8月27日,奇安信集团总裁吴云坤在BCS 2021产业峰会发表主题演讲时表示,网络安全迎来了新的拐点,需要通过新范畴、新管理、新模式和新范式,将网络安全挑战转化为机遇。

  • 从先发展后治理、同步发展和治理到治理先行,这是从信息化视角看网络安全的巨大转折,网络安全迎来了发展新拐点。

  • 在数字化时代的网络安全新征程上,网络安全从业者要主动转换新角色、发展新能力、共建新生态。

  • 内生安全框架就是通过工程化的方法,通过十大工程和五大任务来满足各种需求,帮助客户搞好建设、做好运营,满足各种法律法规要求。

以下为奇安信集团总裁吴云坤BCS 2021产业峰会演讲全文:

尊敬的各位嘉宾,各位新老朋友,上午好!

很高兴能在每年的这个时刻、在这个平台上,跟新老朋友们一起观察、思考和判断产业发展环境和产业发展方向。就像去年BCS大会上我提到的,产业环境就是我们的生存环境,它是池塘、河流还是海洋,将直接决定着我们的发展空间;产业方向则引领我们的发展思维和行动方略。

今天的演讲题目是“网络安全产业的新拐点与新征程”。“新拐点”是对十四五期间产业环境的判断,“新征程”探讨在新拐点上我们应该怎么干。

第一部分:网络安全迎来发展“新拐点”

回顾网络安全发展过去25年历程,有人说是合规驱动,也有人说是威胁驱动,但如果我们回到一个主脉络,就会发现网络安全的发展其实是跟信息化的发展以及信息化对业务的影响紧密相关,这才是发展的主脉络:随着信息化对业务的重要性越来越大,威胁也会逐步升级,合规监管也日趋严格,网络安全产业的增长速度随之越来越快。

1995年~2004年信息化对于业务是辅助性的,网络安全也处于非常初级的阶段:发展很慢,规模很小,每年只有几十亿规模,十年间复合增长率只有5.8%。

2005年~2014年信息化开始跟业务结合,网络安全也随着合规和威胁升级变得越来越重要。安全问题开始显性化,比如政府网站被控影响国家安全;企业财务系统感染病毒会影响生产经营。在等保合规和应对威胁驱动下,网络安全产业开始加速,年产业规模开始超过250亿,10年间复合增长率也超过了10%。

在这阶段网络安全的整体思路还是先发展后治理。

2015年到2020年,随着全面数字化转型,信息化与业务深度融合,信息系统的安全与业务稳定运行高度相关。

黑客组织也发现了信息化对业务系统的影响,采用更加高级的手段对信息化系统进行攻击,比如APT组织攻击重要系统,窃取关键业务数据或机密信息。

2014年习总书记提出了“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”。国家先后出台了《国家网络安全战略》和《网络安全法》,完成了网络安全的顶层设计。

以《网络安全法》为核心开始建立和健全网络安全法律法规、标准规范、监督检查机制等网络安全治理体系。

这一阶段的发展思路是同步发展同步治理:在信息化发展的同时开展网络安全治理。

2021年开始,随着“十四五”的到来,数字化已经开始贯穿于经济社会发展的全领域、各层级,成为国家治理、经济发展和社会运行的核心驱动力,数字化对于国家、企业和每个人都真正是生死攸关。

因此,国家在十四五规划中提出数字化发展战略的同时,也提出要统筹安全与发展。今年以来密集出台了《数据安全法》、《关基保护条例》、《个人信息保护法》、《网络安全审查办法》(修订草案征求意见稿)等法律法规、政策制度和监管手段,这些法规和手段都是超前的,强调的是治理先行。

从先发展后治理、同步发展和治理到先治理后发展,从信息化视角看,网络安全出行巨大转折,因此我想说,网络安全迎来了发展新拐点。

在这个新拐点上,首先我们必须转换视角,从业务保障看信息化,从信息化保障看安全,最终实现业务保障视角来看网络安全;其次要转换理念,坚持治理先行,为业务高质量发展营造健康环境;最后我们还要转换发展模式,用系统化和工程化的思想来发展以能力为导向的、信息化跟网络安全深度融合的建设模式。

