全产品创新周期长,一般需要三年:第一年研发,第二年开通实验局,第三年市场推广,很多企业在生存压力下,研发占比不高,更倾向于把有限的研发资金投向市场成熟的合规类产品,这些产品严重同质化,没有竞争力;
第三方面是市场竞争标准单一。目前安全产品是好是坏的依据是官方测评机构的合格证书,一般情况下监管部门为了鼓励公平竞争,为了让更多的企业参与市场,给出的测评标准是较低水平的市场准入门槛。这就导致厂家难以证明自己的产品和竞争对手产品相比到底有什么优势,而甲方也没有依据按质论价,影响了网络安全市场的发展。
影响网络安全产业发展的因素,就是新时代网络安全产业需要颠覆的地方,所以网络安全企业应该准确把握转折期的规律,在资本的支持下,挣脱传统网络安全势力的束缚,反其道而行之,勇于创新,从而抓住机遇,驶入快车道,实现高速发展。
第二,数字经济要求网络安全建设抛弃“事后补救”型建设思路。
我把之前20年的互联网称为传统互联网,把面向未来的数字经济称为新型互联网。
传统互联网的用户主体是网民,俗称To C,网络安全事件的受害者主要是网民,多数以小额财产损失为主,后果不严重,可以承受。比如2007年的“熊猫烧香”病毒、2008年的“蝗虫军团”木马和2014年的“心脏滴血”漏洞,都是当时最轰动的安全事件,但影响的都是电脑和网站,造成的后果基本是电脑蓝屏、文件损坏、恶意弹窗和隐私窃取,最严重的是在线支付钱包被盗。
所以,在传统互联网时代,人们对网络安全的防护习惯于采取“事后补救”措施,安全厂商也习惯于用“治病救人”的方法,就是出了事再采取安全措施,比如中了毒才知道杀毒,网站被攻击才知道建设防护系统。而在以往相当长一段时间里,网民中毒、网站被攻击导致事故都是小概率事件。假设,这个比例是10%,就意味着每年仅有10%的网站会进行网络安全投入。
“事后补救”和“治病救人”的措施,往往是 “头痛医头、脚痛医脚”的,是局部的、针对单点的,而不是彻底的和全面的,这种措施省钱,也能看见一定的效果,但严重影响网络安全产业的健康。打个比方,一个人生了重病以后去抢救,如果只是针对病灶采取医学措施,症状缓解以后不强身健体增强免疫力,以后还是会风一吹就病。传统的“事后补救”安全措施就是这样,一个网站被攻击导致事故后,仅仅针对导致攻击的部分进行局部整改,而不会加大安全投入建设防患于未然的全面措施。这种“事后补救”的局部整改措施只是全面预防措施投资的一少部分。我们可以计算一下,假设只有10%的网民每年遇到安全问题,只花10%的钱局部解决安全问题,两个10%相乘是1%,99%的安全需求都没有被满足,市场被萎缩了。
所以,网络安全产业要满足数字经济时代的网络安全需求,就必须抛弃“事后补救”的安全建设思路,关口前移、防患于未然,构建全面的“事前防控”网络安全防护体系,用“实战化、体系化、常态化”的要求,实现“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”。
第三、建设“事前防控”体系需要构建内生安全的网络安全框架。新型互联网的客户主体是政府和企业,他们的根本安全需求是业务和数据的安全,在数字经济时代,网络攻击带来的后果是政府和企业运营主体不可承受的,这一年来,委内瑞拉国家电网多次被攻击,每次都造成全国停电;美国新奥尔良市连续三次被勒索,全城断网断电,进入紧急状态。
所以新型互联网的安全防护必须采取“事前防控”的体系建设。比如,我们都知道煤矿爆炸的后果是不可承受的,所以解决煤矿的安全问题,绝对不是等它爆炸之后再采取改进措施,而应该建设防止煤矿爆炸的整体安全体系。
在新型互联网时代,网络攻击变得极其复杂,根据FBI和CIA等机构联合做的安全调查报告,超过85%的网络安全威胁来自于内部,危害程度远远超过黑客攻击和病毒造成的损失。
防范内外结合的网络攻击,做到“事前防控”,是一个复杂的任务,要求网络安全防护人员和系统不仅要准确识别来自于外部的网络攻击,更要识别内部人的恶意行为、伪装成内部人的恶意攻击和伪装成正常业务操作的破坏行为。这就要求新型互联网安全防护人员和技术不仅要精通网络知识,还要熟悉业务,要实现业务数据和安全数据、信息化系统和安全系统、IT人才和安全人才三个方面的融合,实现这三个融合的方法就是内生安全系统工程。
内生安全系统工程,就是把安全能力内置到业务系统当中,来感知、响应对业务系统和数据的任何破坏行为,真正做到“事前防控”。我们从服务近40个大型客户的实践经验中,创新设计了内生安全框架,这个框架是我们在一个个复杂项目里打磨出来的结晶。它具有“1+1>2”的涌现效应,能让安全产品和服务相互联系、相互作用,在整体上具备单个产品和服务所没有的功能,从而保障复杂系统的安全,能帮助政企机构摆脱“事后补救”的局部整改建设模式,实现信息化与安全的深度融合。
安全框架落地有三个关键:“盘家底”、“建系统”、“跑得赢”。“盘家底”指的是体系化地梳理、设计出所需的全部安全能力;“建系统”指的是通过与信息化的融合实现深度结合、全面覆盖,把安全能力组件化,以系统、服务、软硬件资源等不同形态,科学、有序地部署到信息化环境的不同区域、节点、层级中,确保安全能力可建设、可落地、可调度;“跑得赢”指的是确保安全运行的可持续性,实现管理闭环。只有强调安全运行,才能跑得赢漏洞、内鬼和黑客。
在我们发布的内生安全框架中,我们还设计解构出了“十大工程、五大任务”, 涵盖了当前所有主流场景、技术的信息化系统所需要的全部安全能力。每一个工程和任务,可以理解成样板房里的不同“房间”。政企机构可以结合自身信息化的特点进行组合,定义自己的关键工程和任务。
未来,我们将继续深入贯彻习近平总书记的“四个坚持”,不断创新,精益求精,用内生安全框架建立完善的、“事前防控”的网络安全协同联动防御体系,推动网络安全产业更上一层楼,谢谢大家!
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。