「內生安全的關鍵是管理,管理的關鍵是框架,框架的關鍵是組件化。」 在8月10日舉行的北京網絡安全大會(BCS 2020)大會上,大會聯席主席、奇安信集團董事長齊向東呼籲,要抓緊「十四五」規劃謀篇布局的時間窗口,面向新基建,用內生安全框架來支撐從頂層設計到落地建設運行的網絡安全體系建設。
中國的網絡安全防禦能力在世界範圍處在什麼水平?對此,齊向東回答說:「目前,在網絡安全攻防技術上,中國在全球處於第一梯隊,是領先水平。在安全體系建設上則處於第二梯隊。」
齊向東還介紹說,目前內生安全框架已經在近40個大型政企機構實戰應用,具有「1+1>2」的湧現效應,能讓安全產品和服務相互聯繫、相互作用,在整體上具備單個產品和服務所沒有的功能,從而保障複雜系統的安全。
「內生安全」是齊向東在2019年首屆BCS大會上發布的最新理念,是指需要依靠聚合,從信息化系統內不斷生長出自適應、自主和自成長的安全能力。
「內生安全的關鍵是管理。」齊向東在BCS 2020大會上表示:「漏洞是不可避免的,人是不可靠的,所以不管技術多高,網絡安全體系還是會失效。」
近年來多起影響重大的網絡安全事件都表明,缺乏有效管理會導致嚴重後果。對此,齊向東認為,內生安全代表一種新形態的網絡安全管理模式。它與傳統意義上的管理有很大區別,既不是單純的人員管理、行政管理、體制機制管理,也不是傳統的條文式管理、流程式管理。
這套「新管理」模式由數據驅動,通過與安全體系中的能力平臺和服務平臺有效對接,實現對安全技術、安全運行等各方面要素的有效管理,從而發現和規避黑客利用安全體系裡的漏洞發起的攻擊,克服人的不可靠性、彌補人的能力不足。
實現內生安全所代表的新形態安全管理,是一套複雜的系統工程,需要用工程化、體系化的方式進行實施,而實現它的關鍵是安全框架。
據介紹,內生安全框架按照系統工程的思想,將安全能力組件化,由規劃方法、工具集、模型、架構和項目綱要構成,能讓安全產品和服務相互聯繫、相互作用,因此在整體上具備單個產品和服務所沒有的功能,從而保障複雜系統的安全。
齊向東總結說,內生安全框架有三個重點,即「理清楚」、「建起來」、「跑得贏」,目的是通過「新管理」,讓網絡安全體系具有動態防禦,主動防禦,縱深防禦,精準防護,整體防護,聯防聯控的能力。
其中,「理清楚」是體系化地梳理、設計出所需的安全能力。梳理時充分考慮所有可能涉及到的問題,設計時根據實際情況挑選、組合和規劃,給出明確標準,確保這些安全能力能夠融入到信息化與業務系統中。
「建起來」是通過融合,做到安全能力與信息化系統的深度結合、全面覆蓋。在具體建設過程中,按照全景化的技術部署模型,把安全能力組件化,以系統、服務、軟硬體資源的形態,合理部署到信息化系統的不同區域、節點、層級中。
「跑得贏」是確保安全運行的可持續性,實現管理閉環。齊向東認為,缺乏安全運行的安全系統,相當於「靠天吃飯」,極易被攻擊。只有強調安全運行,把管理作為關鍵,才能跑得贏漏洞、內鬼和黑客。
在新基建建設、數位化轉型的浪潮下,很多政府和企業的信息化系統都需要對老系統進行替換,實現「立新破舊」。齊向東認為,從安全系統與信息化系統聚合的實施角度看,如果割裂地對老系統用老辦法,新系統用新辦法,會造成巨大的浪費。有效的解決方案是對安全體系進行「統一設計,分步實施」,在體系的基礎上把安全框架組件化,讓這些組件既能是新體系的一部分,又能部署到老系統中,從而適應信息化系統「立新破舊」的過程,避免不斷地把安全系統推倒重來,確保現在安全上的投資是面向未來的。
「我們用工程化的思想,把體系中的安全能力,映射成為可執行、可建設的網絡安全能力組件,構成了內生安全框架,這些組件與信息化進行體系化地聚合,是安全框架落地的關鍵。」齊向東說。
據介紹,奇安信研究了各類大型機構網絡安全的新技術產品和服務體系,為這些體系設計並解構出了十個網絡安全工程,以及五方面的支撐能力任務,簡稱「十工五任」。
齊向東表示,「十工五任」是內生安全框架的具體落地手冊,相當於打造了一個信息化巨系統內生安全框架的建設樣板,每一個工程和任務,都可以理解成樣板房裡的不同「房間」。政企機構可以結合自身信息化的特點,選取不同的「房間」進行組合,定義自己的關鍵工程和任務。
以某個「新基建」項目為例,奇安信依據「十工五任」手冊,針對136個信息化組件,總結出了29個安全區域場景,部署了79類安全組件。
「政府和企業按照內生安全框架,投入三至五年時間,就能建立起完善的網絡安全協同聯動防禦體系,真正實現內生安全。」齊向東說。