本文轉自【通信世界網】;
9月11號,中國工程院院士方濱興、騰訊副總裁丁珂共同出席了2020騰訊數字生態大會CSS峰會「對話院士|產業安全」環節,這場對話由葦草智酷創始合伙人、信息社會50人論壇執行主席段永朝主持。方濱興分享了他對於數字經濟時代新安全體系的看法,他認為新基建帶來的安全問題可以歸納為「移物雲大智」的伴生問題,應對的關鍵策略是要充分了解其宿主技術的特性,從而實現防禦或免疫。方濱興也認為,建設安全體系是一個超越技術層面的問題,需要有「三制一案」,即從法制、體制、機制和預案方面做好工作。
丁珂則結合騰訊安全在產業安全實踐,分享了企業客戶在應用新技術的過程中遭遇的安全問題以及應對策略,同時他也提出一個新安全觀:對於處於數位化進程中的企業而言,上雲是幫助企業兼顧成本、效率、安全的「最優解」 。
安全問題是伴生問題,不存在通用技術防禦手段技術以日新月異的速度在發展,促進經濟發展的同時,也由於技術本身不成熟或者技術應用不當等原因,帶來一些新的安全問題。方濱興認為,新基建可以概括為以大數據、智能化、物聯網、移動網際網路、雲計算等為代表的「移物雲大智」技術,「移物雲大智」上的伴生安全問題就是我們在新基建下面臨的安全問題。他認為,面對各種不同的新技術並不存在一種通用的防禦方法。「安全問題是一個伴生問題,所以我們現在很多問題需要找到宿主技術,它天然的脆弱點是什麼,找到了這些,我們才能夠有一個很好的解決辦法。所以主動防禦也好,想免疫也好,前提都是你要了解你的宿主技術,了解它,你才能主動防禦它,對它免疫。」
丁珂認為,通訊技術前幾代的更新換代主要的受益者在消費端,而5G時代到來最大的受益方是生產方,物聯網、自動化、AI在生產領域已經開始扮演很重要的角色,而這個時候面向的安全形勢也發生了改變,以往的安全邊界、交付周期已經變得很模糊,安全變成了一個動態的問題。
「我們的企業客戶在接觸這些新技術的時候會特別困惑兩點,第一是以前非常清晰的數位化的安全邊界沒有了,第二是以前很多數字的交互是固定的,安全產品每一次升級節奏是非常清晰的,但是現在因為數字已經影響到生產的方方面面,研發系統、供應鏈系統,還有生產過程中新出來的數據等等,全都是要去面臨安全的問題,安全變成了一個非常動態的一個環節。」
建立新安全體系,需要管理、人才、技術視角多管齊下長久以來,網絡安全從業者一直在嘗試去尋找一種能夠解決網絡安全挑戰的安全技術「銀彈」,但這種努力很可能不會有結果,很多安全問題的發生並不是技術層面的原因,例如今年的RSA會議,主題就是「人類永遠是網絡安全的關鍵和核心」。方濱興在這次的論壇上提出,試圖用一種通用技術去解決所有的安全問題,這種方式本身就是不科學的。
安全能力的構建不是單純的技術攻防問題,方濱興認為建立新安全體系是需要從管理、技術、人三個方面去設計。從管理的視角有「三制一案」,即從法制、體制、機制和預案方面要做好工作。「從管理的視角我們有『三制一案』這麼一種概念。要制定相關的法律,像《網絡安全法》現在也有了;要有各種安全應對條例;要有體制,要有隊伍、要有機構、要有測試部門——出了問題、誰報給誰、誰指揮誰、誰向誰提供信息、誰出來應對等等,它要有一套機制。這個機制走通了還要有一個預案,也就是出了事情,我們要啟動什麼樣的應對方法、什麼樣的應對手段、哪些部門應該配合。」
方濱興還提出,企業要解決安全問題,核心理念「萬變不離其宗」,也需要從管理的視角、從人才的視角、從技術的視角來多管齊下。在這個看法上,丁珂和方濱興形成了高度共識,丁珂認為企業需要企業經營的戰略視角構建自己的安全免疫系統,需要從全景視角規劃安全,在系統開發的早期就介入。「安全其實不是絕對安全,是伴生安全,在合理的成本範圍內要做到什麼程度,需要跟著代碼、跟著生產系統『內生』。」 丁珂也提出,對於處於數位化進程中的企業而言,上雲是幫助企業兼顧成本、效率、安全的「最優解」 。
在人才培養方面丁珂也分享了騰訊安全的經驗,包括和高校合作、通過安全競賽「以賽代練」培養人才等模式。丁珂還特別提到在剛剛結束不久的DEFCON CTF上,騰訊安全科恩實驗室斬獲了總冠軍,這是中國戰隊在這個堪稱「網安世界盃」賽事上取得的最好成績。
用數位化為企業經營提供助力是很多企業共同的目的,與此同時,安全也會成為一個常伴的問題。對此,論壇主持人段永朝總結了本次對話的共識:在安全建設上的未雨綢繆才能讓一個企業在更加複雜多變的環境中佔得一席之地。「企業需要持續更新安全理念、運用最先進的安全技術或者實踐中的一些成功和失敗的經驗,從而確保在數位化轉型的過程中心裡更有底氣,走得更遠。」