第二部分:新拐点上的实践和感受

面对新拐点的网络安全变化,奇安信在过去几年做了一些自己的探索和实践。

2019年,在“十三五”规划中期调整一些重大规划项目实践基础上,我们提出了“内生安全”理念,将安全和信息化深度融合,通过技术融合、数据融合、人员融合,实现网络安全能力与信息化环境融合内生。

2020年奇安信推出了内生安全框架,把安全方法论与IT对标,借鉴信息化的EA思想,用系统工程的方法将安全从过去零散的、局部整改为主的外挂式建设模式,走向深度融合的体系化建设模式,构建出动态综合的网络安全防御体系。

基于内生安全框架,2020年我们帮助很多政企机构完成了“十四五”期间面向数字化保障的网络安全体系规划,实现了网络安全投资在信息化中的占比从1%~3%,提升到了5%~10%。

2021年以来,我们开始跟客户一起,踏踏实实的干活,把规划形成的工程和任务,落地到甲方形成实战化的安全体系。这就是齐总在昨天诠释大会主题时所提出的“经营安全”:实实在在的设计、建设和经营安全体系,保障数字化经营活动安全运转。

在这个过程中,我们遇到了一些问题和挑战,通过创新转变,把问题和挑战变成了机会。

一是新范畴

以数据安全工程为例,数字化的大集成形成了叠加生长,产生了更多的应用与数据。由于数据是流动的,要在云、网、端不同的基础设施中,在不同的业务系统中流转,跟不同的设施和应用形成了缠绕与交织,由此产生了很多安全空白,对安全的覆盖度提出了挑战。

与传统的安全防护不同,构建大数据安全防御体系,不仅要考虑到抵御威胁与攻击的数据实体与计算环境的安全防护,还要将基于零信任架构的动态细粒度访问控制能力与业务应用结合,实现对数据流转的精确控制,做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”;同样在安全管理层面,除了用于安全攻防的分析、事件响应处置的安全管理中心,也还要扩展到进行权限管理、认证管理、审批管理的安全策略中心。

在这个过程中就生长出很多的新安全能力,安全的范畴发生了改变。

二是新管理

随着数字化的深入,信息化和业务深度结合,信息化系统起到了核心业务支撑的作用,信息化成为业务生产资料,性质发生了改变,需要用管理生产资料的方式,融入到企业管理和经营过程,上升到企业更高一级的管理,这种性质的改变,对软件供应链的安全管理提出了挑战。

软件供应链安全,不仅要考虑供应链的自主可控,防止断供、卡脖子的问题,也要将安全与应用开发的生命周期相结合。

因此,我们需要全面梳理、掌握应用系统与供应商的整体情况,通过技术和管理手段排隐患、促能力,整改产品和供应商的现有隐患,建设供应链安全检测能力,然后建机制、抓落实,形成常态化、流程化的供应商安全管理体系,构建更加安全可控的软件供应链安全环境。

软件供应链安全的本质是管理的转变,包括管理理念和管理模式的变化。

三是新模式

以系统安全为例,信息化系统已经融入业务,以服务化方式成为业务的重要支撑,其中IT运维是信息化最重要的工作过程之一。以资产为核心,进行配置、漏洞、补丁整体安全管理的系统安全,是与IT运维工作关联最紧密的安全运营工作。

系统安全需要依托大数据架构,获取经过融合的资产信息数据、安全配置信息、漏洞信息数据、补丁数据,在系统安全平台进行数据处理、碰撞和关联,通过指引系统安全的运行过程,通过安全策略管理以及漏洞修复等进行系统安全风险的防控。

系统安全工作不仅要落实到大数据平台和自动化工具上,还要把闭环的运行工作落到安全服务工作以及IT运维服务工作中,全面提升系统的保障能力。

原本小规模的、边缘化的安全运营,通过流程、规程、技术、数据的融合最终融入IT运维和数字化业务运营的大流程,形成对业务的真正有效保障。

这时候安全的角色就发生了变化,已经融入了IT和业务,转变为运营者和保障者。

四是新范式

网络安全从原来的工具产品变成应用系统。以态势感知为例,态势感知是多种安全能力、安全功能集成组合成的复杂系统,是集合了多种工具、设备、平台和人的应用系统,这种复杂性给系统组合和能力集合带来了挑战。

态势感知在我国已经发展多年,目前的态势感知主要分为三种:一种主用于监管机构,我们称之为监管类态势感知;一种主要用于政企机构自身的安全运营,我们称之为运营类态势感知;还一种主要用于实战演练,我们称之为攻防类态势感知。在这个过程中,奇安信也一度发现态势感知的发展,总是很难完全跟上不同类型客户的变化需求。

我们意识到,态势感知不再是一种独立的安全工具,其本身也需要符合大数据平台与应用的标准,去构建基于元数据驱动的数据平台、数据服务与安全应用。解决数据接入、处理、数据组织、数据治理、数据服务、模型资源、业务应用组件等问题。这样一来,态势感知的构建,也成为了一个复杂的数据平台与应用系统的构建过程。

从原来的工具、设备转变成为平台系统,这就带来了安全范式的转变。

无论是范畴的转变、管理模式的转变、运行模式的转变还是安全范式的转变,都是在新拐点上,安全与信息化深度融合过程中,我们必须要面对的挑战和机会。

第三部分:新角色、新能力、新生态

在数字化时代的网络安全新征程上,网络安全从业者要主动转换新角色、发展新能力、共建新生态。

第一,我们需要从旁观者转变为共同建设者。

在建设过程中,安全从业者要从一个旁观者、一个滞后的配套工作者转换为积极的共同建设者,因为数字化时代,安全是前提而不再滞后,与信息化是一体两翼,以内生的方式,通过同步规划、同步建设和同步运营全程参与到数字化建设中。在运营过程中,安全从业者要把安全从审计、检查、整改的检查者转变为运营职能的主动承担者,融入网络和IT运营流程,成为数字化业务运营大流程的一部分。

这个转变就是我们要从有限责任成为无限责任承担者:随着信息化对业务的重要性越来越高,安全的重要性也越来越高,安全深度参与到了信息化和业务发展和运营中,需要真正承担起确保业务安全的无限责任。

第二,在强化非功能性能力的基础上,拓展功能性新能力。

威胁导向的安全能力,比如态势感知、威胁情报、威胁监测等对于信息化系统是非功能性,技术上自成体系,脱离于信息化之外,但对于应对威胁不可或缺,需要伴随着威胁的不断升级持续强化。

除了强化非功能能力,更重要的是要拓展原本缺失的安全能力,融入业务和应用,成为功能性能力。比如攻击面管理、沙箱、UBA这些原本外挂的能力随着积极防御的演进,开始进入信息化和业务循环,成为功能性能力。

在建设层面通过安全左移的DevSecOps,进入应用从开发到应用的全流程;在运营层面把流程、技术、数据融入IT和业务运营的大流程,融入数字化的业务运营,都是将安全拓展成为数字化业务功能性能力的举措。

通过功能性能力的发展,原本业务和信息化对安全的恐惧就会慢慢降下来,安全反作用于信息化和业务的变革,由障碍变成为推力,真正成为数字化生产力。

第三,产业链中的各环节需要融合发展,共同构建新安全生态。

之前的安全生态是安全厂商的生态,更像是我们圈子内的事情。在现在的数字化时代,安全生态亟需破圈,打破小圈子。在甲方的安全生态中,不仅有安全处、安全口的人和组织,还需要加入信息化处、数据办、业务部门,甚至和企业管理层建立起覆盖数字化业务全流程的、各层级的真正的数字化安全生态。

在乙方的安全生态中,不仅有安全厂商,还必须把大的集成商、平台厂商、科技厂商、信息化服务提供集成商结合在一起,构成包含数字化建设全过程、各环节的一个新的数字化安全生态,推动数字化时代的安全,承担起数字化使能者的使命,让安全成为数字化生产力,成就美好的数字化未来。

随着法律法规密集出台,今天的网络安全市场一片欣欣向荣,但是作为一个从业者,我也有很多担忧,这么多的法律法规,每一个都自成一个体系,有自己的范畴、有各种要求,而且要求越来越高,但是作为任何一个企业,在数字化过程中,正处在IT与业务变革的探索中,可能没有太多的精力去逐一实现所有体系的每个条款,只能集中力量办大事。

我们提出的内生安全框架就是通过工程化的方法,通过十大工程和五大任务来满足各种需求,帮助客户搞好建设、做好运营,满足各种法律法规要求。所以希望我们大家在一起,基于内生安全框架,脚踏实地推动每个工程的落地,满足每一条法律法规的要求,真正助力国家和政企十四五的数字化转型,这就是我们在新拐点上的新征程。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。